Tecnologías Antimalware en Windows Vista Cuanto malware hay por ahí y que hace microsoft al respecto. José Parada Gimeno IT Evangelist jparada@microsoft.com
Agenda Entorno Como ayuda Vista El mundo de las amenazas Malware Clasificación Como ayuda Vista Visión Tecnológica En profundidad Protección de la memoria Integridad de Sistemas en 64-bit Filtro Antiphising -IE7 UAC Windows Defender
Entorno del Software Malintencionado
Espectro de Malware Inofensivo Potencialmente No requerido Malicioso Adware, spyware, Software de monitorización o de control remoto Potencialmente No requerido Viruses, gusanos, Troyanos, rootkits, bots Malicioso
Cambios de configuración ¿Que es el Spyware? Función Descripción Ejemplos Ninguno Inocuo Sin amenazas potenciales Notepad Anuncios Spyware y Software no deseado: Aplicaciones que llevan a cabo ciertas funciones sin el apropiado control y consentimiento del usuario. Software Ad-supported Pop-ups no autorizados Muestra anuncios Barra de busqueda Recolector de datos Colección de datos Recoge información personal Cambios de configuración Utilidades de configuración Secuestro del Navegador Daño potencial Cambia opciones del sistema Monitorización Control Parental Key-loggers Guarda lo que tecleas ISP software Porn dialer Marcado Marca automáticamente Aplicaciones en background Puertas traseras Uso de recursos Usa recursos de forma remota Actividad maliciosa Claramente malicioso (virus, gusano, troyano) Sasser Extremo
Windows Malicious Software Removal Tool Espectro de Malware Inofensivo Windows Defender Potencialmente no requerido Windows Malicious Software Removal Tool Malicioso
El mundo de las amenazas Ejemplo de Mitigación(es) Violación de la Integridad del sistema Autenticación de Windows Contraseñas Fuertes PatchGuard (Vista x64) User Account Control (Vista) ASLR (Vista) / DEP Violación de la integridad de los Datos / Disclosure Cifrado de Ficheros Bitlocker (Vista) DRM Phishing Filtro Antiphishing (IE 7) Spam Antispam en Outlook / Exchange Malware Prevención, detección y eliminación de malware
Malware Existen muchas formas de malware Software Malicioso (Worm / virus / Troyanos) Software NO deseado (spyware / adware) Comportamiento o modo de actuación Vector de Replicación (email / P2P / IM / network) Exploit de una vulnerabilidad de software Ingenieria Social Backdoor Robo de contraseñas Polymorfico Rootkit Payload ( borrado de disco duro, documentos, flash BIOS, etc.) El modo de implementarlo depende de la motivación del autor Existen varias fuentes de código para malware Los atacantes hacen pruebas frente a los productos de seguridad
Historia de Microsoft 1992: Fundación de GeCAD Junio 2003: Microsoft adquiere los derechos de PI de GeCAD Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus Deciembre 2004 : Adquisición de la compañía de software Giant Enero 2005: Lanzamiento del Malicious Software Removal Tool Enero 2005: Lanzamiento de Windows Antispyware (Beta 1) Febrero 2006: Lanzamiento de Windows Defender (Beta 2)
Malicious Software Removal Tool Objetivos Reducir el Impacto del malware en usuarios Windows Entender las tendencias del malware Distribución Windows Update Centro de Descargas Sitio Web Reporte disponible públicamente http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9
Actividad de MSRT 2.7 billones de ejecuciones 270 millones de equipos
Resultados MSRT 16 millones de infecciones 5.7 millones de equipos infectados 1 infección cada 311
Reducción del Impacto
Entender las tendencias Troyanos de puerta trasera son la amenaza mas significante y mas creciente Los Rootkits son una amenaza emergente Ingeniería Social 35%
Como ayuda Vista Contra el Malware.. Prevención Aislamiento Remedios
Prevención Tecnología en Vista Amenaza Vulnerabilidad de Software Ciclo de desarrollo seguro Actualizaciones Automáticas Windows Firewall/IPSec Data Execution Protection Address Space Layout Randomization Ingeniería Social User Account Control Windows Defender Vulnerabilidad de la Política Contraseña de Administrador en Blanco Firma de drivers en 64 bit Política de Firewall por Red
Aislamiento Tecnología en Vista Amenaza Comportamiento del Sistema Integridad de Sistemas de 64-bit Recursos del Sistema Fortificación de Servicios Firewall Bidireccional IE Protected Mode Configuración del Sistema User Account Control Windows Defender
Remedios Tecnología en Vista Amenaza Estado de la Seguridad Centro de Seguridad de Windows Limpieza de Spyware Windows Defender Limpieza de Virus Windows Malicious Software Removal Tool
Protección de la Memoria Data Execution Protection Address Space Layout Randomization Stack Code Application Code Library Code Windows Code DEP Locals ASLR LoadLibrary() Return Address Parameters Previous Frames
Integridad de Sistemas de 64 bit Application CreateFile() Interrupt Dispatch Table Global Descriptor Table System Service Dispatch Table Kernel32.dll CreateFileW() ntdll.dll ZwCreateFile() Interrupt Dispatch Table 2E System Service Dispatch Table NtCreateFile()
Cambio fundamental en la operativa de Windows Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.
Protección de cuentas Usuario UAC (User Account Control) Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx
Internet Explorer 7 Además de ser compatible con UAC, incluirá: Modo Protegido que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click
Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas Realiza 3 chequeos para proteger al usuario de posibles timos: Compara el Sitio Web con la lista local de sitios legítimos conocidos Escanea el sitio Web para conseguir características comunes a los sitios con Phising Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Dos niveles de Aviso y protección en la barra de estado de IE7 Level 1: Warn Suspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked
Windows Defender Monitorización Detección Limpieza Software Explorer SpyNet
Monitorización Automatic Startup Entry Points (ASEPs) Configuración del Sistema Internet Explorer Configuracion Add-ons Descargas Servicios y Drivers Ejecución de Aplicaciones Registro de Aplicaciónes Windows Add-ons
Detección Motores compartidos Formatos de ficheros Contenedores (zip, rar, etc) Empaquetadores de Ficheros (upx, aspack) Muchos formatos estándar Metodos de Detección Hash simple de fichero( MD5, SHA1, CRC) Multi-CRC Firmas de Rootkits en modo usuario Detección genérica Emulación Heurística
Limpieza Scripting language Claves del registro Ficheros Modificación del fichero Host
Software Explorer En ejecución Programas de Inicio Servicios Drivers
SpyNet Ayuda a priorizar la creación de firmas Se envía información Información del fichero Engine / signature versions Voting data Información Demografica Cifrado de datos Basico vs Avanzado – PII Opcional
© 2006 Microsoft Corporation. All rights reserved © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 31