► Troyanos  Tipos de troyanos ► Rootkits  Tipos de rootkits  Detección de rootkits ► Bonet ► Detección de malware ► Troyanos bancarios ► Escáneres de vulnerabilidades  Exploits

► Robo de credenciales ► Crackeo de contraseñas ► Políticas de fortificación ► Gestión de actualizaciones ► Spyware  Antispyware ► Virus  Arquitectura de un antivirus

► Los troyanos son programas pensados para proveer al atacante de una puerta trasera por la cual entrar en el sistema ► Su nombre proviene de la historia del caballo de Troya mediante el cual los griegos pudieron entrar en la ciudad ► Pueden venir ocultos dentro de otros programas, ofuscados y comprimidos, para evitar los motores de antivirus

► Según el tipo de conexión  Directa  Reversos ► Según el método de infección  Ejecutable  Correo electrónico  Paginas web ► Según sus acciones  Puerta trasera  Reenvío de s  DDoS

► Los rootkits no implican riesgos por si mismos ► Suelen ir acompañados de algún tipo de malware que es el que provoca el daño en el sistema ► El rootkit se encarga de esconder en el sistema la actividad de este programa malintencionado ► Existen diversas técnicas rootkits:  Virtualización  Nivel de Kernel  Nivel de aplicación ► Paralelamente existen técnicas de detección para las técnicas de ocultación mencionadas anteriormente

► Para detectar rootkits se buscan diferencias entre los resultados que se detecten a bajo nivel en el sistema operativo y los resultados obtenidos al consultar normalmente al sistema ► Existen diversas herramientas que realizan esta tarea, consultando distintos registros de memoria de Windows y comprobando las diferencias ► Uno de los mas populares es Rootkit Revealer, de Sysinternals, que ayudo a detectar el rootkit presente en los cds de música de Sony

► Las redes botnets son equipos infectados por algún tipo de malware que los obliga a realizar acciones de una manera no autorizada ► Grandes redes botnets son utilizadas para la realización de ataques de denegación de servicio distribuidos (DDoS) ► Los ordenadores infectados reciben las ordenes de diferentes maneras:  Canales IRC  Paginas web

► Existen multitud de soluciones antimalware ► Se utilizan sistemas de detección basados en:  Firmas  Heurística  Pseudomaquinas virtuales ► Microsoft Forefront Client Security nos ayuda a proteger nuestra organización frente a amenazas de malware ► A menor escala podemos disponemos de Windows Defender para un equipo personal

► Los troyanos bancarios presentan un riesgo muchísimo mayor debido al delicado asunto de sus fines ► Modifican localmente las paginas de los bancos para que soliciten mas datos de los comúnmente necesarios ► Se suelen instalar como módulos del navegador para tener control constante sobre las acciones del usuario.

► Los escáneres de vulnerabilidades nos permiten automatizar el proceso de recogida de vulnerabilidades conocidas en nuestra red ► Facilitan la tarea a los administradores en su quehacer diario ► Existen multitud de escáneres de vulnerabilidades:  SATAN  SAINT-SANTA  SARA  NESSUS  GFI LANGuard

► El robo de credenciales implica la posible suplantación de identidad, con el riesgo que ello conlleva ► Esto puede hacerse mediante keyloggers ► Un keylogger es un programa que graba o envía todas las pulsaciones de teclas que se han producido ► Estos programas han evolucionado guardando datos acerca de:  Ratón  Capturas de pantalla

► Las contraseñas han de guardarse hasheadas de manera irreversible ► Aun así es posible recuperar la contraseña guardada ► Con los ordenadores actuales es factible realizar un ataque de fuerza bruta contra el hash de la clave ► Con acceso físico a la maquina es fácil obtener acceso a estos hash ► Las contraseñas de Windows se guardan en un fichero llamado SAM ► Este fichero se puede crackear mediante el programa llamado L0phtCrack

► La principal política a aplicar ha de ser la del mínimo privilegio ► En sistemas Windows XP era común trabajar con un usuario administrador; en Windows Vista se introduce el UAC para corroborar el deseo de realizar acciones administrativas ► Es indispensable el uso de un firewall correctamente configurado ► Tecnologías como DEP nos ayudan a prevenir nuestro equipo frente a ataques de desbordamiento de buffer, que podrían suponer ataques de ejecución arbitraria de código

► El software instalado va volviéndose inseguro según se van descubriendo nuevas vulnerabilidades ► Mantener nuestro equipo actualizado, tanto el sistema operativo como las aplicaciones instaladas es primordial ► Microsoft ha establecido como política de actualizaciones el lanzar parches cada segundo martes de mes ► Estas actualizaciones podemos descargarlas desde Windows Update

► Es una evolución de los troyanos ► Recopilan información sobre las acciones del usuario y las envían a Internet ► Esta información es utilizada para mostrar publicidad a las personas infectadas ► El spyware suele venir asociado a software e instalarse tras aceptar la licencia el usuario. ► Algunos del spyware mas extendidos:  Alexa Toolbar  Gator

► Un sistema actualizado nos protegerá frente a las ultimas amenazas de ejecución remota de código ► El SP2 de Windows XP introdujo diversas mejoras de protección:  Descargas automáticas bloqueadas  Gestor de componentes ActiveX  Protección frente a MIME Sniffing ► También esta disponible el software Microsoft Windows Anti Spyware, que analiza:  Procesos  Ficheros  Entradas de registro

► Los virus existen casi desde el principio de la informática ► Algunos se han hecho famosos hasta nuestro días, como el Viernes 13 ► Se ejecutan en las siguientes fases:  Ocultación  Contagio  Ataque ► Existen virus de distintos tipos: boot, fichero, comando, polimórficos o macro

► Pedro Laguna ► ► Informática 64 S.L. ►