Últimas Tendencias en el Malware “Enséñame la pasta”

Presentación del tema: "Últimas Tendencias en el Malware “Enséñame la pasta”"— Transcripción de la presentación:

1 Últimas Tendencias en el Malware “Enséñame la pasta”
Chema Alonso Microsoft MVP Windows Security Informática64 Sergio de los Santos Consultor de Seguridad Hispasec Sistemas

2 Un poco de Historia Sicilia, Noviembre de 1983 Motivación:
1986: PC Brain. Disquetes 5 ¼. Se introdujo en una tienda de software pirata. 1988: Ping Pong. Viernes 13. ¡Cuidado!, el 13 de julio es viernes. 1992: Michelangelo. Hace perder mucho dinero a miles de empresas. Motivación: Alto nivel técnico Ego o demostración de conocimiento

3 La época POP de los virus

4 El siglo que vivimos peligrosamente
2000: Love 2001: Klez 2001: Code Red 2003: SQL Slammer 2003: Blaster 2004: Sasser 2004: Netsky-A, Netsky-B, …. Netsky-*

5 Malware Tradicional Spam Phising “Tradicional”
Troyanos “tradicionales” Netbus Netdevil Subseven Back Orifice Poisson Ivy Rootkits Hackerdefender

6 ¿Realmente hoy en día conocemos el malware?

7

8 Nuestros “amigos” Spam: Troyanos:
Es un fin: Venta Es un medio: Para infectar máquinas con troyanos adjuntos Para inducir a visitar páginas de ataque Troyanos: Es un fin: Controlar la máquina Para hacer phishing Para enviar más spam Para reclutar zombies para botnets

9 Nuestros “amigos” Botnets Tecnología Rootkit Alojar phishing
Es un fin: Hacer DDOS Es un medio: Alojar phishing Enviar spam Enviar malware Alojar warez Tecnología Rootkit Se usa en troyanos y en “clientes” botnet

10 Aloja Warez Envía Spam Ataque DDOS Envía Malware Aloja Phishing

11 Algunas formas de Infección “curiosas”

12 Se acabó el romanticismo

13 Industria

14 Modelo de Negocio: Clientes Objetivos: 1. Microsoft IE 75,89%
Microsoft > 90 % cuota de mercado Navegadores: 1. Microsoft IE 75,89% 2. Mozilla Firefox 20,68% 3. Apple Safari 1,99% 4. Opera 1,23% 5. Netscape 0,07%

15 Modelo de Negocio: Aparición estratégica:
2001: Nimda y Code Red -> 250 días después parche 2003: Blaster -> 30 días después de parche 2004: Sasser -> 5 días después de parche HOY: Al día siguiente de los parches están los exploits Algunos meses, 2 días después de la publicación de los parches empiezan a explotar vulnerabilidades no conocidas

16 Modelo de Negocio: Proveedores:
Vulnerabilidad en Windows Vista: € Troyanos que generan Spam: € Números de tarjetas de crédito y PIN: 380 € Cuentas eBay o PayPal: 3 €

17 Modelo de Negocio Competencia:
iDefense: dólares vulnerabilidad Windows TrippingPoint: dólares vulnerabilidades en software popular

18 Modelo de Negocio Cobro “a clientes”: Se esparcen troyanos
Se roban credenciales Se busca un mulero con ofertas de trabajo a través de spam Mulero abre cuenta Se manda pasta de cuentas robadas a cuenta del mulero Mulero saca pasta y envía dinero (quedándose su comisión) Mulero es trincado y va al “trullo”. Búsqueda de nuevo mulero

19 Balance: Cuenta de Resultados
Fiesta en Praga compañía Adware

20 Modelo de Negocio: Expansión: 2003: aproximadamente 60.000 ejemplares
Mínima molestia para el usuario, menor infección masiva, detección tardía. Crimen organizado y alianzas estratégicas Durante 2006 una media de 200 keyloggers distintos por mes sitios phising detectados por el APWG en Octubre 2006 Año 2000: 300 keyloggers conocidos. Año 2006: keyloggers conocidos.

21 Modelo de Negocio: Producto:
Demo 1: Ejemplo de producto “escuela brasileña” Demo 2: Ejemplo de producto “escuela rusa”

22 Soluciones: Antivirus:

23 Técnicas de Evasión Demo: Jugando con la minishell

24 Morphing “Superman”

25 ¿Solución?

26 Defensa en profundidad
Políticas de seguridad Protección en el perímetro Protección en los servidores Protección en los desktops Mínimo privilegio posible Mínimo punto de exposición

27

28 Contacto Sergio de los Santos Chema Alonso
Consultor de Seguridad: Hispasec Sistemas: Una Al día: Virus Total: Chema Alonso Microsoft MVP Windows Security Informática64: Technews:

29 Hands On Lab