Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)
Download ReportTranscript Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)
Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec) Requisitos previos para la sesión Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300 Información general de la sesión Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Tipos y características del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Software malintencionado: la familia del malware Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware definición clásica Virus Gusanos Troyanos Bombas lógicas evolución ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits … Tipos de malware: Virus Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes Tipos de malware: Gusano Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky distribuye por e-mail, redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445 Tipos de malware: Troyano Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Troyano Ejemplo AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano. Tipos de malware: Backdoor Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor .exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc. Tipos de malware: Spyware, Dialer, Keylogger,... Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware: muestra anuncios o abre páginas webs no solicitadas. Exploit: programas que aprovecha una vulnerabilidad. Tipos de malware: combinados Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor. Nomenclatura en la identificación del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Nomenclatura en la identificación del software malintencionado Prefijo + Nombre + Variante + sufijo Ejemplo W32/Klez.H@MM Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a, b,c d,…) Sufijo @MM gusano de propagación masiva por correo electrónico Nomenclatura en la identificación del software malintencionado Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por e-mail de forma masiva Nomenclatura en la identificación del software malintencionado Nomenclatura en la identificación del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Técnicas comunes empleadas por las soluciones antivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81 Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua Técnicas comunes empleadas por las soluciones antivirus Detección por localización y nombre de archivo DEMO Técnicas comunes empleadas por las soluciones antivirus Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas Técnicas comunes empleadas por las soluciones antivirus Detección por heurística Técnicas comunes empleadas por las soluciones antivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas Técnicas comunes empleadas por las soluciones antivirus Detección por emulación Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento DEMO Técnicas comunes empleadas por las soluciones antivirus Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares. Limitaciones de las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Limitaciones de las soluciones antivirus Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Actualización del AV del usuario Distribución Publicación actualización Infección de las primeras víctimas Desarrollo firma y pruebas Reporte a los laboratorios AV Análisis del malware Limitaciones de las soluciones antivirus Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware DEMO Elección de la solución antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Elección de las soluciones antivirus Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados) DEMO Elección de las soluciones antivirus Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas Elección de las soluciones antivirus Defensa contra software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado Defensa contra el software malintencionado Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors) Defensa contra el software malintencionado Visión actual en la prevención Defensa contra el software malintencionado Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones Defensa en clientes contra el software malintencionado Se debe tender a un equilibrio Defensa contra el software malintencionado Factor humano Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad Defensa contra el software malintencionado Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup Defensa contra el software malintencionado Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad DEMO Preguntas y respuestas Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de usuario Usuario independiente Organización pequeña Empresa de tamaño mediano a grande Escenario Solución Todos los escenarios Windows Update Sin servidores de Windows Windows Update Al menos un servidor Windows 2000 o una versión más reciente y un administrador de IT MBSA y SUS Desea una solución de administración de actualizaciones con un control básico que actualice Windows 2000 y las versiones más recientes de Windows MBSA y SUS Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar y distribuir todo el software SMS Descripción de las ventajas de Software Update Services (SUS) Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft Funcionamiento de SUS Internet Windows Update Servidor SUS secundario Servidor SUS primario Equipos cliente Equipos cliente Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad London.nwtraders.msft Controlador de dominio Exchange Server 2003 Servidor de IIS 6.0 Software Update Services Servidor DNS Servidor de CA empresarial 10.10.0.2/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 131.107.0.1/16 Glasgow.nwtraders.msft Servidor MIIS Servidor ADAM 10.10.0.3 131.107.0.8 Internet Red interna 10.10.0.0/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 10.10.0.10/16 Vancouver.nwtraders.msft ISA Server 2004 10.10.0.1/16 131.107.0.1/16 Brisbane.northwindtraders.msft Controlador de dominio Servidor de IIS 6.0 10.10.0.20 Configuración de aplicaciones para proteger los equipos cliente Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual Administración de la seguridad de Internet Explorer Característica de seguridad Descripción Mejoras de la seguridad de MIME Comprobaciones de coherencia Reglas más estrictas Mejor administración de la seguridad Características de control y administración de complementos Mensajes más descriptivos Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona de seguridad Control de características Rastreo de MIME Elevación de la seguridad Restricciones de Windows Configuración de directivas de grupo Control administrativo de las zonas de seguridad Control de características Demostración 2: Configuración de aplicaciones basadas en el cliente Configurar las aplicaciones cliente para la defensa contra software malintencionado London.nwtraders.msft Controlador de dominio Exchange Server 2003 Servidor de IIS 6.0 Software Update Services Servidor DNS Servidor de CA empresarial 10.10.0.2/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 131.107.0.1/16 Glasgow.nwtraders.msft Servidor MIIS Servidor ADAM 10.10.0.3 131.107.0.8 Internet Red interna 10.10.0.0/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 10.10.0.10/16 Vancouver.nwtraders.msft ISA Server 2004 10.10.0.1/16 131.107.0.1/16 Brisbane.northwindtraders.msft Controlador de dominio Servidor de IIS 6.0 10.10.0.20 Bloqueo de aplicaciones no autorizadas con directivas de restricción de software Las directivas de restricción de software: Se pueden utilizar para: Combatir virus Controlar las descargas de ActiveX Ejecutar sólo secuencias de comandos firmadas Asegurarse de que se instalan las aplicaciones autorizadas Bloquear equipos Se pueden establecer como: Ilimitado No permitido Se pueden aplicar a las siguientes reglas: Hash Certificado Ruta de acceso Zona Demostración 3: Uso de directivas de restricción de software Crear y probar una directiva de restricción de software London.nwtraders.msft Controlador de dominio Exchange Server 2003 Servidor de IIS 6.0 Software Update Services Servidor DNS Servidor de CA empresarial 10.10.0.2/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 131.107.0.1/16 Glasgow.nwtraders.msft Servidor MIIS Servidor ADAM 10.10.0.3 131.107.0.8 Internet Red interna 10.10.0.0/16 Denver.nwtraders.msft SP2 de Windows XP Office 2003 10.10.0.10/16 Vancouver.nwtraders.msft ISA Server 2004 10.10.0.1/16 131.107.0.1/16 Brisbane.northwindtraders.msft Controlador de dominio Servidor de IIS 6.0 10.10.0.20 Nuevas características de seguridad de Firewall de Windows Activado de forma predeterminada en tiempo Seguridad de inicio del sistema global Configuración y restauración de la configuración predeterminada de Restricciones subred local de usar Posibilidad la línea de comandos Activado sin excepciones de excepciones Lista de Firewall de Windows Perfiles múltiples Compatibilidad con RPC puede realizar una Se instalación desatendida Configuración de Firewall de Windows para la defensa de los programas antivirus