Embed Size (px)
Citation preview
Sergio de los SantosConsultor de SeguridadHispasec [email protected]
Últimas Tendencias en el Malware
“Enséñame la pasta” Chema AlonsoMicrosoft MVPWindows SecurityInformá[email protected]
Un poco de Historia
Sicilia, Noviembre de 19831986: PC Brain. Disquetes 5 ¼. Se introdujo en una tienda de software pirata.
1988: Ping Pong.
Viernes 13.
¡Cuidado!, el 13 de julio es viernes. 1992: Michelangelo. Hace perder mucho dinero a miles de empresas.
Motivación:Alto nivel técnico
Ego o demostración de conocimiento
La época POP de los virus
El siglo que vivimos peligrosamente
2000: Love
2001: Klez
2001: Code Red
2003: SQL Slammer
2003: Blaster
2004: Sasser
2004: Netsky-A, Netsky-B, …. Netsky-*
Malware Tradicional
Spam
Phising “Tradicional”
Troyanos “tradicionales”Netbus
Netdevil
Subseven
Back Orifice
Poisson Ivy
RootkitsHackerdefender
¿Realmente hoy en día conocemos el
malware?
Nuestros “amigos”
Spam: Es un fin: Venta
Es un medio:
Para infectar máquinas con troyanos adjuntos
Para inducir a visitar páginas de ataque
Troyanos:Es un fin: Controlar la máquina
Es un medio:
Para hacer phishing
Para enviar más spam
Para reclutar zombies para botnets
Nuestros “amigos”
BotnetsEs un fin: Hacer DDOS
Es un medio:
Alojar phishing
Enviar spam
Enviar malware
Alojar warez
Tecnología RootkitSe usa en troyanos y en “clientes” botnet
Envía SpamEnvía Malware Aloja Phishing
Ataque DDOSAloja Warez
Algunas formas de Infección “curiosas”
Se acabó el romanticismo
Industria
Modelo de Negocio:
Clientes Objetivos:Microsoft > 90 % cuota de mercado
Navegadores:
1. Microsoft IE 75,89%
2. Mozilla Firefox 20,68%
3. Apple Safari 1,99%
4. Opera 1,23%
5. Netscape 0,07%
Modelo de Negocio:
Aparición estratégica:2001: Nimda y Code Red -> 250 días después parche
2003: Blaster -> 30 días después de parche
2004: Sasser -> 5 días después de parche
HOY:
Al día siguiente de los parches están los exploits
Algunos meses, 2 días después de la publicación de los parches empiezan a explotar vulnerabilidades no conocidas
Modelo de Negocio:
Proveedores:Vulnerabilidad en Windows Vista: 38.100 €
Troyanos que generan Spam: 3.800 €
Números de tarjetas de crédito y PIN: 380 €
Cuentas eBay o PayPal: 3 €
Modelo de Negocio
Competencia:iDefense: 10.000 dólares vulnerabilidad Windows
TrippingPoint: 50.000 dólares vulnerabilidades en software popular
Modelo de Negocio
Cobro “a clientes”:Se esparcen troyanos
Se roban credenciales
Se busca un mulero con ofertas de trabajo a través de spam
Mulero abre cuenta
Se manda pasta de cuentas robadas a cuenta del mulero
Mulero saca pasta y envía dinero (quedándose su comisión)
Mulero es trincado y va al “trullo”.
Búsqueda de nuevo mulero
http://elladodelmal.blogspot.com/2007/01/fraude-en-internet-por-daniel-guzman-el.html
Balance: Cuenta de ResultadosFiesta en Praga compañía Adware
Modelo de Negocio:
Expansión:2003: aproximadamente 60.000 ejemplares
2007: aproximadamente 400.000 ejemplares
Mínima molestia para el usuario, menor infección masiva, detección tardía.
Crimen organizado y alianzas estratégicas
Durante 2006 una media de 200 keyloggers distintos por mes
40.000 sitios phising detectados por el APWG en Octubre 2006
Año 2000: 300 keyloggers conocidos.
Año 2006: 8.500 keyloggers conocidos.
Modelo de Negocio:
Producto:
Demo 1: Ejemplo de producto “escuela brasileña”
Demo 2: Ejemplo de producto “escuela rusa”
Soluciones:
Antivirus:
Técnicas de Evasión
Demo:
Jugando con la minishell
Morphing “Superman”
¿Solución?
Defensa en profundidad
Políticas de seguridad
Protección en el perímetro
Protección en los servidores
Protección en los desktops
Mínimo privilegio posible
Mínimo punto de exposición
Contacto
Sergio de los SantosConsultor de Seguridad: [email protected]
Hispasec Sistemas: http://www.hispasec.com
Una Al día: http://www.hispasec.com/
Virus Total: http://www.virustotal.com
Chema AlonsoMicrosoft MVP Windows Security
Informática64: http://www.informatica64.com
Technews: http://www.informatica64.com/boletines.html
Hands On Lab
http://www.microsoft.es/HOLSistemas
