Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist [email protected]

Tecnologías Antimalware en Windows Vista

José Parada GimenoJosé Parada GimenoIT EvangelistIT [email protected]@microsoft.com

AgendaAgenda

EntornoEntornoEl mundo de las amenazasEl mundo de las amenazasMalwareMalwareClasificaciónClasificación

Como ayuda VistaComo ayuda VistaVisión TecnológicaVisión Tecnológica

En profundidadEn profundidadProtección de la memoriaProtección de la memoria

Integridad de Sistemas en 64-bitIntegridad de Sistemas en 64-bit

Filtro Antiphising -IE7Filtro Antiphising -IE7

UACUAC

Windows DefenderWindows Defender

Entorno del Software Malintencionado

Viruses, gusanos, Troyanos, rootkits, Viruses, gusanos, Troyanos, rootkits, botsbots

Adware, spyware, Software de Adware, spyware, Software de monitorización o de control remotomonitorización o de control remoto

InofensivoInofensivo

PotencialmentPotencialmente No requeridoe No requerido

MaliciosoMalicioso

Espectro de MalwareEspectro de Malware

¿Que es el Spyware?¿Que es el Spyware?EjemplosEjemplosDescripciónDescripción

Sin amenazas potencialesSin amenazas potenciales

Usa recursos de Usa recursos de forma remotaforma remota

Recoge información Recoge información personalpersonal

Muestra anunciosMuestra anuncios

Cambia opciones del Cambia opciones del sistemasistema

Marca Marca automáticamenteautomáticamente

Claramente malicioso Claramente malicioso (virus, gusano, (virus, gusano, troyano)troyano)

InocuoInocuo

Colección de Colección de datosdatos

AnunciosAnuncios

Cambios de Cambios de configuraciónconfiguración

Uso de Uso de recursosrecursos

MarcadoMarcado

Actividad Actividad maliciosamaliciosa

MonitorizaciónMonitorización Guarda lo que Guarda lo que tecleastecleas

Dañ

o po

tenc

ial

Dañ

o po

tenc

ial

ExtremoExtremo

NingunoNinguno FunciónFunción

+ NotepadNotepad

+ ISP softwareISP software– Porn dialerPorn dialer

+ Control ParentalControl Parental– Key-loggersKey-loggers

– SasserSasser

+ Barra de busquedaBarra de busqueda– Recolector de datosRecolector de datos

+ Software Ad-supported Software Ad-supported – Pop-ups no autorizadosPop-ups no autorizados

+ Utilidades de Utilidades de configuraciónconfiguración

– Secuestro del Navegador Secuestro del Navegador

+ Aplicaciones en Aplicaciones en backgroundbackground

– Puertas traserasPuertas traseras

Spyware y Software no deseado: Spyware y Software no deseado: Aplicaciones que llevan a cabo ciertas Aplicaciones que llevan a cabo ciertas

funciones sin el apropiado control y funciones sin el apropiado control y consentimiento del usuario.consentimiento del usuario.

Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool


InofensivoInofensivo

PotencialmentPotencialmente no requeridoe no requerido

MaliciosoMalicioso

Espectro de MalwareEspectro de Malware

MalwareMalware

Existen muchas formas de malwareExisten muchas formas de malwareSoftware Malicioso (Worm / virus / Troyanos)Software Malicioso (Worm / virus / Troyanos)

Software NO deseado (spyware / adware)Software NO deseado (spyware / adware)

Comportamiento o modo de actuaciónComportamiento o modo de actuaciónVector de Replicación (email / P2P / IM / network)Vector de Replicación (email / P2P / IM / network)

Exploit de una vulnerabilidad de softwareExploit de una vulnerabilidad de software

Ingenieria Social Ingenieria Social

BackdoorBackdoor

Robo de contraseñasRobo de contraseñas

PolymorficoPolymorfico

RootkitRootkit

Payload ( borrado de disco duro, documentos, flash BIOS, etc.)Payload ( borrado de disco duro, documentos, flash BIOS, etc.)

El modo de implementarlo depende de la motivación del El modo de implementarlo depende de la motivación del autorautor

Existen varias fuentes de código para malwareExisten varias fuentes de código para malware

Los atacantes hacen pruebas frente a los productos de Los atacantes hacen pruebas frente a los productos de seguridadseguridad

Historia de MicrosoftHistoria de Microsoft

1992: Fundación de GeCAD1992: Fundación de GeCAD

Junio 2003: Microsoft adquiere los derechos de PI de Junio 2003: Microsoft adquiere los derechos de PI de GeCADGeCAD

Enero 2004: Herramientas de limpieza para ayudar con Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus los ataques de virus

Deciembre 2004 : Adquisición de la compañía de Deciembre 2004 : Adquisición de la compañía de software Giantsoftware Giant

Enero 2005: Lanzamiento del Malicious Software Enero 2005: Lanzamiento del Malicious Software Removal ToolRemoval Tool

Enero 2005: Lanzamiento de Windows Antispyware Enero 2005: Lanzamiento de Windows Antispyware (Beta 1)(Beta 1)

Febrero 2006: Lanzamiento de Windows Defender (Beta Febrero 2006: Lanzamiento de Windows Defender (Beta 2)2)

Malicious Software Removal Malicious Software Removal ToolTool

ObjetivosObjetivosReducir el Impacto del malware en usuarios Reducir el Impacto del malware en usuarios WindowsWindows

Entender las tendencias del malwareEntender las tendencias del malware

DistribuciónDistribuciónWindows UpdateWindows Update

Centro de DescargasCentro de Descargas

Sitio WebSitio Web

Reporte disponible públicamenteReporte disponible públicamente

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 92CDE33E99A9

Actividad de MSRTActividad de MSRT

2.7 billones de 2.7 billones de ejecucionesejecuciones

270 millones de equipos270 millones de equipos

0

750.000.000

1.500.000.000

2.250.000.000

3.000.000.000

Resultados MSRTResultados MSRT

16 millones de infecciones16 millones de infecciones

5.7 millones de equipos infectados5.7 millones de equipos infectados

1 infección cada 3111 infección cada 311

16

5,7

(mil

lio

ns)

Resultado Acumulado

Infecciones desde Enero '05

Equipos desde Junio '05

Reducción del ImpactoReducción del Impacto

75-100%; 25

50-74%; 12

25-49%; 7

0-24%; 6

Incremento; 3

Decremento; 50

Entender las tendenciasEntender las tendencias

238372

592641

781

1.151

3.538

InstantMessaging

Worm

Virus ExploitWorm

P2P Worm Rootkit MassMailingWorm

BackdoorTrojans

Tipo de Malware (miles de equipos)

Troyanos de puerta trasera son la amenaza Troyanos de puerta trasera son la amenaza mas significante y mas crecientemas significante y mas creciente

Los Rootkits son una amenaza emergenteLos Rootkits son una amenaza emergente

Ingeniería Social 35%Ingeniería Social 35%

Como ayuda VistaComo ayuda Vista

Contra el Malware..Contra el Malware..PrevenciónPrevención

AislamientoAislamiento

RemediosRemedios

PrevenciónPrevención

Vulnerabilidad de SoftwareVulnerabilidad de Software •Ciclo de desarrollo seguroCiclo de desarrollo seguro•Actualizaciones AutomáticasActualizaciones Automáticas•Windows Firewall/IPSecWindows Firewall/IPSec•Data Execution ProtectionData Execution Protection•Address Space Layout RandomizationAddress Space Layout Randomization

AmenazaAmenaza Tecnología en VistaTecnología en Vista

Ingeniería SocialIngeniería Social •User Account ControlUser Account Control•Windows DefenderWindows Defender

Vulnerabilidad de la PolíticaVulnerabilidad de la Política •Contraseña de Administrador en BlancoContraseña de Administrador en Blanco•Firma de drivers en 64 bitFirma de drivers en 64 bit•Política de Firewall por RedPolítica de Firewall por Red

AislamientoAislamiento


Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64-bit Integridad de Sistemas de 64-bit

Recursos del SistemaRecursos del Sistema Fortificación de ServiciosFortificación de ServiciosFirewall Bidireccional Firewall Bidireccional IE Protected ModeIE Protected Mode

Configuración del SistemaConfiguración del Sistema User Account ControlUser Account ControlWindows DefenderWindows Defender

RemediosRemedios


Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows

Limpieza de Spyware Limpieza de Spyware Windows DefenderWindows Defender

Limpieza de Virus Limpieza de Virus Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool

Stack

Return Address

Locals

Protección de la MemoriaProtección de la Memoria Data Execution Protection Data Execution ProtectionAddress Space Layout RandomizationAddress Space Layout Randomization

DEPDEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows Code

LoadLibrary()LoadLibrary()

ASLRASLR

Integridad de Sistemas de 64 Integridad de Sistemas de 64 bitbit

ApplicationCreateFile()

Kernel32.dllCreateFileW()

ntdll.dllZwCreateFile()

Interrupt Dispatch Table

2E

System Service Dispatch Table

NtCreateFile()

Interrupt Dispatch TableInterrupt Dispatch Table

Global Descriptor TableGlobal Descriptor Table

System Service Dispatch System Service Dispatch TableTable

Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows

Hace que el sistema funcione bien como un Hace que el sistema funcione bien como un usuario estándarusuario estándar

Proporciona un método seguro para ejecutar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoaplicaciones en un contexto elevado

Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC

Deja claro las acciones que tienen un impacto en todo el Deja claro las acciones que tienen un impacto en todo el equipoequipo

Virtualización del registro y ficheros para Virtualización del registro y ficheros para proporcionar compatibilidad.proporcionar compatibilidad.

Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos

Efectivamente: cuentas estándar pueden ejecutar Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de aplicaciones que necesitan cuentas de administración de manera segura.manera segura.

Protección de cuentas UsuarioProtección de cuentas UsuarioUAC (User Account Control)UAC (User Account Control)

Nos ayuda a implementar el principio de Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:menor privilegio de dos maneras distintas:1.1. El usuario no necesita tener privilegios El usuario no necesita tener privilegios

administrativos para realizar ciertas tareas administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En para las que se necesitas esos privilegios – En cambio:cambio:

Se le pregunta al usuario por credenciales con mas Se le pregunta al usuario por credenciales con mas privilegiosprivilegios

2.2. Aunque el usuario tenga privilegios Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitadosantes de que esos derechos sean ejercitados

No se necesita volver a proporcionar las No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientocredenciales, solo se necesita el consentimiento

Leer: Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp

xx

Internet Explorer 7Internet Explorer 7

Además de ser compatible con UAC, Además de ser compatible con UAC, incluirá:incluirá:

Modo ProtegidoModo Protegido que solo permite a IE navegar que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. sin mas permisos, aunque el usuario los tenga. Ejem. Instalar softwareEjem. Instalar software

Modo de “Solo-lectura”, excepto para los ficheros Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en temporales de Internet cuando el navegador esta en Zona de seguridad de InternetZona de seguridad de Internet

Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de poco tiempo y usa una red global de fuentes de datosdatos

ActiveX Opt-in, da al usuario el control de los ActiveX Opt-in, da al usuario el control de los controles Activexcontroles Activex

Todos los datos de cache se eliminan con un Todos los datos de cache se eliminan con un solo clicksolo click

Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:

1.1.Compara el Sitio Web con la lista local de sitios legítimos Compara el Sitio Web con la lista local de sitios legítimos conocidosconocidos

2.2.Escanea el sitio Web para conseguir características comunes a Escanea el sitio Web para conseguir características comunes a los sitios con Phisinglos sitios con Phising

3.3.Cheque el sitio con el servicio online que tiene Microsoft sobre Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horasitios reportados que se actualiza varias veces cada hora

Level 1: Warn Suspicious Website

Signaled

Level 2: Block Confirmed Phishing Site

Signaled and Blocked

Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7


MonitorizaciónMonitorización

DetecciónDetección

LimpiezaLimpieza

Software ExplorerSoftware Explorer

SpyNetSpyNet

MonitorizaciónMonitorización

Automatic Startup Entry Points (ASEPs)Automatic Startup Entry Points (ASEPs)

Configuración del SistemaConfiguración del Sistema

Internet Explorer Internet Explorer ConfiguracionConfiguracion

Add-onsAdd-ons

DescargasDescargas

Servicios y DriversServicios y Drivers

Ejecución de AplicacionesEjecución de Aplicaciones

Registro de AplicaciónesRegistro de Aplicaciónes

Windows Add-onsWindows Add-ons

DetecciónDetección

Motores compartidosMotores compartidos

Formatos de ficherosFormatos de ficherosContenedores (zip, rar, etc)Contenedores (zip, rar, etc)

Empaquetadores de Ficheros (upx, aspack)Empaquetadores de Ficheros (upx, aspack)

Muchos formatos estándar Muchos formatos estándar

Metodos de DetecciónMetodos de DetecciónHash simple de fichero( MD5, SHA1, CRC)Hash simple de fichero( MD5, SHA1, CRC)

Multi-CRCMulti-CRC

Firmas de Rootkits en modo usuarioFirmas de Rootkits en modo usuario

Detección genéricaDetección genérica

EmulaciónEmulación

HeurísticaHeurística

LimpiezaLimpieza

Scripting languageScripting language

Claves del registroClaves del registro

FicherosFicheros

Modificación del fichero HostModificación del fichero Host

Software ExplorerSoftware Explorer

En ejecuciónEn ejecución

Programas de InicioProgramas de Inicio

ServiciosServicios

DriversDrivers

SpyNetSpyNet

Ayuda a priorizar la creación de firmasAyuda a priorizar la creación de firmas

Se envía informaciónSe envía informaciónInformación del ficheroInformación del fichero

Engine / signature versionsEngine / signature versions

Voting dataVoting data

Información DemograficaInformación Demografica

Cifrado de datosCifrado de datos

Basico vs Avanzado – PIIBasico vs Avanzado – PII

OpcionalOpcional

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation

as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,

EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Documents

Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist [email protected]