ProtégeIT!Client Security

Pedro Lagunaplaguna@informatica64.com

HOL-PIT02

Agenda

►TroyanosTipos de troyanos

►RootkitsTipos de rootkitsDetección de rootkits

►Bonet►Detección de malware►Troyanos bancarios►Escáneres de vulnerabilidades

Exploits

Agenda

►Robo de credenciales►Crackeo de contraseñas►Políticas de fortificación►Gestión de actualizaciones►Spyware

Antispyware►Virus

Arquitectura de un antivirus

Troyanos

►Los troyanos son programas pensados para proveer al atacante de una puerta trasera por la cual entrar en el sistema

►Su nombre proviene de la historia del caballo de Troya mediante el cual los griegos pudieron entrar en la ciudad

►Pueden venir ocultos dentro de otros programas, ofuscados y comprimidos, para evitar los motores de antivirus

Tipos de troyanos

►Según el tipo de conexiónDirectaReversos

►Según el método de infecciónEjecutableCorreo electrónicoPaginas web

►Según sus accionesPuerta traseraReenvío de emailsDDoS

Rootkits

►Los rootkits no implican riesgos por si mismos►Suelen ir acompañados de algún tipo de malware que

es el que provoca el daño en el sistema►El rootkit se encarga de esconder en el sistema la

actividad de este programa malintencionado►Existen diversas técnicas rootkits:

VirtualizaciónNivel de KernelNivel de aplicación

►Paralelamente existen técnicas de detección para las técnicas de ocultación mencionadas anteriormente

Detección de rootkits

►Para detectar rootkits se buscan diferencias entre los resultados que se detecten a bajo nivel en el sistema operativo y los resultados obtenidos al consultar normalmente al sistema

►Existen diversas herramientas que realizan esta tarea, consultando distintos registros de memoria de Windows y comprobando las diferencias

►Uno de los mas populares es Rootkit Revealer, de Sysinternals, que ayudo a detectar el rootkit presente en los cds de música de Sony

Bonet

►Las redes botnets son equipos infectados por algún tipo de malware que los obliga a realizar acciones de una manera no autorizada

►Grandes redes botnets son utilizadas para la realización de ataques de denegación de servicio distribuidos (DDoS)

►Los ordenadores infectados reciben las ordenes de diferentes maneras:

Canales IRCPaginas web

Detección de malware

►Existen multitud de soluciones antimalware►Se utilizan sistemas de detección basados en:

FirmasHeurísticaPseudomaquinas virtuales

►Microsoft Forefront Client Security nos ayuda a proteger nuestra organización frente a amenazas de malware

►A menor escala podemos disponemos de Windows Defender para un equipo personal

Troyanos bancarios

►Los troyanos bancarios presentan un riesgo muchísimo mayor debido al delicado asunto de sus fines

►Modifican localmente las paginas de los bancos para que soliciten mas datos de los comúnmente necesarios

►Se suelen instalar como módulos del navegador para tener control constante sobre las acciones del usuario.

Escáneres vulnerabilidades

►Los escáneres de vulnerabilidades nos permiten automatizar el proceso de recogida de vulnerabilidades conocidas en nuestra red

►Facilitan la tarea a los administradores en su quehacer diario

►Existen multitud de escáneres de vulnerabilidades:SATANSAINT-SANTASARANESSUSGFI LANGuard

Robo de credenciales

►El robo de credenciales implica la posible suplantación de identidad, con el riesgo que ello conlleva

►Esto puede hacerse mediante keyloggers►Un keylogger es un programa que graba o envía todas

las pulsaciones de teclas que se han producido►Estos programas han evolucionado guardando datos

acerca de:RatónCapturas de pantalla

Crackeo de contraseñas

►Las contraseñas han de guardarse hasheadas de manera irreversible

►Aun así es posible recuperar la contraseña guardada►Con los ordenadores actuales es factible realizar un

ataque de fuerza bruta contra el hash de la clave►Con acceso físico a la maquina es fácil obtener acceso

a estos hash►Las contraseñas de Windows se guardan en un

fichero llamado SAM►Este fichero se puede crackear mediante el programa

llamado L0phtCrack

Políticas de fortificación

►La principal política a aplicar ha de ser la del mínimo privilegio

►En sistemas Windows XP era común trabajar con un usuario administrador; en Windows Vista se introduce el UAC para corroborar el deseo de realizar acciones administrativas

►Es indispensable el uso de un firewall correctamente configurado

►Tecnologías como DEP nos ayudan a prevenir nuestro equipo frente a ataques de desbordamiento de buffer, que podrían suponer ataques de ejecución arbitraria de código

Gestión de actualizaciones

►El software instalado va volviéndose inseguro según se van descubriendo nuevas vulnerabilidades

►Mantener nuestro equipo actualizado, tanto el sistema operativo como las aplicaciones instaladas es primordial

►Microsoft ha establecido como política de actualizaciones el lanzar parches cada segundo martes de mes

►Estas actualizaciones podemos descargarlas desde Windows Update

Spyware

►Es una evolución de los troyanos►Recopilan información sobre las acciones del usuario

y las envían a Internet►Esta información es utilizada para mostrar publicidad

a las personas infectadas►El spyware suele venir asociado a software e

instalarse tras aceptar la licencia el usuario.►Algunos del spyware mas extendidos:

Alexa ToolbarGator

Antispyware

►Un sistema actualizado nos protegerá frente a las ultimas amenazas de ejecución remota de código

►El SP2 de Windows XP introdujo diversas mejoras de protección:

Descargas automáticas bloqueadasGestor de componentes ActiveXProtección frente a MIME Sniffing

►También esta disponible el software Microsoft Windows Anti Spyware, que analiza:

ProcesosFicherosEntradas de registro

Virus

►Los virus existen casi desde el principio de la informática

►Algunos se han hecho famosos hasta nuestro días, como el Viernes 13

►Se ejecutan en las siguientes fases:OcultaciónContagioAtaque

►Existen virus de distintos tipos: boot, fichero, comando, polimórficos o macro

¿Preguntas?

¿Preguntas?

►Pedro Laguna►plaguna@informatica64.com

►Informática 64 S.L.►i64@informatica64.com