Juan Carlos Guel

ActualidadesActualidades de la de la Red -Seguridad Red -Seguridad

Informática en México Informática en México --

Juan Carlos Guel LopezSeptiembre 2007

Agenda

Introducción Técnicas Actuales de Intrusos (Malware,Phishing) Nuevos vectores de ataque Posibles nuevos tipos de ataque Conclusiones

Proyecto Malware UNAM

Introducción

¿Hacia dónde van los intrusos?

Aprovechan vulnerabilidades de día cero Implementan características de polimorfismo Capacidad para detectar ambientes virtuales Propiedades de rootkit para esconder sus procesos Capacidad para deshabilitar los Antivirus Códigos multifuncionales


• Utilizan Nuevas técnicas de ofuscamiento (Malware)• Van más allá de infectar un solo equipo• Intentan ataques masivos (Redireccionamiento de

peticiones DNS, botnets, motores spam, etc.)• Infección a través de códigos móviles o scripts en el

navegador• Distribución através de correo electrónico --SPAM--• Utilizan técnicas de Ingenieria Social --Phishing Scam--


Introducción

Malware en MMalware en Méxicoéxico

1.Malware y su evolución

･ Virus

･ Gusanos

･ Troyanos

･ Rootkits

･ Spyware

･ Bots


2. Ataques derivados

･ Ataques DDoS

･ Phishing

･ Correo spam

･ Propagación de sitios Web maliciosos

･ Consumo de ancho de banda

･ Fraude, extorsión

･ Robo de información y dinero


En los últimos meses bots y troyanos son los de mayor propagación

Experiencias de Malware/UNAM-CERT

Actividad de Malware detectada en RedUNAM

• Cerca de 650 códigos maliciosos descubiertos en (hasta Agosto 2007)

• Códigos maliciosos no detectados por ninguna herramienta de seguridad

• La mayoria de los productos AV han sido rebasados en sus técnicas de análisis

• Descubrimiento de nuevos dominios relacionados con botnets y sitios propagando malware.


Malware/UNAM-CERT

Pharming a través de malware Detectado en Julio-Sept de 2007

Desde hace semanas han proliferado mucho los correos anunciando promociones válidas de distintas organizaciones pero que desde luego son usurpadas por los intrusos.

Por citar algunos ejemplos hemos visto correos como este de tarjetas postales de yahoo, una promoción de Volkswagen sorteando un nuevo jetta, una promoción de telcel para el envío de mensajes, entre otras. Se analizó el caso del binario ganadores.exe ó gasolineras.exe, el cual no hacen otra cosa que modificar el archivo hosts del equipo infectado usurpando los dominios que se muestran en la siguiente figura.


Phishing-Malware-Pharming

Sin embargo, algunos de estos troyanos utilizan técnicas de pharming.

Archivo hosts

Correo spam

ya no sólo es un problema de correo basura sino que es un importante vector para la propagación de malware y sitios Web maliciosos.

Tampoco el DSC/UNAM-CERT estuvo exento

Pharming a través de malware Detectado en Julio-Sept de 2007

• Es una combinación de Phishing-Malware y Pharming

• El objetivo no es global, el objetivo son usuarios Mexicanos

• El troyano no es detectado por algún AV

• Es transparente y silencioso para el usuario

• Utilizan técnicas simples de engaño, fáciles y sabiendo que son sitios que durarán no más de 24 horas

• Aun así, es rentable para los intrusos, ya que es una recolección que les redituara en un plazo no mayor a 5 días


El pharming no es identificado por los AV

¿Cómo estamos trabajando para identificarlo?

El análisis de

cadenas a través

de un proceso

automatizado

Programa de sensores México - UNAM

Phishing en MPhishing en Méxicoéxico

Y la nueva tecnologia??

Phishers Defeat 2-Factor Authentication http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html

Los Números…

En 2006: Alrededor de 2050 Casos de Phishing afectando instituciones Mexicanas

En 2007: 589 casos de phishing afectando instituciones mexicanas (Abril 30).

Los Números…(2006)

21 27 2857

208183

203

319 305

380

161 158

0

50

100

150

200

250

300

350

400

Casos

1 2 3 4 5 6 7 8 9 10 11 12

Mes

Casos de phishing scam en 2006

Serie1

Instituciones Afectadas (2006)

2006

ENTIDAD AFECTADA CASOS PORCENTAJE

Banamex 1475 71.95

Santander-Serfin 79 3.85

Paypal 41 2.00

Banco del Bajio 38 1.85

eBay 24 1.17

Scotiabank 17 0.83

Visa 14 0.68

Banregio 14 0.68

Banco JPMorgan Chase 11 0.54

HSBC 10 0.49

Bital 9 0.44

Citibank 9 0.44

Bank of America 8 0.39

American Express 4 0.20

Bancaja 5 0.24

Inbursa 5 0.24

Bancolombia 3 0.15

Bancomer 3 0.15

Credit Union of Texas Bank 2 0.10

Hotmail 2 0.10

Telcel 2 0.10

Yahoo 2 0.10

Banco Español de Crédito S. A. 1 0.05

Banesto 1 0.05

Bank of Tampa Bay 1 0.05

Caja Madrid 1 0.05

Fifth Third Bank 1 0.05

Flaqstar Bank 1 0.05

Lnb 1 0.05

Nextel 1 0.05

North Fork on-line Banck 1 0.05

Ora de Brasil Banco 1 0.05

Wellsfargo 1 0.05

No. ID 262 12.78

TOTAL 2050 100.00


Año 2007

MES CASOS PORCENTAJE

Enero 161 27.33

Febrero 120 20.37

Marzo 158 26.83

Abril 150 25.47

TOTAL 589 100.00


161

120

158 150

0

20

40

60

80

100

120

140

160

180

Casos

1 2 3 4

Mes

Casos de phishing scam en 2007

Serie1

2007

ENTIDAD AFECTADA CASOS PORCENTAJE

Banamex 171 29.03

Paypal 77 13.07

Scotiabank 33 5.60

eBay 18 3.06

Bank of America 7 1.19

HSBC 5 0.85

Wellsfargo 4 0.68

Santander-Serfin 4 0.68

Banco JPMorgan Chase 3 0.51

Bancolombia 2 0.34

Inbursa 2 0.34

Visa 2 0.34

Bital 1 0.17

Banesto 1 0.17

Arizona Federal Credit Union 6 1.02

Buró de Crédito. 6 1.02

Branch Banking and Trust 4 0.68

Banco del Bajio 2 0.34

BCP Banco de Credito 2 0.34

Amazon 1 0.17

Bank 53 1 0.17

Banorte 1 0.17

Banregio 1 0.17

Ban Reservas 1 0.17

Boletazo 1 0.17

Caixa Banco Popular 1 0.17

California Bank 1 0.17

Credit Union West 1 0.17

Credomatico 1 0.17

Mexbank 1 0.17

Paypal 1 0.17

Banco Azteca 1 0.17

No. ID 226 38.37

TOTAL 589 100

Instituciones Afectadas (2007)

Phishing al OTP de Banamex (NetKey)

http://blog.hispasec.com/laboratorio/233

Nuevos Vectores de Ataque

Ha disminuido en las ultimas 3 semanas la cantidad de sitios con phishing, pharming, botnets, y por consiguiente la cantidad de SPAM.

Se piensa en una reorganizacion y posibles nuevos vectores que estan diseñando

En foros underground ha dismunuido su presencia

Se esta implementando técnicas mas sofisticadas de ingeneria social hacia el usuario


Nuevos Vectores de Ataque (Vishing)



Banca Móvil (Pagos por Celular, Confirmación de SMS, etc.)

Ataques a sitios con información de usuarios, fotos, información y datos.

Myspace Hi5 Blogs Flicker



Ataques a redes sociales, teniendo como objetivo a población generalmente joven menores a 21 años

Troyanos diseñados para jugadores en línea (World of Warcraft (WoW))

Status-Dinero virtual




1111

2222

ConclusionesConclusiones

Conclusiones

Phishing continua siendo el principal medio para robo de información personal en internet.

Se amplia el rango de edad de los objetivos de los intrusos. Se empieza a enfocar en usuarios jóvenes.

Los niños pueden ser objetivos no previsto, sin embargo pueden ser víctimas de las técnicas empleadas por los intrusos (Juegos en línea).

Los Phishers se moverán a donde el dinero se mueva


Conclusiones

Se observan nuevas técnicas dirigidas Phishing contra instituciones mexicanas Malware para maquinas mexicanas Pharming afectando instituciones Mexicanas

Phishers mexicanos defraudando Mexicanos El login y contraseña han demostrado ser poco eficiente

para el manejo de información sensible para el usuario La doble autenticación puede ayudar (un segundo pwd que

el usuario no debe recordar) Evitar el uso de tecnologia obsoleta en doble autenticación


Conclusiones

Visitar :

Seguridad UNAM http://www.seguridad.unam.mx

Visitar nuevo Portal de Usuario casero (Noviembre 2007)

http://www.seguridad.unam.mx/usuario-casero/


Preguntas??

Juan Carlos Guel

Documents

Transcript of Juan Carlos Guel