VC4NM73-EQ#6-EXPLOIT

INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS

INTEGRANTES: Apolinar Crisóstomo Jessica

Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Coordinador de equipo Lozada Pérez Yareli Guadalupe

TEMAS: EXPOIT

FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013

ÍNDICE

INTRODUCCIÓN

EXPLOIT

TÉCNICAS: TUNNELING

CONCLUSIÓN

BIBLIOGRAFÍA

INTRODUCCIÓN

Si bien no existe una definición universal de exploit, esencialmente el término se refiere a

cualquier código diseñado para exponer las vulnerabilidades de otras aplicaciones o

aprovecharse de ellas.

Los exploits de la red trabajan aprovechándose de las fallas de los navegadores o sus

complementos y de otros programas con acceso a internet, incluyendo Microsoft Word,

Adobe Acrobat y otras aplicaciones de uso habitual.

Estas amenazas pueden tomar muchas formas diferentes: descargas forzadas, instalación

de códigos maliciosos ocultos, infecciones silenciosas o automatizadas, pero todas tienen el

mismo resultado: El ordenador se infecta solamente navegando por internet, sin que sea

necesario hacer nada especial como. Por ejemplo, descargar un archivo.

EXPLOIT

Para comprender lo que es un exploit, tenemos que entender lo que es un agujero de

seguridad. El software de cualquier tipo sean sistemas operativos, navegadores, paqueterías

, etc., pueden contener agujeros de seguridad. Estos agujeros son errores que tienen en su

programación y que permiten que otros usuarios o programas realicen acciones no

permitidas por el software vulnerable, es decir del que tiene el agujero de seguridad.

“Término que define aquellos programas informáticos usados por hackers cuyo

funcionamiento se basa en aprovechar los agujeros de seguridad de los equipos informáticos

ajenos para acceder a ellos de manera ilegítima.”




TEMAS: EXPOIT


La palabra Exploit proviene del inglés y en español significa ‘explotar o aprovechar’. En

informática, es una porción de software, fragmento de datos o secuencia de comandos que

aprovecha un error intencionalmente, a fin de ocasionar un comportamiento no deseado.

Actualmente, los exploits son utilizados como "componente" de otro malware ya que al

explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían

permitidas en caso normal.

HERRAMIENTAS DE DESARROLLO:

Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación,

aunque mayoritariamente se suele utilizar lenguaje C. Una de las herramientas más

utilizadas para trabajar con este tipo de software es Metasploit Framework, una plataforma

de test de penetración escrita en lenguaje de programación Ruby, como así también otros

frameworks como Core Impact, Canvas, entre otros.

PROCESO:

Notemos que en estos casos, el exploit será un archivo especialmente armado por el

atacante con un formato soportado por alguna de estas aplicaciones, como un documento

PDF. Además el vector de ataque estará segmentada en varias partes, ya que al no estar

expuesto a internet, el exploit (en este caso PDF) deberá llegar al objetivo por algún medio

alternativo, por ejemplo, un correo electrónico. Luego, dicho archivo deberá ser ejecutado

por el usuario y, recién en esta instancia, si el ataque no es detenido por ningún control de

parte de la víctima (un firewall o antivirus), se podrá tener acceso al equipo objetivo. Es

decir, si bien es un vector de ataque más sofisticado que no depende de la exposición a

internet que tengan las aplicaciones, presenta un mayor nivel de complejidad al momento

de ser lanzado.

VULNERABILIDADES:

Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para

aprovechar esta deficiencia en beneficio del creador del mismo.

Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo,

generalmente lo utiliza para otros fines como permitir el acceso a un sistema o como parte

de otros malware como gusanos y troyanos.

http://www.ecured.cu/index.php?title=Lenguaje_C&action=edit&redlink=1

http://www.ecured.cu/index.php?title=Metasploit_Framework&action=edit&redlink=1

http://www.ecured.cu/index.php/Ruby

http://www.ecured.cu/index.php?title=Core_Impact&action=edit&redlink=1

http://www.ecured.cu/index.php?title=Canvas&action=edit&redlink=1




TEMAS: EXPOIT


Es decir que actualmente, los exploits son utilizados como "componente" de otro malware

ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no

estarían permitidas en caso normal.

Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de

los grupos de vulnerabilidades más conocidos son:

■ Vulnerabilidades de desbordamiento o buffer overflow.

■ Vulnerabilidades de condición de carrera (Race condition).

■ Vulnerabilidades de error de formato de cadena (format string error).

■ Vulnerabilidades de Cross Site Scripting CSS/XSS.

■ Vulnerabilidades de inyección de SQL (SQL injection).

■ Vulnerabilidades de Inyección de Caracteres CRLF

■ Vulnerabilidades de denegación del servicio

■ Vulnerabilidades Inyección múltiple HTML

■ Vulnerabilidades de ventanas engañosas o de ventanas Window Spoofing

TIPOS:

Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son

publicados cientos de ellos por día para cualquier sistema y programa existente pero sólo

una gran minoría son utilizados como parte de otros malware (aquellos que pueden ser

explotados en forma relativamente sencilla y que pueden lograr gran repercusión).

Un EXPLOIT ZERO-DAY es un exploit que aún no se ha hecho público. Usualmente,está

asociado a una vulnerabilidad zero-day, es decir, aquella que todavía no fue publicada. Los

ataques con exploit zero-day ocurren mientras exista una ventana de exposición; esto es,

desde que se encuentra una debilidad hasta el momento en que el proveedor la remedia, por

ejemplo, mediante la liberación de un parche. esta ventana puede durar días o hasta meses,

dependiendo del vendedor.

ZERO DAY (Día cero): Cuando está aplicado a la información, el "Zero Day" significa

generalmente información no disponible públicamente. Esto se utiliza a menudo para

describir exploits de vulnerabilidades, que no son conocidas por los profesionales del tema.

Se define Zero Day como cualquier exploit que no haya sido mitigado por un parche del

vendedor.




TEMAS: EXPOIT


Retomando la clasificación de exploits, es importante comprender las diferencias entre los

tres tipos que detallaremos a continuación, ya que en futuros ejemplos haremos referencia

a estos conceptos.

Los exploits remotos son aquellos que pueden ser lanzados desde otra ubicación

diferente de la del equipo de la víctima. Esta puede ser otro equipo dentro de la red interna

o bien un equipo desde internet.

Típicamente, los exploits remotos permiten acceder en forma remota al equipo

comprometido o bien dejarlo fuera de servicio.

Por otra parte, los exploits locales: en ocasiones, al tomar control de un equipo en forma

remota, el acceso obtenido presenta privilegios limitados. En estas situaciones es donde los

locales entran en juego. Estos son ejecutados localmente en el equipo, en general,

permiten elevar privilegios hasta administrador en el caso de plataformas Microsoft, o root

en plataformas de UNIX.

El tercer tipo son los exploits ClientSide: desde hace unos años hasta hoy, las

aplicaciones y dispositivos vienen de fábrica con un mayor número de características de

seguridad habilitadas. Debido a esto, los atacantes debieron desarrollar nuevos vectores de

ataque que exploten otras debilidades de las organizaciones.

Debemos saber que los exploits ClientSide buscan aprovecharse de vulnerabilidades que

típicamente se encuentran en aplicaciones cliente, las cuales están instaladas en gran parte

de las estaciones de trabajo de las organizaciones, pero que no están expuestas a internet.

Ejemplos de ellas son las aplicaciones de ofimática, como Microsoft Office u Open Office,

lectores de PDF como Adobe Acrobat Reader, navegadores de Internet como Firefox,

Internet Explorer, Chrome o Safari e incluso reproductores multimedia como Windows

Media Player, Wninamp o ITunes.

CLASES DE EXPLOIT:

★ Modo Kernel:

Es el modo superior de ejecución en el se puede acceder al 100% de la memoria, se

tiene acceso al hardware, acceso de escritura a la flash y acceso al segundo

procesador, incluso se puede cambiar el código del firmware que esta en la RAM, y

se puede saltar cualquier protección.

★ Modo VHS




TEMAS: EXPOIT


Es un modo intermedio de ejecución, que es el que usa el xmb del firmware y el

ejecutable principal de los updaters de sony. En el se puede acceder a 28 de 32 MB

(4 MB Más que en el modo usuario), hay acceso de escritura a la flash.

No hay acceso directo al hardware, ni al segundo procesador, ni al resto de 4 MB de

memoria, donde están los módulos kernel del firmware.

★ MODO USUARIO

Es el modo inferior de ejecución. En el solo se puede acceder a 24 de los 32 MB de

memoria, y a la memoria gráfica. No se puede acceder directamente al hardware, ni

hay posibilidad de escribir a la flash, ni acceder al segundo procesador.

CICLO DE VIDA DE LA VULNERABILIDAD

A continuación se da una breve descripción del ciclo de vida de la vulnerabilidad de una

aplicación y del exploit que depende de ella.

1.- La aplicación es lanzada al público.

2.- Un investigador corrupto, o un delincuente informático descubre una vulnerabilidad en el

programa, pero no da aviso al desarrollador. En lugar de esto, entrega esta información a los

escritores de códigos malicioso a cambio de dinero u otro tipo de recompensa. Se crea

entonces una aplicación que se aprovecha de dicha vulnerabilidad. Los desarrolladores de

soluciones de seguridad aún no conocen estos programas dañinos, de modo que no pueden

detectarlos. Generalmente, este tipo de amenazas se conoce como código malicioso de día

cero.

3.- El desarrollador de la aplicación vulnerable se entera del error a través de canales

públicos.

Esto puede ocurrir de varias formas. La más común es que la información sobre el hallazgo

se filtre en foros clandestinos que los piratas comparten

También puede tomar conocimiento por medio de los propios usuarios, por comunicaciones

de otros desarrolladores, o por trabajos de investigación paralelos realizados por

investigaciones honestos.

4.- El código de prueba de concepto no lleva una carga maliciosa,. Su función es,

simplemente, probar la viabilidad de los hallazgos y demostrar que, sin el parche adecuado,

la vulnerabilidad realmente podría ser explotada.

Un POC (Proof-pf-concept, código de prueba de concepto) se usa principalmente para

convencer de esto al desarrollador del programa en riesgo




TEMAS: EXPOIT


5.- Una vez que el desarrollador evalúa el informe de vulnerabilidad y concluye que es

necesario crear un parche, comienza a trabajar en ello.

6.- El desarrollador crea un parche para corregir la vulnerabilidad detectada. Posteriormente

se distribuye la actualización de seguridad, usando el procedimiento estándar de la

aplicación en cuestión

7.- El usuario instala el parche del fabricante, para proteger la aplicación contra posibles

explotaciones de la vulnerabilidad.

En algún punto entre las etapas dos y siete, el exploit sale a la luz y comienza a infectar

usuarios vulnerables.

Este periodo se denomina ventana de oportunidad, ya que los piratas informáticos pueden

adueñarse de los sistemas de los usuarios sin que estos lo sepan, aprovechándose de las

vulnerabilidades que no fueron detectados o solucionados.

Cuando un investigador de seguridad informa la existencia de una vulnerabilidad a un

desarrollador de aplicaciones, sin difundir este dato a otras personas, se reduce

enormemente la probabilidad de que la falla del programa sea aprovechada con fines

maliciosos.

Después que la vulnerabilidad ha sido corregida con el parche correspondiente, se pueden

divulgar los detalles del error sin poner un riesgo a los usuarios, siempre que estos hayan

actualizado sistemas.

Las investigaciones muestran que aquellos usuarios que no instalan prontamente los últimos

parches disponibles, corren un alto riesgo de que sus ordenadores se infectan con algún

exploit que circula por la red.

COMO FUNCIONAN LOS EXPLOITS

Tan pronto como los delincuentes informáticos se enteran de la existencia de una

vulnerabilidad, comienzan a escribir códigos malicioso para aprovecharse de ella. Esto

podría implicar el esfuerzo colectivo de varios grupos de piratas o el trabajo de un solo

individuo altamente cualificado, que algunas ocasiones es también el descubridor del error.

En ocasiones, se lanzan a la venta en el mercado clandestino paquetes de herramientas

para crear exploits.

Estas aplicaciones cuestan entre 350 y 700 euros y cuentan con un servicio de

actualizaciones de muy bajo coste, que son distribuidas a los usuarios cada vez que

aparecen exploits nuevos y se agregan automáticamente al paquete, siguiendo el mismo

método que las aplicaciones legítimas.




TEMAS: EXPOIT


Los ejemplos más destacados de tales paquetes incluyen los programas WebAttacker, de

origen ruso y MPack.

Estos conjuntos de herramientas contienen un grupo de exploits que se aprovechan de las

vulnerabilidades conocidas en complementos desarrollados por otras compañías, o en

funciones del navegador (las cuales van desde la vulnerabilidad del cursor animado de

microsoft, hasta la sobrecarga de la memoria intermedia de QuickTime de Apple, o múltiples

errores descubiertos en los controles Activex, JavaScript y otras extensiones de Internet

Explorer).

Una vez que los atacantes obtienen un exploit, necesitan esconderlo de forma tal que los

usuarios que visitan ciertos sitios- ya sea de manera deliberada, o accidentalmente- sean

infectados automáticamente, y sin que tomen conocimiento de esto.

Existen varias formas de atraer víctimas a un sitio malicioso, pero típicamente los piratas

usan uno o más de los siguientes recursos:

Envían mensajes de correo electrónico no solicitados para hacer que los usuarios visiten un

sitio mantenido por el delincuente informático. Para conseguir este objetivo también se

utilizan otras técnicas sofisticadas, como la suplantación de direcciones DNS(Domain Name

Service, servicio de nombres de dominio), los atacantes de ingeniería social y otras tácticas

predatorias.

Crean una serie de sitios infecciosos cuyos nombres sean similares a los de entidades

legítimas, registrando direcciones en Internet que apenas se diferencien de las originales (por

ejemplo, microsoft.com o dowload.com).

Infectan sitios web pertenecientes a entidades legítimas, infiltrando los códigos malicioso

antes de que sus administradores pueden bloquear la intrusión. El banco de la India sufrió un

ataque de este tipo recientemente.

Ponen enlaces a elementos multimedia en sitios de encuentros sociales, tales como

Facebook o MySpace, que en realidad apuntan a códigos maliciosos externos. Estos se

aprovechan de las vulnerabilidades de los complementos desarrollados por otras empresas y

que son necesarios para ejecutarlos.

GANANDO DINERO CON LOS EXPLOITS: UN MODELO DE NEGOCIO

Los exploits pueden generar un rédito importante para sus desarrolladores. Algunas fuentes

estiman que las ganancias de la delincuencia informática superan a las del contrabando de

drogas, y un gran porcentaje de este dinero proviene de la venta de este tipo de programas.




TEMAS: EXPOIT


Existen varias opciones para obtener beneficios económicos gracias a los exploits:

1.-Infectar los ordenadores de los usuarios con todo tipo de códigos maliciosos que pueden

ser usados para generar ingresos a través de chantaje, la venta de falsas aplicaciones contra

programas espía o de información personal adquirida por medio de registradores de

pulsaciones, etc.

2.- Vender estos programas maliciosos a otros delincuentes.

3.- Utilizarlos como medio de extorsión a un desarrollador de programas.

COMO COMBATIR LA AMENAZA

Existe una serie de pasos muy sencillos que los usuarios pueden seguir para proteger sus

ordenadores de la amenaza de los exploits:

1.- Mantener actualizados los parches del sistema y utilizar siempre la última versión del

navegador.

2.-Desactivar funciones de programación innecesarias, como códigos ActivX, o permitir

solamente que estas sean usadas en sitios previamente revisados y confiables.

3.- No visitar sitios desconocidos o que puedan resultar poco confiables.

4.- usar programas que examinan el contenido de los sitios web en tiempo real, antes de

permitir que el usuario acceda a ellos. Programas como Link Scanner Pro, revisan el código

HTML del sitio de destino, para asegurarse de que no tiene amenazas ocultas. La extensión

Finian SecureBrowsing realiza una evaluación del código y de la reputación del sitio, para

estimar así la amenaza potencial.

5.- Utilizar un cortafuegos que proteja el sistema contra códigos maliciosos del tipo día cero,

bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales.

Outpost Firewall Pro 2008 incluirá la posibilidad de armar y personalizar una base de datos

de sitios peligrosos cuyo acceso estará bloqueado.

6.- Algunos antivirus pueden detectar y combatir los exploits, se recomienda usar antivirus

con capacidad proactiva, es decir, con capacidad de detección de virus nuevos y

desconocidos.Por ejemplo:

● ESET detecta el exploit exploit Java 0-day.

● Panda Cloud Office Protection Advanced ofrece Protección contra amenazas y

exploits que aprovechan vulnerabilidades desconocidas (zero-day).




TEMAS: EXPOIT


● En la versión de Kaspersky Endpoint Security se encuentra la función tiene que ver

con la protección contra exploits. Para ser más precisos –frente a exploits

desconocidos, es decir, aquellos exploits como zero-days.

La tecnología Automatic Exploit Prevention de Kaspersky supervisa específicamente las

vulnerabilidades objetivo que más se explotan para aplicar la inteligencia líder en el sector

que brinda una capa adicional de supervisión de seguridad mejorada.

PROTECCIÓN ANTI-EXPLOITS PARA JAVA

A pesar de los esfuerzos de los ciberdelincuentes, las soluciones de seguridad actuales

pueden neutralizar eficazmente los ataques drive-in lanzados por paquetes de exploits. Por lo

general, la protección contra los exploits incluye un paquete integrado de tecnologías

capaces de neutralizar estos ataques en diferentes etapas.

Protección por etapas contra un ataque drive-in

● Primera etapa: se bloquean los desvíos hacia la página de aterrizaje

● Segunda etapa: detección por el módulo file antivirus

● Tercera etapa: detección de exploits por firmas

● Cuarta etapa: detección proactiva de exploits

● Quinta etapa: detección del programa malicioso descargado

EXPLOIT KITS

Los exploit kits son paquetes que contienen programas maliciosos utilizados principalmente

para ejecutar ataques automatizados del tipo ‘drive-by’ con el fin de propagar malware.

Estos paquetes están a la venta en el mercado negro, donde los precios varían desde unos

cientos hasta miles de dólares. Hoy en día, también es muy común alquilar exploit kits tipo

hosted. Esto hace que el mercado sea competitivo, con muchos actores y autores.

Ejemplo de herramientas:

● MPAck

● CE-Pack

● Fire-Pack

● Eleonore

http://www.kaspersky.com/sp/endpoint-security-windows

http://www.kaspersky.com/sp/endpoint-security-windows




TEMAS: EXPOIT


● YES

● Crimepack

Los modernos exploits kits más conocidos son Eleonore, YES y Crimepack. Se han

realizado muchas investigaciones y se ha publicado mucha información sobre estos

paquetes de exploits en distintos blogs y sitios web.

Analizado diferentes aspectos de estos paquetes, tenemos que:

Distribución:

Lo primero que llama la atención son los distintos patrones de distribución de los diferentes

exploit kits. Los principales actores aquí son Phoenix y Eleonore, seguidos de Neosploit.

Vulnerabilidades:

Las vulnerabilidades a las que apuntan estos exploit kits, son vulnerabilidades en Internet

Explorer, PDF y Java representan el 66% de los vectores de ataques usados por los exploit

kits más populares.

La mayoría de las vulnerabilidades explotadas son antiguas y existen parches para todas

ellas. Sin embargo, se siguen usando con éxito.

Resulta interesante notar que el índice de reutilización de las vulnerabilidades es del 41%

(las mismas vulnerabilidades explotadas por distintos exploit kits).

Nuevos exploits

Las herramientas Crimepack y SEO Sploit Pack se dirigen a nuevos exploits, se han vuelto

populares por su gran capacidad de explotar vulnerabilidades.

Objetivos de los Exploits

PDF, Internet Explorer y Java son los 3 principales objetivos, pero en este caso, siguiendo

con AOL, MS Office, Firefox, Opera, Flash, Windows. Esto significa que están explotando

los programas más populares instalados en los equipos de los usuarios víctimas.




TEMAS: EXPOIT


CONCLUSIÓN

En conclusión el problema de fondo es simple cada día nosotros como usuarios

dependemos más de la informática, así como de los equipos de cómputo, por lo tanto con

cualquier atentado contra ellos nos puede trastornar la vida. Los exploits representan un

riesgo real y concreto para los ordenadores, pero mientras los usuarios cuenten con el

conocimiento, el sentido común y las aplicaciones de seguridad apropiadas, pueden estar

seguros de que estos programas no interferirán en sus vidas digitales.

Es importante siempre estar alerta de los correos que se abren porque es una forma donde

atacan los exploit, al igual que todo lo que ejecutamos en los navegadores, es decir tener

un poco de sentido común y mantenernos informados sobre las nuevas amenazas que nos

acechan, debido a que cada día la tecnología va creciendo y con ello las formas de

infección, para ello tenemos que protegernos contra este tipo de malware y tener

conciencia de lo que hacemos y a qué páginas accedemos.

BIBLIOGRAFÍA

http://books.google.com.mx/books?id=unlw22E8dFwC&pg=PA148&dq=que+es+exploit+en+informatic

a&hl=es&sa=X&ei=3V4-

Uq7TEKea2AXpioDoAQ&ved=0CDoQ6AEwAw#v=onepage&q=que%20es%20exploit%20en%20infor

matica&f=false

● Cristian Borghello 2000 - 2009. Seguridad de la Información. http://www.segu-

info.com.ar/malware/exploit.htm

● Federico G. Pacheco 2000. Ethical Hacking

http://books.google.com.mx/books?id=joMlAU4seLYC&pg=PA137&dq=vulnerabilidades+de+exploit&h

l=es&sa=X&ei=qnM-

UoPMNOPw2QXCwoGABw&ved=0CC0Q6AEwAA#v=onepage&q=vulnerabilidades%20de%20exploit

&f=false

http://www.ecured.cu/index.php/Exploit#Vulnerabilidades

http://eugene.kaspersky.es/los-peligros-de-los-exploits-y-los-dias-cero-y-su-prevencion/

http://books.google.com.mx/books?id=unlw22E8dFwC&pg=PA148&dq=que+es+exploit+en+informatica&hl=es&sa=X&ei=3V4-Uq7TEKea2AXpioDoAQ&ved=0CDoQ6AEwAw#v=onepage&q=que%20es%20exploit%20en%20informatica&f=false




http://www.segu-info.com.ar/malware/exploit.htm

http://www.segu-info.com.ar/malware/exploit.htm

http://books.google.com.mx/books?id=joMlAU4seLYC&pg=PA137&dq=vulnerabilidades+de+exploit&hl=es&sa=X&ei=qnM-UoPMNOPw2QXCwoGABw&ved=0CC0Q6AEwAA#v=onepage&q=vulnerabilidades%20de%20exploit&f=false




http://www.ecured.cu/index.php/Exploit#Vulnerabilidades

http://eugene.kaspersky.es/los-peligros-de-los-exploits-y-los-dias-cero-y-su-prevencion/

VC4NM73-EQ#6-EXPLOIT

Documents

Transcript of VC4NM73-EQ#6-EXPLOIT