Seguridad anti hacking

Seguridad Anti hacking
Entorno Windows
fran.icade@gmail.comwww.enamoraconsulting.es

Contenidos
►Unidad 1. Malware. Aspectos Generales
►Unidad II. Vulnerabilidades en Sistemas Operativos
basados en Windows
►Unidad III. Gestión de la Seguridad Corporativa.
Gestión Antimalware
fran.icade@gmail.com
www.enamoraconsulting.es

Malware. aspectos generales
►Introducción al malware
►El malware en arquitecturas Windows. Introducción
►Virus
►Gusanos
►Troyanos
►Rootkits
►Técnicas Morph

Introducción
►En el progreso constante de la informática, la
seguridad se ha convertido en una necesidad
innegable
►Internet provoca que nuestros sistemas sean
accesibles por otros usuarios, y no siempre con
buenos propósitos
►Se requiere seguridad completa…Servidores y
Clientes
►Las amenazas no se resumen al malware, sino que
también tiene una gran importancia los exploits
►Soluciones antimalware no son suficientes

Malware
►Lejanos quedan los malware como Barrotes,
Viernes 13 y otros clásicos
►La evolución también ha llegado a este tipo de
amenazas
►Para defendernos de las amenazas necesitamos
conocer
 Qué es realmente
 Cómo afectan
 Qué tipos de malware nos encontramos

Virus
►Amenaza más antigua
►El primer virus conocido, “Peace Virus”, fue creado en
1987 para equipos MAC
►Programas que modifican a otras aplicaciones,
escribiendo o alterando el código, con objeto de realizar
alguna acción significativa
►Inicialmente aparecieron como un mero entretenimiento
para los programadores

Fases de Implantación de Virus
►Fase de Ocultación. El virus se oculta utilizando
diferentes metodologías: polimorfismo, unión archivos,
inserción en documentos, etc.
►Fase de Contagio. El virus comienza su proceso de
replicación y propagación a través del entorno. Utilizan
técnicas como ejecución de .exe, arranque de máquina,…
►Fase de Ataque. Cuando el virus ejerce sus efectos
maliciosos sobre la máquina infectada. Es la fase crítica
para la eliminación del virus, haciendo caer a los
antivirus es una falsa apariencia de normalidad

Tipología de Virus (I)
►Virus de boot. Se copian en los sectores de arranque de
discos y disquetes. En el arranque de la máquina, se
copian automáticamente en la memoria (Ej.: Barrotes)
►Virus de fichero. Residen en archivos a la espera de que
se den las condiciones adecuadas para la fase de
ataque o acción directa (Ej.: Jeefo)
►Virus de comando. Suelen infectar los archivos
command.com o cmd.exe

Tipología de Virus (II)
►Virus Polimórficos. Presentan la capacidad de mutar y
cambiar su forma. Se comprimen junto con el fichero
infectado y mezclando sus características. (Ej.: Dark
Avenger)
►Virus Macro. Directamente relacionados con la
ejecución de las macros de productos ofimáticos de
Microsoft (Ej.: Buenos Días)

Troyanos
►Emulan la épica aventura de “La Iliada” de Homero
►Este tipo de programas crean una puerta falsa en
los sistemas para poder ejecutar código de forma
remota
►El usuario del sistema no tiene que dar
consentimiento
►Trabajan bajo una arquitectura Cliente-Servidor
►Llegan a la victima de forma enmascarada o
mezclada con otro programa que pueda ser
suculento o interesante

Troyano - Cebo

Troyano – Cliente (I)

Troyano – Cliente (II)

Troyanos Bancarios
►Evolución de los troyanos de comportamiento estándar
►Como nuevas funcionalidades tienen:
 Capturar la pantalla del usuario bajo determinadas
circunstancias
 Alterado el comportamiento habitual, la victima conecta con el
atacante (troyano reverso)
►La información se envía al atacante de forma remota a
través de conexiones típicas:
 Conexiones SMTP
 Conexiones FTP
 Conexiones HTTP a una dirección IP para subir datos capturados
 Funcionalidad de troyano reverso

Tipos de Troyanos Bancarios
►Los que inyectan código a sesiones HTTPs. Así
cambian el comportamiento de la web, pudiendo
robar claves y certificados de acceso al banco
►Los que realizan capturas de pantalla. Limitan las
capturas a porcentajes de pantalla donde se
encuentra la última pulsación del cliente con el
ratón. Únicamente sobre URLs específicas
►Los que realizan capturas de video. Graban la
totalidad de una sesión sobre URLs específicas

Spyware (I)
►Programas diseñados para recopilar información de
los hábitos de visitas a páginas Web de los usuarios
►Se instala en los sistemas de forma oculta en
software que a simple vista puede parecer
inofensivo
 Programas shareware
 Programas freeware
 Cookies de sesión de páginas web
►Se instala sin el permiso del usuario

Spyware (II)
►Entre las acciones más conocidas que llevan a cabo
los programas spyware están:
 Identificación de las visitas a páginas Web
 Apertura de ventanas anunciando productos
 Registro de pulsaciones de teclado para robar contraseñas y
números de tarjetas bancarias
►La existencia de este tipo de malware puede
también llegar a colapsar el procesador, ya que
abren múltiples procesos

Rootkit
►Tiene sus orígenes en entornos UNIX
►Su objetivo es ocultar información para que ni el
usuario ni determinadas aplicaciones puedan verla
(incluido antivirus)
►Son conjunto de herramientas modificadas que
permiten al intruso hacerse con el control del
equipo
►Crean una cuenta de tipo root en el sistema y la
ocultan al resto de usuarios y aplicaciones

Tipos de Rootkit
►Rootkit de Aplicación
 Remplazan archivos de tipo ejecutable con versiones
modificadas que contengan el malware
 Agregan código a aplicaciones existentes para modificar su
comportamiento
 Rootkit más frecuente y fácilmente detectable
►Rootkit de Kernel
 Bastante más peligrosos
 Se integran en el núcleo del sistema operativo añadiendo o
modificando código al mismo (módulo o librería)
 Complicada su detección
 Necesario herramientas especiales

¿Qué pueden hacer?
►Ocultar archivos y carpetas
►Ocultar procesos y servicios
►Ocultar puertos TCP/UDP
►Ocultar claves de registro
►Uso de técnicas de redirector para la redirección de
conexiones
►Modificar los espacios de disco
►Modificar los controladores

Botnets - Zombies
►Zombie es un ordenador infectado que puede ser
utilizado por otra persona para realizar actividades
hostiles
►El malware que infecta a la máquina se conoce
como bot
►Por tanto, botnets son conjuntos de equipos
zombies
►Totalmente transparente para el usuario del equipo
►Pueden utilizarse para operaciones útiles

Infección y Uso
►Los métodos de infección son variados
►En general se realiza a través de
 Un gusano que viaja por la red
 Un envío masivo de correo electrónico
 Aprovechando una vulnerabilidad de los navegadores

Ataques mediante USB
Ataques mediante USB

Agenda
► Introducción
► Tecnología U3
► Ataques
 Copiando memorias USB
 PayLoads
 Volcado de información
 Sesiones remotas
 Bomba USB
► Defensa
 Deshabilitar Autorun y dispositivos USB
 Herramientas de control

Introducción
► Definido en 1995 por un grupo de empresas
 Apple Computer, Hewlett-Packard, NEC, Microsoft,
Intel y Agere System
► Diferentes versiones:
 USB 1.1: Septiembre de 1998 hasta 12Mbit/s
 USB 2.0: Abril del 2000, hasta 480Mbit/s
 USB 3.0: Septiembre 2007, hasta 4.8 Gbits/s
► En 2008 se estima que hay 2 mil millones de
dispositivos USB en el mundo

Tecnología U3
►U3 permite utilizar la memoria USB no solo como
un dispositivo de almacenamiento de información
►Permite la ejecución de programas pre instalados
en el dispositivo directamente desde la memoria
USB
►Tecnología propietaria de Sandisk
►Características:
 Plataforma Windows (2000 SP4, XP o posterior)
 LaunchPad similar al Inicio de Windows
 No requiere permisos de administrador
 Protección antivirus
 Protección mediante password

Tecnología U3
►Software
 Comunicaciones: Skype, Trillian, …
 Juegos: Atlantis, Magic Vines,
Sudoku, …
 Internet: Firefox, Thunderbid, …
 Productividad: Open Office,
CruzerSync, …
 Seguridad: Anonymizer, McAfee
ViruScan, …
 Utilidades: EverNote, WinRAR, …

Tecnología U3
►Dos particiones
Unidad iso9660 para volcar datos
Unidad FAT oculta con las aplicaciones
LaunchU3.exe
LaunchPad.zip
Autorun.inf

Copiando Memoria USB
►USB Dumper
Se aprovecha del Autorun
Vigila cuando alguien conecta un dispositivo
Recupera la letra asignada al dispositivo
Se copia todos los ficheros
Código fuente publicado, personalización
Copiar solo determinados ficheros
Infectar ejecutables
Distribuir virus, troyanos, etc..

PayLoads
►Cambiando el Rol, ahora ataco con el USB
►Multitud de técnicas, todas ellas aprovechando el
Autorun
 Max Damage Technique (solo para U3)
 Amish Technique (Cualquier USB e Ingenieria Social)
 iPod technique (solo para IPod)
 Gandalf's technique (Combinación 1 y 2)
 Kapowdude technique (Combinación 1 y 2)
 Silivrenion's Technique (Combinación 1 y 2)

PayLoads: Gandalf's technique
►Autorun lanza un script vbs
►Se crea un objeto WScript.Shell
►Se lanzan un fichero bat con los comandos a
ejecutar
 Se copia un fichero zip con los programas a lanzar
 Se descomprime
 Se ejecutan todas las operaciones
 Se comprimen todas las salidas y se copian al usb
 Se borran los ficheros temporales y finaliza

PayLoads: Gandalf's technique
► Programas incluidos
 Pwdump: Windows Password Dumping
 Pspv: Protected Storage PassView
 ProductKey: Visualizar claves de activación de productos
 Mspass :Instant Messenger Password Recovery Tool
 MsnHistory: Histórico de conversaciones del Messenger
 Mailpv: Mail PassView: Password recovery for Outlook, Outlook
Express,
 Iepv: Internet Explorer Password Viewer
 Iehv: Internet Explorer History Viewer
 FirePassword:Decrypt Firefox password manager
 Nircmd: Herramienta de línea de comandos sin visualizar interfaz
de usuario
 Curl: Utilidad de línea de comandos para transferir ficheros

PayLoad: Silivrenion's Technique
► Basado en la arquitectura de dispositivos U3
► Autorun lanza un fichero EXE
► Vuelca toda la información al USB, incluyendo fichero de claves listo
para crackear
► Programas incluidos
 Iepv: Internet Explorer Password Viewer
 Mspass: Instant Messenger Password Recovery Tool
 Netpass: Network Password Recovery
 ProductKey: Visualizar claves de activación de productos
 Pspv: Protected Storage PassView
 PwDump: Windows Password Dumping
 Pwservice: Extrae la información de los hash almacenados
temporalmente en la registry remota
 Wkv: Wireless Key Viewer

PayLoad: Gonzor SwitchBlade
►Permite personalizar de
manera sencilla la
información que se quiere
extraer
►Trabaja con dispositivos U3
pero es posible instalarlo en
dispositivos “normales”
►Incorpora Universal
Customizer para el trabajo
con U3
►Incorpora HakSaw y VNC

PayLoad: EnAble-Abel
►Modificación para permitir las instalación
de Abel
Genera un usuario y lo mete en el grupo
administradores
Preparado para integrar en
Silivrenion's Technique
Se ve la consola de línea de comandos
El Firewall impide la conexión
Tuning

Bomba USB
►Aprovecha el uso del Fichero Desktop.ini
►Fichero leído nada mas que se introduce el pendrive,
con el objetivo de buscar fondos de carpeta, miniaturas
etc..
►¿Y si solicitamos información que esta en una carpeta
compartida, en un equipo donde tenemos a Cain
esnifando?
►Herramientas NamedPipe y Cain

Defensa
►GpEdit.msc: Deshabilita Autorun
►Deshabilitar dispositivos USB
 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesus
bstor
 Start -> 4

Defensa
►Herramientas control USB:
 Microsoft Steady State
 GFI EndPointSecurity
 Drivelock

Vulnerabilidades en sistemas operativos
►Introducción al ciclo de desarrollo
►Tipos de Vulnerabilidades
►Exploits
►Automatización de ataques. Frameworks dedicados

Automatización de ataques. Frameworks dedicados:
Metasploit Framework
Exploit: Código escrito con el fin de aprovechar un
error de programación para obtener diversos
privilegios.
Payload: Parte del código de un exploit que tiene
como objetivo ejecutarse en la máquina víctima para
realizar la acción maliciosa

Intro a Metasploit Framework
Módulos del framework:
 Auxiliary: herramientas externas como scanners, sniffers,
detectores de versiones, servicios, etc que podemos utilizar para
el proceso de explotación.
 Encoders: para que los exploits sean menos detectables por los
antivirus
 Exploits: Programa que se aprobecha de una vulnerabilidad
conocida en código para conseguir, o bien tomar el control remoto
de la máquina, o bien tirar la máquina abajo (DoS) o bien obtener
información privilegiada de esa máquina o servicio
 Payloads: Parte del exploit compuesto por el conjunto de
instrucciones que permiten tomar el control remoto de la máquina
cargándose en memoria.
 Post: scrips que se utilizan por determinados payloads (ejemplo:
Meterpreter) en la fase de postexplotación
 Nops: Operaciones de relleno para que el código sea menos
previsible por los antivirus

Intro a Metasploit Framework
El test de intrusión (ser éticos!)
 Identificar vulnerabilidades críticas o high risk las cuales son el resultado de la
utilización de vulnerabilidades de menor riesgo o lower-risk.
 Identificar vulnerabilidades que pueden resultar difíciles o prácticamente
imposibles de detectar con escáneres de vulnerabilidades, los cuales automatizan
el proceso.
 Testear los sistemas de protección de una red para verificar su comportamiento
ante los ataques y como responden a éstos.
 Evaluar la magnitud de los ataques sobre los activos de la organización y el
impacto de éstos sobre las operaciones de la empresa.
 Determinar la viabilidad de un conjunto de vectores de ataque sobre la
organización.

Gestión seguridad corporativa.
Gestión antimalware
►Introducción a la gestión antimalware en servidores y clientes
►Gestión de soluciones de seguridad
 Firewall
 Antivirus
 AntiSpyware
►Monitorización de Estado de Salud

Historia del Windows Firewall

Características del Windows Firewall

Reglas del Firewall
Service Restrictions
Connection Security Rules
Authenticated Bypass Rules
Block Rules
Allow Rules
Default Rules
Local Policy
GPO

Nuevos algoritmos criptográficos
Encryption: AES-128, AES-192, AES-256
Key Exchange: ECDH P-256, ECDH P-384

Nueva consola de seguridad avanzada
Por nombre de aplicación
Todos ó múltiples puertos
Todas la direcciones dentro de
una subnet.
Todas las IP’s en un rango.
Todos los adaptadores wireless
Usuario de AD ó cuenta de
maquina.
ICMP ó ICMP v6
Servicios

Reglas del Firewall
Cuentas y grupos del Active Directory
Direcciones Ip de Origen y Destino
Tipos de Interfaces.
Puertos TCP y UDP de Origen y Destino
Servicios

Windows Defender: Anti-Malware Integrado
►Detección Integrada, limpieza y bloqueo en tiempo real
del malware:
 Gusanos, virus, rootkits y spyware
 Para usuario Final- La gestion para empresas será un producto
separado
►Además de UAC, que por supuesto nos prevendrá de
muchos tipos de malware
►Integrado con Microsoft Malicious Software Removal
Tool (MSRT) eliminara viruses, robots, y troyanos
durante su actualización o cada mes
►Actualizable vía Microsoft Update

Windows Defender: Securizando el equipo

Técnicas comunes empleadas por las soluciones
antivirus
Detección por cadena o firma: tras analizar el código del malware, se
selecciona una porción del mismo o cadena representativa que lo
permita diferenciar de cualquier otro programa. Si el antivirus detecta
esa cadena en algún archivo, determinará que está infectado por ese
malware.
Es la técnica más extendida entre los antivirus
Permite identificar el malware de forma concreta
No detecta nuevos virus ni modificaciones
Filosofía reactiva, requiere actualización continua
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C
21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A
23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE
24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81

antivirus
Detección por localización y nombre de archivo

antivirus
Detección por heurística: análisis de código para
identificar conjunto de instrucciones y estrategias
genéricas utilizadas por el malware.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento en los análisis
No detecta malware con características nuevas

antivirus
Detección por heurística

antivirus
Detección por emulación: las aplicaciones se ejecutan en un
entorno informático simulado (sandbox), para evaluar el grado
de peligrosidad.
Especial penalización en el rendimiento en los análisis (mayor
que en el caso del análisis heurístico de código).

antivirus
Detección por emulación

antivirus
Detección por monitorización de comportamiento: en vez de
analizar el código, comprueba las acciones que intentan llevar a
cabo las aplicaciones, e identifican las que puedan ser
potencialmente peligrosas.
Penalización en el rendimiento del sistema

antivirus
Detección por monitorización de comportamiento

antivirus
Otros enfoques
Chequeo integridad
Comprobar la integridad de los archivos contra una
base de datos (checksums, hash, …)
Debe de partir de un archivo limpio
Fáciles de burlar (spoofing)
Control de acceso
Sólo se pueden ejecutar las aplicaciones permitidas
por el administrador, con determinados privilegios
y según perfil.
Difíciles de administrar, sobre todo en ambientes
heterogéneos, y poco práctico para usuarios
particulares.

Limitaciones de las soluciones antivirus
Facilidad de burlar los métodos de detección
Esquema reactivo, solución a posteriori
Ventana vulnerable, no protegen a tiempo
Creación del malware
Distribución
Infección de las primeras víctimas
Reporte a los laboratorios AV
Actualización del AV del usuario
Publicación actualización
Desarrollo firma y pruebas
Análisis del malware

Falsa sensación de seguridad AV (perimetrales, locales)
Protocolos que no pueden ser analizados (https, …)
Limitaciones de análisis en el perímetro
Formatos de empaquetado y compresión
Evolución y diversificación del malware
Limitaciones de las soluciones antivirus

Marketing AV en general (protección 100%,
detecta todos los virus conocidos y desconocidos,
número 1, tecnología “supermegapotente”,…)
Número de malware que dicen detectar (guerra
de números, no es un dato cualitativo y no
corresponde con la realidad)
“Consultores” (¿consultores o distribuidores?)
Premios y certificaciones (adulterados, requisitos
mínimos)
Comparativas (evaluación crítica, lectura de
resultados)
Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)

Recursos que consume, rendimiento y estabilidad
Facilidad de uso y posibilidades de configuración
Malware que cubre (spyware, riskware, dialers,…)
Funciones proactivas
Actualizaciones y tiempos de respuesta
Soporte
Puesto destacado en comparativas (no de los últimos)
Casuística de nuestros sistemas (probar y evaluar)
Gestión centralizada, funciones corporativas
Elementos a tener en cuenta

Abrir archivos legítimos (virus)
Abrir archivos no solicitados, adjuntos de correo, P2P,
descargas (gusanos, troyanos)
Abrir archivos enviados por terceros
intencionadamente (Ingeniería social) (troyanos,
backdoors)
Configuración débil de nuestro sistema operativo
(gusanos, virus, backdoors,…)
Configuración débil de aplicaciones Internet
(navegador, cliente de correo) (spyware, gusanos)
Vulnerabilidades del sistema operativo y aplicaciones
Internet (gusanos, spyware, backdoors)
Defensa contra el software malintencionado
Origen de infecciones

Abrir archivos legítimos
Abrir archivos no solicitados
Ingeniería social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
Agente fundamental en la prevención real

Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
Factor humano

Desactivar todos los servicios no necesarios
Aplicar actualizaciones automáticas (SUS, SMS)
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB,
acceso externo
Segmentación lógica de redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad recursos compartidos
Políticas de backup
Factor S.O. y aplicaciones

Uso de soluciones antivirus distintas y
complementarias por capas (perímetro, servidor de
archivos, host).
Firewall perimetrales y basados en hosts (XP SP2)
Política de filtrado por contenidos
Política de acceso a la red (interna, externa)
Gestión centralizada seguridad
Auditorías y planes de contingencia/continuidad
Soluciones de seguridad y antimalware

Una solución contra spyware y protección contra
virus construida sobre tecnología de protección utilizada
por millones alrededor del mundo. Respuesta efectiva
contra amenazas. Complementa otros productos de
seguridad Microsoft
Una consola para la administración de
seguridad simplificada. Define políticas para administrar
las características del agente de protección del cliente.
Implementa firmas y software más rápido y se integra con
su infraestructura actual.
Un tablero para la visibilidad de amenazas y
vulnerabilidades. Vista de reportes internos.
Manténgase informado con escaneo de evaluación del
estado y alertas de seguridad
¿Qué hace FCS?

Network Access Protection
No Cumple
la Política
1
Red
Restringida
El cliente solicita acceso a la red y presenta su estado de
salud actual
1
4
Si no cumple la política el cliente solo tiene acceso a una VLAN
restringida donde hay recursos para solucionar sus problemas,
descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor
de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red
corporativa
MSFT NPS
3
Servidor de
Políticas e.g. Patch,
AV
Cumple la
Política
3 El Servidor de Políticas (NPS) valida contra la política de salud
definida por IT
2
Cliente
Windows
DHCP, VPN
Switch/Router
Fix Up
Servers
e.g. Patch
Red Corporativa5
4

http://about.me/fran.icade

Seguridad anti hacking

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (16)

Similar a Seguridad anti hacking

Similar a Seguridad anti hacking (20)

Más de Francisco Amuedo Bueno

Más de Francisco Amuedo Bueno (6)

Último

Último (20)

Seguridad anti hacking

Notas del editor