Defensa en profundidad        contra software    malintencionado (Virus)   Jose Parada (Evangelista Técnico Microsoft)  ...
Requisitos previos para la sesión  Conocimientos básicos de los fundamentos de la  seguridad de las redes  Conocimientos b...
Información general de la sesión  Tipos y características del software malintencionado  Nomenclatura en la identificación ...
Tipos y características del softwaremalintencionado  Tipos y características del software malintencionado  Nomenclatura en...
Software malintencionado: la familia del malwareSoftware malintencionado o “malware” (malicious software):término para des...
Tipos de malware: VirusVirus: programa informático que puede infectar a otros programasmodificándolos para incluir una cop...
Tipos de malware: GusanoGusano: programa informático que tiene como fin replicarse, adiferencia de los virus no modifica o...
Tipos de malware: TroyanoTroyano: aplicación aparentemente legítima y útil que en realidadrealiza acciones dañinas. A dife...
Tipos de malware: BackdoorBackdoor: o puerta trasera, permite acceso y control remoto delsistema sin una autentificación l...
Tipos de malware: Spyware, Dialer, Keylogger,...Spyware: recolecta y envía información privada sin elconsentimiento y/o co...
Tipos de malware: combinadosMuchos especímenes de malware actual pueden combinar variasde las características atribuibles ...
Nomenclatura en la identificación del softwaremalintencionado  Tipos y características del software malintencionado  Nomen...
Nomenclatura en la identificación del softwaremalintencionado             Prefijo + Nombre + Variante + sufijo   Ejemplo  ...
Nomenclatura en la identificación del softwaremalintencionado   Prefijos y sufijos más comunes    W32 afecta a plataformas...
Nomenclatura en la identificación del softwaremalintencionado
Nomenclatura en la identificación del softwaremalintencionado
Nomenclatura en la identificación del softwaremalintencionado
Técnicas comunes empleadas por las solucionesantivirus  Tipos y características del software malintencionado  Nomenclatura...
Técnicas comunes empleadas por las solucionesantivirus Detección por cadena o firma: tras analizar el código del malware, ...
Técnicas comunes empleadas por las solucionesantivirus      Detección por localización y nombre de archivo
DEMO
Técnicas comunes empleadas por las solucionesantivirusDetección por heurística: análisis de código para identificarconjunt...
Técnicas comunes empleadas por las solucionesantivirus             Detección por heurística
Técnicas comunes empleadas por las solucionesantivirus Detección por emulación: las aplicaciones se ejecutan en un entorno...
Técnicas comunes empleadas por las solucionesantivirus             Detección por emulación
Técnicas comunes empleadas por las solucionesantivirus Detección por monitorización comportamiento: en vez de analizar el ...
Técnicas comunes empleadas por las solucionesantivirus      Detección por monitorización comportamiento
DEMO
Técnicas comunes empleadas por las solucionesantivirusOtros enfoques  Chequeo integridad   Comprobar la integridad de los ...
Limitaciones de las soluciones antivirus  Tipos y características del software malintencionado  Nomenclatura en la identif...
Limitaciones de las soluciones antivirus     Facilidad de burlar los métodos de detección     Esquema reactivo, solución a...
Limitaciones de las soluciones antivirus    Falsa sensación de seguridad AV (perimetrales, locales)    Protocolos que no p...
DEMO
Elección de la solución antivirus   Tipos y características del software malintencionado   Nomenclatura en la identificaci...
Elección de las soluciones antivirus          Elementos que distorsionan (a ignorar)     Marketing AV en general (protecci...
DEMO
Elección de las soluciones antivirus               Elementos a tener en cuenta     Recursos que consume, rendimiento y est...
Elección de las soluciones antivirus
Defensa contra software malintencionado  Tipos y características del software malintencionado  Nomenclatura en la identifi...
Defensa contra el software malintencionado                   Origen de infecciones     Abrir archivos legítimos (virus)   ...
Defensa contra el software malintencionado            Visión actual en la prevención
Defensa contra el software malintencionado       Agente fundamental en la prevención real             Abrir archivos legít...
Defensa en clientes contra el softwaremalintencionado            Se debe tender a un equilibrio
Defensa contra el software malintencionado                       Factor humano   Educar / formar al usuario. Cultura de se...
Defensa contra el software malintencionado                 Factor S.O. y aplicaciones    Desactivar todos los servicios no...
Defensa contra el software malintencionado          Soluciones de seguridad y antimalware    Uso de soluciones antivirus d...
DEMO
Preguntas y respuestas
Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado   Tipo de   ...
Descripción de las ventajas de Software UpdateServices (SUS)   Permite que los administradores   tengan un control básico ...
Funcionamiento de SUS                           Internet   Windows Update                    Servidor SUS secundario      ...
Demostración 1: Configuración de Software UpdateServices para implementar actualizaciones de seguridad              Config...
Configuración de aplicaciones para proteger losequipos cliente  Algunas aplicaciones que pueden ser objetivos de  ataques ...
Administración de la seguridad de Internet Explorer     Característica                         Descripción     de segurida...
Demostración 2: Configuración de aplicacionesbasadas en el cliente             Configurar las aplicaciones cliente para la...
Bloqueo de aplicaciones no autorizadas con directivasde restricción de software Las directivas de restricción de software:...
Demostración 3: Uso de directivas de restricción desoftware             Crear y probar una directiva de restricción       ...
Nuevas características de seguridad de Firewallde Windows   Activado de forma          Activado sin excepciones      pre...
Configuración de Firewall de Windows para ladefensa de los programas antivirus
Próxima SlideShare
Cargando en…5
×

Hispasec defensa virus

237 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
237
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
2
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • Hispasec defensa virus

    1. 1. Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)
    2. 2. Requisitos previos para la sesión Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300
    3. 3. Información general de la sesión Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    4. 4. Tipos y características del softwaremalintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    5. 5. Software malintencionado: la familia del malwareSoftware malintencionado o “malware” (malicious software):término para designar un programa informático que provoca deforma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware ampliación  Spyware definición clásica  Backdoors  Virus  Keyloggers  Gusanos evolución  Dialers  Troyanos  RootKits  Bombas lógicas  Exploits …
    6. 6. Tipos de malware: VirusVirus: programa informático que puede infectar a otros programasmodificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil)  desarrollado en 1998, en ensamblador, tamaño 1Kb  afecta a plataforma Windows 9x  infecta archivos Windows PE (Portable Executable)  residente en memoria  día 26 sobreescribe disco duro y flash-BIOS  más de 30 variantes
    7. 7. Tipos de malware: GusanoGusano: programa informático que tiene como fin replicarse, adiferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky  distribuye por e-mail, redes P2P, y redes locales  falsea dirección remitente  doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser  no necesita la acción del usuario para infectar  desbordamiento de buffer en LSSAS (Win 2000/XP)  explotación automática a través del puerto TCP/445
    8. 8. Tipos de malware: TroyanoTroyano: aplicación aparentemente legítima y útil que en realidadrealiza acciones dañinas. A diferencia de los virus y los gusanos,no puede autorreplicarse ni infectar archivos. Troyano AIDS (1989) Ejemplo  distribución por correo postal en un disquete  programa con información sobre SIDA  tras varios inicios de sistema, aparecía el troyano  cifraba el disco duro e impedía al usuario acceder  solicitaba pago al usuario para llave de descifradoCon el tiempo el término troyano se convirtió en un comodín utilizado paratodo tipo de malware que no podía ser catalogado como virus o gusano.
    9. 9. Tipos de malware: BackdoorBackdoor: o puerta trasera, permite acceso y control remoto delsistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor .exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.
    10. 10. Tipos de malware: Spyware, Dialer, Keylogger,...Spyware: recolecta y envía información privada sin elconsentimiento y/o conocimiento del usuario.Dialer: realiza una llamada a través de módem o RDSI paraconectar a Internet utilizando números de tarificación adicional sinconocimiento del usuario, provocando el aumento en la facturatelefónica.Keylogger: captura las teclas pulsadas por el usuario,permitiendo obtener datos sensibles como contraseñas..Adware: muestra anuncios o abre páginas webs no solicitadas.Exploit: programas que aprovecha una vulnerabilidad.
    11. 11. Tipos de malware: combinadosMuchos especímenes de malware actual pueden combinar variasde las características atribuibles a las distintas categorías. Ejemplo Lamin.B  virus polimórfico infecta ejecutables Windows PE  gusano que se distribuye por redes locales  incluye función keylogger  backdoor permite control remotoAunque las líneas están difusas, se suele utilizar comodenominación principal la característica más importante. Así, porejemplo, se habla de un virus con capacidades de backdoor.
    12. 12. Nomenclatura en la identificación del softwaremalintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    13. 13. Nomenclatura en la identificación del softwaremalintencionado Prefijo + Nombre + Variante + sufijo Ejemplo W32/Klez.H@MM  Prefijo W32 afecta a plataformas Windows 32bits  Nombre Klez nombre dado al espécimen  Variante h existen al menos 7 versiones anteriores (a, b,c d,…)  Sufijo @MM gusano de propagación masiva por correo electrónico
    14. 14. Nomenclatura en la identificación del softwaremalintencionado Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por e-mail de forma masiva
    15. 15. Nomenclatura en la identificación del softwaremalintencionado
    16. 16. Nomenclatura en la identificación del softwaremalintencionado
    17. 17. Nomenclatura en la identificación del softwaremalintencionado
    18. 18. Técnicas comunes empleadas por las solucionesantivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    19. 19. Técnicas comunes empleadas por las solucionesantivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81 Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua
    20. 20. Técnicas comunes empleadas por las solucionesantivirus Detección por localización y nombre de archivo
    21. 21. DEMO
    22. 22. Técnicas comunes empleadas por las solucionesantivirusDetección por heurística: análisis de código para identificarconjunto de instrucciones y estrategias genéricas utilizadas por elmalware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas
    23. 23. Técnicas comunes empleadas por las solucionesantivirus Detección por heurística
    24. 24. Técnicas comunes empleadas por las solucionesantivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas
    25. 25. Técnicas comunes empleadas por las solucionesantivirus Detección por emulación
    26. 26. Técnicas comunes empleadas por las solucionesantivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas
    27. 27. Técnicas comunes empleadas por las solucionesantivirus Detección por monitorización comportamiento
    28. 28. DEMO
    29. 29. Técnicas comunes empleadas por las solucionesantivirusOtros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
    30. 30. Limitaciones de las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    31. 31. Limitaciones de las soluciones antivirus Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Actualización del AV del usuario Distribución Publicación actualización Infección de las primeras víctimas Desarrollo firma y pruebas Reporte a los laboratorios AV Análisis del malware
    32. 32. Limitaciones de las soluciones antivirus Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware
    33. 33. DEMO
    34. 34. Elección de la solución antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    35. 35. Elección de las soluciones antivirus Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados)
    36. 36. DEMO
    37. 37. Elección de las soluciones antivirus Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas
    38. 38. Elección de las soluciones antivirus
    39. 39. Defensa contra software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado
    40. 40. Defensa contra el software malintencionado Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
    41. 41. Defensa contra el software malintencionado Visión actual en la prevención
    42. 42. Defensa contra el software malintencionado Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones
    43. 43. Defensa en clientes contra el softwaremalintencionado Se debe tender a un equilibrio
    44. 44. Defensa contra el software malintencionado Factor humano Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad
    45. 45. Defensa contra el software malintencionado Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup
    46. 46. Defensa contra el software malintencionado Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad
    47. 47. DEMO
    48. 48. Preguntas y respuestas
    49. 49. Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de Escenario Solución usuarioUsuario Todos los escenarios Windowsindependiente Update Sin servidores de Windows Windows UpdateOrganizaciónpequeña Al menos un servidor Windows 2000 o una versión más reciente y un MBSA y SUS administrador de IT Desea una solución de administración de actualizaciones con un control básico que MBSA y SUSEmpresa actualice Windows 2000 y las versiones másde tamaño recientes de Windowsmedianoa grande Desea una solución de administración de actualizaciones flexible con un mayor control SMS para actualizar y distribuir todo el software
    50. 50. Descripción de las ventajas de Software UpdateServices (SUS) Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft
    51. 51. Funcionamiento de SUS Internet Windows Update Servidor SUS secundario Equipos cliente Servidor SUS primario Equipos cliente
    52. 52. Demostración 1: Configuración de Software UpdateServices para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad
    53. 53. Configuración de aplicaciones para proteger losequipos cliente Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual
    54. 54. Administración de la seguridad de Internet Explorer Característica Descripción de seguridad Mejoras de la Comprobaciones de coherencia seguridad de MIME Reglas más estrictas Características de control y administración de complementos Mejor administración Mensajes más descriptivos de la seguridad Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona Rastreo de MIME de seguridad Control de Elevación de la seguridad características Restricciones de Windows Configuración de Control administrativo de las zonas de seguridad directivas de grupo Control de características
    55. 55. Demostración 2: Configuración de aplicacionesbasadas en el cliente Configurar las aplicaciones cliente para la defensa contra software malintencionado
    56. 56. Bloqueo de aplicaciones no autorizadas con directivasde restricción de software Las directivas de restricción de software: Se pueden utilizar para: • Combatir virus Se pueden aplicar a las siguientes reglas: • Controlar las descargas de ActiveX Hash • Ejecutar sólo secuencias de • Certificado comandos firmadas • Ruta de acceso • Asegurarse de que se • Zona instalan las aplicaciones autorizadas • Bloquear equipos Se pueden establecer como: Ilimitado No permitido
    57. 57. Demostración 3: Uso de directivas de restricción desoftware Crear y probar una directiva de restricción de software
    58. 58. Nuevas características de seguridad de Firewallde Windows  Activado de forma  Activado sin excepciones predeterminada  Seguridad en tiempo  Lista de excepciones de Firewall de Windows de inicio del sistema Configuración global  Perfiles múltiples  y restauración de la configuración  Compatibilidad con RPC predeterminada  Se puede realizar una instalación desatendida  Restricciones de subred local  Posibilidad comandos la línea de de usar
    59. 59. Configuración de Firewall de Windows para ladefensa de los programas antivirus

    ×