SlideShare una empresa de Scribd logo

Malware en linux

Descargar como PPTX, PDF
Tensor
Tensor

Malware en linux

Educación
1 de 41
1 Usa Linuxdecían... ...En Linux no hay virus decían MALWAREEN LINUX
Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
¿Por qué usar Linux (*NIX)? 5
¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
10 Similitudes y Diferencias con sistemas Windows
11  Market share Similitudes y Diferencias con sistemas Windows
12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
17  nitr0us@linux:~$ ./binario_infectado Técnicas de Infección / Propagación
18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
29 Técnicas de Anti Detección / Reversing / Debugging
Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
32 DEMO DETECCIÓN DE ROOTKITS rkhunter http://rkhunter.sourceforge.net Técnicas de Detección / Eliminación
33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
35  Y se ve así… Técnicas de Detección / Eliminación
36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
40 DEMO EJECUCIÓN DE ANTIVIRUS ClamAV http://www.clamav.net Técnicas de Detección / Eliminación
Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar

Recomendados

Pent box security
Pent box securityPent box security
Pent box security
Tensor
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
Tensor
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Alejandro Hernández
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Carlos De la Cruz Riera
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Alonso Caballero
 
Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)
Lore Valderrama
 

Recomendados

Pent box security
Pent box securityPent box security
Pent box security
Tensor
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
Tensor
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Alejandro Hernández
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Carlos De la Cruz Riera
 
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility FrameworkWebinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Webinar Gratuito: Analizar una Imagen RAM con Volatility Framework
Alonso Caballero
 
Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)Guía teórica seguridad informatica (2)
Guía teórica seguridad informatica (2)
Lore Valderrama
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
Dani Adastra
 
Trabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluaciónTrabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluación
josemari28
 
Tipos de malware
Tipos de malwareTipos de malware
Tipos de malware
roland castillo
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gathering
Jesús Moreno León
 
Sad tema2 pen_test_ii
Sad tema2 pen_test_iiSad tema2 pen_test_ii
Sad tema2 pen_test_ii
Jesús Moreno León
 
Ya revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traserasYa revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traseras
Tensor
 
Fases de un ataque informático
Fases de un ataque informáticoFases de un ataque informático
Fases de un ataque informático
Nico2611
 
Leccion0 sisop
Leccion0 sisopLeccion0 sisop
Leccion0 sisop
Ugo Sanchez Baeza Profesor
 
Limahack 2010 - Creando exploits para GNU/Linux
Limahack 2010 - Creando exploits para GNU/LinuxLimahack 2010 - Creando exploits para GNU/Linux
Limahack 2010 - Creando exploits para GNU/Linux
Mauricio Velazco
 
Gestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetGestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internet
Eventos Creativos
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
Dani Adastra
 
Partes de un sistema computacional
Partes de un sistema computacionalPartes de un sistema computacional
Partes de un sistema computacional
SCV97
 
Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas web
MarcosChamorroOrtiz
 
Partes de un sistema computacional
Partes de un sistema computacionalPartes de un sistema computacional
Partes de un sistema computacional
PilarST20
 
Antivirus
AntivirusAntivirus
Antivirus
Karianamawcinitt
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Francisco Medina
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
David Thomas
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
Chema Alonso
 
Malware
MalwareMalware
Malware
cristina chivato
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 
Benefits of rigorous language courses
Benefits of rigorous language coursesBenefits of rigorous language courses
Benefits of rigorous language courses
Bellevue School District
 
Active Learning: Online Redesign IT Seminar Series 2014_06_09
Active Learning: Online Redesign IT Seminar Series 2014_06_09Active Learning: Online Redesign IT Seminar Series 2014_06_09
Active Learning: Online Redesign IT Seminar Series 2014_06_09
University of Toronto Mississauga
 

Más contenido relacionado

La actualidad más candente

Partes de un sistema computacional
Partes de un sistema computacionalPartes de un sistema computacional
Partes de un sistema computacional
PilarST20
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 

La actualidad más candente (20)

8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
 
Trabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluaciónTrabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluación
 
Tipos de malware
Tipos de malwareTipos de malware
Tipos de malware
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gathering
 
Sad tema2 pen_test_ii
Sad tema2 pen_test_iiSad tema2 pen_test_ii
Sad tema2 pen_test_ii
 
Ya revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traserasYa revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traseras
 
Fases de un ataque informático
Fases de un ataque informáticoFases de un ataque informático
Fases de un ataque informático
 
Leccion0 sisop
Leccion0 sisopLeccion0 sisop
Leccion0 sisop
 
Limahack 2010 - Creando exploits para GNU/Linux
Limahack 2010 - Creando exploits para GNU/LinuxLimahack 2010 - Creando exploits para GNU/Linux
Limahack 2010 - Creando exploits para GNU/Linux
 
Gestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internetGestión seguridad de la navegación por internet
Gestión seguridad de la navegación por internet
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
 
Partes de un sistema computacional
Partes de un sistema computacionalPartes de un sistema computacional
Partes de un sistema computacional
 
Vulnerabilidad de paginas web
Vulnerabilidad de paginas webVulnerabilidad de paginas web
Vulnerabilidad de paginas web
 
Partes de un sistema computacional
Partes de un sistema computacionalPartes de un sistema computacional
Partes de un sistema computacional
 
Antivirus
AntivirusAntivirus
Antivirus
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
 
Malware
MalwareMalware
Malware
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
 

Destacado

Branchless Banking Project Report
Branchless Banking Project ReportBranchless Banking Project Report
Branchless Banking Project Report
Ansar Hussain
 
Pride & Prejudice and Confucius_Katherine Neal
Pride & Prejudice and Confucius_Katherine NealPride & Prejudice and Confucius_Katherine Neal
Pride & Prejudice and Confucius_Katherine Neal
Kate Neal
 
Presentazione 2
Presentazione 2Presentazione 2
Presentazione 2
EcoReMake
 
Presentazione scenari
Presentazione scenariPresentazione scenari
Presentazione scenari
EcoReMake
 

Destacado (12)

Benefits of rigorous language courses
Benefits of rigorous language coursesBenefits of rigorous language courses
Benefits of rigorous language courses
 
Active Learning: Online Redesign IT Seminar Series 2014_06_09
Active Learning: Online Redesign IT Seminar Series 2014_06_09Active Learning: Online Redesign IT Seminar Series 2014_06_09
Active Learning: Online Redesign IT Seminar Series 2014_06_09
 
Hybrid vs Native
Hybrid vs NativeHybrid vs Native
Hybrid vs Native
 
Branchless Banking Project Report
Branchless Banking Project ReportBranchless Banking Project Report
Branchless Banking Project Report
 
Pride & Prejudice and Confucius_Katherine Neal
Pride & Prejudice and Confucius_Katherine NealPride & Prejudice and Confucius_Katherine Neal
Pride & Prejudice and Confucius_Katherine Neal
 
World: Molybdenum - Market Report. Analysis And Forecast To 2020
World: Molybdenum - Market Report. Analysis And Forecast To 2020World: Molybdenum - Market Report. Analysis And Forecast To 2020
World: Molybdenum - Market Report. Analysis And Forecast To 2020
 
Agent Banking as a part of Financial inclusion
Agent Banking as a part of Financial inclusion Agent Banking as a part of Financial inclusion
Agent Banking as a part of Financial inclusion
 
04 interpersonal communication v2
04 interpersonal communication v204 interpersonal communication v2
04 interpersonal communication v2
 
IL FIDANZAMENTO NELL’ISLĀM
IL FIDANZAMENTO NELL’ISLĀMIL FIDANZAMENTO NELL’ISLĀM
IL FIDANZAMENTO NELL’ISLĀM
 
Rare Metals Report on Tantalum & Niobium by Jacob Securities (July 19, 2011)
Rare Metals Report on Tantalum & Niobium by Jacob Securities (July 19, 2011)Rare Metals Report on Tantalum & Niobium by Jacob Securities (July 19, 2011)
Rare Metals Report on Tantalum & Niobium by Jacob Securities (July 19, 2011)
 
Presentazione 2
Presentazione 2Presentazione 2
Presentazione 2
 
Presentazione scenari
Presentazione scenariPresentazione scenari
Presentazione scenari
 

Similar a Malware en linux

Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hacker
cyberleon95
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
ecentenov
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
candybravo
 

Similar a Malware en linux (20)

Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
9700132 el-sendero-del-hacker
9700132 el-sendero-del-hacker9700132 el-sendero-del-hacker
9700132 el-sendero-del-hacker
 
El sendero del hacker
El sendero del hackerEl sendero del hacker
El sendero del hacker
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hacker
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
 
Malware for Linux
Malware for LinuxMalware for Linux
Malware for Linux
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Depth analysis to denial of services attacks
Depth analysis to denial of services attacksDepth analysis to denial of services attacks
Depth analysis to denial of services attacks
 
Virus Informaticos
Virus InformaticosVirus Informaticos
Virus Informaticos
 

Más de Tensor

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
deimerhdz21
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
UPTAIDELTACHIRA
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 

Último (20)

Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptxEL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxCONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
 

Malware en linux

  • 1. 1 Usa Linuxdecían... ...En Linux no hay virus decían MALWAREEN LINUX
  • 2. Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
  • 3. ¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
  • 4. ¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
  • 5. ¿Por qué usar Linux (*NIX)? 5
  • 6. ¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
  • 7. Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
  • 8. 8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
  • 9. Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
  • 11. 11  Market share Similitudes y Diferencias con sistemas Windows
  • 12. 12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
  • 13. Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
  • 14. Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
  • 15. 15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 16. 16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 18. 18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
  • 19. 19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
  • 20. 20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
  • 21. 21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
  • 22. 22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
  • 23. 23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
  • 24. 24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
  • 25. 25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
  • 26. Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
  • 27. 27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
  • 28. 28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
  • 29. 29 Técnicas de Anti Detección / Reversing / Debugging
  • 30. Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
  • 31. 31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
  • 33. 33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
  • 34. 34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
  • 35. 35  Y se ve así… Técnicas de Detección / Eliminación
  • 36. 36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
  • 37. 37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
  • 38. 38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
  • 39. 39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
  • 41. Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar