3. 3
Principales Amenazas en los 90
• Virus: Programa informático con capacidad de replicación cuya
finalidad es difundirse al mayor número de usuarios a través de
diferentes vías y provocar daños de distinta índole en archivos y
sistemas.
• Gusano: Posee las mismas características que los virus salvo que no
necesitan infectar otros archivos para reproducirse. Se limitan a
guardar en el sistema copias de sí mismos pudiendo llegar a colapsar
por saturación los sistemas en los que se infiltran.
V002-1-04
4. 4
AntiVirus
• Tecnología Reactiva basada en Firmas
• Actualización Mensual/Trimestral
• Solución a Nuevos Virus 48/72 horas
• Heurística
• Reparación Genérica de Boot
• Chequeos de Integridad
V005-1-04
5. 5
Nuevo Virus
• Detectado mediante:
• Heurística
• Chequeos de Integridad
• Daño concreto
• Antivirus:
• En el mismo día
• Máximo 3-4 días
• Reducir Daños
• Reconstruir Boot
• Desinfectar Archivos
V006-1-04
6. 6
Daños
• Pérdida Horas de Trabajo
• Departamento Sistemas
• Usuario/s Implicado/s
• Borrar Información (Backups)
• Anonimato Infección
• Aislar máquinas
V007-1-04
8. 8
Blaster
• Tipo: Gusano de Internet / Caballo de Troya
• Descubierto: Agosto 2003
• Difusión: No emplea el correo electrónico
• Explota la vulnerabilidad DCOM/RPC, se produce un desbordamiento de
búfer. Boletín de Seguridad MS03-026 de Microsoft
• Parche existente desde 16/07/2003.
• La máquina comprometida descarga una copia del gusano vía TFTP que se
guarda como MSBLAST.EXE o PENIS32.EXE.
• El 16/08/2003 lanza ataque DoS contra “WINDOWSUPDATE.COM”, envía a
través del puerto TCP 80 un paquete cada 20 milisegundos.
• Síntomas: Importante incremento del tráfico en puertos TCP 135/4444 y
UDP 69. Constante reinicio del PC.
V105-1-04
9. 9
Sobig.F
• Tipo: Gusano de Internet
• Descubierto: 19 Agosto 2003
• Difusión: Correo electrónico y unidades de red compartidas
• Falsea la dirección del remitente (from) Spoofing.
• Se autocopia en el Sistema como WINPPR32.EXE.
• Utiliza su propio motor SMTP para enviar e-mails a las direcciones de
correo almacenadas en el equipo atacado.
• Envía paquetes UDP al puerto 8998 de servidores remotos que sirve para
descargar otros componentes del gusano (backdoor).
• Abre los puertos 995 al 999 para recibir órdenes.
• Síntomas: e-mail en inglés con Asunto y Adjunto reconocibles.
V106-1-04
10. 10
Mydoom
• Tipo: Gusano de Internet y Caballo de Troya
• Descubierto: Enero 2004
• Difusión: Ejecución archivo adjunto a e-mail
• Se propaga rápidamente por e-mail y la red de intercambio KaZaa.
• Falsea la dirección del remitente (from) Spoofing.
• Localiza direcciones de correo almacenadas en el equipo atacado a las cuales reenviarse y
usuarios Kazaa.
• Abre una puerta trasera por los puertos TCP/3127 al 3198 por los que descarga un ejecutable.
• Actúa como servidor Proxy TCP que permite controlar remotamente los recursos de red.
• Lanza ataques de denegación de servicio (DoS) a la web www.sco.com, desde el 1 al 12 de
febrero de 2004, enviando peticiones cada 1024 milisegundos.
• Síntomas: Cuando se ejecuta abre el Notepad y muestra texto basura.
V107-1-04
11. 11
Bagle
• Tipo: Gusano de Internet
• Descubierto: Enero/Abril 2004 (múltiples variantes)
• Difusión: Ejecución archivo adjunto a e-mail
• Falsea la dirección del remitente (from) Spoofing.
• Intenta acceder a varias direcciones de Internet para auto-actualizarse e
intenta descargar otro troyano: Troj/Mitglieder.
• Características de troyano, abre los puertos 6777 / 4751 / 8866 permite
al atacante ejecutar remotamente código arbitrario.
• Síntomas: Abre la calculadora de Windows/ grabadora de sonido / juego
de corazones.
V108-1-04
12. 12
Netsky
• Tipo: Gusano de Internet
• Descubierto: Febrero/Abril 2004 (múltiples variantes)
• Difusión: Correo electrónico
• Localiza direcciones de correo almacenadas en el equipo atacado a las
cuales reenviarse.
• Más de 30 variantes conocidas.
• Aprovecha vulnerabilidad de Internet Explorer que permite la ejecución
automática de archivos de correo electrónico.
• Se activa con sólo visualizar el mensaje.
• Borra entradas de otros gusanos como Mydoom y Bagle.
V109-1-04
13. 13
Sasser
• Tipo: Gusano de Internet
• Descubierto: Mayo 2004
• Difusión: No emplea el correo electrónico
• Primer gusano que explota la vulnerabilidad LSASS (Local Security Authority
Subsystem). Boletín de Seguridad MS04-011 de Microsoft
• Afecta básicamente a Windows XP/2000.
• El gusano explora pseudos IPs aleatorias en el puerto 445 enviando el exploit
que puede permitir el control remoto de su PC por el puerto 9996
• Abre un servidor de FTP en un PC remoto que escucha en el puerto 5554,
envía y se ejecuta en la máquina remota.
• Síntomas: Provoca el reinicio del sistema en Windows XP/2000. Aparece
pantalla “Apagar Sistema”.
V110-1-04
14. 14
Nuevos Tipos de Amenazas
• Virus de Macro:
• Infectan archivos de datos. MS Office-Word, Excel, PowerPoint y
Access.
• Fáciles de crear.
• Gusanos de e-mail:
• Infectan cuando los usuarios abren los correos y los archivos
adjuntos.
• Utilizan técnicas de Ingeniería Social.
• Super Gusanos (Gusanos de 3ª Generación):
• Muy sofisticados, atacan vulnerabilidades sin participación del
usuario, identifican nuevas víctimas automáticamente,
• Incorporan troyanos.
• Utilizan múltiples vectores de ataque.
V104-1-04
15. 15
Velocidad de Propagación
• Code Red 12 horas
• Klez 2-5 horas
• Slamer 10 minutos
Fuente: ICSA Labs
• Blaster 27 segundos
(Prueba F-Secure Corporation en PC desprotegido)
V112-1-04
16. 16
Tipo de Ataques Electrónicos
Detectados en el último Año
Robo de Portatil
Robo de Handheld
Robo Otros Dispositivos
Infección virus, gusano, troyano
Intercepción comunicaciones (voz/datos)
Degradación del Rendimiendo de Red
debido a Escaneo Agresivo
Ataque Denegación Servicio Fuente: 2004 Australian Computer
Crime and Security Survey
V115-1-04
17. 17
Virus de Ayer – Virus de Hoy:
Evolución de los Virus según las Tecnologías
Tipo Código
Malicioso
Época
Medio
Difusión
Tiempo
Producción
Epidemia
Tiempo
Epidemia
Mundial
Virus
Boot/Archivo
1990/1995 Disquetes Semanas Meses
Macro Virus 1995/2000 Internet/CDs Días 1-2 Meses
Gusanos de
e-mail
1999
Correo
Electrónico
Horas Días
Super
Gusanos
2001 TCP/IP Minutos 1-2 Horas
V116-1-04
23. 23
• Detectados 5 gusanos en 3 horas:
• Netsky.C / Netsky.F
• Mydoom.F
• Bagle.I / Bagle.J
• Insultos mutuos
• Netsky elimina a Bagle
Guerra en el Ciberespacio:
3 de Marzo de 2004
“Difícil imaginar situación
tan cómica: un puñado de autores
de virus jugando impunes con Internet
y ningún miembro de la comunidad
puede hacer algo para detenerlo”
“Incidentes similares serán cada vez
más frecuentes hasta que otros
métodos de prevensión sean
utilizados”
Eugene Kaspersky – Kaspersky Labs
“Creemos que ambos autores deben tener
acceso a una red underground formada por
miles de PCs de inocentes usuarios que son
aprovechadas para lanzar nuevas versiones”
Graham Cluley - Sophos
V303-1-04
24. 24
Zero Day
Opinión
"Ninguna empresa puede protegerse al 100% contra un zero day"
Miguel Angel Martín (Computer Associates)
“Las soluciones antivirus necesitan un salto cuántico...Se basan
en tecnología de hace 10 años. En informática es ¡muchísimo
tiempo!”
“Se debe tender a un nuevo método de detección: En lugar de ser
reactivo las soluciones antivirus deber ser proactivas"
Fernando de la Cuadra (Panda Software)
“Cualquier tráfico saliente anormal en los puertos, e-mails
masivos enviados por un usuario o el escaneo de IPS, debe hacer
saltar la alarma"
Daniel Baras (BitDefender)
V307-1-04
26. 26
Nuevo Escenario...Escenario de Hoy
• Más de 100 vulnerabilidades por mes
• Internet de banda ancha – conexiones 24x7
• Epidemias en menos de 1 hora
• Dependencia de PC + Correo Electrónico + Web
• Proliferación de equipos móviles
• Laptops
• PDAs
• Teléfono 3ª Generación
• Usuarios “Quinta Columna”
V315-1-04
27. 27
Máquinas Comprometidas (Zombies)
• Origen del 50% del spam
• Vandalismo Valor Económico
• Funciones:
• Enviar correos masivos (spam)
• Actuar como proxy para ocultar el ruteo de los mensajes
• Robar la identidad del dueño para traspasar “listas negras”
• Lanzar ataques DoS para tirar sitios web
• Atacar a sitios web anti-spam
• Hosting temporal de sitios web de spam
• Conseguir listas de e-mails para uso de spam
V340-1-04
28. 28
Virus de Hoy
• Busca envíos masivos
• Motores propios de difusión
• Aprovechan vulnerabilidades del S.O., firewalls, programas de correo,
navegadores, etc...
• Amenazan la privacidad
• “Secuestran” equipos
• Organizan redes clandestinas de miles y miles de equipos comprometidos
• Lanzan ataques de Denegación de Servicio (DoS)
• Velocidad propagación infinitamente superior
• Utilizan técnicas de spoofing
• Introducen backdoors (puertas traseras)
• Anonimato Impunidad
• Warspamming
V316-1-04
29. 29
Filtrado
• Beneficios:
Elimina el spam
Reduce 80% del tráfico
Elimina los virus
Reduce el riesgo de ataques
Web de cuarentena
e-Mails salientes cumplimiento de políticas
Reports y estadísticas
• Desventajas:
Menos control de la empresa
Costes
V319-1-04
31. 31
Mañana: Estrategias de Protección
Antivirus actualizado cada pocas horas
Plan de Acción para aplicación de parches
Filtrado de spam en gateways
Firewalls personales para portátiles
Plan de Formación e Información de TODOS los usuarios
Revisión de Políticas
Plan de Contingencias
V329-1-04