6. Malware
l
Malware = Malicious Software
l
Virus, troyanos, spywares, gusanos,
bombas lógicas, etc.
l
1982, el primer virus : Elk Cloner
1988, primer gusano : Morris
7. Malware:State of
the art
l
Actualidad 2 tendencias:
l
Robo >> Crimeware
l
Espionaje >> Advanced Persistant Threat
l
Panda Security: en el primer bimestre
del 2011 se crearon 73,000 nuevos
ejemplares (70% troyanos)
9. Crimeware: Oferta!
l
Exploit Packs
l
Sploit 25, versión Lite 1500 USB –
Pro 2500 USD
l
ElFiesta Exploit Pack, 1000 USD
l
YES Exploit Pack, 600 USD
l
Eleonore Exploit Pack, 600 USD
13. Advanced Persistent
Threat
l
Un tipo de ataque Cibernético que se
caracteriza por tener objetivos más
allá del $$$
l
Como espionaje, fines
l
políticos, cyberguerra, etc.
17. Stuxnet I : Hallazgo
l
Junio 2010: VirusBlokada detecta un
nuevo malware explotando un 0day en
Windows.
l
0day = Vulnerabilidad
l
previamente no conocida.
l
12 Millones → < 12 0day
18. MS10-046
l
Accesos directos de Windows (LNK)
l
Vulnerabilidad en Microsoft Shell
(shell32.dll)
l
Permite la ejecución de comandos al
intentar cargar un LNK malicioso (CPL)
l
Afecta a todas las versiones de Win2
21. MS10-046
Al cargar el ícono, Shell llama a
LoadLibrary() con el objetivo como
parámetro (CPL).
Se logra ejecutar comandos en el
contexto de
Explorer.exe
Funciona 100%
30. Stuxnet II
l
Explota 5 vulnerabilidades de
Windows
l
4 de ellas son 0day
l
Se instala a través de 2 drivers
l
(Rootkit)
l
Explota un 0day de Siemens.
31. Stuxnet II
l
En total, 4 métodos de propagación
l
USB Drive (MS10-046)
l
Carpetas compartidas
l
Explotando Print Spooler
l
(MS10-061)
l
Explotando RPC
l
(MS08-067)
32. Stuxnet II
l
2 métodos de instalación a través de
escalamiento de privilegios
l
Si es W2k3 o WXP >> MS10-073
l
Si es Vista,7 o W2k8 >> MS10-092
33. MS10-092
l
Vulnerabilidad en el Task
Scheduler de Windows, 7 y W2k8
l
Al crear una tarea, se crea un fichero
XML en system32Tasks con la
información de la tarea.
l
Se crea con permisos
de lectura y escritura.
34. MS10-092
l
Task Scheduler calcula un hash del
fichero al ser creada una tarea.
l
Al momento de lanzar la tarea, se
recalcula el hash y los 2 se comparan
l
El algotimo CRC32
es utilizado.
35. MS10-092: El exploit
l
Task Scheduler calcula un hash del
fichero al crear una tarea por
seguridad.
l
Al momento de lanzar la tarea, se
recalcula el hash y los 2 se comparan
l
El algotimo CRC32 es utilizado.
36. Stuxnet III: Peer
to Peer!
l
Stuxnet instala un cliente y servidor
RPC en el equipo afectado.
l
El servidor RPC espera conexiones de
cualquier otro host infectado en la red
local.
l
Y permite una
actualización del malware
42. Stuxnet III
l
Al infectar, el malware reporta a 2
direcciones:
l
www.mypremierfutbol.com (Malasia)
l
www.todaysfutbol.com (Dinamarca)
l
Si el equipo infectado no cumple
ciertas condiciones, Stuxnet no ejecuta
su Digital Warhead
43. Stuxnet III
Las condiciones:
Siemens Simatic WinCC
l
Step7 instalado
l
Key – HKLMSOFTWARESIEMENSSTEP7, value –
STEP7_Version;
l
Key – HKLMSOFTWARESIEMENSWinCCSetup, value –
Version.
l
Software para la programación de
PLC's
45. Stuxnet III
l
Programmable Logic
Controller
l
Computadora automatización
de procesos electromecánicos
l
Procesos Industriales:
manufactura, generación
eléctrinica, refinería, etc
l
Proceses de Infraestructura:
tratamiento y distribución de
agua, gaseoducto, etc
48. Stuxnet IV
l
Busca un escenario específico:
l
Frequency Converter Drives 807Hz - 1210 Hz
l
Fararo Paya, Iran
l
Vocan, Finlandia
FCD, son dispositivos
utilizados para controlar
l
la velocidad de otros.
l
> F > V
49. Stuxnet IV
l
FCD, puedes tener muchos usos. Su
exportación está controlada.
l
Pueden ser usados en centrífugas
para el enriquecimiento de Uranio.
50. Stuxnet IV
l
Stuxnet infecta el proyecto Step7 y
sobresecribe una libreria crucial para
la programación del PLC.
l
Intercepta la comunicación
Windows – PLC de manera
oculta.
l
Instala un Rootkit en el PLC
51. Stuxnet IV
l
Una vez infectado, modifica la
frecuencia:
1400 Hz – 2 Hz – 1064 Hz
l
Stuxnet realiza un
sabotaje de las centrífugas
cambiando las velocidades
cada cierto tiempo.
52. Stuxnet IV
l
En Enero 2010, IAEA relizaba una
inspección en Natanz (8000 ctg)
cuando notaron algo extraño.
l
Los técnicos sacaban y
reemplazaban centrífugas, una por
una, en un evento antes no visto.
l
Normalmente cambiaban 10% al año
53. Stuxnet IV
A principios del 2010, más 2000
centrífugas tuvieron que ser
cambiadas en menos de 2 meses.
56. Stuxnet: Conclusiones
l
Stuxnet le demostró al mundo que es
posible que código fuente salte del
mundo virtual al mundo real causando
daños físicos.
l
Symantec estima que tomó más de 20
programadores expertos para
programarlo (8 meses de reversing)
(15k lineas de codigo).
57. Stuxnet: Conclusiones
l
El New York Times, publicó un artículo
de investigación donde se especula que
US e Israel fueron los creadores del
gusano.
l
“Behind Dimona’s barbed wire Israel
has spun nuclear centrifuges virtually
identical to Iran’s at Natanz. They say
Dimona tested the effectiveness of the
Stuxnet computer worm”
58. l
Stuxnet : One Shot Gun
l
La víctima puede hacer ingenieria
inversa y aprender del arma.
l
Muy posible que veamos variaciones
de Stuxnet
Stuxnet: Conclusiones
60. aula XXXX
Stuxnet: El arma
del futuro
Mauricio Velazco,
C|EH – C|EI – Security+ - CTT
Security Consultant
61. Gracias por participar
muy pronto estamos en provincias
para más información ingresa a nuestra web
En el 2012 mucho más de nosotros…
Contacto del expositor