Seguridad Anti hacking Entorno Windows
Contenidos
►Unidad 1. Malware. Aspectos Generales
►Unidad II. Vulnerabilidades en Sistemas Operativos basados en Windows
►Unidad III. Gestión de la Seguridad Corporativa. Gestión Antimalware
Malware. aspectos generales
►Introducción al malware►El malware en arquitecturas Windows. Introducción►Virus►Gusanos►Troyanos►Rootkits►Técnicas Morph
Introducción
►En el progreso constante de la informática, la seguridad se ha convertido en una necesidad innegable
►Internet provoca que nuestros sistemas sean accesibles por otros usuarios, y no siempre con buenos propósitos
►Se requiere seguridad completa…Servidores y Clientes
►Las amenazas no se resumen al malware, sino que también tiene una gran importancia los exploits
►Soluciones antimalware no son suficientes
Malware
►Lejanos quedan los malware como Barrotes, Viernes 13 y otros clásicos
►La evolución también ha llegado a este tipo de amenazas
►Para defendernos de las amenazas necesitamos conocer
Qué es realmente
Cómo afectan
Qué tipos de malware nos encontramos
Virus
►Amenaza más antigua
►El primer virus conocido, “Peace Virus”, fue creado en 1987 para equipos MAC
►Programas que modifican a otras aplicaciones, escribiendo o alterando el código, con objeto de realizar alguna acción significativa
►Inicialmente aparecieron como un mero entretenimiento para los programadores
Fases de Implantación de Virus
►Fase de Ocultación. El virus se oculta utilizando diferentes metodologías: polimorfismo, unión archivos, inserción en documentos, etc.
►Fase de Contagio. El virus comienza su proceso de replicación y propagación a través del entorno. Utilizan técnicas como ejecución de .exe, arranque de máquina,…
►Fase de Ataque. Cuando el virus ejerce sus efectos maliciosos sobre la máquina infectada. Es la fase crítica para la eliminación del virus, haciendo caer a los
antivirus es una falsa apariencia de normalidad
Tipología de Virus (I)
►Virus de boot. Se copian en los sectores de arranque de discos y disquetes. En el arranque de la máquina, se copian automáticamente en la memoria (Ej.: Barrotes)
►Virus de fichero. Residen en archivos a la espera de que se den las condiciones adecuadas para la fase de ataque o acción directa (Ej.: Jeefo)
►Virus de comando. Suelen infectar los archivos command.com o cmd.exe
Tipología de Virus (II)
►Virus Polimórficos. Presentan la capacidad de mutar y cambiar su forma. Se comprimen junto con el fichero infectado y mezclando sus características. (Ej.: Dark Avenger)
►Virus Macro. Directamente relacionados con la ejecución de las macros de productos ofimáticos de Microsoft (Ej.: Buenos Días)
Troyanos
►Emulan la épica aventura de “La Iliada” de Homero
►Este tipo de programas crean una puerta falsa en los sistemas para poder ejecutar código de forma remota
►El usuario del sistema no tiene que dar consentimiento
►Trabajan bajo una arquitectura Cliente-Servidor
►Llegan a la victima de forma enmascarada o mezclada con otro programa que pueda ser suculento o interesante
Troyano - Cebo
Troyano – Cliente (I)
Troyano – Cliente (II)
Troyanos Bancarios
►Evolución de los troyanos de comportamiento estándar
►Como nuevas funcionalidades tienen:Capturar la pantalla del usuario bajo determinadas
circunstanciasAlterado el comportamiento habitual, la victima conecta con el
atacante (troyano reverso)
►La información se envía al atacante de forma remota a través de conexiones típicas:
Conexiones SMTPConexiones FTPConexiones HTTP a una dirección IP para subir datos capturadosFuncionalidad de troyano reverso
Tipos de Troyanos Bancarios
►Los que inyectan código a sesiones HTTPs. Así cambian el comportamiento de la web, pudiendo robar claves y certificados de acceso al banco
►Los que realizan capturas de pantalla. Limitan las capturas a porcentajes de pantalla donde se encuentra la última pulsación del cliente con el ratón. Únicamente sobre URLs específicas
►Los que realizan capturas de video. Graban la totalidad de una sesión sobre URLs específicas
Spyware (I)
►Programas diseñados para recopilar información de los hábitos de visitas a páginas Web de los usuarios
►Se instala en los sistemas de forma oculta en software que a simple vista puede parecer inofensivo
Programas shareware
Programas freeware
Cookies de sesión de páginas web
►Se instala sin el permiso del usuario
Spyware (II)
►Entre las acciones más conocidas que llevan a cabo los programas spyware están:
Identificación de las visitas a páginas Web
Apertura de ventanas anunciando productos
Registro de pulsaciones de teclado para robar contraseñas y números de tarjetas bancarias
►La existencia de este tipo de malware puede también llegar a colapsar el procesador, ya que abren múltiples procesos
Rootkit
►Tiene sus orígenes en entornos UNIX
►Su objetivo es ocultar información para que ni el usuario ni determinadas aplicaciones puedan verla (incluido antivirus)
►Son conjunto de herramientas modificadas que permiten al intruso hacerse con el control del equipo
►Crean una cuenta de tipo root en el sistema y la ocultan al resto de usuarios y aplicaciones
Tipos de Rootkit
►Rootkit de AplicaciónRemplazan archivos de tipo ejecutable con versiones
modificadas que contengan el malwareAgregan código a aplicaciones existentes para modificar su
comportamientoRootkit más frecuente y fácilmente detectable
►Rootkit de KernelBastante más peligrososSe integran en el núcleo del sistema operativo añadiendo o
modificando código al mismo (módulo o librería)Complicada su detecciónNecesario herramientas especiales
¿Qué pueden hacer?
►Ocultar archivos y carpetas
►Ocultar procesos y servicios
►Ocultar puertos TCP/UDP
►Ocultar claves de registro
►Uso de técnicas de redirector para la redirección de conexiones
►Modificar los espacios de disco
►Modificar los controladores
Botnets - Zombies
►Zombie es un ordenador infectado que puede ser utilizado por otra persona para realizar actividades hostiles
►El malware que infecta a la máquina se conoce como bot
►Por tanto, botnets son conjuntos de equipos zombies
►Totalmente transparente para el usuario del equipo
►Pueden utilizarse para operaciones útiles
Infección y Uso
►Los métodos de infección son variados
►En general se realiza a través de Un gusano que viaja por la redUn envío masivo de correo electrónicoAprovechando una vulnerabilidad de los navegadores
Agenda
► Introducción► Tecnología U3► Ataques
Copiando memorias USB PayLoads
Volcado de información Sesiones remotas
Bomba USB► Defensa
Deshabilitar Autorun y dispositivos USB Herramientas de control
Introducción
► Definido en 1995 por un grupo de empresas Apple Computer, Hewlett-Packard, NEC, Microsoft,
Intel y Agere System
► Diferentes versiones: USB 1.1: Septiembre de 1998 hasta 12Mbit/s USB 2.0: Abril del 2000, hasta 480Mbit/s USB 3.0: Septiembre 2007, hasta 4.8 Gbits/s
► En 2008 se estima que hay 2 mil millones de dispositivos USB en el mundo
Tecnología U3
►U3 permite utilizar la memoria USB no solo como un dispositivo de almacenamiento de información
►Permite la ejecución de programas pre instalados en el dispositivo directamente desde la memoria USB
►Tecnología propietaria de Sandisk►Características:
Plataforma Windows (2000 SP4, XP o posterior)LaunchPad similar al Inicio de WindowsNo requiere permisos de administradorProtección antivirusProtección mediante password
Tecnología U3
► SoftwareComunicaciones: Skype, Trillian, … Juegos: Atlantis, Magic Vines,
Sudoku, … Internet: Firefox, Thunderbid, …Productividad: Open Office,
CruzerSync, …Seguridad: Anonymizer, McAfee
ViruScan, …Utilidades: EverNote, WinRAR, …
Tecnología U3
►Dos particionesUnidad iso9660 para volcar datosUnidad FAT oculta con las aplicaciones
LaunchU3.exeLaunchPad.zipAutorun.inf
Copiando Memoria USB
►USB DumperSe aprovecha del AutorunVigila cuando alguien conecta un dispositivoRecupera la letra asignada al dispositivoSe copia todos los ficherosCódigo fuente publicado, personalización
Copiar solo determinados ficherosInfectar ejecutablesDistribuir virus, troyanos, etc..
PayLoads
►Cambiando el Rol, ahora ataco con el USB►Multitud de técnicas, todas ellas aprovechando el
AutorunMax Damage Technique (solo para U3)Amish Technique (Cualquier USB e Ingenieria Social) iPod technique (solo para IPod)Gandalf's technique (Combinación 1 y 2)Kapowdude technique (Combinación 1 y 2)Silivrenion's Technique (Combinación 1 y 2)
PayLoads: Gandalf's technique
►Autorun lanza un script vbs►Se crea un objeto WScript.Shell►Se lanzan un fichero bat con los comandos a
ejecutarSe copia un fichero zip con los programas a lanzarSe descomprimeSe ejecutan todas las operacionesSe comprimen todas las salidas y se copian al usbSe borran los ficheros temporales y finaliza
PayLoads: Gandalf's technique
► Programas incluidos Pwdump: Windows Password Dumping Pspv: Protected Storage PassView ProductKey: Visualizar claves de activación de productos Mspass :Instant Messenger Password Recovery Tool MsnHistory: Histórico de conversaciones del Messenger Mailpv: Mail PassView: Password recovery for Outlook, Outlook
Express, Iepv: Internet Explorer Password Viewer Iehv: Internet Explorer History Viewer FirePassword:Decrypt Firefox password manager
Nircmd: Herramienta de línea de comandos sin visualizar interfaz de usuario
Curl: Utilidad de línea de comandos para transferir ficheros
PayLoad: Silivrenion's Technique
► Basado en la arquitectura de dispositivos U3► Autorun lanza un fichero EXE► Vuelca toda la información al USB, incluyendo fichero de claves listo
para crackear► Programas incluidos
Iepv: Internet Explorer Password Viewer Mspass: Instant Messenger Password Recovery Tool Netpass: Network Password Recovery ProductKey: Visualizar claves de activación de productos Pspv: Protected Storage PassView PwDump: Windows Password Dumping Pwservice: Extrae la información de los hash almacenados
temporalmente en la registry remota Wkv: Wireless Key Viewer
PayLoad: Gonzor SwitchBlade
► Permite personalizar de manera sencilla la información que se quiere extraer
► Trabaja con dispositivos U3 pero es posible instalarlo en dispositivos “normales”
► Incorpora Universal Customizer para el trabajo con U3
► Incorpora HakSaw y VNC
PayLoad: EnAble-Abel
►Modificación para permitir las instalación de Abel
Genera un usuario y lo mete en el grupo administradores
Preparado para integrar enSilivrenion's Technique
Se ve la consola de línea de comandosEl Firewall impide la conexiónTuning
Bomba USB
►Aprovecha el uso del Fichero Desktop.ini
►Fichero leído nada mas que se introduce el pendrive, con el objetivo de buscar fondos de carpeta, miniaturas etc..
►¿Y si solicitamos información que esta en una carpeta compartida, en un equipo donde tenemos a Cain esnifando?
►Herramientas NamedPipe y Cain
Defensa
►GpEdit.msc: Deshabilita Autorun
►Deshabilitar dispositivos USBHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
usbstorStart -> 4
Defensa
►Herramientas control USB:
Microsoft Steady State
GFI EndPointSecurity
Drivelock
Vulnerabilidades en sistemas operativos
►Introducción al ciclo de desarrollo►Tipos de Vulnerabilidades►Exploits►Automatización de ataques. Frameworks dedicados
Automatización de ataques. Frameworks dedicados: Metasploit Framework
Exploit: Código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios.
Payload: Parte del código de un exploit que tiene como objetivo ejecutarse en la máquina víctima para realizar la acción maliciosa
Intro a Metasploit Framework
Módulos del framework: Auxiliary: herramientas externas como scanners, sniffers,
detectores de versiones, servicios, etc que podemos utilizar para el proceso de explotación.
Encoders: para que los exploits sean menos detectables por los antivirus
Exploits: Programa que se aprobecha de una vulnerabilidad conocida en código para conseguir, o bien tomar el control remoto de la máquina, o bien tirar la máquina abajo (DoS) o bien obtener información privilegiada de esa máquina o servicio
Payloads: Parte del exploit compuesto por el conjunto de instrucciones que permiten tomar el control remoto de la máquina cargándose en memoria.
Post: scrips que se utilizan por determinados payloads (ejemplo: Meterpreter) en la fase de postexplotación
Nops: Operaciones de relleno para que el código sea menos previsible por los antivirus
Intro a Metasploit Framework
El test de intrusión (ser éticos!)
Identificar vulnerabilidades críticas o high risk las cuales son el resultado de la utilización de vulnerabilidades de menor riesgo o lower-risk.
Identificar vulnerabilidades que pueden resultar difíciles o prácticamente imposibles de detectar con escáneres de vulnerabilidades, los cuales automatizan el proceso.
Testear los sistemas de protección de una red para verificar su comportamiento
ante los ataques y como responden a éstos.
Evaluar la magnitud de los ataques sobre los activos de la organización y el impacto de éstos sobre las operaciones de la empresa.
Determinar la viabilidad de un conjunto de vectores de ataque sobre la organización.
Gestión seguridad corporativa. Gestión antimalware
►Introducción a la gestión antimalware en servidores y clientes►Gestión de soluciones de seguridad
FirewallAntivirusAntiSpyware
►Monitorización de Estado de Salud
Historia del Windows Firewall
Características del Windows Firewall
Reglas del Firewall
Service Restrictions
Connection Security Rules
Authenticated Bypass Rules
Block Rules
Allow Rules
Default RulesLocal Policy
GPO
Nuevos algoritmos criptográficos
Encryption: AES-128, AES-192, AES-256Key Exchange: ECDH P-256, ECDH P-384
Nueva consola de seguridad avanzada
Por nombre de aplicación
Todos ó múltiples puertos
Todas la direcciones dentro de una subnet.
Todas las IP’s en un rango.
Todos los adaptadores wireless
Usuario de AD ó cuenta de maquina.
ICMP ó ICMP v6
Servicios
Reglas del Firewall
Cuentas y grupos del Active Directory
Direcciones Ip de Origen y Destino
Tipos de Interfaces.
Puertos TCP y UDP de Origen y Destino
Servicios
Windows Defender: Anti-Malware Integrado
►Detección Integrada, limpieza y bloqueo en tiempo real del malware:
Gusanos, virus, rootkits y spywarePara usuario Final- La gestion para empresas será un producto
separado►Además de UAC, que por supuesto nos prevendrá de
muchos tipos de malware►Integrado con Microsoft Malicious Software Removal
Tool (MSRT) eliminara viruses, robots, y troyanos durante su actualización o cada mes
►Actualizable vía Microsoft Update
Windows Defender: Securizando el equipo
www.enamoraconsulting.es
Técnicas comunes empleadas por las soluciones antivirus
Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware.
Es la técnica más extendida entre los antivirusPermite identificar el malware de forma concretaNo detecta nuevos virus ni modificacionesFilosofía reactiva, requiere actualización continua
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81
Técnicas comunes empleadas por las soluciones antivirus
Detección por localización y nombre de archivo
Técnicas comunes empleadas por las soluciones antivirus
Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware.
No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosPenalización en el rendimiento en los análisisNo detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad.
No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosEspecial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código).No detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por monitorización de comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a cabo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas.
No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosPenalización en el rendimiento del sistemaNo detecta malware con características nuevas
Técnicas comunes empleadas por las soluciones antivirus
Detección por monitorización de comportamiento
Técnicas comunes empleadas por las soluciones antivirus
Otros enfoques
Chequeo integridadComprobar la integridad de los archivos contra una base de datos (checksums, hash, …)Debe de partir de un archivo limpioFáciles de burlar (spoofing)
Control de accesoSólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil.Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.
Limitaciones de las soluciones antivirus
Facilidad de burlar los métodos de detecciónEsquema reactivo, solución a posterioriVentana vulnerable, no protegen a tiempo
Creación del malware
Distribución
Infección de las primeras víctimas
Reporte a los laboratorios AV
Actualización del AV del usuario
Publicación actualización
Desarrollo firma y pruebas
Análisis del malware
www.enamoraconsulting.es
Falsa sensación de seguridad AV (perimetrales, locales)Protocolos que no pueden ser analizados (https, …)Limitaciones de análisis en el perímetroFormatos de empaquetado y compresiónEvolución y diversificación del malware
Limitaciones de las soluciones antivirus
Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…)Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad)“Consultores” (¿consultores o distribuidores?)Premios y certificaciones (adulterados, requisitos mínimos)Comparativas (evaluación crítica, lectura de resultados)
Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)
Recursos que consume, rendimiento y estabilidadFacilidad de uso y posibilidades de configuraciónMalware que cubre (spyware, riskware, dialers,…)Funciones proactivasActualizaciones y tiempos de respuestaSoportePuesto destacado en comparativas (no de los últimos)Casuística de nuestros sistemas (probar y evaluar)Gestión centralizada, funciones corporativas
Elección de las soluciones antivirus
Elementos a tener en cuenta
Elección de las soluciones antivirus
Abrir archivos legítimos (virus)Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos)Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors)Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…)Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos)Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)
Defensa contra el software malintencionado
Origen de infecciones
Abrir archivos legítimosAbrir archivos no solicitadosIngeniería socialConfiguración débil del sistema operativoConfiguración débil de aplicaciones InternetVulnerabilidades del S.O. y aplicaciones
Defensa contra el software malintencionado
Agente fundamental en la prevención real
Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad
Defensa contra el software malintencionado
Factor humano
Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correoPolíticas de uso de portátiles, PDAs, memorias USB, acceso externoSegmentación lógica de redesPolíticas de privilegios según usuario y aplicacionesPolíticas de seguridad recursos compartidosPolíticas de backup
Defensa contra el software malintencionado
Factor S.O. y aplicaciones
Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host).Firewall perimetrales y basados en hosts (XP SP2)Política de filtrado por contenidosPolítica de acceso a la red (interna, externa)Gestión centralizada seguridadAuditorías y planes de contingencia/continuidad
Defensa contra el software malintencionado
Soluciones de seguridad y antimalware
Una solución contra spyware y protección contra virus construida sobre tecnología de protección utilizada por millones alrededor del mundo. Respuesta efectiva contra amenazas. Complementa otros productos de
seguridad Microsoft
Una consola para la administración de seguridad simplificada. Define políticas para administrar las características del agente de protección del cliente.
Implementa firmas y software más rápido y se integra con su infraestructura actual.
Un tablero para la visibilidad de amenazas y vulnerabilidades. Vista de reportes internos.
Manténgase informado con escaneo de evaluación del estado y alertas de seguridad
¿Qué hace FCS?
Network Access Protection
No Cumplela Política
1
RedRestringida
El cliente solicita acceso a la red y presenta su estado de salud actual
1
4Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4)
2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS)
5 Si cumple la política al cliente se le permite el acceso total a la red corporativa
MSFT NPS
3
Servidor de Políticas e.g. Patch,
AV
Cumple laPolítica
3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT
2
ClienteWindowsDHCP, VPN
Switch/Router
Fix UpServerse.g. Patch
Red Corporativa5
4
http://about.me/fran.icade