evolución del malware
DESCRIPTION
Charla impartida por Sergio de los Santos, de la empresa Hispasec Sistemas para el evento Asegur@it8 que tuvo lugar en Valencia.TRANSCRIPT
Malware Malware familiesfamilies… … “Lo mejor de cada casa”“Lo mejor de cada casa”
Sergio de los SantosConsultor de seguridad de [email protected]
Hispasec Sistemas S.L.Avda Juan López Peñalver, 17Edificio Centro de Empresas CEPTA, planta 3.Parque Tecnológico de Andalucía29590 Campanillas (Málaga)España
Telf: (+34) 902 161 025
Telf: (+34) 952 020 494
Fax: (+34) 952 02 86 94
¿Qué sabemos del malware?
¿Qué sabemos del malware?
¿Qué sabemos del malware?
El malware, antiguamente…
El malware, hoy…
El malware, motivaciones…
El malware, motivaciones…
Qué hay que mejorar: Distribución
El malware, motivaciones…
Qué hay que mejorar: Distribución en el tiempo
El malware, motivaciones…
Qué hay que mejorar: Gestión de recursos
El malware, motivaciones…
Qué hay que mejorar: Métodos de distribución
El malware, motivaciones…
Qué hay que mejorar: Pasar inadvertidos
El malware, motivaciones…
Qué hay que mejorar: Modularidad
El malware, motivaciones…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Sinowal: 2007-2009…
El malware, lo mejor de cada casa…
Se basan sobre todo en el pharming y sus múltiples variantes
Pharming básicoPoco detectado por los antivirus (a veces en BAT)Dependen de una infraestructura frágilSencillos de programar
Pharming básico-avanzado
Centroamérica-Sudamérica (excepto brasil): Simples pero eficaces
El malware, lo mejor de cada casa…
Pharming básico-avanzadoSe basan en la descarga del archivo hostsLa infraestructura se vuelve más robusta.El punto débil es sitio web de descarga, pero el programa puede contener varios.
Pharming avanzadoSe basan en los dominios dinámicosLa infraestructura se vuelve mucho más robustaEl punto débil es el dominio de tercer nivel
Pharming súper-avanzadoTodo queda en casa…
Se basan en programación Delphi y en la superposición
Superposición parcialSe posicionan en el navegador justo en el punto en el que les interesaSuelen monitorizar los títulos de las barras del navegador. A veces las URLPasan desapercibidos para los antivirusLos datos robados suelen enviarse por email o por web
Brasil: Son muy pesados
El malware, lo mejor de cada casa…
Los datos robados suelen enviarse por email o por web
Superposición totalSimulan por completo el navegadorA veces, está muy conseguido, no depende de que el banco modifique su página
Ni superposición ni nadaUn programa te pide las claves.
Se basan en programación avanzada en C y en la persistencia de la
infraestructura. Los mejores.
Inventaron el beagle y el sinowal
Comenzaron a eludir teclados virtuales con fotografías y vídeo
Rusos: Técnicamente innovadores
El malware, lo mejor de cada casa…
Comenzaron a eludir teclados virtuales con fotografías y vídeo
Visionarios con respecto al negocio alrededor del malware
Trabajan con el soporte velado de ISPs rusos, por lo que la infraestructura está asegurada (RBN)
Reyes del software como servicio y de las botnets
Reyes del RoguewareAntivirusShow me the money!
Rusos: Técnicamente innovadores (pero no tan ingeniosos como los españoles)
El malware, lo mejor de cada casa…
El malware, lo mejor de cada casa…
Troyano “tradicional”Un puerto abierto esperando instrucciones en la máquina víctima. No permitía al atacante gestionar de forma cómoda a muchos infectados.
IRCLos infectados caen en una sala y se les mandan comandos. Gestión cómoda.
HTTP
BOTNETS: Evolución
El malware, lo mejor de cada casa…
HTTPEl mundo se mueve en torno a la web. Paneles de control cómodos y centralizados.Kits del tipo “Do it yourself”
Web 2.0P2PTwitter
Sólo funcionan si se entiende qué función desempeñan en un sistema.
• Su verdadero nombre debería ser: “detector de cierto tipo de malware”, pero queda “feo” a la hora de vender.
Antivirus
El malware, lo mejor de cada casa…
Sólo funcionan si se entiende qué función desempeñan en un sistema.
• Su verdadero nombre debería ser: “detector de cierto tipo de malware”, pero queda “feo” a la hora de vender.
Antivirus
El malware, lo mejor de cada casa…
Los antivirus son UNA HERRAMIENTA MÁS
La protección contra el malware se consigue:
No administrador
Actualizar el sistema
Antivirus
Actualizar los programas
Mantenerse informado
Otras opciones de seguridad
Seguridad razonable
Sólo funcionan si se entiende qué función desempeñan en un sistema.
• Su verdadero nombre debería ser: “detector de cierto tipo de malware”, pero queda “feo” a la hora de vender.
Antivirus
El malware, lo mejor de cada casa…
El malware, lo mejor de cada casa…
El malware, lo mejor de cada casa…
El malware, lo mejor de cada casa…
Hispasec