Avances tecnológicos del siglo XXI y ejemplos de estos
Evolución del Malware
1. AYER Y HOY DE AMENAZAS Y
SOLUCIONES. LOS VIRUS MUTAN… EN
COSAS MUCHO MÁS PELIGROSAS.
2. Etapas de la evolución de las amenazas
Lógica subyacente en esta evolución:
3. Etapas de la evolución de las amenazas
Lógica subyacente en esta evolución:
4. Etapas de la evolución de las amenazas
Lógica subyacente en esta evolución:
“Hegel introdujo un sistema para entender la historia de la filosofía y
el mundo mismo, llamado a menudo “dialéctica”: una progresión en
la que cada movimiento sucesivo surge como solución de las
contradicciones inherentes al movimiento anterior “
Tesis-Antitesis-Síntesis.
5. Etapas de la evolución de las amenazas
1 ª Etapa
• Un número “reducido” de amenazas.
• Capacidad de propagación “Lenta”.
• Motivaciones variopintas.
• Firmas de virus.
6. Etapas de la evolución de las amenazas
2 ª Etapa
• Número de amenazas en claro crecimiento.
• Capacidad de propagación se convierte en letal. Las Brechas de Oportunidad son críticas.
• Tecnologías Heurísticas
7. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
8. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
9. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
10. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
11. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
• El ruido.
12. Etapas de la evolución de las amenazas
3 ª Etapa
• Siguen Creciendo el número de amenazas. Permutaciones de código.
• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
• El ruido.
• Las máquinas virtuales.
13. Etapas de la evolución de las amenazas
4 ª Etapa
• El limite de una tecnología. El rendimiento.
• El análisis de solo lo que puede ser peligroso.
• Cibercrimen.
• http://qscan.bitdefender.com
14. Estadísticas de Malware
• El presente informe está basado en los datos recibidos mediante el módulo RTVR (Real Time
Virus Reporting) de BitDefender y estadísticas Oficiales estatales.
• Se trata de un módulo integrado en nuestras soluciones para disminuir al máximo el tiempo de
respuesta frente a nuevas amenazas
• BitDefender cuenta con unos 20 millones de sensores repartidos en 180 paises.
15. Malware : Definición
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en
un sistema
• No se considera malware:
3. Hoax
16. Malware : software malintencionado
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas
en un sistema
• No se considera malware:
3. Hoax
4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como
una broma
17. Malware : software malintencionado
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas
en un sistema
• No se considera malware:
3. Hoax
4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como
una broma
5. Spam
18. Malware : software malintencionado
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas
en un sistema
• No se considera malware:
3. Hoax
4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como
una broma
5. Spam
6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias.
19. Malware : software malintencionado
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas
en un sistema
• No se considera malware:
3. Hoax
4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como
una broma
5. Spam
6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias.
7. Adware
20. Malware : software malintencionado
• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas
en un sistema
• No se considera malware:
3. Hoax
4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como
una broma
5. Spam
6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias.
7. Adware
8. Cookies
21. Troyanos
a) Troyanos de acceso remoto: permiten al atacante o ladrón de datos hacerse con el
control de un sistema de forma remota
b) Rootkits: es una herramienta, o un grupo de ellas que tiene como finalidad
esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de
registro y puertos.
22. Incidencias de seguridad en España
Más del 85% de los equipos analizados tenían amenazas activas
24. Ranking de países origen de ataque
POSICION PAIS % EN EL TOTAL NUMERO DE ATAQUES
1 CHINA 75,00%
2 EEUU 7,00%
3 HOLANDA 3,20%
4 ALEMANIA 1,90%
5 RUSIA 1,80%
6 LETONIA 1,50%
7 INGLATERA 1,10%
8 UCRAINA 1,00%
9 CANADA 0,60%
10 ISRAEL 0,50%
11 OTROS 6,20%
25. Top países atacados
POSICION PAIS % ATAQUES
1 CHINA 54,00%
2 EGIPTO 15,00%
3 TURQUIA 3,00%
4 INDIA 2,00%
5 EEUU 1,70%
6 VIETNAM 1,50%
7 RUSIA 1,40%
8 MEXICO 1,30%
9 ARABIA SAUDI 1,20%
10 ALEMANIA 1,00%
11 OTROS 17,90%
26. Evolución de las amenazas en la Red
COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008
A lo largo del pasado 2008, los usuarios de Internet tuvieron que enfrentarse a una cifra
aproximada de 20.000 nuevos y mutados virus diarios, casi 50.000 intentos de phishing por
mes y más de 1.000.000 de equipos infectados y utilizados para expandir bots, rootkits y troyanos,
entre otro tipo de malware.
Más del 80% de malware distribuido por todos los países del mundo pertenece a la familia de los
troyanos
Las 3/4 partes de estos troyanos continúan teniendo complejos mecanismos de actualización,
son muy “sigilosos” a la hora de la carga y descarga de datos y, además, realizan funciones de
spyware y rootkit
El nivel de amenazas basadas en Web se ha incrementado en un 460%
Se ha triplicado en volumen de vulnerabilidades JavaScript vía SQL
28. Evolución de las amenazas en la Red
COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008
Los acontecimientos mundiales más utilizados como excusa para propagar malware han sido:
la crisis financiera mundial, el conflicto entre Iran y Estados Unidos, Los Juegos Olímpicos y las
elecciones norteamericanas.
El texto sin formato continúa siendo el preferido a la hora de enviar spam, llegando a ser el 80%
de los casos a finales de 2008, mientras que el spam con imágenes se ha encontrado tan sólo en
un 1,5%.
El spam con adjuntos infectados o links que redirigen a páginas donde se insta al usuario a
descargarse programas maliciosos, se ha incrementado en un 400%
El 5% de spam con phishing incluye adjuntos HTML que sustrajeron datos críticos vía scripts
PHP (en el primer semestre de 2008, representaba únicamente el 1%)
Los spammers centraron su atención en los mecanismos de confirmación de recepción de
mensajes como método para incrementar la eficacia del spam
29. Evolución de las amenazas en la Red
COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009
Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo
electrónico
Las vulnerabilidades cada vez más se utilizan en la distribución de malware
Top aplicaciones vulnerables:
Adobe Flash Player
Real Player
Adobe Acrobat Reader
Microsoft Office
30. Evolución de las amenazas en la Red
COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009
Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo
electrónico
Las vulnerabilidades cada vez más se utilizan en la distribución de malware
Top aplicaciones vulnerables:
Adobe Flash Player
Real Player
Adobe Acrobat Reader
Microsoft Office
31. Evolución de las amenazas en la Red
COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009
Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo
electrónico
Las vulnerabilidades cada vez más se utilizan en la distribución de malware
Top aplicaciones vulnerables:
Adobe Flash Player
Real Player
Adobe Acrobat Reader
Microsoft Office
La mayoría de las familias de amenazas están sufriendo mutaciones y actualizaciones,
dirigidas a aumentar su sigilo y automatizar sus mecanismos de propagación
Está creciendo la utilización de aplicaciones cuyo objetivo es el de aprovecharse de
Vulnerabilidades para el robo de contraseñas
Se incrementan el phishing.
32. Evolución de las amenazas en la Red
COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009
Existe un gran crecimiento y evolución de las amenazas que están teniendo en cuenta la
evolución de Web 2.0. La mayoría de las aplicaciones Web 2.0 seguirá orientándose a Redes
Sociales.
Recientemente se diseñó un sitio falso para que fuese casi idéntico a Facebook y que contenía
un falso vídeo de YouTube. Cuando el usuario quería acceder al vídeo se le requería descargar
una aplicación llamada “Adobemedia11.exe” que no era más que un troyano cuyo objetivo era el
de sustraer contraseñas. Esta amenaza monitorizaba los detalles de autentificación FTP, ICQ,
POP3 (Correo) y robaba información de aplicaciones como Outlook Express, MSN Explorer y la
función de autocompletado de Internet Explorer.
33. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: GUSANO DOWNADUP / CONFICKER
HISTORIAL DOWNADUP
El gusano Downadup (también conocido con Conficker o Kido) fue detectado por primera vez en
los laboratorios de BitDefender en noviembre de 2008 y en esos momentos utilizaba una
vulnerabilidad de Microsoft para propagarse por la red e instalar un falso software de seguridad.
Más tarde, a finales de diciembre del mismo año, se detectó otra versión con unos métodos de
propagación mejorados y nuevas rutinas de actuación.
Actualmente este gusano se propaga a través de medios de almacenamiento masivo USB y
parchea funciones de TCP para bloquear el acceso a las páginas web de fabricantes antivirus y a
las actualizaciones de Windows.
34. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER
Los sistemas infectados con este gusano son propensos a infectarse con más malware e incluso
este mismo gusano puede llegar a mutar en el sistema (y, de hecho, lo hace).
Al mismo tiempo se puede producir un incremento en el tráfico de red por los repetidos intentos de
infección hacia los demás equipos de la red.
La pérdida de información no es preocupante en estos casos, pero sí lo es la posibilidad de robo,
pues el gusano puede descargar módulos adicionales desde Internet y enviar datos confidenciales
hacia sus creadores.
El gusano Downadup tiene la capacidad de convertir a los equipos infectados en zombies.
Su propagación es rápida y agresiva, con un alto impacto en usuarios finales y empresas
35. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER
Vectores de ataque
Downadup es un gusano que utiliza más de un vector de ataque:
Las unidades mapeadas contienen un archivo de configuración autorun.inf que ordena a los
equipos visitantes ejecutar el gusano oculto
Mediante discos extraíbles utilizando el mismo fichero autorun.inf
Intentando acceder a las cuentas de administrador en equipos de la misma red a la fuerza. Es
decir, probando diferentes contraseñas con un bajo nivel de seguridad para la misma cuenta de
administrador
Además procura bloquear intentos de desinfección de la siguiente manera:
Desactiva las actualizaciones de Windows
Bloquea las conexiones a los servidores antivirus (bloqueando así el acceso a las
actualizaciones de firma y a las herramientas de desinfección disponibles en Internet)
36. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER
Vectores de ataque
La API utilizada para evitar emulación pertenece a funciones matemáticas que están ubicadas
dentro de una librería matemática de Windows. Por ejemplo, funciones de computación
trigonométrica. Estas funciones son poco utilizadas por los programas habituales.
Para bloquear los dominios de fabricantes de software de seguridad, el gusano utiliza unas
palabras clave. En caso de que alguna de las palabras se detecte la conexión a la página fallará
mostrando el mensaje “Tiempo de espera agotado”. La lista de palabras clave utilizadas es la
siguiente:
* Virus * Panda * Drweb * gdata * emsisoft •avg.
* spyware * Etrust * Centralcommand * hacksoft * arcabit * vet.
* malware * Networkassociates * Ahnlab * hauri * cpsecure * bit9.
* rootkit * Computerassociates * Esafe * ikarus * spamhaus * sans.
* defender * f-secure * Avast * k7computing * castlecops * cert.
* Microsoft * kaspersky * Avira * norman * threatexpert * avp.
* symantec * jotti * quickheal * pctools * wilderssecurity *Sunbelt
* norton * f-prot * comodo * prevx * windowsupdate * Fortinet
* mcafee * nod32 * clamav * rising * nai. * Grisoft
* trendmicro * eset * ewido * securecomputing * ca. * sophos
37. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER
Vectores de ataque
El gusano genera una lista de 250 dominios diarios donde conectarse y buscar actualizaciones
de sus rutinas. El algoritmo que utiliza para generar estos nombres de dominio se basa en la
fecha y hora actual, conectándose primero a una página para recopilar estos datos. Ejemplos de
nombres de dominio generados:
* opphlfoak.info
* mphtfrxs.net
* hcweu.org
* tpiesl.info
* bmqyp.com
* aqnjou.info
* kxxprzab.net
Se espera que algunos de estos dominios contengan otros programas maliciosos.
Este gusano es esencialmente un downloader extremadamente viral, que, antes o después,
comenzará a descargar lo que se convertirá en un bot. Por ejemplo, creando un botnet que
comienza a obedecer comandos desde un controlador remoto.
38. Evolución de las amenazas en la Red
EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER
COMO SOLVENTAR LA INFECCIÓN
Buscar el proceso y, si está en memoria, terminarlo
Obtener permisos de sistema para poder desinfectarlo
Eliminar el virus de su ubicación habitual
Realizar un escaneo en otras carpetas donde podría esconderse, y eliminarlo en caso de que
se encuentre
Eliminar las claves de registro que el gusano añadió para ejecutarse con el inicio del sistema
Restaurar las actualizaciones de Windows
http://bdtools.net
39. Evolución de las amenazas en la Red
Situación de las empresas frente al malware
Los fabricantes de seguridad nos encontramos con que pequeñas y medianas empresas están
incrementando su riesgo debido a que muchas de ellas no tienen el nivel de seguridad necesario
para hacer frente a los vectores que se están utilizando en la actualidad para infectar las redes.
Amenazas como el gusano Conficker pueden infectar a millones de equipos, muchos de ellos
en las redes empresariales mediante múltiples vectores de infección.
Este tipo de amenazas no suelen tenerse en cuenta a la hora de configurar la red de pequeñas
empresas.
Una empresa puede infectarse por el gusano Conficker sin necesidad de estar conectada a
Internet. Un empleado que se haya conectado e infectado mediante un equipo externo a la
empresa, puede traer el gusano consigo, sin saberlo, entre los documentos contenidos en un
dispositivo USB que infectará la red.
Los cibercriminales pueden obtener datos críticos de forma rápida y sencilla una vez que se han
infiltrado en la red. Troyanos y adware pueden recolectar números bancarios, detalles de las
tarjetas de crédito u otro tipo de cuentas (mensajería instantánea, redes sociales o juegos online)
cuando el usuario utiliza el teclado, o pueden reunir información del equipo como la versión del
sistema operativo que utiliza, características del hadware o licencias de software.
40. Evolución de las amenazas en la Red
Situación de las empresas frente al malware
Toda esta información es susceptible de ser vendida y utilizada con propósitos de
monitorización a la hora de desarrollar nuevos métodos de ataques de phishing que creen estafas
orientadas hacia un público determinado, utilizando internet como vía de propagación.
Los phishers crean web falsas, copias idénticas visuales de entidades legítimas, construidas con
el único propósito de robar las credenciales de acceso del usuario o engañarle para que
descargue aplicaciones en su equipo. Las víctimas son invitadas a dichas webs a través de
mensajes de spam enviados vía equipo infectado.
41. Evolución de las amenazas en la Red
Servicios en la nube
La nube aún tiene un largo camino por recorrer, sobre todo, en lo que se refiere a inversión
necesaria para su implementación, así como en cuestiones tan delicadas como la confidencialidad
y seguridad de los datos gestionados.
Los servicios en la nube (SaaS) son especialmente útiles para aquellas pymes que deseen
confiar a terceros la infraestructura de su centro de datos, o en el caso de corporaciones que
quieran ampliar su capacidad de procesamiento a un menor coste.
Un proveedor de servicio, una plataforma de hardware y una versión de software siendo
utilizada por diferentes compañías puede suponer diferentes brechas y fallos en el servicio que
ofrezca el proveedor.
Cuanta más popularidad e implementación tenga el concepto de la nube, las plataformas de
servicios se convertirán cada vez más en el objetivo de los cibercriminales.
Cuanto más se rompa el perímetro de la red, más probabilidades hay de ser víctima de un ataque
42. Evolución de las amenazas en la Red
Seguridad en la nube
Los factores más importantes de una solución de seguridad en la nube es su escalabilidad, el
menor consumo de recursos que deja y la facilidad en su administración.
No necesita la descarga de ningún motor ni depende de actualizaciones
Los motores de análisis están alojados en los servidores
No consume gran cantidad de recursos ni ancho de banda
http://qscan.bitdefender.com.