12:45 Protección ante los nuevos códigos maliciosos y otras

Transcripción

Protección ante los nuevos códigos
maliciosos y otras amenazas
Angel Castellanos
Director de Administración Pública
[email protected]
Seminario
Administración electrónica
en Defensa y Seguridad
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Trend Micro Overview
• Establecida en USA en 1988
• Sede Central en Tokio y California, con 23 subsidiarias
• Foco Único : Antivirus , Anti-SPAM y Control de
Contenidos maliciosos (Más de 1.900 empleados a
nivel mundial)
• Equipos de Investigación y Desarrollo de Vacunas
alrededor del mundo (5 TrendLabs)
• Facturación 2004 US$ 587,4 millones
• Cotización en bolsa:
– Mercado de Acciones Japonés (4704)
– Nasdaq (TMIC)
Innovacion Global: Una Historia de Pioneros
Copyright 2004 Trend Micro, Inc.
Situación del mercado
• Las amenazas, los virus, siguen evolucionando: sin embargo, la
mayoría de los antivirus no.
• Cada vez pasa menos tiempo desde que se anuncia la
existencia de una vulnerabilidad hasta que aparece una
amenaza que la aprovecha.
• Eliminar los virus es cada vez más difícil y requiere más
recursos.
• La navegación de Internet (HTTP) y los programas espía se han
convertido en una de las principales amenazas.
• El Phishing esta creciendo en España +12 casos de Bancos
Españoles en 2005.
• El Spam un problema que no para de crecer, + 65% del todo el
correo de Internet es Spam.
Aumento del código malicioso (1990 – 2004)
Aumento del código malicioso
90,000
85,000
90.000
80.000
73,000
70.000
60,000
60.000
48,000
38,000
50.000
40.000
30.000
18,000
20.000
10.000
10,000
183 1,000 5,000
0
1990
1991
Virus arranque
1994
1996
Infectores de
ficheros
1998
1999
2000
Macrovirus
2001
2002
2003
Virus email
2004
Virus de red
Virus de móviles (2004-2005)
20 de junio de 04
4 de abril 05
7 de marzo 05
17 de julio de 2004
29 de diciembre 04
5 de agosto 04
1 de febrero 05
12 de agosto 04
21 de noviembre 04
8 de marzo 05
6 de abril
05
Mabir
Comwar
Velasco
Cabir
Fontal
Skulls
Dampig
Qdial
Win CE
DUTS
Locknut
(Gavno)
Win CE
BRADOR
= Symbian OS (Nokia, etc)
= Windows CE (HP, etc)
Potenciales vías de infección en los Teléfonos
•
•
•
•
•
Insertar una tarjeta de almacenamiento infectada
Al sincronizar un PC con un Smartphone pasan a éste los
archivos infectados
Descargar archivos infectados de internet a un Smartphone
Navegar por WAP por enlaces “sucios” que contengan ficheros
infectados
Infectarse un teléfono inteligente de otro

•
Ejemplo: el virus Cabir se transmitió a través de Bluetooth en
dispositivos sirviéndose del sistema operativo Symbian
Trend Micro Mobile Security protege los teléfonos moviles
con sistemas operativos: Symbian S60 y 7.0, Windows
Mobile for Pocket Pc y Windows Mobile for Smartphone
Más Amenazas – Mayor Velocidad
Nivel de los Códigos Maliciosos
Virus/Worm
Threat Meter
Phishing Threat
Meter
Spam Threat
Meter
Network Worm
Threat Meter
New Threat Meter –
SPIM/VoIP/Wireless
Spyware Threat
Meter
Las Amenazas vía Web se están Multiplicando
•
•
•
•
•
•
Spyware
Grayware
Adware
Keyloggers
Pharming
Phishing
Phishing.org Info
Spyware: ¿Qué hace?
•
•
•
•
Rastrea los sites visitados
Monitoriza las pulsaciones de teclas
Escanea y lee las cookies
Envía la información a terceras partes
• Nos Bombardea con Pop-ups
• Nos Cambia la configuración del browser
• Crea iconos y links no deseados en nuestro
desktop
El Problema del Spyware
• La 4ª mayor amenaza de seguridad de red empresarial*
• El 67% de los equipos (pricipalmente consumers) tienen algún
tipo de spyware*
• El Spyware genera beneficios – Por lo que va a permanecer
• No todo el spyware es extrictamente ilegal
Total patrones detectados de Spyware = 34,957
Spyware
No importa como se
le quiera llamar…
Keyloggers
Grayware
Dialers
Adware
Los Usuarios no lo quieren!
* Source: IDC 2004
Estrategia antispyware de Trend Micro
Gateway:Bloqueo del spyware bajado en Tiempo Real
Bloqueo del acceso a URLs con Spyware conocidas
Desktop/Server
Bloqueo en la instalación o carga en Tiempo Real,
Escaneo, detección y eliminación del disco
Potencial
Impacto
en
los
negocios
•
•
•
•
•
Compromete la seguridad corporativa
Problemas Legales por el uso de los datos de clientes
Reduce el rendimiento y la estabilidad de los sistemas
Reduce la productividad de los empleados
Aumenta el trabajo de los Helpdesk de IT
Nuevas amenazas
• Un gusano:
“Un gusano informático es un programa completo capaz de
propagar copias completas o parciales de sí mismo a otros
sistemas informáticos”.
• Gusano de red:
Ejecuta un proceso en la RAM
Puede modificar el registro y/o los archivos INI.
Infecta por difusión, más que simplemente pasando de un sistema
a otro.
Se sirve de los equipos infectados para inundar la red.
Descarga aplicaciones de puerta trasera a través de HTTP
No se puede detener con los antivirus tradicionales basados en
aplicaciones.
No puede limpiarse mediante herramientas de limpieza de antivirus
tradicionales.
Virus Gusanos de red (2001-2005)
18 de julio de 2001
18 de sept. de 2001
24 de enero de 2003
11 de agosto de 2003
1 de mayo de 2004
13 de Agosto 2005
?
Worm_Zotob.a
Nimda
CodeRed
Slammer
Nachi
MSBlast
Sasser
Ventana de Riesgo de las amenazas tras
anunciar una vulnerabilidad
Parche: MS04-011
13 de abril de 200430 abr, 2004
Ventana de
Riesgo
17 días
Sasser.A
Parche: MS03-026
16 de julio de 2003
MSBlaster.A
Virus
Parche de
Microsoft
y fecha
Parche: MS02-039
24disponibilidad
de julio de 2002
Fecha ataque
del virus
MS05-039
09/08/2005
13/08/2005
Worm_Zotob.a
Slammer
26 días
Ventana de
riesgo
25 de enero de 2003
Parche: MS00-078
17 de octubre de 2000
185 días
4 Días
18 de sept. de 2001
336 días
Nimda
Los clientes necesitan un sistema de prevención y contención de infecciones.
DEFENSA ACTIVA ANTE NUEVOS ATAQUES:
ENTERPRISE PROTECTION STRATEGY
E
P S
Enterprise Protection Strategy
COMPONENTES DE EPS
TMCM
CONSOLA DE GESTION
DE SERVICIOS EPS
OPP
DCS
TMVA
PANTILLA DEL LABORATORIO
DE TREND PARA PARAR EL
VIRUS SIN PATRON
PATRON DE LIMPIEZA DEL
CÓDIGO DEL VIRUS EN EL PC
SERVICIOS DE CHEQUEO
DE VULNERABILIDADES
EN LOS ´PC´S
Enterprise Protection Strategy (EPS)
Enterprise Protection Strategy: Gestión Proactiva del ciclo de vida de una Epidemia
Código de
ataque
malicioso
Prevención de vulnerabilidad
VA Pattern # 10
Código de ataque
eliminado
Prevención del brote
Respuesta del virus
OPP #110
OPR #879
Evaluación
Restauración
DCT # 331
TREND MICRO CONTROL MANAGER
Trend Micro
Evaluación de Vulnerabilidad
Servicios
Prevención de Epidemia
Servicios
Respuesta de Virus
Servicios de limpieza
de infección
Productos Trend Micro
Antivirus y Seguridad de contenidos
NVW Signature Rule
# 10124
Trend Micro Network VirusWall
Network Aplicación Gestión
Nivel De la Epidemia
Nivel
Vulnerabilidad
descubierta
CASO PRACTICO
VIRUS DE ALERTA AMARILLA
WORM_WURMARK.J
WORM_ZOBOT.A
¿Que es Trend Micro Control Manager?
Trend Micro Control Manager es una consola de gestión de los
producto de antivirus de Trend Micro, multiplaforma y de servicios de
EPS.
Messaging
Gateway
Trend Micro
Control Manager
File Server
Corporate
Desktops
Monitoriza y da report de la
actividad de seguridad
Actualizada patrones de
virus,scan engines y todas las
otras actualizaciones de
software de cada productos
que esta enlazado a la TMCM
Gestiona grupo de productos
o productos individuales
Gestiona los Servicios de
EPS (OPP, DCS y TMVA)
NetWorVirusWall
Plantilla de Outbreak Prevention OPP
Prevenir la extensión
de este gusano,
TREN MICRO
entregó una política
de prevención de
epidemia que dirigió
a los productos de
Trend Micro:
•
•
Bloqueo del puerto
TCP 9996 y 5554
Bloqueo del archivo
avserve.exe
Outbreak Prevention Services OPP
Consola de Control Manager
ANTE
RUNNING HEADER, 14 PT., DEFENSA
ALL CAPS, LineACTIVA
Spacing=1 line
NUEVOS ATAQUES:
VENTAJAS EPS
•
•
•
•
•
•
Política de defensa coordinada para parar y mitigar los ataques de amenazas mixtas
Aplicación de políticas consistente y coordinada – OPS
Rápida respuesta a las amenazas– Servicio de Prevención de Epidemias y SLA antivirus
Capacidad de transmitir la experiencia de Trend Micro
Recomendadicón de políticas de los expertos en antivirus y seguridad de contenidos– OPS,
DCS (Servicios de Limpieza de daños).
Añadir capas adicionales de protección
Flexibilidad para cambiar políticas y desarrollarlas para ajustarse a las preferencias de
seguridad – OPS
– Solaris, Windows, Linux – OPS, Trend Micro Control Manager (TMCM)
Disminuir la vulnerabilidad de las empresas
Encuentra y elimina códigos maliciosos que mantienen las redes abiertas a los ataques-DCS
Reduce costes
Coordinación simplificada en departamentos y regiones durante las epidemias– OPS, TMCM
Reduce los costes asociados a la limpieza manual de los entornos – DCS
Aumento de la visibilidad y del ROI en seguridad
Funciones de Comando central (“Command center”) con TMCM, para ayudar a gestionar la
efectividad de la seguridad en tiempo real.
Luchar contra el Spyware
InterMute es ahora una parte de Trend Micro
• Reconocida empresa antiSpyware
•La adquisición de InterMute reforzará aún
más nuestra capacidad para cumplir con
nuestra estrategia anti-software espía y su
tecnología y productos son totalmente
complementarios con los nuestros.
Luchar contra el Spam/Phishing
Kelkea es ahora una parte de Trend Micro
Las avanzadas tecnologías de
servicios de reputación y filtrado de IP
combinadas con la experiencia en
seguridad de Trend Micro acelerará la
capacidad para combatir nuevas
amenazas
Kelkea is now part of Trend Micro
“Hacer un
Mundo
SEGURO para
el intercambio
de información
digital”
MUCHAS GRACIAS POR SU ATENCIÓN
¿ALGUNA PREGUNTA?
WORM_WURMARK.J
TrendLabs
11 mayo de 2005
WORM_WURMARK.J Resumen
Gusano residente en memoria que se propaga por correo electrónico.
Cuando se ejecuta deja una copia de sí mismo en la carpeta del
sistema de Windows utilizando un nombre de fichero aleatorio.
También deja un fichero DLL (Dynamic Link Library) con un nombre
aleatorio en la carpeta del sistema de Windows, que es un componente
de un IESpy, un programa de spyware o software espía. Esta es la
primera vez que se ha identificado un gusano que contiene un
programa comercial de spyware.
WORM_WURMARK.J tiene capacidad de capturar las pulsaciones del
teclado del ordenador. Guarda los datos tecleados por el usuario en un
archivo DLL de nombre aleatorio que ha dejado en el ordenador
infectado.
Además, deja varios archivos zip en la carpeta de sistema de Windows
como archivos adjuntos de correo electrónico.
Propagación vía correo electrónico
Muestra del correo que envía el gusano:
Dirección del remitente
falsificada
Dirección del receptor reunida
de archivos y libretas de
direcciones en discos locales
El fichero adjunto que envía
es un .ZIP
Los receptores pueden ser
engañados para que abran el
archivo adjunto malicioso
Asunto :girls (entre otros
muchos asuntos posibles
similares).
OPP (Política de
Prevención de Epidemias)
174 bloquea el correo con
estos archivos adjuntos.
Instalación del malware : modificaciones
en el registro
El resgistro del sistema es un depósito de información relativa al
hardware y la configuración del sistema y de las aplicaciones.
Este malware crea esta entrada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name without extension} = "{malware file name}"
Esta modificación en el registro asegura que el
malware se ejecute en cada inicio del
sistema.
DCT (Plantilla de limpieza de daños)
596 borra esta entrada del
registro.
Comportamiento del malware: envío masivo
En las comunicaciones de datos, hay dos cosas de la mayor
importancia:
1.
Información
2.
Ancho de banda de la red
Se realizan conexiones no deseadas con
ciertos servidores SMTP.
Los gusanos de envío masivo, como WORM_WURMARK.J,
envían los emails en masa y, por tanto, consumen una
gran cantidad de ancho de banda que las empresas
necesitan para llevar a cabo sus negocios.
Los sistemas infectados pueden
experimentar dificultades en recibir y
enviar correos debido a el gran
tráfico de red que genera el gusano.
La red funciona con mayor lentitud.
También utiliza este método para propagarse vía email:
1.
A través de su propio motor SIMPLE MAIL TRANSFER
PROTOCOL (SMTP) : no necesita de programas de
correo como Outlook para propagarse.
Comportamiento del malware: consecución
de direcciones de email
Este códido malicioso reúne direcciones de libros de direcciones
y de ficheros con ciertas extensiones de discos duros
locales por dos razones principales:
1.
De esta forma puede conseguir una amplia lista de
correos a los que autoenviarse.
2.
Para conseguir una base de datos que puede utilizar para
falsificar la dirección de correo en el campo “De:” de los
correos electrónicos que envía para propagarse.
Este malware envía correos con direcciones falsificadas, junto
con el archivo adjunto, a todas las direcciones que
consigue.
Los receptores pueden abrir el archivo adjunto del gusano, sin
que lleguen a sospechar de él, pensando que viene de un
amigo o un pariente.
Comportamiento del malware: deja un archivo
Este código malicioso o malware deja una archivo DLL nombrado
de forma aleatoria, que es un componente de IESpy, un
programa de spyware o software espía y que es detectado
por Trend Micro como TSPY_AGENT.C. Este programa de
spyware permite capturar las pulsaciones realizadas en el
teclado del ordenador
Para ello crea un archivo DLL que registra y guarda los datos
reunidos por sus rutinas de capturar las pulsaciones
realizadas en el teclado de los sistemas que ha infectado.
La presencia de este archivo podría indicar que ya hay una
infección.
DCT (la Plantilla de limpieza de daños) 596 borra el archivo
que deja.
Worm_Zobot
TrendLabs
13 Agosto de 2005
Worm_Zobot - las acciones para la infección
• Scanea direcciones IP de máquinas vulnerables
• Accede a un sitio FTP para bajarse una copia de si
mismo
• Se conecta a un IRC Server/Channel para recibir
comandos
• Modifica el registro del sistema
• Modifica el fichero HOSTS
• Crea las mutaciones B-O-T-Z-O-R
• En windows NT, desactiva la conexión compartida
del Firewall e Internet
Worm_Zotob.a Solución: Paso 1
Identify which machines not patched by TMVA
Trend Micro
Vulnerability
Assessment
Tarea de Análisis
SERVICIOS DE
CHEQUEO DE
VULNERABILIDADES
EN LOS ´PC´S
Switch/Hub
Client/Servers
Use InterScan Messaging Security Suite
ScanMail Bloquea los
to block virus entry
adjuntos en el correo
Worm_Zobot
InterScan Messaging Security Suite
(for SMTP)
InterScan Web Security Suite
(for HTTP and FTP)
Bloquea el archivo en el Gateway
OfficeScan Bloquea el
archivo en cuanto
llegue al PC.
Use el Network VirusWall para bloquear
DDoS + El exploit de la vulnerabilidad
+ aisle los PC´s sin parchear
Network VirusWall El monitor de
Epidemias de red puede aislar los
Pc´s que están realizando ataques
de DDos desde el comando IRC
Worm_Zobot
OfficeScan Puede bloquear los puertos
TCP 445/33333/8080 para prevenir los
ataques del virus
Para más información diríjase a:
http://es.trendmicroeurope.com/enterprise/vinfo/encyclopedia.php?VName=WORM_WURMAR
K.J
TrendLabs HQ
Trend Micro Incorporated
http://www.trendmicro.com

12:45 Protección ante los nuevos códigos maliciosos y otras

Transcripción

Documentos relacionados

La educación on line. Una alternativa posible.