Protección ante los nuevos códigos maliciosos y otras...

Copyright 2005, Trend Micro

Protección ante los nuevos códigosmaliciosos y otras amenazas

Angel CastellanosDirector de Administración Pú[email protected]

SeminarioAdministración electrónica

en Defensa y Seguridad


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineTrend Micro Overview

• Establecida en USA en 1988• Sede Central en Tokio y California, con 23 subsidiarias• Foco Único : Antivirus , Anti-SPAM y Control de

Contenidos maliciosos (Más de 1.900 empleados a nivel mundial)

• Equipos de Investigación y Desarrollo de Vacunas alrededor del mundo (5 TrendLabs)

• Facturación 2004 US$ 587,4 millones• Cotización en bolsa:

– Mercado de Acciones Japonés (4704)– Nasdaq (TMIC)


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line

Copyright 2004 Trend Micro, Inc.

Innovacion Global: Una Historia de Pioneros


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineSituación del mercado

• Las amenazas, los virus, siguen evolucionando: sin embargo, la mayoría de los antivirus no.

• Cada vez pasa menos tiempo desde que se anuncia la existencia de una vulnerabilidad hasta que aparece una amenaza que la aprovecha.

• Eliminar los virus es cada vez más difícil y requiere másrecursos.

• La navegación de Internet (HTTP) y los programas espía se hanconvertido en una de las principales amenazas.

• El Phishing esta creciendo en España +12 casos de Bancos Españoles en 2005.

• El Spam un problema que no para de crecer, + 65% del todo el correo de Internet es Spam.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineAumento del código malicioso (1990 – 2004)

Virus arranqueInfectores de

ficheros Macrovirus Virus email Virus de red

183 1,000 5,00010,000

18,000

38,00048,000

60,000

73,000

85,00090,000

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000

1990 1991 1994 1996 1998 1999 2000 2001 2002 2003 2004

Aumento del código malicioso



Mabir

Win CE DUTS

Win CE BRADOR

Virus de móviles (2004-2005)

29 de diciembre 041 de febrero 05

Locknut (Gavno)

Velasco

21 de noviembre 04

Skulls

20 de junio de 04

Cabir

17 de julio de 2004

5 de agosto 04

= Symbian OS (Nokia, etc)

= Windows CE (HP, etc)

8 de marzo 05

Comwar

7 de marzo 05

Dampig

12 de agosto 04

Qdial

4 de abril 05

Fontal

6 de abril05


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePotenciales vías de infección en los Teléfonos

• Insertar una tarjeta de almacenamiento infectada• Al sincronizar un PC con un Smartphone pasan a éste los

archivos infectados• Descargar archivos infectados de internet a un Smartphone• Navegar por WAP por enlaces “sucios” que contengan ficheros

infectados• Infectarse un teléfono inteligente de otro

Ejemplo: el virus Cabir se transmitió a través de Bluetooth en dispositivos sirviéndose del sistema operativo Symbian

• Trend Micro Mobile Security protege los teléfonos movilescon sistemas operativos: Symbian S60 y 7.0, Windows Mobile for Pocket Pc y Windows Mobile for Smartphone


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineMás Amenazas – Mayor Velocidad


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNivel de los Códigos Maliciosos

Virus/Worm Threat Meter

Network WormThreat Meter

Spam ThreatMeter

Spyware ThreatMeter

Phishing ThreatMeter

New Threat Meter –SPIM/VoIP/Wireless



• Spyware• Grayware• Adware• Keyloggers• Pharming• Phishing

Phishing.org Info

Las Amenazas vía Web se están Multiplicando



• Rastrea los sites visitados• Monitoriza las pulsaciones de teclas• Escanea y lee las cookies• Envía la información a terceras partes

• Nos Bombardea con Pop-ups• Nos Cambia la configuración del browser• Crea iconos y links no deseados en nuestro

desktop

Spyware: ¿Qué hace?



• La 4ª mayor amenaza de seguridad de red empresarial*• El 67% de los equipos (pricipalmente consumers) tienen algún

tipo de spyware*• El Spyware genera beneficios – Por lo que va a permanecer• No todo el spyware es extrictamente ilegal

* Source: IDC 2004

Spyware Keyloggers

DialersAdware

Grayware

No importa como se le quiera llamar…

Los Usuarios no lo quieren!

El Problema del Spyware

Total patrones detectados de Spyware = 34,957



Gateway:Bloqueo del spyware bajado en Tiempo RealBloqueo del acceso a URLs con Spyware conocidas

Desktop/ServerBloqueo en la instalación o carga en Tiempo Real,

Escaneo, detección y eliminación del disco

Estrategia antispyware de Trend Micro



• Compromete la seguridad corporativa• Problemas Legales por el uso de los datos de clientes• Reduce el rendimiento y la estabilidad de los sistemas• Reduce la productividad de los empleados• Aumenta el trabajo de los Helpdesk de IT

Potencial Impacto en losnegocios


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNuevas amenazas

• Un gusano: “Un gusano informático es un programa completo capaz de propagar copias completas o parciales de sí mismo a otrossistemas informáticos”.

• Gusano de red:Ejecuta un proceso en la RAMPuede modificar el registro y/o los archivos INI. Infecta por difusión, más que simplemente pasando de un sistemaa otro.Se sirve de los equipos infectados para inundar la red. Descarga aplicaciones de puerta trasera a través de HTTPNo se puede detener con los antivirus tradicionales basados en aplicaciones. No puede limpiarse mediante herramientas de limpieza de antivirus tradicionales.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineVirus Gusanos de red (2001-2005)

Sasser

18 de julio de 2001

18 de sept. de 2001

24 de enero de 200311 de agosto de 2003 1 de mayo de 2004

18 de agosto de 2003

Nachi

MSBlast

SlammerNimda

CodeRed

?13 de Agosto 2005Worm_Zotob.a



Los clientes necesitan un sistema de prevención y contención de infecciones.

Nimda

Parche: MS00-07817 de octubre de 2000 18 de sept. de 2001

Parche: MS02-03924 de julio de 2002

Slammer

25 de enero de 2003

MSBlaster.A

11 de agosto de 2003Parche: MS03-026 16 de julio de 2003

Sasser.A

30 abr, 2004Parche: MS04-01113 de abril de 2004

336 días

185 días

26 días

17 días

Ventana de Riesgo de las amenazas trasanunciar una vulnerabilidad

Ventana de Riesgo

4 Días13/08/2005MS05-03909/08/2005

Worm_Zotob.a

Ventana deriesgo

Fecha ataquedel virus

Parche de Microsoft y fecha

disponibilidad

Virus


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDEFENSA ACTIVA ANTE NUEVOS ATAQUES:

ENTERPRISE PROTECTION STRATEGY

SE PEnterprise Protection Strategy


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineCOMPONENTES DE EPS

TMCMCONSOLA DE GESTION

DE SERVICIOS EPS

OPP DCS TMVA

PANTILLA DEL LABORATORIO DE TREND PARA PARAR EL

VIRUS SIN PATRON

PATRON DE LIMPIEZA DEL CÓDIGO DEL VIRUS EN EL PC

SERVICIOS DE CHEQUEODE VULNERABILIDADES

EN LOS ´PC´S



Trend Micro Evaluación de Vulnerabilidad

ServiciosPrevención de Epidemia

ServiciosRespuesta de Virus

Servicios de limpiezade infección G

estió

nD

e la

Epi

dem

ia

Enterprise Protection Strategy (EPS)

TREND MICRO CONTROL MANAGER

Net

wor

kN

ivelTrend Micro Network VirusWall

Código de ataqueeliminado

Prevención del brote Respuesta del virus EvaluaciónRestauración

Código de ataque

malicioso

Prevención de vulnerabilidad

Vulnerabilidaddescubierta

Enterprise Protection Strategy: Gestión Proactiva del ciclo de vida de una Epidemia

Apl

icac

ión

Niv

elProductos Trend MicroAntivirus y Seguridad de contenidos

VA Pattern # 10 OPP #110 OPR #879 DCT # 331

NVW Signature Rule # 10124


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineCASO PRACTICO

VIRUS DE ALERTA AMARILLA

WORM_WURMARK.J

WORM_ZOBOT.A


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line¿Que es Trend Micro Control Manager?

Trend Micro Control Manager es una consola de gestión de losproducto de antivirus de Trend Micro, multiplaforma y de servicios de EPS.

Trend Micro Control Manager

Gateway Messaging

Corporate Desktops

File Server

Monitoriza y da report de la actividad de seguridad

Actualizada patrones de virus,scan engines y todas lasotras actualizaciones de software de cada productosque esta enlazado a la TMCM

Gestiona grupo de productoso productos individuales

Gestiona los Servicios de EPS (OPP, DCS y TMVA)

NetWorVirusWall


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePlantilla de Outbreak Prevention OPP

Prevenir la extensiónde este gusano, TREN MICRO entregó una políticade prevención de epidemia que dirigióa los productos de Trend Micro:

• Bloqueo del puertoTCP 9996 y 5554

• Bloqueo del archivoavserve.exe


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineOutbreak Prevention Services OPP

Consola de Control Manager


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDEFENSA ACTIVA ANTE NUEVOS ATAQUES:

• Política de defensa coordinada para parar y mitigar los ataques de amenazas mixtasAplicación de políticas consistente y coordinada – OPS Rápida respuesta a las amenazas– Servicio de Prevención de Epidemias y SLA antivirus

• Capacidad de transmitir la experiencia de Trend MicroRecomendadicón de políticas de los expertos en antivirus y seguridad de contenidos– OPS, DCS (Servicios de Limpieza de daños).

• Añadir capas adicionales de protecciónFlexibilidad para cambiar políticas y desarrollarlas para ajustarse a las preferencias de seguridad – OPS– Solaris, Windows, Linux – OPS, Trend Micro Control Manager (TMCM)

• Disminuir la vulnerabilidad de las empresasEncuentra y elimina códigos maliciosos que mantienen las redes abiertas a los ataques-DCS

• Reduce costesCoordinación simplificada en departamentos y regiones durante las epidemias– OPS, TMCMReduce los costes asociados a la limpieza manual de los entornos – DCS

• Aumento de la visibilidad y del ROI en seguridadFunciones de Comando central (“Command center”) con TMCM, para ayudar a gestionar la efectividad de la seguridad en tiempo real.

VENTAJAS EPS


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLuchar contra el Spyware

InterMute es ahora una parte de Trend Micro• Reconocida empresa antiSpyware

•La adquisición de InterMute reforzará aún más nuestra capacidad para cumplir con nuestra estrategia anti-software espía y su tecnología y productos son totalmente complementarios con los nuestros.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLuchar contra el Spam/Phishing

Kelkea es ahora una parte de Trend Micro

Las avanzadas tecnologías de servicios de reputación y filtrado de IP

combinadas con la experiencia en seguridad de Trend Micro acelerará la

capacidad para combatir nuevas amenazas

Kelkea is now part of Trend Micro



“Hacer un Mundo

SEGURO para el intercambio de información

digital”

MUCHAS GRACIAS POR SU ATENCIÓN¿ALGUNA PREGUNTA?


WORM_WURMARK.J

TrendLabs11 mayo de 2005


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWORM_WURMARK.J Resumen

Gusano residente en memoria que se propaga por correo electrónico. Cuando se ejecuta deja una copia de sí mismo en la carpeta del sistema de Windows utilizando un nombre de fichero aleatorio.

También deja un fichero DLL (Dynamic Link Library) con un nombrealeatorio en la carpeta del sistema de Windows, que es un componentede un IESpy, un programa de spyware o software espía. EstaEsta eses la la primeraprimera vezvez queque se ha se ha identificadoidentificado un un gusanogusano queque contienecontiene un un programaprograma comercialcomercial de spyware.de spyware.

WORM_WURMARK.J tiene capacidad de capturar las pulsaciones del teclado del ordenador. Guarda los datos tecleados por el usuario en un archivo DLL de nombre aleatorio que ha dejado en el ordenadorinfectado. Además, deja varios archivos zip en la carpeta de sistema de Windows como archivos adjuntos de correo electrónico.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePropagación vía correo electrónico

Muestra del correo que envía el gusano:

Asunto :girls (entre otrosmuchos asuntos posiblessimilares).

El fichero adjunto que envíaes un .ZIP

Dirección del remitentefalsificada

Dirección del receptor reunidade archivos y libretas de direcciones en discos locales

Los receptores pueden ser engañados para que abran el archivo adjunto malicioso

OPP (Política de Prevención de Epidemias) 174 bloquea el correo con estos archivos adjuntos.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineInstalación del malware : modificacionesen el registro

El resgistro del sistema es un depósito de información relativa al hardware y la configuración del sistema y de las aplicaciones.

Este malware crea esta entrada en el registro:HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Run {malware file name without extension} = "{malware file name}"

Esta modificación en el registro asegura que el malware se ejecute en cada inicio del sistema.

DCT (Plantilla de limpieza de daños) 596 borra esta entrada del registro.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: envío masivo

En las comunicaciones de datos, hay dos cosas de la mayor importancia:

1. Información2. Ancho de banda de la red

Los gusanos de envío masivo, como WORM_WURMARK.J, envían los emails en masa y, por tanto, consumen unagran cantidad de ancho de banda que las empresasnecesitan para llevar a cabo sus negocios.

También utiliza este método para propagarse vía email:

1. A través de su propio motor SIMPLE MAIL TRANSFER PROTOCOL (SMTP) : no necesita de programas de correo como Outlook para propagarse.

Se realizan conexiones no deseadas con ciertos servidores SMTP.

Los sistemas infectados puedenexperimentar dificultades en recibir y enviar correos debido a el grantráfico de red que genera el gusano. La red funciona con mayor lentitud.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: consecución

de direcciones de email

Este malware envía correos con direcciones falsificadas, juntocon el archivo adjunto, a todas las direcciones que

consigue.

Los receptores pueden abrir el archivo adjunto del gusano, sin que lleguen a sospechar de él, pensando que viene de un

amigo o un pariente.

Este códido malicioso reúne direcciones de libros de direccionesy de ficheros con ciertas extensiones de discos duroslocales por dos razones principales:

1. De esta forma puede conseguir una amplia lista de correos a los que autoenviarse.

2. Para conseguir una base de datos que puede utilizar parafalsificar la dirección de correo en el campo “De:” de loscorreos electrónicos que envía para propagarse.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: deja un archivo

La presencia de este archivo podría indicar que ya hay unainfección.

DCT (la Plantilla de limpieza de daños) 596 borra el archivoque deja.

Este código malicioso o malware deja una archivo DLL nombradode forma aleatoria, que es un componente de IESpy, un programa de spyware o software espía y que es detectadopor Trend Micro como TSPY_AGENT.C. Este programa de spyware permite capturar las pulsaciones realizadas en el teclado del ordenador

Para ello crea un archivo DLL que registra y guarda los datosreunidos por sus rutinas de capturar las pulsacionesrealizadas en el teclado de los sistemas que ha infectado.


Worm_Zobot

TrendLabs13 Agosto de 2005


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zobot - las acciones para la infección

• Scanea direcciones IP de máquinas vulnerables

• Accede a un sitio FTP para bajarse una copia de simismo

• Se conecta a un IRC Server/Channel para recibircomandos

• Modifica el registro del sistema

• Modifica el fichero HOSTS

• Crea las mutaciones B-O-T-Z-O-R

• En windows NT, desactiva la conexión compartidadel Firewall e Internet


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zotob.a Solución: Paso 1

Trend Micro Vulnerability AssessmentSERVICIOS DE CHEQUEO DE

VULNERABILIDADES EN LOS ´PC´S

Client/ServersSwitch/Hub

Tarea de Análisis

Identify which machines not patched by TMVA


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zotob.a Solución: Paso 2

Use InterScan Messaging Security Suiteto block virus entryScanMail Bloquea los

adjuntos en el correo

InterScan Messaging Security Suite(for SMTP) InterScan Web Security Suite(for HTTP and FTP) Bloquea el archivo en el Gateway

OfficeScan Bloquea el archivo en cuantollegue al PC.

Worm_Zobot



Worm_Zobot

Worm_Zotob.a Solución: Paso 3

Network VirusWall El monitor de Epidemias de red puede aislar losPc´s que están realizando ataquesde DDos desde el comando IRC

OfficeScan Puede bloquear los puertosTCP 445/33333/8080 para prevenir losataques del virus

Use el Network VirusWall para bloquearDDoS + El exploit de la vulnerabilidad+ aisle los PC´s sin parchear



Para más información diríjase a:http://es.trendmicro-

europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_WURMARK.J

TrendLabs HQTrend Micro Incorporated

http://www.trendmicro.com

Protección ante los nuevos códigos maliciosos y otras...

Documents

Transcript of Protección ante los nuevos códigos maliciosos y otras...