Denial of Service Malware

Mdulo 5

Contenido
Virus, Worms, Troyanos y Rootkits. Vectores de Infiltracin. Insercin Web (HTML, Javascript, Vbscript, ActiveX). Correo Electrnico (phishing+ingeniera social). Vulnerabilidades en Aplicaciones (IE 0-day). Vulnerabilidades en Servicios tcp/udp (UPnP). Documentos de Office (Macros). Autoarranque en CD, USB (+ingeniera social). Wireless. Bluetooth. Mecanismos de Propagacin. Prevencin, Deteccin y Erradicacin

Virus
Es un programa de ordenador que puede infectar otros programas modificndolos para incluir una copia de s mismo. Los virus informticos tienen bsicamente la funcin de propagarse, replicndose, pero algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. La creacin de virus es un destreza bien documentada. Uno de los grupos ms famosos que document sus descubrimientos es el Europeo 29A:

http://vx.netlux.org/29a/ http://vx.netlux.org/

Worms
Es un programa de computadora auto-replicante, similar al virus. Un virus se anexa y forma parte de otro programa ejecutable, mientras que el worm es autocontenido y no necesita formar parte de un programa para propagarse. Un worm utiliza la red para enviar copias de s mismo a otras sistemas, por lo que no necesita intervencin del usuario. En general, los worms daan la red y consumen ancho de banda, mientras que los virus infectan, corrompen o destruyen archivos en la computadora objetivo. Debido a esto, es relativamente fcil identificar los patrones de trfico malicioso con un IDS y Sniffer.

Troyanos
Un caballo de troya es un programa malicioso que se disfraza como software legtimo. La forma ms comn de crearlo es con un Binder, programa que une dos archivos ejecutables en uno. Senna Spy One Exe Maker. Senna Spy One Trojan Generator.

Rootkit
Cdigo malicioso imposible de detectar con soluciones tradicionales como antivirus y antispyware. Los sistemas operativos modernos se encuentran segmentados en dos grandes capas: el modo User (aplicaciones) y el modo Kernel (corazn del sistema). El malware tradicional es .exe, infectando la capa user del sistema operativo; los rootkits son .sys (drivers), infectando la capa kernel. Al tener acceso al kernel, pueden alterar y corromper las estructuras de datos internas para esconder su presencia. Una vez infectado, no existe forma de garantizar la recuperacin del sistema. Requieren un .exe (conocido como stub code) para la instalacin del driver.

Virus, Worms, Spyware, Troyanos (.EXE)

Modo User

OS Modo Kernel
Rootkits (.SYS)

Vectores de Infiltracin
Insercin Web (HTML, Javascript, Java, Vbscript, ActiveX). Internet Explorer (Security Zones, IEAK) Firefox (noscript) Correo electrnico (phishing+ingeniera social). Mcaffee SiteAdvisor Vulnerabilidades en aplicaciones (IE 0-day). Firefox, minimice el uso de IE Vulnerabilidades en servicios tcp/udp (UPnP). Firewall Personal (Comodo) Documentos de Office (Macros). Deshabilitar Macros Autoarranque en CD, USB (+ingeniera social). Deshabilitar Autorun y Autoplay Wireless. Auditar con Kismet Bluetooth. Deshabilitar, Scanear con Bluesweep, hackear con BackTrack