Programa Integral:

Seguridad de Sistemas de
Informacin
Departamento de Informtica
Copyright por TECSUP

Mdulos del Programa

Integral

Seguridad de la Informacin
(24 horas)
Sistema de Autenticacin y Cifrado
(24 horas)
Seguridad
Perimetral
I
horas)
Sistemas de Deteccin y Prevencin de Intrusos
(30 horas)
Seguridad
Perimetral
II
horas)
Seguridad
por
Contenidos
horas)
Ethical
Hacking
horas)

(24

(30
(18
(24

Mdulo 6:
Seguridad por Contenidos
(18 horas)

Unidad 1:
Anlisis de Cdigo Malicioso

Introduccin

Casa

Oficina
Remota

FIREWALL

RED

INTERNE
T

User
Mvil

VPN

La epidemia esta
desatada. Se
extienden a
grandes
velocidades.
!Ya estn aqu. Los

Malware

software
malicioso, que
tiene como
objetivo infiltrarse
en o daar una PC
sin el conocimiento
de su dueo.
Termino muy
utilizado por
profesionales de la
computacin para
definir una
variedad de
softwares o
programas de
cdigos hostiles e
intrusivos.
6

Estadsticas

Los virus y
gusanos estn
como primeros
en causar
preocupacin y
dao en la red.

Alcance

Los usuarios estn siendo victimas de diferentes

formas de daos. Los delitos informticos estn
incrementndose.
8

Daos

Familia

Worm

Los gusanos son programas

con cdigo malicioso, capaces
de replicarse a s mismos y
esparcirse por las redes de un
ordenador a otro.
No pretenden infectar ficheros
Finalidad: Colapsar el sistema
o ancho de banda,
replicndose a si mismo.

11

Virus

Un virus es un programa que

se replica a s mismo, tanto
exactamente, como
modificado dentro de otra
porcin de un cdigo
ejecutable.

A diferencia de los gusanos,

los virus no usan las redes
para penetrar a otros equipos.

Finalidad: Infeccin de
archivos.
12

Troyanos

Programas que permanecen en

el sistema, no ocasionando
acciones destructivas sino todo
lo contrario suele capturar
datos generalmente password
envindolos a otro sitio.

Se propagan en otros
programas legtimos.

Finalidad: Conseguir
informacin, apertura ingreso.

13

rootkit

Programas que son insertados

en una computadora despus
de que algn atacante ha
ganado el control de un
sistema.

Funcin:

Ocultar los rastros del ataque.

Encubrir los procesos del

atacante.

Puertas traseras.

Exploits para atacar otros

sistemas

14

Keylogger

Son caballos de troya o troyanos, que monitorean el sistema de la

computadora, registrando las pulsaciones del teclado, para robar
las claves y passwords del ingreso a pginas financieras y de
correos electrnicos.
15

Bootnet

Red
de
equipos
infectados por gusanos.
Que son controlados con
la finalidad de hacer
acciones dainas:

Enviar spam
Ataques de denegacin de
servicio distribuido
Construir servidores web
para ataques de phishing
Distribucin e instalacin
de nuevo malware
Abuso de publicidad online.
16

Bootnet
Tcnica
1.El operador de la botnet manda
virus/gusanos/etc a los usuarios.
2. Las PCs entran en el IRC o se
usa otro medio de comunicacin.
3. El spammer le compra acceso
al operador de la Botnet.
4. El Spammer manda
instrucciones va un servidor de
IRC u otro canal a las PC
infectadas.
5. Causando que stos enven
Spam al los servidores de correo.

17

Worm

Tabla de Gusanos

19

Por qu aumentan?

Facilidad

Penetracin

Pasar de alto Sistemas de Seguridad.

Persistencia

Cdigo disponible.

Buscando equipos victimas

Cobertura

Grandes alcances de PC.

20

5 Componentes

Reconocimiento:

Ataques

Mensaje entre gusanos.

Comandos

Accin, overflow.

Comunicaciones

Buscar nodos.

Interfase de ejecucin.

Inteligencia

Lograr diferentes formas de ingreso.

21

5 Componentes
Jerarqua

Los gusanos
principalmente necesitan
el componente de
reconocimiento y de
ataque.
Los otros componentes
le dan mayores
capacidades.

22

Propagacin
Code Red

23

Propagacin
Saphire

Code-Red: 350,000 victimas en un promedio 12 horas

Sapphire: 60k-100k victimas en pocos minutos.
24

Historia

Cronologa

26

Morris

Creador del primer

gusano 1988.
Como Proyecto de
Investigacin en la
Universidad de Cornell.
Explotaba
vulnerabilidad:

Sendmail.
Finger.

27

Orgenes

Virus

Troyano

Creeper creado en 1972 por Robert Thomas Morris.

Infectar mquinas IBM 360 a travs de una red ARPANET.
Para eliminar a Creeper se cre otro virus llamado Reaper (segadora)
programado para buscarlo y eliminarlo.

Animal/Pervade creado en Enero 1975 por John Walker (fundador de

Autodesk). Era un juego.
Animal deba adivinar el nombre de un animal y; Pervade que era la
rutina capaz de actualizar las copias de Animal.

Gusano

Finales de setenta, John Shoch y Jon Hupp, investigadores del Centro

de Investigacin Xerox de Palo Alto, California crean un trabajador
virtual bautizado como worm.
Programa que se encargara de las tareas de mantenimiento y gestin
nocturnas, propagndose por todos los sistemas del centro.

28

Worm en UNIX
PORQUE
1. Plataforma de trabajo.
2. Entorno de scripts y redes.
3. Compiladores disponibles.

Gusano: ADMw0rm-v1, 1998

Este gusano atac los sistemas de Linux y utiliz el

BIND 8.1 y la vulnerabilidad 4.9.8.
Desbordando y obteniendo acceso de administrador.
El gusano creaba una cuenta privilegiada, para que
el atacante podra volver luego para ingresar.

29

Construccin de un Virus

Construccin de Virus

En diferentes Lenguajes:
C, Perl, Visual Basic,
Assembler, Javascript.
Existen varias
herramientas de creacin.

http://vx.netlux.org/vx.php?id=tidx

31

Parches

El parche
correccin sobre el
cdigo fuente del
programa afectado.
Los creadores de
malware usan la
tcnica de Ingeniera
reversa para detectar
los cambios que son
vulnerabilidades.

32

01-Plataforma

Las plataformas de mayor difusin son

atractivos para usarlos en las infecciones
33

Slammer
Plataforma

Detectar va
fingerprint la
informacin del
sistema operativo.

Deteccin de la
versin del
Software y
direccin de falla.
34

02-Vulnerabilidad

S.O
SERVICIOS

El gusano evala la vulnerabilidad donde

pueda conseguir niveles alto de control.
35

03-Lenguaje

El Lenguaje determina
en que plataforma se
ejecutaran los
gusanos.
Tambin determina
como se distribuirn:

Dinmico: Perl, Python,

Vbscript.
Compilado: C o C++

36

04-Exploracin

Los gusanos desarrollan tcnicas de exploracin

para buscar a anfitriones
37

Slammer
Exploracin

Obteniendo la
informacin de
la plataforma y
del servicio

Visualizando la
informacin
obtenida.

38

05-Carga til

Al tener control
del anfitrin. El
intruso, evala
el mtodo de la
carga a lanzar.
39

06- Ocultndose en el
atacado

El gusano busca
su sobre
vivencia, usando
diversas tcnicas
que lo escondan:

Archivo ocultos.
Reemplazo de
comandos.
Renombrando
procesos.
40

07- Red de Gusanos

Al infectar a los
anfitriones, se generan
una red que aperturan
un puerto.
El puerto sirve de
control para gestionar
las acciones del
gusano.
Envindose ordenes de
propagacin.
41

Tendencia

Explotacin de las redes P2P.

El uso de programas ilegales
sin licencia.
El envi de Spam con
gusanos.
Aumento de Keyloggers.
Perfeccionamiento del
ocultamiento.

42

Casos

Sistemas distribuido DoS Trinoo

Atacante: Controla uno o

mas Master Server.
Master Server: Controla
varios "daemons"
Daemons: Instruidos en
recibir ordenes y
reportarse para realizar
acciones de ataques a
sistemas.
Tipo de Ataque de Dos:
Inundacin por tramas UDP
http://staff.washington.edu/dittrich/misc/trinoo.analysis
44

Mas infecciones

http://www.seguridadenlared.org/es/index5esp.html
45

Sntesis de la Unidad

Los cdigos maliciosos buscan infiltrarse

y planificar acciones de delitos.
Todo medio de transferencia de
informacin esta propenso a usarse
como medio de infeccin.

46