ESTRATEGIA ANTI-

MALWARE DE MICROSOFT

Christian Linacre
Microsoft Cono Sur Arquitecto IT
Agenda
Introduccin
Escenario de amenazas
El Malware: Clasificacin y peligros
La estrategia Anti-malware de Microsoft
Equipo de desarrollo
Soluciones
Tecnologa
Fortalezas
Tendencias
Planes a futuro
Escenario de Amenazas
Amenaza Como mitigar?
Violacin de la Autenticacin de Windows
Integridad del Sistema Contraseas Fuertes
PatchGuard (Disponible en Vista x64)
Control de cuentas de usuario UAC (Vista)
ASLR (Vista) / DEP

Violacin de la Sistema de Archivos Encriptado (EFS)

integridad y Bitlocker (Vista)
confidencialidad de los DRM
datos
Phishing Filtro Antiphishing (IE 7)

Spam Antispam en Outlook / Exchange

Malware Prevencin, deteccin y eliminacin de

Malware
Malware
Proviene de la agrupacin de dos
palabras: Malicious Software
Es un nombre genrico para denominar
todo aquel software que tenga por objetivo
causar daos al usuario final.
Malware
Tipos de Malware
Gusanos / Virus / Troyanos
Backdoors
Spyware / Adware
Exploits
Rootkits
Nuevas amenazas nacen todos los das
Malware
Conductas tpicas
Vectores de replicacin (e-mail, P2P, IM, red)
Explotacin de vulnerabilidades de software
Ingeniera Social
Robo de contraseas
Polimorfismo
Secuestro de informacin (Pagar por recuperar)
La implementacin depende de la motivacin del
autor
Una parte importante del cdigo fuente del
malware existe (y es de libre acceso)
Los atacantes suelen probar las herramientas de
seguridad
 Clasificacin del Malware segn su peligro potencial
Ninguno Conducta Descripcin Ejemplos

Inofensivo No revierten dao + Notepad

potencial

+ Ad-supported software
Publicidad Muestran publicidad Pop-ups no autorizadas

+ Barra de bsqueda
Peligro potencial

Recolecin de Recolectan datos autorizada

datos personales Recolector de datos
sospechoso
Cambios de Cambian configuraciones + Utilidades de configuracin
configuracin Browser hijacker

+ Controles Parentales
Monitoreo Guardan eventos de Key-loggers
teclado
+ ISP software
Dialing Auto-llaman nmeros Porn dialer

Uso de recursos + Cycle sharing apps

Usan recursos Backdoor software
remotos remotamente

Actividad Claramente malignos Sasser

Maliciosa (virus, gusanos,
troyanos)
Extremo
Equipo de desarrollo
Equipo tecnolgico STU, COSD
Disciplinas estndares + Equipo de
respuesta
Las soluciones de ncleo son el motor
antimalware y el conjunto de firmas
 Equipo de desarrollo
Historia

1992: Fundacin de GeCAD

Junio 2003: Microsoft adquiere los derechos de
propiedad intelectual de GeCAD
Enero 2004: Se liberan las herramientas de limpieza
One-off para combatir las epidemias de virus
informticos.
Diciembre 2004 : Se adquiere esta gran compaa de
Software
Enero 2005: Lanzamiento de Malicious Software
Removal Tool
Enero 2005: Lanzamiento de Windows Antispyware
(Beta 1)
Febrero 2006: Lanzamiento de Windows Defender (Beta
2)
Soluciones
Oferta de Destinatario Tiempo Signature Set
Microsoft Real

Malicious Software Win2k y superiores. No Solo AV (parcial)

Removal Tool Entregado via WU/MU/AU

Internet Explorer V7 XPSP2 y Server 2K3 No Solo AV (parcial)

installer

Windows Vista - Clientes que han hecho un No Solo AV (parcial)

Clean on upgrade to upgrade a equipos con XP.
Vista Integrado con las
actualizaciones dinmicas.

MSN Messenger V8 Clientes No Solo AV

Windows Live Win2k y superior. Clientes No AV & AS
Safety Center
Soluciones
Microsoft Forefront Sistemas operativos No Solo AV
Antigen de servidor, para
clientes corporativos

Windows Defender Clientes de Win2k Si Solo AV

SP4, XPSP2, Server
2k3 SP1.
Windows Vista con Clientes Si Solo AV
Tecnologa
Defender
Windows Live Windows XPSP2. Si AV & AS
OneCare Clientes

Microsoft Forefront Win2k y superior. Si AV & AS

Client Security Clientes Corporativos
Soluciones
Cliente / Usuario Final
Bueno
MSRT
Windows Defender
Mejor
Windows Live Safety Center
Lo mejor
Windows Live One Care
Soluciones
Cliente / Corporativo
Bueno
Microsoft ForeFront Client Security
Mejor
Windows ForeFront Antigen
Tecnologa
Ncleo
Proteccin en tiempo real
Motores de bsqueda
Conjunto de Firmas
Recoleccin de datos
Recoleccin y anlisis de Malwares
Tpicos
Ncleo
Proteccin en tiempo real
Es dependiente de la solucin utilizada

OneCare / Microsoft ForeFront Client

Security
Kernel Mode mini-filter driver
Ante un cambio en el sistema de archivos se
lanza un proceso de SCAN
Bloqueo
Proteccin en tiempo real
Windows Defender
Vigilante del registro en modo usuario
Internet Explorer hook
Cualquier cambio en algunos puntos de
autoinicio activan un proceso de scan.
El usuario puede optar a ser informado sobre
cualquier cambio realizado
No existe bloqueo
Motor
Engine Kernel
Carga y administra todos los tipos de plugins
registrados
Expone su funcionalidad al usuario a travs de una
API
Sistema de Archivos Unificado
Virtualizacin de los objetos a ser scaneados
18 archivos y archivos contenedores (zip, rar, etc)
150+ empaquetadores
Motor
Libreras de ayuda
Funcionalidad de deteccin y comparacin de
patrones de ncleo: libreras de comparacin
de crc, libreras de comparacin de patrones,
emulador
Scanner plugins
Mdulos que pueden ejecutar el proceso de
scaneo actual (guiados por tipo de archivo)
El motor soporta varios formatos de archivo
Firmas
Una firma puede ser especfica para una amenaza, o de
ser posible ms genrica para as poder incluir futuras
variantes.
Los tipos de firmas incluyen
Hashing simple de archivo (MD5, SHA1)
Multi-CRC
Tunneling Signatures
Para rootkits de modo usuario, malware que toman APIs de sistema
Deteccin genrica
Usada en contra de familas de malware gracias al chequeo de
fragmentos de cdigo propios de ellas
Emulacin
Para tratar Virus Polimrficos
Heuristicas
Escaneo basado en reglas
Si es necesario. una firma especfica de limpieza se
genera tambin
Recolecin de datos
La mayora de las soluciones reportan los
datos a Microsoft
Estndar de privacidad de Microsoft
presente
Beneficios
Ayuda a Microsoft a monitorear las
tendencias
Ayuda a priorizar la creacin de nuevas
firmas
Ayuda a recolectar nuevos ejemplos de
malwares
Recoleccin de Datos
Ejemplo de datos recolectados
Informacin de Archivo
Motor / Firma / Sistema Operativo Asociado
Voting data (para Windows Defender)
Localizacin del usuario afectado
ID nico de la mquina afectada
Anlisis de nuevos ejemplos
Las fuentes de Microsoft para combatir el Malware
incluyen
Equipos de Respuesta Internacionales
VirusTotal / Jotti
Directamente desde los informes de los clientes
Intercambios con partners y vendedores
Cada uno de los nuevos ejemplos de malware se analizan
y priorizan de acuerdo a un sistema de pesaje
Posibles falsos positivos
Amenazas de rpida difusin / Alto impacto
Amenazas que explotan una vulnerabilidad nueva
Amenazas muy recientemente empaquetadas o compiladas
Se combian tcnicas de anlisis manuales y automticas
El anlisis manual implica proveer resultados en base a
herramientas, desmontaje esttico, y testeos tipo caja negra
Anlisis de nuevos ejemplos
Enfocado principalmente en el anlisis
automtico de los archivos
3 niveles de Filtros
Family-specific classification and signature
generation
Clean / malware classification
Family classification
Anlisis de nuevos ejemplos
Fortalezas
Datos extensivos
Tecnologa probada
ICSA
West Coast Labs
VB 100%
Compromiso a responder
Automatizacin
Integracin MSRC
Tendencias
Datos generados por MSRT/Marzo de 2006
2.7 billones de ejecuciones en cerca de 270 millones de
computadores
Fueron eliminados 16 milones de piezas de malware desde 5.7
milones de computadores
Lo Troyanos tipo Backdoor son una amenaza
significativa a los usuarios de Windows
Presentes en un 62% de los computadores limpiados
Los Rootkits son una amenaza potencialmente
emergente
Presente en un 14% de los computadores limpiados
Tendencia comn: Los Rootkits son distribuidos con Troyanos
tipo backdoor
Tendencias
La ingeniera social representa una fuente
significativa de infecciones
Los gusanos de Email, P2P, y mensajera
instantnea fueron encontrados en un 35%
de los computadores limpiados
El problema del Malware parece ser de
naturaleza migratoria
 Planes a futuro
Tecnologa
Deteccin / Eliminacin de Rootkits
Estudio en tcnicas avanzadas de deteccin /
eliminacin
Herramientas de deteccin de actividades
sospechosas (Defensa proactiva)
Auto proteccin / recuperacin de componentes anti-
malware
Clasificacin y anlisis adicionales y automatizados
Informacin
Portal Web orientado al estudio del Malware
White papers adicionales sobre tendencias del
malware
Guas de amenazas y tecnologas nuevas
Para saber ms
Windows Defender
Website: http://www.microsoft.com/antispyware
Newsgroup: microsoft.private.security.spyware
Discussion alias: spybuddy
MSRT
Website: http://www.microsoft.com/malwareremove
Newsgroup: microsoft.public.security.virus
White paper: http://go.microsoft.com/fwlink/?linkid=67998
Windows Live Safety Center
Website: http://safety.live.com
General
Blog: http://blogs.msdn.com/antimalware
PM Alias: ampt
Preguntas?
Muchas Gracias!
 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or
trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation
as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of
Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,
EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.