UD-5 Software malicioso.pdf

Full Transcript

USO OFICIAL ACADEMIA DE LOGÍSTICA 3º EMIES ÁREA DE INFORMÁTICA MÓDULO: SEGURIDAD Y PROCEDIMIENTOS STIC - UNIDAD 5. - SOFTWARE MALICIOSO. SUBTENIENTE JOSE LUIS RUIZ GARCÍA USO OFICIAL Calatayud, 2023/2024 DEFINICIÓN MALWARE. Termino general para denominar una variedad de software hostil o intrusivo cuya función es dañar el sistema o causar un mal funcionamiento, tanto de pérdida de datos como por pérdida de productividad. Objetivos. Los objetivos del código dañino son muy variados, pero entre ellos destacan, degradar la seguridad sin el conocimiento de su propietario, la obtención de información sensible, el daño a la máquina o la ejecución de estafas online. USO OFICIAL SOFTWARE MALICIOSO EVOLUCIÓN. El Código Dañino ha evolucionado pasando de ser un software creado a título individual o por un pequeño grupo de piratas informáticos con fines reivindicativos, egocéntricos o por satisfacción personal. A ser producido por grupos organizados (ciberdelincuencia) con fines económicos, o ser producido por Estados (ciberespionaje) para obtener información sensible de otros Estados o empresas. Información USO OFICIAL SOFTWARE MALICIOSO TIPOS. La creación de código dañino ya no requiere un elevado conocimiento sobre informática, cada vez es más fácil de crear. Su distribución a través de la redes es cada vez más rápida. Autorreplicante: Se propaga creando copias de si mismo. Parásito: Necesita otro código/ejecutable para existir y actuar. Tipos de código malicioso : ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ VIRUS. TROYANOS (Caballos de Troya). GUSANOS. BOMBAS LÓGICAS. PUERTAS TRASERAS. HOAXES (Bulo). PHISHING. Información ROGUE SOFTWARE. RANSOMWARE. ADWARE. Otros… Spam, Spyware, Sniffer de red, Rootkit, Keyloggers, Cookies, Jokes. USO OFICIAL SOFTWARE MALICIOSO VIRUS. Los virus son programas (autorreplicante y parásito) que se reproducen infectando ficheros e intentando que esos ficheros sean accedidos por otros entornos. Infección de archivos. Ejecución de acciones dañinas o molestas a los recursos del sistema infectado. TIPOS (Según lo que infecta). ✓ Sector arranque: Su objetivo es puramente destructivo. ✓ Parásito (de ejecutable): Residen en la memoria funcionando en segundo plano. ✓ Macro (script): Secuencia de instrucciones que son interceptadas por aplicación que “lee” datos ( Word, Exce3l, PowerPoint, etc.) USO OFICIAL SOFTWARE MALICIOSO VIRUS TIPOS (Estrategia de ocultación). ✓ Esconde indicios: Usa información previa a infección para hacer creer a SO/ detector que sigue programa original. ✓ Cifrado: Virus cifrado, más difícil de detectar por herramientas de detección. ✓ Mutante: Cambia cada vez que se replica/ejecuta/descifra (polimórfico). Oligomórfico: Es tipo de virus tiene una colección de posibles diferentes descifradores/cargadores que son elegidos al azar por cada nueva víctima. De esta forma el código del descifrador/cargador no es el mismo en todos los casos. Polimórfico: Malware que cambia constantemente parte de sus características identificables para evadir la detección, como nombres y tipos de archivos o claves de cifrado, firma, etc. Metamórfico: Cambia su código fuente y se recompila creando fichero diferente, resultado equivalente pero comportamiento distinto. USO OFICIAL SOFTWARE MALICIOSO VIRUS. USO OFICIAL SOFTWARE MALICIOSO GUSANO. Malware (autoreplicante e independiente) capaz de ejecutarse y proliferar sin la interacción del usuario. Ni siquiera tiene que estar usando su equipo para que el gusano se active, se replique y se propague. Una vez que el gusano ha llegado a su equipo, puede comenzar a propagarse inmediatamente. Los gusanos pueden acceder al sistemas utilizando varios métodos. Primero necesitan de una siembra inicial (deseable anónima). Propagan: ✓ Password cracking explotando una puerta trasera (backdoor). ✓ Vulnerabilidades en las aplicaciones. ✓ Escaneo de objetivos (IP). ✓ USB. USO OFICIAL SOFTWARE MALICIOSO GUSANO. Tipos. Podemos dividirlos en varias categorías según la forma de propagación. Cada categoría utiliza un vector de ataque para propagarse de máquina en máquina: Correo electrónico. Los gusanos de correo electrónico toman el control sobre el cliente de correo de su equipo y envían correos a cualquier contacto de su lista. Esos mensajes distribuyen el gusano entre sus contactos, y luego a los contactos de estos, y así sucesivamente, lo que les permite propagarse de forma exponencial. Mensajería instantánea. los gusanos de mensajería instantánea prefieren algo más espontáneo. Se infiltran en una plataforma de mensajería, como Skype, Messenger o WhatsApp y luego envían un mensaje a todos sus contactos. USO OFICIAL SOFTWARE MALICIOSO GUSANO. Tipos. Intercambio de archivos. Las redes de intercambio de archivos operan de una forma dudosamente legal (casi nunca están reguladas), por lo que los hackers pueden incrustar fácilmente gusanos en archivos con una gran demanda. Internet (o gusanos de red). A diferencia de los tipos de gusanos mencionados anteriormente, que explotan algún tipo de comportamiento humano para propagarse, los gusanos de Internet no interactúan con sus víctimas. Los hackers usan gusanos de Internet o de red para aprovechar las vulnerabilidades de un sistema operativo. Otros gusanos pueden explotar otros servicios o fallos de seguridad. Desde su posición en un equipo infectado, el gusano de red busca en Internet o en una red de área local (LAN) más equipos con la misma vulnerabilidad y se propaga a esas máquinas. USO OFICIAL SOFTWARE MALICIOSO GUSANO. Los gusanos pueden usarse como mecanismos de propagación de otros tipos de malware. En estos casos, el código adicional que lleva el gusano se conoce como «carga útil». Es común dotar a los gusanos de una carga útil que abre una «puerta trasera» en las máquinas infectadas, lo que permite al ciberdelincuente tomar el control del sistema. Otras cargas útiles recopilan datos personales confidenciales, instalan ransomware o convierten los dispositivos en «zombis» para usarlos en ataques de botnet. Información USO OFICIAL SOFTWARE MALICIOSO CABALLOS DE TROYA O TROYANOS. Software (parásito y no autorreplicante) que aparentemente, realiza una función útil pero que en realidad ejecuta una acción que el usuario desconoce, normalmente dañina. A diferencia de los virus, un troyano no suele reproducirse infectando otros ficheros ni se propaga haciendo copias. Sus efectos son muy peligrosos: Acceso a información sensible. Realizar cambios en el registro y archivos de configuración (** función hash). Tomar el control del sistema. Utilizar el sistema comprometido para atacar a otros sistemas. Etc… Información USO OFICIAL SOFTWARE MALICIOSO CABALLOS DE TROYA O TROYANOS. Tipos. Troyanos de puerta trasera. Exploit. Los exploits son programas que contienen datos o códigos creados para aprovechar una vulnerabilidad dentro de una aplicación en tu ordenador. Rootkit. Diferentes herramientas de malware, diseñadas específicamente para permanecer ocultas, infectar los ordenadores. Dropper/troyanos de descarga. Los droppers son, similares a los troyanos de descarga, la diferencia es que estos últimos necesitan un recurso de red para extraer el malware desde la red. Los droppers ya incluyen el resto de componentes maliciosos en el paquete del programa. USO OFICIAL SOFTWARE MALICIOSO CABALLOS DE TROYA O TROYANOS. Tipos. Troyanos bancarios. Troyanos de DDoS. Los ataques distribuidos de denegación de servicio (DDoS) siguen siendo un problema en Internet. En estos ataques, un servidor o una red recibe un bombardeo de solicitudes, generalmente realizadas por un botnet. Trojan-Spy. Espían cómo usas el ordenador; por ejemplo, a través del seguimiento de los datos que introduces con el teclado, de capturas de pantalla o de una lista de las aplicaciones en ejecución. USO OFICIAL SOFTWARE MALICIOSO BOMBA LÓGICA. Software que se activa bajo ciertas circunstancias (fecha, usuario, ejecuciones de un programa que tiene la bomba lógica, etc.). La carga útil de este malware se desconoce hasta el momento en que se activan. Algunas acciones que puede realizar: Borrar información del disco duro. Enviar información a un tercero. Apagar servidor Etc. Información USO OFICIAL SOFTWARE MALICIOSO PUERTAS TRASERAS. Las (backdoors) son porciones de código en un programa que permiten saltarse los métodos de autenticación. Habitualmente son insertados por los programadores para agilizar tareas de mantenimiento de código, durante la fase de desarrollo debiendo eliminarse en el producto final. Información Información USO OFICIAL SOFTWARE MALICIOSO HOAXES. Bulos/Engaños, correos electrónicos cuyo contenido es falso, -aunque el remitente es legítimo-, enviados de forma masiva. Pueden facilitar la captación de direcciones de correo electrónico por parte de un tercero pero también puede ser utilizado para causar distinto problemas de seguridad. Ejemplo típico de hoax son las cadenas de correo electrónico con noticas impactantes falsas o campañas benéficas, etc. USO OFICIAL SOFTWARE MALICIOSO ROGUE SOFTWARE (Estafador). Código dañino que aparenta ser una herramienta de desinfección o herramientas del sistema (antivirus, desfragmentador, etc.), pero realmente no es más que un troyano que engaña al usuario haciéndole creer que primero tiene una infección y luego solicita comprar herramienta para desinfectar la máquina. Estas aplicaciones tienen un gran auge en la actualidad, generando doble beneficio para la entidad que ha creado el malware, por un lado cobra por una herramienta falsa y por otro puede instalar cualquier tipo de malware. USO OFICIAL SOFTWARE MALICIOSO ADWARE. Malware que tiene como objetivo general publicidad en el equipo de la víctima mediante múltiples ventanas sin que el usuario tenga control sobre ellas. La mayoría de estrategias que usa el adware para infiltrarse en su PC o en otro dispositivo se pueden calificar de secuestradores de navegador. Estos intrusos se especializan en modificar la configuración del explorador de Internet sin que el usuario lo sepa y sin que dé su consentimiento; normalmente, los secuestradores modifican la página de inicio y la configuración de búsqueda por defecto. USO OFICIAL SOFTWARE MALICIOSO PHISHING. No es un código dañino puro. Consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (entidad bancaria), persiguen obtener datos confidenciales del usuario. Suelen incluir un enlace que conduce a páginas falsas. Algunas de las características más comunes: Uso de nombre de compañías existentes y de confianza. Utilizar el nombre de un empleado, o departamento real como remitente del correo falso. Direcciones web con la apariencia correcta ( no siempre). Factor miedo. Etc. Información Información USO OFICIAL SOFTWARE MALICIOSO PHISHING. USO OFICIAL SOFTWARE MALICIOSO RANSOMWARE. Malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. TIPOS Scareware. Incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Podría recibir un mensaje emergente que le informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo. Bloqueadores de pantalla. Ransomware que bloquea la pantalla llega a su ordenador, le impedirá el uso de su PC por completo. Al encender el ordenador aparece una ventana que ocupa toda la pantalla, a menudo acompañada de un emblema de aspecto oficial de la Polícia, etc., que le indica que se han detectado actividades ilegales en su ordenador y que debe pagar una multa. USO OFICIAL SOFTWARE MALICIOSO RANSOMWARE. TIPOS Ransomware de cifrado. Este es el peor de todos. Este es el que le secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y devolvérselos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos. Información. USO OFICIAL SOFTWARE MALICIOSO OTROS TIPOS. Sniffer de red. Un sniffer es una herramienta de software o hardware que permite al usuario supervisar el tráfico de red en tiempo real y capturar todo el tráfico de datos que entran y salen de su equipo. Spam. Conjunto de correos publicitarios enviados de forma masiva miles de usuarios, obviamente no autorizados por el receptor. Spyware. Similar a los troyanos, los usuarios cargan en el sistema este malware al instalar otras aplicaciones, actúan como programas independientes y ejecutables para: ▪ ▪ ▪ ▪ Monitorizar el uso del teclado. Analizar archivos de disco. Monitorizar aspectos del comportamiento del usuario. Leer cookies y cambiar páginas del navegador. USO OFICIAL SOFTWARE MALICIOSO OTROS TIPOS. BOTS y BOTNETS Bot: Programa autónomo que realiza tareas automáticamente (o con mínima intervención humana). Botnet: Red organizada de programas autónomos capaces de actuar según ciertas instrucciones. Propagación: ✓ Con interacción con usuario: ingeniería social(correo, mensajería instantánea, blog, red social…). ✓ Sin interacción con usuario: autorreplicación de código malicioso, software remoto. Conjunto de correos publicitarios enviados de forma masiva miles de usuarios, obviamente no autorizados por el receptor. USO OFICIAL SOFTWARE MALICIOSO OTROS TIPOS. BOTS y BOTNETS Comunicación entre bots de botnet: Centralizado(maestro y zombis): Cliente/servidor ✓ dirección IP, sitio web, IRC, … Distribuido: ✓ P2P Información USO OFICIAL SOFTWARE MALICIOSO Acciones de código malicioso. Manipular archivos leer, enviar, modificar, borrar, … Crear/Instalar Registrador de teclas(keylogger) ✓ Generalmente para enterarse de contraseñas ✓ También empresa para investigar a sus empleados Registrador de pantalla(screenlogger) Uso similar al de teclas Puerta trasera Posibilita acceso remoto. Atacante se conecta cuando quiere a máquina y hace con ella lo que quiere (según permisos de cuenta). Zombie Múltiples posibilidades de uso. USO OFICIAL SOFTWARE MALICIOSO Aplicaciones de código malicioso. Mandar correo no deseado (spam). Conseguir denegación de servicio(Denial of Service DoS). Actuar como intermediario suplantador ((hu)man-in-the-middle). Desinfección(benévolo). Guerra/Terrorismo. Venta Información, software. Delincuencia como servicio (Crimeware-as-a-Service). USO OFICIAL SOFTWARE MALICIOSO SALVAGUARDAS USO OFICIAL SOFTWARE MALICIOSO SALVAGUARDAS. Para mitigar los riesgos asociados al Código Dañino es necesario un conjunto de medidas y procedimientos para proteger, reaccionar y recuperarse ante incidentes originados por software dañino. ESTRATEGIA DE PREVENCIÓN. Al menos debemos tener implantados las siguientes acciones: Antivirus: Actualizado regularmente, de fabricantes reconocidos, deben permitir una combinación de diferentes métodos de análisis: Escáner en tiempo real: Análisis de los archivos cuando éstos son abiertos. Escáner programado: Análisis en función de un calendarios previamente establecido. Escáner de correos electrónicos: Instalado en los dispositivos de protección de perímetro o en los servidores de correo, deben chequear el mensaje antes de ser tratados por la aplicación de correo. Control de firmas: Funcionalidad ( si existe), que permite detectar cambios no legítimos en el contenido de un archivo. Métodos heurísticos: Búsqueda de firmas de virus modelo en archivos ejecutables. USO OFICIAL SOFTWARE MALICIOSO SALVAGUARDAS. ESTRATEGIA DE PREVENCIÓN. Gestión de Software: Implementación efectiva de control de configuración y gestión de software. Asegurar que los SO. y aplicaciones son actualizados con los parches preceptivos (especialmente las actualizaciones de seguridad). Restringir al mínimo el riesgo de introducir software no verificado mediante medidas de control. Última versión SO.: Habitualmente la última versión del sistema operativo introducen mejoras significativas en la seguridad. USO OFICIAL SOFTWARE MALICIOSO SALVAGUARDAS. ESTRATEGIA DE PREVENCIÓN. Copias de respaldo: Es fundamental realizar copias de respaldo de manera regular para asegurar la integridad del sistema. El control y almacenamiento de las copias de seguridad debe estar establecido por la organización como un requisito importante de seguridad. FORMACIÓN: Los programas de formación y concienciación son el factor más importante en cualquier política antimalware, el mejor antivirus es la prevención. La formación del usuario es una medida esencial de protección contra incidentes provocados por software malicioso y uso no autorizado de aplicaciones. Deben estar advertidos constantemente de la aplicación de las medidas de seguridad. USO OFICIAL SOFTWARE MALICIOSO BUENAS PRÁCTICAS. USUARIOS (Sin importar el rol del usuario en la organización). Trabajar como usuario sin privilegios, usuario administrador usar puntualmente. No ejecutar programas sin conocer el origen. Máxima atención a los adjuntos en los correos electrónicos. Analizar y escanear antes de su uso la información de los dispositivos extraíbles. Utilizar software original. Paquete ofimático (macros), desactivar la ejecución automáticas, si no es posible se debe cambiar de paquete ofimático. Evitar la ejecución automática de archivos, desactivar autorun (USB, CD, DVD), desactivar la vista previa de los mensajes de correo electrónico. No pulsar en los vínculos de los sistemas de mensajería instantánea o correo electrónico ( si se desconoce la procedencia). USO OFICIAL Información SOFTWARE MALICIOSO BUENAS PRÁCTICAS. ADMINISTRADORES DE SISTEMAS Y REDES. Tener un buen antimalware instalado y actualizado, protegiendo todos los puntos de red. Instalar firewall, tanto en los puesto como en los servidores. Solamente los administradores deben estar autorizados para instalar software. Disponer de una adecuada política de establecimiento y mantenimiento de contraseñas. Realización de auditorías de seguridad en profundidad periódicamente. Se deben aplicar todos los parches de seguridad que publican los fabricantes de software utilizados en la organización (Microsoft, adobe, etc.). Los equipos técnicos deben mantenerse informados sobre nuevas estrategias de infección y software malicioso. USO OFICIAL SOFTWARE MALICIOSO ESTRATEGIAS DE RESPUESTA. Una vez que se ha detectado una infección por malware, hay que seguir los siguientes pasos: Identificar y aislar los equipos y medios infectados. Desconectar físicamente de la red los elementos infectados a partir del tipo y lugar donde se ha detectado el virus. Suspender cualquier intercambio de información entre el elemento infectado y el resto del sistema. Rastrear y alertar a potenciales receptores de información de la presencia de máquinas infectadas en el entorno. La organización debe definir, implantar y probar procedimientos organizativos y técnicos de respuesta ante incidentes causados por malware. USO OFICIAL SOFTWARE MALICIOSO ESTRATEGIAS DE RECUPERACIÓN. La recuperación ante un ataque causado por malware implica las siguientes acciones: Borrar y eliminar el malware de los medios infectado. Recuperar el área afectada por la infección mediante la utilización de copias de respaldo. El alcance y escala de daño dependerá del tipo de malware. Prestar especial atención a posibles reinfecciones en el entorno. Considerar el impacto de que el ataque aparezca en los medios de comunicación social y definir una estrategia de comunicación. USO OFICIAL USO OFICIAL ACADEMIA DE LOGÍSTICA 3º EMIES ÁREA DE INFORMÁTICA MÓDULO: SEGURIDAD Y PROCEDIMIENTOS STIC - UNIDAD 5. - SOFTWARE MALICIOSO. SUBTENIENTE JOSE LUIS RUIZ GARCÍA USO OFICIAL Calatayud, 2023/2024