Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Marc Vilanova
Consultor de Seguridad TIC Independiente
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
• ¿Quién soy?
– Consultor de seguridad TIC Independiente
– 4 años de experiencia profesional
– Miembro del FIRST (Forum of Incident Response and
Security Teams)
– Miembro del APWG (Anti-Phishing Working Group)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
2
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
•
•
•
•
•
•
•
•
Evolución de los clientes Web
Panorama actual
Tecnologías y Funcionalidades
Riesgos. ¿Cuándo empeoran las cosas?
Consecuencias
Ataques comunes
Ataques reportados recientemente
¿Quienes están detrás?
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
3
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
• ¿Porqué?
• Configuración segura
–
–
–
–
Internet Explorer
Mozilla Firefox
Apple Safari
Otros
• Recomendaciones Generales
• Enlaces de Interés
• ¿Preguntas?
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
4
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Evolución de los clientes Web
•
•
•
Web Browser TimeLine
Des del 1991 a día de hoy han nacido muchos navegadores
– Algunos siguen en desarrollo: IE, Mozilla Firefox, Apple Safari, Opera, etc.
– Otros se quedaron en el intento: Cello, WebRunner/HotJava, etc.
Las tecnologías Client-Side también han ido evolucionando
– HTML, DHTML, CSS, Cookies, ActiveX, JavaScript, VBScript, AJAX, Java, etc.
– Mejora de la experiencia del usuario
– Interfaces más atractivas
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
5
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Panorama actual
•
•
•
•
•
Uso muy frecuente del cliente Web
Nadie se acuerda de él cuando se habla de seguridad. ¿Porqué?
Las configuraciones por defecto que proporciona el fabricante no son seguras
– Mejoran de la experiencia del usuario, pero….
– Aumenta el riesgo y disminuye el tiempo de ser comprometido
Es una pasarela perfecta para explotar vulnerabilidades del software
– Navegador
– Plug-ins (Realplayer, Quicktime, Adobe Flash, ...)
– Sistema Operativo
Los atacantes ya se han dado cuenta hace tiempo. ¿Porqué seguimos sin hacer
nada?
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
6
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Tecnologías y Funcionalidades: ActiveX
•
•
•
•
•
•
Microsoft Internet Explorer
Permite que las aplicaciones, en parte o su totalidad, sean utilizadas des del
navegador
– Aumenta la superficie de ataque
Componentes que residen en el Sistema Operativo o se pueden descargar on-line
– Funcionalidad extra
– Pueden reducir la seguridad del sistema si no existe una buena
implementación
Se pueden explorar aunque no hayan sido diseñados para ser usados en el
navegador
– Ver http://www.kb.cert.org/vuls/id/680526
CERT/CC ActiveX WorkShop Report
ActiveX Vulnerabilities DB
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
7
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Tecnologías y Funcionalidades: Java
•
•
•
•
Lenguaje que permite el desarrollo de contenido activo para páginas web
– Independiente del sistema operativo
– Usa la JVM para la ejecución del código Java o Applet en un entorno
"controlado" (sandbox)
Algunas implementaciones contienen vulnerabilidades no corregidas a día de hoy
Aunque el código esté signado, es posible saltarse las restricciones
Java Vulnerabilities DB
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
8
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Tecnologías y Funcionalidades: JavaScript y VBScript
•
•
JavaScript
– Lenguaje de scripting que permite hacer que las páginas web sean más
interactivas y mas cosas…
– Muy extendido y usado
VBScript
– Lenguaje de scripting para Microsoft Internet Explorer
– Similar a JavaScript
– Incompatibilidad = Menos usado
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
9
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Tecnologías y Funcionalidades: Cookies
•
•
•
•
Ficheros almacenados en la parte cliente que contienen información sensible
– Páginas Web visitadas
– Credenciales de acceso
– Etc.
El programador Web decide QUE información se almacenará en ellas
Tipos:
– Sesión. Se destruyen cuando se cierra el navegador
– Persistentes. Se destruyen cuando caducan (Más riesgo)
Los atacantes intentaran hacerse con ellas con el fin de robar información
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
10
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Tecnologías y Funcionalidades: Plug-ins
•
•
•
•
Aplicaciones diseñadas para ampliar la funcionalidad del navegador
Parecidos a ActiveX, pero no se pueden ejecutar fuera del navegador
Realplayer, Quicktime, Adobe Flash, etc.
Pueden contener Buffer Overflows o provocar violaciones de Cross-domain
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
11
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Riesgos. ¿Cuándo empeoran las cosas?
•
•
•
•
•
•
•
Cuando el usuario no evalúa el riesgo asociado al “click” del ratón
– Riesgo = Ir a sitios inesperados
Cuando aparecen nuevas vulnerabilidades en actualizaciones de software
Cuando los ordenadores vienen con software pre-instalado
– Revisar siempre
– Eliminar si no es necesario
Cuando el software de terceros no dispone de actualizaciones automáticas
Páginas web que requieren de la instalación de software adicional
– Plug-ins, Codecs, etc.
Cuando el usuario no tiene los conocimientos para una correcta configuración
– Educar al usuario. Proporcionarles el conocimiento
Cuando los usuarios no están dispuestos a activar/desactivar funcionalidades a cambio de
seguridad
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
12
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Consecuencias
•
•
•
•
•
Toma de control
Robo de información
– Credenciales de acceso
– Documentos
– Etc.
Destrucción de ficheros
Extorsión CryptoViral
Pasar a formar parte de una Botnet o Fast-Flux Service Network
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
13
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Botnets
“A botnet is a collection of computers, connected to the internet, that interact to
accomplish some distributed task.” (http://www.shadowserver.org/)
• Típicamente usadas para realizar actos ilegales
– Spam, DoS, DDoS (Estonia), Robo de Identidad (Phishing, Keyloggers), [Ad|Spy]ware,
Scaneos de Red, Ataques massivos RFI (RemoteFileInclusion) (recientemente), etc...
•
Controladas por una o más personas (BotMaster o BotHerder)
– Estructura de Command & Control (C&C)
– Mecanismos de control basados en HTTP (NetHell/Limbo), IRC, P2P (StormWorm. + de
un año).
•
+ de 10.000 bots en una botnet es no es nada raro
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
14
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Ataques Comunes
•
•
•
XSS (Cross-side Scripting)
– Se aprovecha de la confianza que el cliente Web tiene con la página Web
– Robo de información, bypass de autenticación, etc.
– XSS Vulerabilities DB
CSRF (Cross-side Request Forgery)
– Se aprovecha de la confianza que la página Web tiene con el cliente Web
– Modificar la configuración de un cortafuegos que se administra via Web
Cross-Zone y Cross-Domain
– Acceso a datos de otro domino
• Acceso a ficheros locales
– Cross-zone and cross-domain vulnerabilities DB
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
15
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Ataques reportados recientemente
•
Massive Malicious JS Injection Campain
– "xprmn4u.info/f.js" contained in about 83,000 sites
– “free.hostpinoy.info/f.js” contained in about 177,000 sites.
– Otros casos relacionados
• uc8010.com
• 2117966.net
– ¿Cuál es el objetivo final? Comprometer nuestro sistema
•
Massive SQL Injection Attack
– Modificación de las variables VARCHAR de las BBDD para inyectar tags HTML Script
• hxxp://www.2117966.net/fuckjp0.js
– http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080320)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
16
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Código JavaScript Malicioso Ofuscado
•
•
Marc Vilanova. Consultor de Seguridad TIC Independiente
Evasión de los sistemas
– AntiVirus
– IDSs
– IPSs
Gracias a la naturaleza
dinámica de JavaScript
01/10/2015
17
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
¿Quiénes están detrás?
• CyberCrime Executives (Data Brokers /
Carders)
• Spammers (Pump-and-Dump Stocks,
Products, Phishing, Malware)
• Web Site Hackers and Malware Writers
• Bot Herders
• Criminal ISPs (RBN. Russian Business
Network)
– Bullet-proof services
– St. Petesburg -> Panama -> Asia
• ¡¡¡ YOU !!!
– Spam through botnets
– Malware through infected websites
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
18
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
¿Porqué?
• ¡¡¡DINERO!!!
• Software requerido
– MPack (Web Attack Toolkit): $300-500
– Dream Downloader: $200-300
– Limbo/NetHell (Banking Trojan,
keylogger, etc.): $1000
• Inversión Total de $1500-$1800
• ¿Beneficios? Millones de dólares
• Capacidad para atacar, al mismo tiempo,
más de 500 bancos a nivel mundial
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
19
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Internet Explorer 7
• Totalmente integrado en MS Windows
• ¿Donde? Herramientas -> Opciones de
Internet -> Seguridad
• Zonas de Seguridad
– Internet (High)
• No ActiveX
• No Active scripting
• No Java
–
–
–
–
Marc Vilanova. Consultor de Seguridad TIC Independiente
Local Intranet
Trusted Sites (Medium-High)
Restricted Sites
Nivel personalizado por zona
01/10/2015
20
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Internet Explorer 7
• Privacidad
– Cookies
• Advanced -> Override automatic
cookie handling
• Prompt for first and third party
cookies
• Allow session (not persistent)
cookies enabled, if there is a lot
of prompts
– Sitios
• Gestionar las cookies por URL
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
21
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Internet Explorer 7
• Disable third-party browser
extensions
– Tool Bars
– BHOs (Browser Helper Objects)
• Usados por los Troyanos para:
– Monitorizar el tráfico
– Man-in-the-Middle Attacks
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
22
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Internet Explorer 7
• IDN spoofing of web page addresses
– Enable the "Always show encoded
addresses" option
(http://www.kb.cert.org/vuls/id/2732
62)
• Disable the Play sounds in webpages
– No provoca interferéncias con otros
softwares, cómo Adobe Flash or Apple
QuickTime
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
23
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Internet Explorer 7
• Programas
– Especificar cuales van a ser los
programas asociados a los diferentes
eventos
– Deshabilitar que se nos pregunte si IE
es el navegador por defecto
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
24
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Mozilla Firefox
• No dispone de soporte para ActiveX
• No dispone del modelo de Zonas de
Seguridad
• CAPS
– Políticas de seguridad
– No gràfico
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
25
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Mozilla Firefox
• Tools -> Options
– General
• Always ask me where to save files
– Privacidad (History & Cookies)
• Entornos compartidos
• Disable the option “Remember
what I enter in forms and the
search bar”
• Control granular (Deny, Allow for
Session, or Allow the cookie)
• Use my choice for all cookies
from this site
• Keep until I close Firefox option.
(Si hay muchas peticiones)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
26
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Mozilla Firefox
• Security
– Passwords
• Master Password to encrypt
sensitive data
• Warn me when sites try to install
add-ons (Show a top bar when a
site tries to take an action)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
27
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Mozilla Firefox
• Content
– Enable/Disable Java. Revisar primero
la web
– Advanced
• JavaScript. Todo desabilitado
• File Types (Manage)
– Asociacion de tipo de
fichero con programas
– Para todos los ficheros
asociados -> save to disk
– Previene la explotación
automàtica
– Aumenta el número de
acciones al usuario
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
28
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Mozilla Firefox
• Firefox 1.5 i posteriores
– Herramientas -> Limpiar información
privada
• Extensiones interesantes
– NoScript
• Zonas de Seguridad
– FireKeeper (Web IDS)
• Known infected sites
(http://malware.com.br/)
• Scanning of HTTP(S) URL
requests, Headers and Body.
• Fast Pattern matching algorithm
(SNORT)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
29
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Apple Safari
• Safari -> Preferencias
– General
• Save downloaded files to…
• Disable Open “safe” files after
downloading
– AutoFill tab
• Filesystem encryption software
such as OS X FileVault along with
the use secure virtual memory
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
30
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Apple Safari
• Security
– Web Content (Scripting and active
content)
– Disable Plug-ins, Java and JavaScript
• Activar el bloqueo de ventanas pop-up
• Cookies
– Sólo de sitios que estoy navegando,
no de terceras partes (Ads)
– Activar "Ask before sending a nonsecure form to a secure website“
• Activar el aviso antes de mandar datos
no cifrados de un formulario cuando
se visita un site securizado con HTTPS
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
31
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Configuración Segura: Otros
•
•
•
•
Marc Vilanova. Consultor de Seguridad TIC Independiente
Opera
Mozilla SeaMonkey
Konqueror
Netscape
01/10/2015
32
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Recomendaciones Generales
•
•
•
•
•
•
•
Activar SIEMPRE las actualizaciones automáticas cuando el software lo permite
Mantenerse informado sobre los cambios del software
– Página Web Oficial del fabricante
– Listas de correo
Instalar y usar software AntiVirus (No protege contra todo el código malicioso)
Seguir el principio de: “No lo habilites sino lo necesitas”
Usar cuentas con privilegios limitados
– Administrador para la gestión y el mantenimiento del SO y software
– Usuario sin privilegios para el uso diario
– Usar DropMyRights
Educar al usuario para evitar comportamientos inseguros
Seguridad a nivel DNS – Proyecto OpenDNS
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
33
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Enlaces de interés (I)
•
•
•
•
•
•
CERT/CC References (http://www.cert.org/)
US-CERT Browser Security (http://www.us-cert.gov/reading_room/securing_browser)
NSA (National Security Agency) Security Guides
OWASP Top Ten
SANS Top 20
Microsoft Windows XP References
– Improve the safety of your browsing and e-mail activities
(http://www.microsoft.com/athome/security/online/browsing_safety.mspx)
– Microsoft's Protect Your PC (http://www.microsoft.com/protect/)
– Microsoft Windows XP Baseline Security Checklist
(http://www.microsoft.com/technet/archive/security/chklist/xpcl.mspx)
– Setting Up Security Zones
(http://www.microsoft.com/windows/ie/using/howto/security/setup.mspx)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
34
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Enlaces de interés (II)
•
•
Apple Macintosh OSX References
– Apple Product Security (http://www.apple.com/support/security/)
– OSX Security Features Overview (http://www.apple.com/macosx/features/security/)
– Apple Security Updates (http://docs.info.apple.com/article.html?artnum=61798)
– MacOSX Security Configuration
(http://images.apple.com/server/pdfs/Tiger_Security_Config.pdf)
Linux References
– Ubuntu Security notices (http://www.ubuntu.com/usn/)
– Mandriva Security Advisories (http://www.mandriva.com/security/advisories)
– SUSE Security (US/Canada)
(http://www.novell.com/linux/security/securitysupport.html)
– RedHat Security and Errata (http://www.redhat.com/apps/support/errata/)
– Debian Security Information (http://www.debian.org/security/)
– Gentoo Security Handbook (http://www.gentoo.org/doc/en/security/)
– Slackware Security Advisories (http://www.slackware.com/security/)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
35
Malware, Malware y más Malware
¿Cómo me puedo proteger? “Dijo el cliente web”.
Enlaces de interés (III)
•
System Administrator References
– Description of Internet Explorer security zones registry entries
(http://support.microsoft.com/?kbid=182569)
– How To Set Advanced Settings In Internet Explorer by Using Group Policy Objects
(http://support.microsoft.com/?kbid=274846)
– Internet Explorer Administration Kit
(http://www.microsoft.com/technet/prodtechnol/ie/ieak)
Marc Vilanova. Consultor de Seguridad TIC Independiente
01/10/2015
36
¿Preguntas?
Marc Vilanova
marc.vilanova [at] gmail.com
Consultor de Seguridad TIC Independiente
¡¡¡ MUCHAS GRACIAS !!!
Marc Vilanova
marc.vilanova [at] gmail.com
Consultor de Seguridad TIC Independiente
Descargar

Malware, Malware y más Malware. Cómo me puedo proteger? "Dijo