Seguridad informática
Virus y otras amenazas
Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.
Alejandro Silvestri
2008
Terminología de
programas maliciosos
Fases del virus
• Fase dormida
– El virus está inactivo, a la espera de un evento
que lo despierte. No todos los virus pasan por
esta fase
• Fase de propagación
– El virus realiza copias de sí mismo en otros
programas
• Fase de disparo
– Un evento activa el virus para realizar su
propósito
• Fase de ejecución
– Lleva a cabo su propósito, que puede ser
inofensivo o dañino
Estructura
• Un virus se inserta en un programa
– Normalmente al final del archivo ejecutable
• El virus puede comprimir el programa para no
aumentar la longitud del archivo infectado
– Altera la primera instrucción del ejecutable
para que salte al código del virus
• Ejecución
– El virus se activa en un thread o se cuelga de
un evento
– Luego ejecutva el programa anfitrión
Tipos de virus
• Parasitario
– En el momento de ejecutar el programa infectado, el
virus se activa, se replica, verifica si debe dispararse y si
no se desactiva
• Residente en memoria
– Al activarse el virus se cuelga de algún evento para
ejecutarse cada vez que ocurre el evento
• Eventos de reloj: el virus se ejecuta periódicamente
• Eventos de disco: el virus intenta infectar medios de
almacenamiento removibles
• Eventos de mail
• Virus de boot
– El virus desplaza el código del sector de boot
– Se activa solamente cuando se bootea de un disco
infectado
Adaptación de los virus
• Virus camuflado
– Diseñado para pasar desapercibido y no
detectado por los antivirus
• Virus polimórfico
– Muta con cada infección
• Suele encriptarse con distinta clave para
evitar patrones
• Virus metamórfico
– Muta reescribiendo su código, y a veces
alterando su comportamiento
Virus de alto nivel
• Virus de macro
– No infectan programas, sino documentos
– Son independientes de la plataforma
• Pero dependiente de la máquina virtual
– Office ofrece protección contra estos virus,
restando funcionalidad a las macros
• Virus de e-mail
– Son un tipo de virus de macro, que se disparan
con eventos de mail
– No requieren infectar otros mails, sino que
propagan automáticamente el “mail virus”
original
Worms
• Son un tipo de virus que se propagan
por la red en vez de infectar
programas
• Logran hacerse ejecutar de forma
remota, a través de
– Capacidades de ejecución remota
– Login remoto
– Facilidades de mail
Worms: Estado del arte
• Multiplataforma
• Vulnerabilidades múltiples
(multiexploits)
• Diseminación ultrarrápida
• Polimorfismo
• Metamorfismo
• Vehículo de transporte
• Vulnerabilidad del día cero
Antivirus
• Detección
• Identificación
• Remoción
Generaciones de antivirus
• 1ª generación
– Scanners: barrido simple buscando
patrones
• 2ª generación
– Scanners heurísticos
• Chequeo de integridad
• Desencripción de virus
• Patrones de comportamiento generales
Generaciones de antivirus
• 3ª generación
– Trampas de virus
• Programas residentes en memoria que
interceptan acciones comunes de los virus, e
incluso pueden detener la infección
• 4ª generación
– Paquetes de software que combinan
todas las modalidades anteriores
Técnicas avanzadas de
antivirus
• Descripción genérica (GD)
– Busca comportamientos genéricos
• Emulador de CPU
• Scanner de firmas
• Sistema digital inmune
– Expande la emulación anterior, emulando el
mundo entero alrededor del virus, para poder
analizarlo sin riesgo
– El analizador automáticamente reconoce las
capacidades del virus y propone (e
implementa) contramedidas
DDOS
• Distributed Denial of Servie Attacks
– Muchas máquinas simultáneamente atacan a
través de Internet a un servidor
• Ataque de recursos internos
– Colmar el servidor con requerimientos que
rebasan su capacidad
• Ataque de recursos externos
– Consume los recursos de transmisión de datos,
inundando el acceso de paquetes
DDOS
• Ataque directo
– Una máquina zombie es una máquina de terceros
controlada por el atacante de forma remota vía Internet
• El atacante puede usar máquinas zombies que controlen
otras máquinas zombies, complicando el rastreo
– Todas las máquinas zombies envían peticiones al
servidor atacado
• Ataque reflector
– Se envía una enorme cantidad de peticiones falaces a
una gran cantidad de máquinas, falsificando la dirección
IP origen, reemplazándola por la IP del servidor atacado
– La gran cantidad de máquinas responderá al servidor
que el pedido no puede ser cursado
Descargar

Seguridad informática