Upload
eventos-creativos
View
3.232
Download
2
Tags:
Embed Size (px)
DESCRIPTION
Charla impartida por la empresa BitDefender en la Gira Up to Secure 2011.
Citation preview
Mac OSX & Malware en tu
SLIDE 1
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Mac OSX & Malware en tuempresa
Pedro Sánchez
¿Quien soy yo?
Pedro SánchezZaragoza, SPAIN
He trabajado en importantes empresas
como consultor especializado en Computer
Forensics, Honeynets, detección de
intrusiones, redes trampa y pen-testing. He
implantado normas ISO 27001, CMMI y
diversas metodologías de seguridad.
SLIDE 2
También colaboro sobre análisis forense
informático con las fuerzas de seguridad
del estado y diversas organizaciones
comerciales.
También he participado en las jornadas
JWID/CWID organizadas por el ministerio
de defensa, en donde obtuve la
certificación NATO SECRET
Actualmente soy miembro de la Spanish
Honeynet Project.
http://conexioninversa.blogspot.com
SLIDE 3
Que hacemos?
Especialistas en Análisis Forense Informático- Cualquier dispositivo que tenga un OS- Fugas de información- Litigios entre empresas
Análisis de seguridad en redes
SLIDE 4
Respuesta ante incidentes
Implantación de normas
Consultoría de seguridad
Hacking Ético
Pero no soy conocido por esto,
precisamente fuí conocido por ESTO:
SLIDE 5
SLIDE 6
Y Gracias a Chema Alonso…
SLIDE 7
Una aclaración…me gustan las chicas
SLIDE 8
Agenda:
Bitdefender
Escenario actual del malware
SLIDE 9
Escenario actual del malware
Malware & Mac OSX
Casos reales
Conclusiones
• Fundada en 2001
• Un Líder de Soluciones Anti-Malware Proactivas
• La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en Todo el Mundo
• Distribución en más de 100 países
• Nueve Oficinas Internacionales de
BitDefender de un Vistazo
SLIDE 10
• Nueve Oficinas Internacionales de Ventas
- Sede de Marketing Mundial en Silicon Valley
- Sede Mundial OEM en Silicon Valley
• Producto Disponible en 18 Idiomas
Hablamos de realidades
• BitDefender proporciona un motor común de detección y desinfección entodos sus productos empresariales
• Los motores se personalizan aún más para plataformas o aplicacionesespecíficas; por ejemplo Inspección URL y de Contenido
• BitDefender detecta y protege de media, contra 120.000 nuevas amenazas almes
SLIDE 11
mes
• Más de 4.000 nuevas firmas se añaden a la base de datos antivirus de todoslos días
• Los clientes de BitDefender obtienen protección continua con más de 16actualizaciones al día.
• El éxito de detección de BitDefender le ha llevado a ser adoptado por otrosproveedores líderes de soluciones Antivirus
Escenario actual del malware
SLIDE 12
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Escenario actual del malware
Escenario de Amenazas - El Pasado
Virus
Gusanos de correo
Fuentes de ataque
DispositivoExtraíble
Tipos de amenazas Medios de Proliferación
SLIDE 13
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta trasera
Clientes de Mensajería Instantánea
Adjuntos de correo
Script Kiddies
Escenario de Amenazas de Internet - Presente
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Fuentes de ataque
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos
Clientes de Mensajería Instantánea
Hackers
Tipos de amenazas Medios de Proliferación
SLIDE 14
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puerta trasera
Spyware
Adware
Greyware
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Aplicaciones Web 2.0
Adjuntos de Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
Malware y otros monstruos en
Mac OSX
SLIDE 15
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Malware & Mac OSX
SLIDE 16
SLIDE 17
SLIDE 18
Malware & Mac OSX
SLIDE 19
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Malware & Mac OSXCaso 1: La espía que vino del frio
CASO 1:
Problema:
Entidad financiera deja de operar en todos sus cajeros y
servicios web debidos a un mal funcionamiento de servicios
centrales.
Impacto:
SLIDE 20
Impacto:
Mala imagen. Perdida de reputación, la duración del problema se
traslado durante horas
Análisis
Red nativa en Windows, Active Directory, Exchange y…
CASO 1:
10:20 h del 17 de Agosto de 2010.
Los usuarios de la LAN se quejan de que la red empieza a ser lenta
Servicios de directorio empiezan a fallar
12:30 h
Las unidades de red se desconectan cada cierto tiempo
Los servidores funcionan correctamente pero la red no da servicio
SLIDE 21
Se piensa y se comprueba:
Un mal fallo en los Routers de la instalación
Un nuevo especimen de malware se ha instalado y los AV no son capaces de detectarlo
Un reciente actualización del aplicativo financiero ha provocado la inestabilidad
Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 22
Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 23
Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!
SLIDE 24
Hora del análisis…
Verificamos lo último que se ha descargado y nos encontramos con un paquete llamado IWORK 09
Analizando el paquete vemos que hay un fichero
Este se encuentra en:
/System/Library/StartupItems/iWorkServices
SLIDE 25
/System/Library/StartupItems/iWorkServices
con atributos de read+write+execute
Despues de la ejecución la puerta trasera verifica si eresadministrador (sudo mode) utilizando "_geteuid" y"_getpwuid"
Si no se ejecuta como administrador sale de la instalación
Hora del análisis…
Crea los siguientes ficheros:
/System/Library/StartupItems/iWorkServices/iWorkServices/System/Library/StartupItems/iWorkServices/StartupParameters.plist/usr/bin/iWorkServices
Y el fichero "StartupParameters.plist" contiene los siguientes datos:
{Description = "iWorkServices";
SLIDE 26
Description = "iWorkServices";Provides = ("iWorkServices");Requires = ("Network");OrderPreference = "None";}
e intenta conectarse a:
69.92.177.146:59201qwfojzlk.freehostia.com:1024
Hora del análisis…
p2punlockplatformrandrshellscriptsendlogsset
banclearcleargethttpgethttpgetedleafsnodesp2pihist
SLIDE 27
setshellsleepsockssystemuidunknownsuptime
p2pihistp2pihistsizep2plockp2pmodep2ppeerp2ppeerportp2ppeertypep2pport
Protección
Proactiva
SLIDE 28
DeMo
El Malware en Mac OS X ¡Existe!
KeyloggerTroyanos
Conclusiones
SLIDE 29
Rootkits
BotnetsVirus
Spyware
Conclusiones
DNS Changerac OS X:
DNS Changer
• Descubierto el 30 de Noviembre de 2007
• Incluido en cracks/keyloggers/Keygens/etc.
• Bash Shell Script malicioso
SLIDE 30
• Bash Shell Script malicioso
• Cambiaba los DNS para controlar el tráfico de navegación.
• http://www.bitdefender.com/VIRUS-1000566-en--MAC.OSX.Trojan.DNSChanger.A.html
Rootkit en Mac OS X
- T0rn Rootkit.
- Trojanit Kit.
- Tuxendo.- Tuxendo.
Referencias:http://www.seguridadapple.com/2010/09/antirootkits-en-mac-os-x.html
Troyanos en Mac OS X: Boonana
- Desplegado en Octubre de 2010
- Utiliza un Applet Java para infectar alos usuarios.
Keylogger en Mac OS X
- Application.OSX.KeyboardSpy.
- HellRaiser. Keylogger incrustado en el troyano.
Referencias:http://www.iantivirus.com/threats/index/query/A/
- Desplegado el 27 deOctubre de 2010
- Utiliza un Applet Javapara infectar a losusuarios.
Troyanos en Mac OS X: Koobface
usuarios.
- Filosofía KISS
- También Linux (Ubuntu)
R.A.T. (Remote Administration Tool):Hellraiser
-Shell remota
- Acceso sistema ficherosficheros
- Petición autenticación
- Spotlight remoto
- Keylogger SMTP
Referencia:
http://ithreats.net/2010/04/20/rat-for-mac/
Botnets en Mac OS X: iBotnet
-Desplegada en Abril 2009.Ya existe una versión. F enel 2011
-Infección mediante copias piratas de:
- iWork 09’- iWork 09’
- Photoshop CS4.
-Usando redes P2P
http://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html
Pero lo peor de todoSON LOS TROYANOS…
Troyanos humanos
Pedimos ayuda a Bitdefender
Enviamos las firmas y en menos de cuatro horasdisponiamos de una herramienta para su limpieza
Características a día de hoy:– Protección en tiempo real
– Detección ampliada
SLIDE 39
Detección ampliada
– Fácil de usar
– Análisis inteligente de virus
• Firmas
• Análisis Heurístico estático
• Análisis Heurístico dinámico B-Have
Bitdefender 2011 for Mac
Administración del Servidor y de Puntos Finales
• Capacidades de Administración de Red Integradas– Versión de Microsoft del Lenguaje Script de Web-Based Enterprise
Management (WBEM) para Puntos Finales y Servidores
• Se incluyen más de 30 plantillas WMI Script Predefinidas– Cientos de Scripts Disponibles de forma Pública, Administración Remota
Automatizada:
• Termina aplicaciones y procesos
SLIDE 40
• Termina aplicaciones y procesos
• Instala y desinstala software (incluyendo otras soluciones AV)
• Reiniciar o apagar las estaciones de trabajo
• Activar/desactivar autoejecutables y unidades extraíbles USB
• Paquetes de Instalación Cliente / Servidor Personalizables– Seleccionar características de la instalación y desactivar funciones no deseadas
– Analizar el sistema antes de la Instalación
AdministraciónCentralizada
ProtecciónProactiva
Protección y Administración del Cliente
SLIDE 41
Informes y Estadísticas
• Conjunto de Informes Predefinidos– Infecciones, desinfecciones y archivos en cuarentena
• Estadísticas de Análisis de Virus– Diaria, semanal y mensualmente
– Periodo de tiempo establecido por el usuario
• Informes Basados en un Asistente
SLIDE 42
Informes Basados en un Asistente– Lista breve de los últimos 20 informes
definidos
• Exportar Informes– Informes disponibles en formatos de texto
o HTML
• Administración e Informe de Licencia– Utilización de licencias, clientes inactivos y umbrales
de implementación de licencias
Antiphising
Protección
Proactiva
SLIDE 43
DeMo
Antiphising
Esta demo no ha existido y se
autodestruirá de vuestros
Cerebros y mentes en cuanto
Toméis el café
SLIDE 44
Toméis el café
Referencias…
http://www.seguridadapple.com
http://www.malwarecity.com
http://conexioninversa.blogspot.com
http://www.bitdefender.es
SLIDE 45
http://www.bitdefender.es
¿Preguntas?