25/04/2012

Gusanos.

Contenido.

Definicin de Gusano. Los inicios: el gusano Morris.

Cronologa. Efectos.

Como trabaja un gusano. Comportamiento Tpico. Vulnerabilidades Explotadas. Comportamiento Tpico de un gusano de correo. Vulnerabilidades Explotadas en clientes de correo. Acciones Preventivas. Acciones Correctivas.

25/04/2012

Gusanos.

Un gusano es un programa que puede ejecutarse independientemente, consumir los recursos de la estacin que lo alberga para poder mantenerse y puede propagar una versin completa y operativa de s mismo en otras estaciones.
25/04/2012

Los inicios: el gusano Morris.

El primer gusano conocido apareci el 02 de Noviembre de 1988, Robert Tappan Morris Jr. fue quien elabor una teora acerca de gusanos y adems la puso en prctica El incidente fue llamado Morris Worm Incident o Internet Worm Afect servidores Unix BSD 4.2 y 4.3, y SunOS. Tom ventaja de vulnerabilidades en los servicios de Unix: sendmail, fingerd, rsh/exec y de claves dbiles de los servidores afectados (usuario y clave iguales). Se propag a todos los sistemas que pudo

25/04/2012

Cronologia.

06:00PM El gusano es activado 08:49PM Infecta una VAX 8600 de la Universidad de Utah 09:09PM Empieza a atacar a otros sistemas 09:21PM La carga promedio de los sistemas alcanza nivel 5 cuando el nivel usual es 1 09:41PM La carga promedio alcanza 7 10:01PM La carga promedio alcanza 16 10:06PM Los usuarios no pueden usar los sistemas dnde hay un gran nmero de infectados. 10:20PM Los administradores matan el gusano. 10:41PM Los sistemas son reinfectados y la carga se eleva a 27 10:49PM El administrador reinicia el sistema 11:21PM La re-infeccin eleva la carga promedio a 37
25/04/2012

Efectos.

En 90 minutos, el gusano dej miles de sistemas anulados. 6000 estaciones fueron afectadas. No hubo daos fsicos, pero las prdidas oscilaron entre $100,000 y $100000,000 por prdida de acceso a los sistemas. Conclusin: Los bichos son cosa seria.

25/04/2012

Como trabaja un gusano.

Los gusanos son programas autmatas que se propagan a travs de los sistemas que atacan. Explotan vulnerabilidades de: sistemas operativos, aplicaciones, correo electrnico, etc. El cdigo hostil puede simplemente ser hostigante, o tan peligroso como capturar informacin del usuario para enviarla a una cuenta en Internet o anular un sistema totalmente, Keylogger Una vez afectado un sistema, tratan de infectar a otros y luego de ello atacar el sistema residente. Para detenerlos, es necesario algo ms que un firewall.

25/04/2012

Comportamiento Tipico.

Escanea por sistemas con servicios vulnerables: Apache, IIS, Linux, Windows, Unix, etc. Intenta entrar. Explota la vulnerabilidad Infecta la mquina con cdigo hostil Ejecuta el cdigo hostil: borrar, modificar archivos, robar informacin, colocar troyanos, etc Trata de infectar a otros sistemas Vuelve al paso 1.
25/04/2012

El gusano tiene estilo.

Hacker

Servidor 1 Servidor 2 Servidor 3

25/04/2012

Vulnerabilidades Explotadas.

Bugs de las aplicaciones:

IIS: Unicode Traversal Bug Apache: Open_SSL Windows: NetBIOS, recursos compartidos Linux/Unix: Remote Shell, RPC, lprnd

Funcionalidades de las aplicaciones: ejecucin de cdigo Java, ActiveX en navegadores Recursos compartidos (NetBIOS) El usuario
25/04/2012

Comportamiento tipico de un gusano de correo.

Se enva un e-mail infectado con un archivo anexado a la lista de contactos del cliente de correo El contacto recibe el e-mail y abre el archivo anexado Ejecuta/infecta la mquina con cdigo hostil Trata de propagarse a toda la lista de contactos de la mquina infectada. Ejecuta el cdigo hostil: borrar, modificar, colocar troyanos, etc. Vuelve al paso 1.

25/04/2012

Vulnerabilidades explotadas en clientes de correo.

Ejecucin de cdigo ejecutable y/o scripts incrustado en correos Ejecucin automtica de cdigo HTML incrustado en correos en el cliente configurado con vista previa. El usuario
25/04/2012

Acciones Preventivas.

A nivel de usuario:
No leer ni ejecutar archivos de dudosa procedencia (spam, etc.) hacer uso del sentido comn. No desactivar el antivirus y mantenerlo actualizado. No visitar pginas de contenido dudoso. Deshabilitar la capacidad de ejecutar macros en MS Office. Aplicar todos los parches a sus sistemas operativos (nunca se olvide de tener un backup). Configurar el correo electrnico para enviar y recibir emails en modo texto. Nunca aceptar archivos que son enviados a travs de News, IRC, e-mails, etc., cuya razn de envo no es clara, etc.
25/04/2012

Acciones Preventivas.
Ante la duda, no haga nada. No ejecutar archivos anexados en correos con nombres sugestivos: Anna Kournikova, Jennifer Lpez, La base de datos de carnivore, etc. Recuerde la Ingeniera Social. En Windows, activar la opcin de visualizacin de extensin de archivos en el Explorador. Si detecta algo extrao en su estacin y no sabe que hacer, desconctela de la red, no la toque y llame al departamento de sistemas. Utilice firmas digitales para autenticar el origen de correos. Nunca propague HOAXes, ya es suficiente con el trfico de los virus, gusanos, spam, etc. NO SEA UN VIRUS!.
25/04/2012

Acciones Preventivas.

A nivel de Servidor:
Correos: Filtrar archivos con extensiones peligrosas: doc, xls, vbs, exe, pif, cpl, ppt, bat, html, htm, mp3, sys, com, shs, ccs, cmd, etc. Correos: Deshabilitar la opcin de Relay para evitar ser el transmisor de virus. Aplicar parches, ejecutar check-lists, etc. Mantener un registro de las comunicaciones que inician los usuarios con otros y que involucran envo de archivos.

25/04/2012

Acciones Correctivas.
Aislar la computadora afectada. Efectuar la limpieza desde un disco con el antivirus. Eliminar archivos sospechosos Efectuar la limpieza a nivel de registro (Windows) Aplicar los parches que sean necesarios Instalar antivirus con firmas actualizadas Reinstalar el sistema operativo de ser necesario.
25/04/2012

!No entrar en pnico!

25/04/2012

Fin de la Presentacin.
Gracias Por su Atencin.