EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
Mac os x & malware en tu empresa
1. Mac OSX & Malware en tu
empresa
BitDefender
MAXIMUM SECURITY. MAXIMUM SPEED.
Pedro Sánchez
SLIDE 1
2. ¿Quien soy yo?
Pedro Sánchez
Zaragoza, SPAIN
He trabajado en importantes empresas
como consultor especializado en Computer
Forensics, Honeynets, detección de
intrusiones, redes trampa y pen-testing. He
implantado normas ISO 27001, CMMI y
diversas metodologías de seguridad.
También colaboro sobre análisis forense
informático con las fuerzas de seguridad
del estado y diversas organizaciones
comerciales.
También he participado en las jornadas
JWID/CWID organizadas por el ministerio
de defensa, en donde obtuve la
certificación NATO SECRET
Actualmente soy miembro de la Spanish
Honeynet Project.
SLIDE 2
4. Que hacemos?
Especialistas en Análisis Forense Informático
- Cualquier dispositivo que tenga un OS
- Fugas de información
- Litigios entre empresas
Análisis de seguridad en redes
Respuesta ante incidentes
Implantación de normas
Consultoría de seguridad
Hacking Ético
SLIDE 4
5. Pero no soy conocido por esto,
precisamente fuí conocido por ESTO:
SLIDE 5
10. BitDefender de un Vistazo
• Fundada en 2001
• Un Líder de Soluciones Anti-Malware Proactivas
• La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en
Todo el Mundo
• Distribución en más de 100 países
• Nueve Oficinas Internacionales de
Ventas
- Sede de Marketing Mundial en Silicon
Valley
- Sede Mundial OEM en Silicon Valley
• Producto Disponible en 18 Idiomas
SLIDE 10
11. Hablamos de realidades
• BitDefender proporciona un motor común de detección y desinfección en
todos sus productos empresariales
• Los motores se personalizan aún más para plataformas o aplicaciones
específicas; por ejemplo Inspección URL y de Contenido
• BitDefender detecta y protege de media, contra 120.000 nuevas amenazas al
mes
• Más de 4.000 nuevas firmas se añaden a la base de datos antivirus de todos
los días
• Los clientes de BitDefender obtienen protección continua con más de 16
actualizaciones al día.
• El éxito de detección de BitDefender le ha llevado a ser adoptado por otros
proveedores líderes de soluciones Antivirus
SLIDE 11
12. Escenario actual del malware
BitDefender
MAXIMUM SECURITY. MAXIMUM SPEED.
SLIDE 12
13. Escenario de Amenazas - El Pasado
Fuentes de ataque Tipos de amenazas Medios de Proliferación
Dispositivo
Virus Extraíble
Gusanos de correo
Gusanos exploit Adjuntos de
correo
Script Kiddies Rootkits
Troyanos de puerta
trasera
Clientes de
Mensajería
Instantánea
SLIDE 13
14. Escenario de Amenazas de Internet - Presente
Fuentes de ataque Tipos de amenazas Medios de Proliferación
Clientes de
Mensajería
Instantánea
Virus
Hackers Gusanos de correo Sitios Web Multimedia Legítimos
Comprometidos
Gusanos exploit
Gusanos P2P Dispositivos
extraíbles
Phishing Redes P2P
Crimen organizado Gusanos IM
Rootkits
Adjuntos de
Troyanos de puerta Correo SPAM
Dispositivos Redes Públicas
Empresas Legítimas trasera Móviles Wi-Fi
Spyware
Adware
Gobiernos extranjeros
SLIDE 14 Greyware Aplicaciones Web 2.0
15. Malware y otros
monstruos en
Mac OSX
BitDefender
MAXIMUM SECURITY. MAXIMUM SPEED.
SLIDE 15
19. Malware & Mac OSX
Caso 1: La espía que vino del frio
BitDefender
MAXIMUM SECURITY. MAXIMUM SPEED.
SLIDE 19
20. CASO 1:
Problema:
Entidad financiera deja de operar en todos sus cajeros y
servicios web debidos a un mal funcionamiento de servicios
centrales.
Impacto:
Mala imagen. Perdida de reputación, la duración del problema se
traslado durante horas
Análisis
Red nativa en Windows, Active Directory, Exchange y…
SLIDE 20
21. CASO 1:
10:20 h del 17 de Agosto de 2010.
Los usuarios de la LAN se quejan de que la red empieza a ser lenta
Servicios de directorio empiezan a fallar
12:30 h
Las unidades de red se desconectan cada cierto tiempo
Los servidores funcionan correctamente pero la red no da servicio
Se piensa y se comprueba:
Un mal fallo en los Routers de la instalación
Un nuevo especimen de malware se ha instalado y los AV no son capaces
de detectarlo
Un reciente actualización del aplicativo financiero ha provocado la
inestabilidad
SLIDE 21
22. Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 22
23. Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 23
24. Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!
SLIDE 24
25. Hora del análisis…
Verificamos lo último que se ha descargado y nos encontramos con un
paquete llamado IWORK 09
Analizando el paquete vemos que hay un fichero
Este se encuentra en:
/System/Library/StartupItems/iWorkServices
con atributos de read+write+execute
Despues de la ejecución la puerta trasera verifica si eres
administrador (sudo mode) utilizando "_geteuid" y"_getpwuid"
Si no se ejecuta como administrador sale de la instalación
SLIDE 25
26. Hora del análisis…
Crea los siguientes ficheros:
/System/Library/StartupItems/iWorkServices/iWorkServices
/System/Library/StartupItems/iWorkServices/StartupParameters.plist
/usr/bin/iWorkServices
Y el fichero "StartupParameters.plist" contiene los siguientes datos:
{
Description = "iWorkServices";
Provides = ("iWorkServices");
Requires = ("Network");
OrderPreference = "None";
}
e intenta conectarse a:
69.92.177.146:59201
qwfojzlk.freehostia.com:1024
SLIDE 26
27. Hora del análisis…
p2punlock banclear
platform clear
rand get
httpget
rshell
httpgeted
script
leafs
sendlogs nodes
set p2pihist
shell p2pihistsize
sleep p2plock
socks p2pmode
system p2ppeer
uid p2ppeerport
unknowns p2ppeertype
p2pport
uptime
SLIDE 27
29. Conclusiones
El Malware en Mac OS X ¡Existe!
Troyanos Keylogger
Spyware Rootkits
Virus Botnets
SLIDE 29
30. Conclusiones
DNS Changerac OS X:
DNS Changer
• Descubierto el 30 de Noviembre de 2007
• Incluido en cracks/keyloggers/Keygens/etc.
• Bash Shell Script malicioso
• Cambiaba los DNS para controlar el tráfico de navegación.
• http://www.bitdefender.com/VIRUS-1000566-en--
MAC.OSX.Trojan.DNSChanger.A.html
SLIDE 30
31. Rootkit en Mac OS X
- T0rn Rootkit.
- Trojanit Kit.
- Tuxendo.
Referencias:
http://www.seguridadapple.com/2010/09/antirootkits-en-mac-os-
x.html
32. Troyanos en Mac OS X: Boonana
- Desplegado en Octubre de 2010
- Utiliza un Applet Java para infectar a
los usuarios.
33. Keylogger en Mac OS X
- Application.OSX.KeyboardSpy.
- HellRaiser. Keylogger incrustado en el troyano.
Referencias:
http://www.iantivirus.com/threats/index/query/A/
34. Troyanos en Mac OS X: Koobface
- Desplegado el 27 de
Octubre de 2010
- Utiliza un Applet Java
para infectar a los
usuarios.
- Filosofía KISS
- También Linux (Ubuntu)
36. Botnets en Mac OS X: iBotnet
-Desplegada en Abril 2009.Ya existe una versión. F en
el 2011
-Infección mediante copias piratas de:
- iWork 09’
- Photoshop CS4.
-Usando redes P2P
http://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-
macs-zombies.html
39. Pedimos ayuda a Bitdefender
Enviamos las firmas y en menos de cuatro horas
disponiamos de una herramienta para su limpieza
Características a día de hoy:
– Protección en tiempo real
– Detección ampliada
– Fácil de usar
– Análisis inteligente de virus
• Firmas
• Análisis Heurístico estático
• Análisis Heurístico dinámico B-Have
Bitdefender 2011 for Mac
SLIDE 39
40. Administración del Servidor y de Puntos Finales
• Capacidades de Administración de Red Integradas
– Versión de Microsoft del Lenguaje Script de Web-Based Enterprise
Management (WBEM) para Puntos Finales y Servidores
• Se incluyen más de 30 plantillas WMI Script Predefinidas
– Cientos de Scripts Disponibles de forma Pública, Administración Remota
Automatizada:
• Termina aplicaciones y procesos
• Instala y desinstala software (incluyendo otras soluciones AV)
• Reiniciar o apagar las estaciones de trabajo
• Activar/desactivar autoejecutables y unidades extraíbles USB
• Paquetes de Instalación Cliente / Servidor Personalizables
– Seleccionar características de la instalación y desactivar funciones no deseadas
– Analizar el sistema antes de la Instalación
SLIDE 40
42. Informes y Estadísticas
• Conjunto de Informes Predefinidos
– Infecciones, desinfecciones y archivos en cuarentena
• Estadísticas de Análisis de Virus
– Diaria, semanal y mensualmente
– Periodo de tiempo establecido
por el usuario
• Informes Basados en un Asistente
– Lista breve de los últimos 20 informes
definidos
• Exportar Informes
– Informes disponibles en formatos de texto
o HTML
• Administración e Informe de Licencia
– Utilización de licencias, clientes inactivos y umbrales
de implementación de licencias
SLIDE 42