SlideShare uma empresa Scribd logo

Malware en Linux - Barcamp SE - Cali, Colombia 2013

Transferir como PPTX, PDF
Alejandro Hernández
Alejandro Hernández

El malware también existe en plataformas basadas en UNIX, como Linux. Diferentes técnicas de infección, detección y eliminación de software melicioso.

Tecnologia
1 de 42
1 Usa Linux decían ... ...En Linux no hay virus decían Alejandro Hernández CISSP, GPEN @nitr0usmx http://www.brainoverflow.org http://chatsubo-labs.blogspot.mx MALWAREEN LINUX
Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
¿Por qué usar Linux (*NIX)? 5
¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
10 Similitudes y Diferencias con sistemas Windows
11  Market share Similitudes y Diferencias con sistemas Windows
12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
17  nitr0us@linux:~$ ./binario_infectado Técnicas de Infección / Propagación
18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
29 Técnicas de Anti Detección / Reversing / Debugging
Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
32 DEMO DETECCIÓN DE ROOTKITS rkhunter http://rkhunter.sourceforge.net Técnicas de Detección / Eliminación
33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
35  Y se ve así… Técnicas de Detección / Eliminación
36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
40 DEMO EJECUCIÓN DE ANTIVIRUS ClamAV http://www.clamav.net Técnicas de Detección / Eliminación
Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar
42 G R A C I A S 42 Alejandro Hernández CISSP, GPEN @nitr0usmx http://www.brainoverflow.org http://chatsubo-labs.blogspot.mx

Recomendados

Malware en linux
Malware en linuxMalware en linux
Malware en linux
Tensor
 
Pent box security
Pent box securityPent box security
Pent box security
Tensor
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
Adrián Lois
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
ecentenov
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
Marcos Gallegos
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
1201lauralinzan
 

Recomendados

Malware en linux
Malware en linuxMalware en linux
Malware en linux
Tensor
 
Pent box security
Pent box securityPent box security
Pent box security
Tensor
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
Adrián Lois
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
ecentenov
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
Marcos Gallegos
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
1201lauralinzan
 
VC4NM73-EQ#6-EXPLOIT
VC4NM73-EQ#6-EXPLOITVC4NM73-EQ#6-EXPLOIT
VC4NM73-EQ#6-EXPLOIT
Jessica Onlyone
 
Fire eye mas_ds
Fire eye mas_dsFire eye mas_ds
Fire eye mas_ds
Ilyanna
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
walteraguero
 
Antivirus
AntivirusAntivirus
Antivirus
Antonio Ruiz Arbildo
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
RootedCON
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
Tensor
 
Guía teórica seguridad informatica
Guía teórica seguridad informaticaGuía teórica seguridad informatica
Guía teórica seguridad informatica
karencocha98
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]
Bladimir Baez Baez Lizarazo
 
Antivirus
AntivirusAntivirus
Antivirus
pizarronicole18
 
Clasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasClasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazas
Marco Lopez
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
RootedCON
 
Guadalajara con
Guadalajara conGuadalajara con
Guadalajara con
Jaime Restrepo
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
Carlos Antonio Leal Saballos
 
Fire eye web_mps_ds
Fire eye web_mps_dsFire eye web_mps_ds
Fire eye web_mps_ds
Ilyanna
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
Juan Rao
 
Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
Andres Gonzalez
 
Social media w instytucjach finansowych
Social media w instytucjach finansowych Social media w instytucjach finansowych
Social media w instytucjach finansowych
Wojciech Boczoń
 
Das wunder des samens. german deutsche
Das wunder des samens. german deutscheDas wunder des samens. german deutsche
Das wunder des samens. german deutsche
HarunyahyaGerman
 
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
Kimaldi
 
Dole Banana Packaging Design
Dole Banana Packaging DesignDole Banana Packaging Design
Dole Banana Packaging Design
jewellynnz
 
PPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_FriebePPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_Friebe
Prabal Poudel
 
Pokecrianza 101
Pokecrianza 101Pokecrianza 101
Pokecrianza 101
Pablo Baden
 

Mais conteúdo relacionado

Mais procurados

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
walteraguero
 
Guía teórica seguridad informatica
Guía teórica seguridad informaticaGuía teórica seguridad informatica
Guía teórica seguridad informatica
karencocha98
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]
Bladimir Baez Baez Lizarazo
 
Clasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasClasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazas
Marco Lopez
 

Mais procurados (15)

VC4NM73-EQ#6-EXPLOIT
VC4NM73-EQ#6-EXPLOITVC4NM73-EQ#6-EXPLOIT
VC4NM73-EQ#6-EXPLOIT
 
Fire eye mas_ds
Fire eye mas_dsFire eye mas_ds
Fire eye mas_ds
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Antivirus
AntivirusAntivirus
Antivirus
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 
Guía teórica seguridad informatica
Guía teórica seguridad informaticaGuía teórica seguridad informatica
Guía teórica seguridad informatica
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]
 
Antivirus
AntivirusAntivirus
Antivirus
 
Clasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazasClasificaciones de seguridad +validaciones y amenazas
Clasificaciones de seguridad +validaciones y amenazas
 
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
Manuel Blanco - GNU/Linux Binary Exploitation I&II [rooted2018]
 
Guadalajara con
Guadalajara conGuadalajara con
Guadalajara con
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
Fire eye web_mps_ds
Fire eye web_mps_dsFire eye web_mps_ds
Fire eye web_mps_ds
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 

Destaque

Social media w instytucjach finansowych
Social media w instytucjach finansowych Social media w instytucjach finansowych
Social media w instytucjach finansowych
Wojciech Boczoń
 
PPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_FriebePPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_Friebe
Prabal Poudel
 
Inteligencias múltiples y multitareasweb
Inteligencias múltiples y multitareaswebInteligencias múltiples y multitareasweb
Inteligencias múltiples y multitareasweb
Nuria Alart
 
Ict policy in education and research presented by titas sarker
Ict policy in education and research presented by titas sarkerIct policy in education and research presented by titas sarker
Ict policy in education and research presented by titas sarker
Titas Sarker
 

Destaque (20)

Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
Solucion Videovigilancia y su aplicacion al sector transporte Agata Technolog...
 
Social media w instytucjach finansowych
Social media w instytucjach finansowych Social media w instytucjach finansowych
Social media w instytucjach finansowych
 
Das wunder des samens. german deutsche
Das wunder des samens. german deutscheDas wunder des samens. german deutsche
Das wunder des samens. german deutsche
 
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
Gestión de precios "Etiqueta negra". Rápido - Higiénico - Efectivo - Buena pr...
 
Dole Banana Packaging Design
Dole Banana Packaging DesignDole Banana Packaging Design
Dole Banana Packaging Design
 
PPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_FriebePPoudel_Reco_Prof_Friebe
PPoudel_Reco_Prof_Friebe
 
Pokecrianza 101
Pokecrianza 101Pokecrianza 101
Pokecrianza 101
 
Arquitectura ava
Arquitectura avaArquitectura ava
Arquitectura ava
 
Agora: Desarrollo de un servicio telemático de información urbana
Agora: Desarrollo de un servicio telemático de información urbanaAgora: Desarrollo de un servicio telemático de información urbana
Agora: Desarrollo de un servicio telemático de información urbana
 
Apostila de Java: Orientação a Objetos
Apostila de Java: Orientação a ObjetosApostila de Java: Orientação a Objetos
Apostila de Java: Orientação a Objetos
 
Inteligencias múltiples y multitareasweb
Inteligencias múltiples y multitareaswebInteligencias múltiples y multitareasweb
Inteligencias múltiples y multitareasweb
 
Tríptic bibliol 5è 6è2015
Tríptic bibliol 5è 6è2015Tríptic bibliol 5è 6è2015
Tríptic bibliol 5è 6è2015
 
Gerontologia
GerontologiaGerontologia
Gerontologia
 
Trabajo de Fin de Grado: Puesta a Tierra en BT
Trabajo de Fin de Grado: Puesta a Tierra en BTTrabajo de Fin de Grado: Puesta a Tierra en BT
Trabajo de Fin de Grado: Puesta a Tierra en BT
 
Ict policy in education and research presented by titas sarker
Ict policy in education and research presented by titas sarkerIct policy in education and research presented by titas sarker
Ict policy in education and research presented by titas sarker
 
Biodiversidad Lourdes Y Ruben
Biodiversidad Lourdes Y RubenBiodiversidad Lourdes Y Ruben
Biodiversidad Lourdes Y Ruben
 
إجابات كتاب Senior 2016 ثانية ثانوي
إجابات كتاب Senior 2016 ثانية ثانويإجابات كتاب Senior 2016 ثانية ثانوي
إجابات كتاب Senior 2016 ثانية ثانوي
 
Crea tu marca personal y mejora tu empleabilidad utilizando internet
Crea tu marca personal y mejora tu empleabilidad utilizando internetCrea tu marca personal y mejora tu empleabilidad utilizando internet
Crea tu marca personal y mejora tu empleabilidad utilizando internet
 
Programa-2015
Programa-2015Programa-2015
Programa-2015
 
Proyecto de mejora Gloria Reduccion de la lamina termocontraible parte inferior
Proyecto de mejora Gloria Reduccion de la lamina termocontraible parte inferiorProyecto de mejora Gloria Reduccion de la lamina termocontraible parte inferior
Proyecto de mejora Gloria Reduccion de la lamina termocontraible parte inferior
 

Semelhante a Malware en Linux - Barcamp SE - Cali, Colombia 2013

Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hacker
cyberleon95
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
candybravo
 

Semelhante a Malware en Linux - Barcamp SE - Cali, Colombia 2013 (20)

Malware en linux
Malware en linuxMalware en linux
Malware en linux
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
9700132 el-sendero-del-hacker
9700132 el-sendero-del-hacker9700132 el-sendero-del-hacker
9700132 el-sendero-del-hacker
 
El sendero del hacker
El sendero del hackerEl sendero del hacker
El sendero del hacker
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hacker
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Hispasec defensa virus
Hispasec defensa virusHispasec defensa virus
Hispasec defensa virus
 
Malware for Linux
Malware for LinuxMalware for Linux
Malware for Linux
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Depth analysis to denial of services attacks
Depth analysis to denial of services attacksDepth analysis to denial of services attacks
Depth analysis to denial of services attacks
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
 
Curso de hacking avanzado
Curso de hacking avanzadoCurso de hacking avanzado
Curso de hacking avanzado
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 

Mais de Alejandro Hernández

Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading TechnologiesAre You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Alejandro Hernández
 
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesBrain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Alejandro Hernández
 

Mais de Alejandro Hernández (10)

Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading TechnologiesAre You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
 
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesBrain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
 
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerIn the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
 
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
 
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
 
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-Level
 
ELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y DefensaELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y Defensa
 
Live Hacking : del Bug al Exploit
Live Hacking : del Bug al ExploitLive Hacking : del Bug al Exploit
Live Hacking : del Bug al Exploit
 
Fuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IPFuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IP
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (11)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Malware en Linux - Barcamp SE - Cali, Colombia 2013

  • 1. 1 Usa Linux decían ... ...En Linux no hay virus decían Alejandro Hernández CISSP, GPEN @nitr0usmx http://www.brainoverflow.org http://chatsubo-labs.blogspot.mx MALWAREEN LINUX
  • 2. Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
  • 3. ¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
  • 4. ¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
  • 5. ¿Por qué usar Linux (*NIX)? 5
  • 6. ¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
  • 7. Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
  • 8. 8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
  • 9. Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
  • 11. 11  Market share Similitudes y Diferencias con sistemas Windows
  • 12. 12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
  • 13. Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
  • 14. Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
  • 15. 15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 16. 16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 18. 18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
  • 19. 19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
  • 20. 20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
  • 21. 21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
  • 22. 22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
  • 23. 23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
  • 24. 24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
  • 25. 25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
  • 26. Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
  • 27. 27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
  • 28. 28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
  • 29. 29 Técnicas de Anti Detección / Reversing / Debugging
  • 30. Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
  • 31. 31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
  • 33. 33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
  • 34. 34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
  • 35. 35  Y se ve así… Técnicas de Detección / Eliminación
  • 36. 36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
  • 37. 37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
  • 38. 38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
  • 39. 39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
  • 41. Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar