el malware en mac os x no es un juego de niños
DESCRIPTION
Charla impartida por Pedro Sánchez en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.TRANSCRIPT
SLIDE 1
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
El Malware en Mac OS X no es un juego
de niños
SLIDE 2
Whoami
● He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional.
También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.
SLIDE 3
http://conexioninversa.blogspot.com
SLIDE 4
SLIDE 5
Agenda:
Bitdefender
Escenario actual del malware
Malware & Mac OSX
Casos reales
Conclusiones
SLIDE 6
• Fundada en 2001
• Un Líder de Soluciones Anti-Malware Proactivas
• La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en
Todo el Mundo
• Distribución en más de 100 países
• Nueve Oficinas Internacionales de
Ventas
- Sede de Marketing Mundial en Silicon
Valley
- Sede Mundial OEM en Silicon Valley
• Producto Disponible en 18 Idiomas
BitDefender de un Vistazo
SLIDE 7
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Escenario actual del malware
SLIDE 8
Escenario de Amenazas - El Pasado
Virus
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta
trasera
Fuentes de ataque
DispositivoExtraíble
Clientes de
Mensajería
Instantánea
Tipos de amenazas Medios de Proliferación
Adjuntos de
correoScript Kiddies
SLIDE 9
Escenario de Amenazas de Internet - Presente
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puerta
trasera
Spyware
Adware
Greyware
Fuentes de ataque
Sitios Web Multimedia Legítimos
Comprometidos
Dispositivos
extraíbles
Dispositivos
Móviles
Redes Públicas
Wi-Fi
Clientes de Mensajería Instantánea
Hackers
Aplicaciones Web 2.0
Tipos de amenazas Medios de Proliferación
Adjuntos de
Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
SLIDE 10
Malware & Mac OSX
SLIDE 11
SLIDE 12
SLIDE 13
BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.
Malware y otros
monstruos en
Mac OSX
SLIDE 14
Trojan.OSX.Jahlav.A: El troyano Jahlav fue descubierto a final de 2008, cuando comenzó a ser distribuido como un códec de vídeo falso, con el fin de atraer a los usuarios para descargar e instalar el malintencionado DMG de archivos, los creadores de este malware crearon una página con un "supuesto" vídeo. Si el usuario instalaba este falso codec, comenzaban a descargarse troyanos maliciosos desde un servidor web remoto.
Trojan.OSX.RSPlug.A: El troyano RSPlug es uno de los más peligrosos para sistemas Mac OS X. También con la escusa de un codec engaña al usuario a descargar e instalar el DMG infectado. RSPlug está presente en sitios web con contenido pornográfico. Una vez instalado, el troyano suplanta los servidores DNS para redirigir el tráfico a páginas de phishing, para así recoger información sensible como datos bancarios, correo electrónico......
Tool Trojan.OSX.HellRTS.A: Se trata de un kit de desarrollo de software malicioso complejo que permite a un atacante desarrollar su propia pieza de malware para Mac OS X a partir de una aplicación cliente-servidor, donde el servidor es el servicio de puerta trasera que se ejecuta en la máquina infectada y la aplicación cliente es usada por el atacante para ejecutar comandos. Este troyano diversas acciones contra nuestro equipo que van desde operaciones extremadamente dañinas hasta visionar el trabajo del usuario sin su conocimiento a través del módulo de Vista del escritorio.
SLIDE 15
Trojan.OSX.OpinionSpy.A: Este malware se instala normalmente a través de aplicaciones de libre distribución como salvapantallas. El troyano OpinionSpy permite controlar la actividad del usuario y envía información sensible del mismo fuera de su ordenador. Esta amenaza supone un importante riesgo para la privacidad del usuario y para la seguridad de los datos almacenados.
Trojan.OSX.Boonana.A: Boonana es un malware multiplataforma basado en Java que se puede ejecutar en Windows, Mac OS X o Linux y que utiliza las redes sociales como medio de propagación para descargar software malicioso. Entre sus acciones está la de alojar un par de archivos maliciosos en una carpeta invisible llamada “. Jñana“. A continuación, instala un servidor de IRC local y uno web, entre otros. El malware Boonana intenta cambiar la configuración del servidor DNS con el fin de realizar ataques phishing.
SLIDE 16
R.A.T. (Remote Administration Tool):
Hellraiser
-Shell remota
- Acceso sistema
ficheros
- Petición autenticación
- Spotlight remoto
- Keylogger SMTP
Referencia:
http://ithreats.net/2010/04/20/rat-for-mac/
SLIDE 17
El más divertido
MACDEFENDER
Rogue AV que llamaron MacDefender y lo distribuyeron con técnicas de BlackSEO por Internet.
Cuando las casas de antivirus empezaron a firmarlo los creadores de de MacDefender lo mutaron para sacar MacSecurity y MacProtector, hasta llegar a saturar los servicios profesionales de soporte de Apple
A raíz de este punto se emitió un artículo en la knowledge base reconociendo que existía el problema, cómo quitarlo y que sacarían una Security Update para su solución.
SLIDE 18
Los origenes
Se remontan a ChronoPay por la dirección de correo electrónico
de ChronoPay a nombre de Alexandra Volkov. La dirección de
correo electrónico aparece en el registro de dominio para mac-
defence.com y macbookprotection.com, dos sitios web de los
usuarios de Mac están dirigidas a fin de comprar el software de
seguridad.
ChronoPay es el procesador de pagos ‘on-line’ más grande de
Rusia. Los sitios web fueron acogidos en Alemania y fueron
suspendidos por Webpoint.com.
ChronoPay anteriormente había sido vinculado a otra estafa en
la que los usuarios que participan en el intercambio de archivos
se les pidió pagar una multa por desbloquear el software
SLIDE 19
VIDEO DEMO
SLIDE 20
VIDEO DEMO
SLIDE 21
Un malware
en la oficina
SLIDE 22
CASO 1:
Problema:
Entidad financiera deja de operar en todos sus cajeros y
servicios web debidos a un mal funcionamiento de servicios
centrales.
Impacto:
Mala imagen. Perdida de reputación, la duración del problema se
traslado durante horas
Análisis
Red nativa en Windows, Active Directory, Exchange y…
SLIDE 23
CASO 1:
10:20 h del 17 de Agosto de 2010.
Los usuarios de la LAN se quejan de que la red empieza a ser lenta
Servicios de directorio empiezan a fallar
12:30 h
Las unidades de red se desconectan cada cierto tiempo
Los servidores funcionan correctamente pero la red no da servicio
Se piensa y se comprueba:
Un mal fallo en los Routers de la instalación
Un nuevo especimen de malware se ha instalado y los AV no son capaces
de detectarlo
Un reciente actualización del aplicativo financiero ha provocado la
inestabilidad
SLIDE 24
Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 25
Monitorizar ancho de banda
Grabar ficheros de tráfico de red .PCAP
Pasarlos por SNORT y Ooopsss!!! Sorpresa!!
SLIDE 26
Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!
SLIDE 27
Análisis
Obtención del disco duro de forma integra (con sus huellas) por
medio tradicional :
(orden dependiente de cómo se encuentra el sistema)
Clonado del disco(s)
Volcado de la memoria
Análisis manual o semiautomático
VOLAFOX
SLIDE 28
VIDEO DEMO
SLIDE 29
Hora del análisis…
Verificamos lo último que se ha descargado y nos encontramos con un
paquete llamado IWORK 09
Analizando el paquete vemos que hay un fichero
Este se encuentra en:
/System/Library/StartupItems/iWorkServices
con atributos de read+write+execute
Despues de la ejecución la puerta trasera verifica si eresadministrador (sudo mode) utilizando "_geteuid" y"_getpwuid"
Si no se ejecuta como administrador sale de la instalación
SLIDE 30
Hora del análisis…
Crea los siguientes ficheros:
/System/Library/StartupItems/iWorkServices/iWorkServices
/System/Library/StartupItems/iWorkServices/StartupParameters.plist
/usr/bin/iWorkServices
Y el fichero "StartupParameters.plist" contiene los siguientes datos:
{Description = "iWorkServices";Provides = ("iWorkServices");Requires = ("Network");OrderPreference = "None";}
e intenta conectarse a:
69.92.177.146:59201
qwfojzlk.freehostia.com:1024
SLIDE 31
Hora del análisis…
p2punlock
platform
rand
rshell
script
sendlogs
set
shell
sleep
socks
system
uid
unknowns
uptime
banclear
clear
get
httpget
httpgeted
leafs
nodes
p2pihist
p2pihistsize
p2plock
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
p2pport
Botnets en Mac OS X: iBotnet
-Desplegada en Abril 2009.Ya existe una versión. F enel 2011
-Infección mediante copias piratas de:
- iWork 09’
- Photoshop CS4.
-Usando redes P2P
http://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html
SLIDE 33
El Malware en Mac OS X ¡Existe!
Keylogger
Rootkits
BotnetsVirus
Spyware
Troyanos
Conclusiones ConclusionesHola Frank,
¿que haces
por aquí?
Me encontre un
Mac, sin
insecticida
SLIDE 34
El Malware en Mac OS X ¡Existe!
Keylogger
Rootkits
BotnetsVirus
Spyware
Troyanos
Conclusiones
Pero lo peor de todo
SON LOS TROYANOS…
Troyanos humanos
SLIDE 37
Pedimos ayuda a Bitdefender
Enviamos las firmas y en menos de cuatro horas
disponiamos de una herramienta para su limpieza
Características a día de hoy:
– Protección en tiempo real
– Detección ampliada
– Fácil de usar
– Análisis inteligente de virus
• Firmas
• Análisis Heurístico estático
• Análisis Heurístico dinámico B-Have
Bitdefender 2011 for Mac
SLIDE 38
Administración
Centralizada
Protección
Proactiva
Protección y Administración del Cliente
SLIDE 39
Administración del Servidor y de Puntos Finales
• Capacidades de Administración de Red Integradas
– Versión de Microsoft del Lenguaje Script de Web-Based Enterprise
Management (WBEM) para Puntos Finales y Servidores
• Se incluyen más de 30 plantillas WMI Script Predefinidas– Cientos de Scripts Disponibles de forma Pública, Administración Remota
Automatizada:
• Termina aplicaciones y procesos
• Instala y desinstala software (incluyendo otras soluciones AV)
• Reiniciar o apagar las estaciones de trabajo
• Activar/desactivar autoejecutables y unidades extraíbles USB
• Paquetes de Instalación Cliente / Servidor Personalizables
– Seleccionar características de la instalación y desactivar funciones no deseadas
– Analizar el sistema antes de la Instalación
SLIDE 40
Referencias…
http://www.seguridadapple.com
http://www.malwarecity.com
http://conexioninversa.blogspot.com
http://www.bitdefender.es
http://twitter.com/#!/ConexionInversa
¿Preguntas?