View
216
Download
0
Category
Preview:
Citation preview
Copyright 2005, Trend Micro
Protección ante los nuevos códigosmaliciosos y otras amenazas
Angel CastellanosDirector de Administración PúblicaAngel_castellanos@trendmicro.es
SeminarioAdministración electrónica
en Defensa y Seguridad
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineTrend Micro Overview
• Establecida en USA en 1988• Sede Central en Tokio y California, con 23 subsidiarias• Foco Único : Antivirus , Anti-SPAM y Control de
Contenidos maliciosos (Más de 1.900 empleados a nivel mundial)
• Equipos de Investigación y Desarrollo de Vacunas alrededor del mundo (5 TrendLabs)
• Facturación 2004 US$ 587,4 millones• Cotización en bolsa:
– Mercado de Acciones Japonés (4704)– Nasdaq (TMIC)
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Copyright 2004 Trend Micro, Inc.
Innovacion Global: Una Historia de Pioneros
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineSituación del mercado
• Las amenazas, los virus, siguen evolucionando: sin embargo, la mayoría de los antivirus no.
• Cada vez pasa menos tiempo desde que se anuncia la existencia de una vulnerabilidad hasta que aparece una amenaza que la aprovecha.
• Eliminar los virus es cada vez más difícil y requiere másrecursos.
• La navegación de Internet (HTTP) y los programas espía se hanconvertido en una de las principales amenazas.
• El Phishing esta creciendo en España +12 casos de Bancos Españoles en 2005.
• El Spam un problema que no para de crecer, + 65% del todo el correo de Internet es Spam.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineAumento del código malicioso (1990 – 2004)
Virus arranqueInfectores de
ficheros Macrovirus Virus email Virus de red
183 1,000 5,00010,000
18,000
38,00048,000
60,000
73,000
85,00090,000
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
1990 1991 1994 1996 1998 1999 2000 2001 2002 2003 2004
Aumento del código malicioso
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Mabir
Win CE DUTS
Win CE BRADOR
Virus de móviles (2004-2005)
29 de diciembre 041 de febrero 05
Locknut (Gavno)
Velasco
21 de noviembre 04
Skulls
20 de junio de 04
Cabir
17 de julio de 2004
5 de agosto 04
= Symbian OS (Nokia, etc)
= Windows CE (HP, etc)
8 de marzo 05
Comwar
7 de marzo 05
Dampig
12 de agosto 04
Qdial
4 de abril 05
Fontal
6 de abril05
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePotenciales vías de infección en los Teléfonos
• Insertar una tarjeta de almacenamiento infectada• Al sincronizar un PC con un Smartphone pasan a éste los
archivos infectados• Descargar archivos infectados de internet a un Smartphone• Navegar por WAP por enlaces “sucios” que contengan ficheros
infectados• Infectarse un teléfono inteligente de otro
Ejemplo: el virus Cabir se transmitió a través de Bluetooth en dispositivos sirviéndose del sistema operativo Symbian
• Trend Micro Mobile Security protege los teléfonos movilescon sistemas operativos: Symbian S60 y 7.0, Windows Mobile for Pocket Pc y Windows Mobile for Smartphone
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineMás Amenazas – Mayor Velocidad
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNivel de los Códigos Maliciosos
Virus/Worm Threat Meter
Network WormThreat Meter
Spam ThreatMeter
Spyware ThreatMeter
Phishing ThreatMeter
New Threat Meter –SPIM/VoIP/Wireless
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
• Spyware• Grayware• Adware• Keyloggers• Pharming• Phishing
Phishing.org Info
Las Amenazas vía Web se están Multiplicando
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
• Rastrea los sites visitados• Monitoriza las pulsaciones de teclas• Escanea y lee las cookies• Envía la información a terceras partes
• Nos Bombardea con Pop-ups• Nos Cambia la configuración del browser• Crea iconos y links no deseados en nuestro
desktop
Spyware: ¿Qué hace?
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
• La 4ª mayor amenaza de seguridad de red empresarial*• El 67% de los equipos (pricipalmente consumers) tienen algún
tipo de spyware*• El Spyware genera beneficios – Por lo que va a permanecer• No todo el spyware es extrictamente ilegal
* Source: IDC 2004
Spyware Keyloggers
DialersAdware
Grayware
No importa como se le quiera llamar…
Los Usuarios no lo quieren!
El Problema del Spyware
Total patrones detectados de Spyware = 34,957
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Gateway:Bloqueo del spyware bajado en Tiempo RealBloqueo del acceso a URLs con Spyware conocidas
Desktop/ServerBloqueo en la instalación o carga en Tiempo Real,
Escaneo, detección y eliminación del disco
Estrategia antispyware de Trend Micro
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
• Compromete la seguridad corporativa• Problemas Legales por el uso de los datos de clientes• Reduce el rendimiento y la estabilidad de los sistemas• Reduce la productividad de los empleados• Aumenta el trabajo de los Helpdesk de IT
Potencial Impacto en losnegocios
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNuevas amenazas
• Un gusano: “Un gusano informático es un programa completo capaz de propagar copias completas o parciales de sí mismo a otrossistemas informáticos”.
• Gusano de red:Ejecuta un proceso en la RAMPuede modificar el registro y/o los archivos INI. Infecta por difusión, más que simplemente pasando de un sistemaa otro.Se sirve de los equipos infectados para inundar la red. Descarga aplicaciones de puerta trasera a través de HTTPNo se puede detener con los antivirus tradicionales basados en aplicaciones. No puede limpiarse mediante herramientas de limpieza de antivirus tradicionales.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineVirus Gusanos de red (2001-2005)
Sasser
18 de julio de 2001
18 de sept. de 2001
24 de enero de 200311 de agosto de 2003 1 de mayo de 2004
18 de agosto de 2003
Nachi
MSBlast
SlammerNimda
CodeRed
?13 de Agosto 2005Worm_Zotob.a
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Los clientes necesitan un sistema de prevención y contención de infecciones.
Nimda
Parche: MS00-07817 de octubre de 2000 18 de sept. de 2001
Parche: MS02-03924 de julio de 2002
Slammer
25 de enero de 2003
MSBlaster.A
11 de agosto de 2003Parche: MS03-026 16 de julio de 2003
Sasser.A
30 abr, 2004Parche: MS04-01113 de abril de 2004
336 días
185 días
26 días
17 días
Ventana de Riesgo de las amenazas trasanunciar una vulnerabilidad
Ventana de Riesgo
4 Días13/08/2005MS05-03909/08/2005
Worm_Zotob.a
Ventana deriesgo
Fecha ataquedel virus
Parche de Microsoft y fecha
disponibilidad
Virus
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDEFENSA ACTIVA ANTE NUEVOS ATAQUES:
ENTERPRISE PROTECTION STRATEGY
SE PEnterprise Protection Strategy
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineCOMPONENTES DE EPS
TMCMCONSOLA DE GESTION
DE SERVICIOS EPS
OPP DCS TMVA
PANTILLA DEL LABORATORIO DE TREND PARA PARAR EL
VIRUS SIN PATRON
PATRON DE LIMPIEZA DEL CÓDIGO DEL VIRUS EN EL PC
SERVICIOS DE CHEQUEODE VULNERABILIDADES
EN LOS ´PC´S
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Trend Micro Evaluación de Vulnerabilidad
ServiciosPrevención de Epidemia
ServiciosRespuesta de Virus
Servicios de limpiezade infección G
estió
nD
e la
Epi
dem
ia
Enterprise Protection Strategy (EPS)
TREND MICRO CONTROL MANAGER
Net
wor
kN
ivelTrend Micro Network VirusWall
Código de ataqueeliminado
Prevención del brote Respuesta del virus EvaluaciónRestauración
Código de ataque
malicioso
Prevención de vulnerabilidad
Vulnerabilidaddescubierta
Enterprise Protection Strategy: Gestión Proactiva del ciclo de vida de una Epidemia
Apl
icac
ión
Niv
elProductos Trend MicroAntivirus y Seguridad de contenidos
VA Pattern # 10 OPP #110 OPR #879 DCT # 331
NVW Signature Rule # 10124
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineCASO PRACTICO
VIRUS DE ALERTA AMARILLA
WORM_WURMARK.J
WORM_ZOBOT.A
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line¿Que es Trend Micro Control Manager?
Trend Micro Control Manager es una consola de gestión de losproducto de antivirus de Trend Micro, multiplaforma y de servicios de EPS.
Trend Micro Control Manager
Gateway Messaging
Corporate Desktops
File Server
Monitoriza y da report de la actividad de seguridad
Actualizada patrones de virus,scan engines y todas lasotras actualizaciones de software de cada productosque esta enlazado a la TMCM
Gestiona grupo de productoso productos individuales
Gestiona los Servicios de EPS (OPP, DCS y TMVA)
NetWorVirusWall
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePlantilla de Outbreak Prevention OPP
Prevenir la extensiónde este gusano, TREN MICRO entregó una políticade prevención de epidemia que dirigióa los productos de Trend Micro:
• Bloqueo del puertoTCP 9996 y 5554
• Bloqueo del archivoavserve.exe
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineOutbreak Prevention Services OPP
Consola de Control Manager
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDEFENSA ACTIVA ANTE NUEVOS ATAQUES:
• Política de defensa coordinada para parar y mitigar los ataques de amenazas mixtasAplicación de políticas consistente y coordinada – OPS Rápida respuesta a las amenazas– Servicio de Prevención de Epidemias y SLA antivirus
• Capacidad de transmitir la experiencia de Trend MicroRecomendadicón de políticas de los expertos en antivirus y seguridad de contenidos– OPS, DCS (Servicios de Limpieza de daños).
• Añadir capas adicionales de protecciónFlexibilidad para cambiar políticas y desarrollarlas para ajustarse a las preferencias de seguridad – OPS– Solaris, Windows, Linux – OPS, Trend Micro Control Manager (TMCM)
• Disminuir la vulnerabilidad de las empresasEncuentra y elimina códigos maliciosos que mantienen las redes abiertas a los ataques-DCS
• Reduce costesCoordinación simplificada en departamentos y regiones durante las epidemias– OPS, TMCMReduce los costes asociados a la limpieza manual de los entornos – DCS
• Aumento de la visibilidad y del ROI en seguridadFunciones de Comando central (“Command center”) con TMCM, para ayudar a gestionar la efectividad de la seguridad en tiempo real.
VENTAJAS EPS
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLuchar contra el Spyware
InterMute es ahora una parte de Trend Micro• Reconocida empresa antiSpyware
•La adquisición de InterMute reforzará aún más nuestra capacidad para cumplir con nuestra estrategia anti-software espía y su tecnología y productos son totalmente complementarios con los nuestros.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLuchar contra el Spam/Phishing
Kelkea es ahora una parte de Trend Micro
Las avanzadas tecnologías de servicios de reputación y filtrado de IP
combinadas con la experiencia en seguridad de Trend Micro acelerará la
capacidad para combatir nuevas amenazas
Kelkea is now part of Trend Micro
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
“Hacer un Mundo
SEGURO para el intercambio de información
digital”
MUCHAS GRACIAS POR SU ATENCIÓN¿ALGUNA PREGUNTA?
Copyright 2005, Trend Micro
WORM_WURMARK.J
TrendLabs11 mayo de 2005
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWORM_WURMARK.J Resumen
Gusano residente en memoria que se propaga por correo electrónico. Cuando se ejecuta deja una copia de sí mismo en la carpeta del sistema de Windows utilizando un nombre de fichero aleatorio.
También deja un fichero DLL (Dynamic Link Library) con un nombrealeatorio en la carpeta del sistema de Windows, que es un componentede un IESpy, un programa de spyware o software espía. EstaEsta eses la la primeraprimera vezvez queque se ha se ha identificadoidentificado un un gusanogusano queque contienecontiene un un programaprograma comercialcomercial de spyware.de spyware.
WORM_WURMARK.J tiene capacidad de capturar las pulsaciones del teclado del ordenador. Guarda los datos tecleados por el usuario en un archivo DLL de nombre aleatorio que ha dejado en el ordenadorinfectado. Además, deja varios archivos zip en la carpeta de sistema de Windows como archivos adjuntos de correo electrónico.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 linePropagación vía correo electrónico
Muestra del correo que envía el gusano:
Asunto :girls (entre otrosmuchos asuntos posiblessimilares).
El fichero adjunto que envíaes un .ZIP
Dirección del remitentefalsificada
Dirección del receptor reunidade archivos y libretas de direcciones en discos locales
Los receptores pueden ser engañados para que abran el archivo adjunto malicioso
OPP (Política de Prevención de Epidemias) 174 bloquea el correo con estos archivos adjuntos.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineInstalación del malware : modificacionesen el registro
El resgistro del sistema es un depósito de información relativa al hardware y la configuración del sistema y de las aplicaciones.
Este malware crea esta entrada en el registro:HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run {malware file name without extension} = "{malware file name}"
Esta modificación en el registro asegura que el malware se ejecute en cada inicio del sistema.
DCT (Plantilla de limpieza de daños) 596 borra esta entrada del registro.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: envío masivo
En las comunicaciones de datos, hay dos cosas de la mayor importancia:
1. Información2. Ancho de banda de la red
Los gusanos de envío masivo, como WORM_WURMARK.J, envían los emails en masa y, por tanto, consumen unagran cantidad de ancho de banda que las empresasnecesitan para llevar a cabo sus negocios.
También utiliza este método para propagarse vía email:
1. A través de su propio motor SIMPLE MAIL TRANSFER PROTOCOL (SMTP) : no necesita de programas de correo como Outlook para propagarse.
Se realizan conexiones no deseadas con ciertos servidores SMTP.
Los sistemas infectados puedenexperimentar dificultades en recibir y enviar correos debido a el grantráfico de red que genera el gusano. La red funciona con mayor lentitud.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: consecución
de direcciones de email
Este malware envía correos con direcciones falsificadas, juntocon el archivo adjunto, a todas las direcciones que
consigue.
Los receptores pueden abrir el archivo adjunto del gusano, sin que lleguen a sospechar de él, pensando que viene de un
amigo o un pariente.
Este códido malicioso reúne direcciones de libros de direccionesy de ficheros con ciertas extensiones de discos duroslocales por dos razones principales:
1. De esta forma puede conseguir una amplia lista de correos a los que autoenviarse.
2. Para conseguir una base de datos que puede utilizar parafalsificar la dirección de correo en el campo “De:” de loscorreos electrónicos que envía para propagarse.
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineComportamiento del malware: deja un archivo
La presencia de este archivo podría indicar que ya hay unainfección.
DCT (la Plantilla de limpieza de daños) 596 borra el archivoque deja.
Este código malicioso o malware deja una archivo DLL nombradode forma aleatoria, que es un componente de IESpy, un programa de spyware o software espía y que es detectadopor Trend Micro como TSPY_AGENT.C. Este programa de spyware permite capturar las pulsaciones realizadas en el teclado del ordenador
Para ello crea un archivo DLL que registra y guarda los datosreunidos por sus rutinas de capturar las pulsacionesrealizadas en el teclado de los sistemas que ha infectado.
Copyright 2005, Trend Micro
Worm_Zobot
TrendLabs13 Agosto de 2005
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zobot - las acciones para la infección
• Scanea direcciones IP de máquinas vulnerables
• Accede a un sitio FTP para bajarse una copia de simismo
• Se conecta a un IRC Server/Channel para recibircomandos
• Modifica el registro del sistema
• Modifica el fichero HOSTS
• Crea las mutaciones B-O-T-Z-O-R
• En windows NT, desactiva la conexión compartidadel Firewall e Internet
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zotob.a Solución: Paso 1
Trend Micro Vulnerability AssessmentSERVICIOS DE CHEQUEO DE
VULNERABILIDADES EN LOS ´PC´S
Client/ServersSwitch/Hub
Tarea de Análisis
Identify which machines not patched by TMVA
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineWorm_Zotob.a Solución: Paso 2
Use InterScan Messaging Security Suiteto block virus entryScanMail Bloquea los
adjuntos en el correo
InterScan Messaging Security Suite(for SMTP) InterScan Web Security Suite(for HTTP and FTP) Bloquea el archivo en el Gateway
OfficeScan Bloquea el archivo en cuantollegue al PC.
Worm_Zobot
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Worm_Zobot
Worm_Zotob.a Solución: Paso 3
Network VirusWall El monitor de Epidemias de red puede aislar losPc´s que están realizando ataquesde DDos desde el comando IRC
OfficeScan Puede bloquear los puertosTCP 445/33333/8080 para prevenir losataques del virus
Use el Network VirusWall para bloquearDDoS + El exploit de la vulnerabilidad+ aisle los PC´s sin parchear
Copyright 2005, Trend Micro
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Para más información diríjase a:http://es.trendmicro-
europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_WURMARK.J
TrendLabs HQTrend Micro Incorporated
http://www.trendmicro.com
Recommended