Embed Size (px)
Citation preview
EXPLOIT
INSTITUTO POLITÉCNICO NACIONALUPIICSA
INTEGRANTES:> Apolinar Crisóstomo Jessica>Camacho Flores Sarahí Montserrat
>Hernández González Ivonne Valeria>Lozada Perez Yarely Guadalupe
VIROLOGÍA Y CRIPTOGRAFÍA
EQUIPO 6
DEFINICIÓN
En informática, es una porción de software, fragmento de datos o secuencia de comandos que aprovecha un error intencionalmente, a fin de ocasionar un comportamiento no deseado.
La palabra Exploit proviene del inglés y en español significa ‘explotar o aprovechar’.
EXPLOIT
DEFINICIÓN
Actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
EXPLOIT
HERRAMIENTAS DE DESARROLLOLos Exploit pueden ser escritos empleando
una diversidad de lenguajes de programación aunque la más utiliza es el lenguange C.
EXPLOIT
HERRAMIENTAS DE DESARROLLOUna de las herramientas
más utilizadas es Metasploit Framework, una plataforma de test de penetración escrita en lenguaje de programación Ruby.
EXPLOIT
PROCESO
El exploit será especialmente armado por el atacante con un formato por algunas aplicaciones como un documento PDF.
EXPLOIT
PROCESO
El ataque estará segmentado en varias partes, ya que al no estar expuesto a internet, deberá llegar al objetivo por algún medio alternativo, por ejemplo, un correo electrónico.
EXPLOIT
PROCESO
Luego, dicho archivo deberá ser ejecutado por el usuario, y si el ataque no es detenido por ningún control por parte de la víctima, se podrá tener acceso al equipo objetivo.
EXPLOIT
VULNERABILIDADES
Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.
Actualmente, los exploits son utilizados como
"componente" de otro malware ya que al
explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en
caso normal.
VULNERABILIDADES
Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
● Vulnerabilidades de desbordamiento o buffer overflow.
● Vulnerabilidades de condición de carrera (Racecondition).
VULNERABILIDADES
● Vulnerabilidades de error de formato de cadena (formatstring error).
● Vulnerabilidades de inyección de SQL (SQL injection).
VULNERABILIDADES
TIPOS
Un EXPLOIT ZERO-DAY es un exploit que aún no se ha hecho público.
Los ataques con exploit zero-day ocurren mientras exista una ventana de exposición; esto es, desde que se encuentra una debilidad hasta el momento en que el proveedor la remedia
Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente.
Esto se utiliza a menudo para describir exploits de vulnerabilidades que no son conocidas por los profesionales del tema.
Zero Day
Se define Zero Day como cualquier exploit que no haya sido mitigado por un parche del vendedor.
Zero Day
Exploits Remotos
Los exploits remotos son aquellos que pueden ser lanzados desde otra ubicación diferente de la del equipo de la víctima. Esta puede ser otro equipo dentro de la red interna o bien un equipo desde internet.
Exploits Remotos
Típicamente, los exploits remotos permiten acceder en forma remota al equipo comprometido o bien dejarlo fuera de servicio.
Exploits Locales
Estos son ejecutados localmente en el equipo, en general, permiten elevar privilegios hasta el administrador en caso de plataformas Microsoft, o root en plataformas de UNIX.
Exploit ClientSite
Las cuales están instaladas en gran parte de las estaciones de trabajo de las organizaciones, pero que no están expuestas a internet.
Buscan aprovecharse de vulnerabilidades que típicamente se encuentran en aplicaciones cliente.
Ejemplos de Exploits ClientSide
Ejemplos de ellas son las aplicaciones de ofimática, como Microsoft Office u Open Office, lectores de PDF como Adobe Acrobat Reader, navegadores de Internet como Firefox, Internet Explorer, Chrome o Safari e incluso reproductores multimedia como Windows Media Player, Wninamp o ITunes
Clases de Exploit
Modo kernelEs el modo superior de ejecución en el se puede
acceder al 100% de la memoria, se tiene acceso al hardware, acceso de escritura a la flash y acceso al segundo procesador, incluso se puede cambiar el código del firmware que esta en la RAM, y se puede saltar cualquier protección.
Clases de Exploit
Modo VHS
Es un modo intermedio de ejecución, no hay acceso directo al hardware, ni al segundo procesador donde estan los módulos kernel del firewall.
Clases de Exploit
Modo USUARIO
No sé puede acceder directamente al hardware, ni hay posibilidad de escribir en la memoria flash, ni acceder al segundo procesador
Ciclo de vida de la vulnerabilidad
1. La aplicación o sistema es lanzada al público.
2. Un delincuente informático descubre una vulnerabilidad en un sistema.
3. El desarrollador de la aplicación o sistema vulnerable, se entera del error.
4. El código de prueba no lleva carga maliciosa.
Ciclo de vida de la vulnerabilidad
5. El desarrollador evalúa un informe de la vulnerabilidad.
6. El desarrollador crea un parche para corregir la vulnerabilidad.
7. El usuario instala el parche del fabricante.
Ciclo de vida de la vulnerabilidad
Los delincuentes identifican las vulnerabilidades y comienzan a escribir código malicioso para aprovecharse de ellas.
Cómo funcionan los exploits
Se lanzan a la venta en el mercado clandestino, paquetes de herramientas para crear exploits.
Dichas herramientas se aprovechan de las vulnerabilidades conocidas en los sistemas desarrollados por otras empresas.
Cómo funcionan los exploits
Afectan funciones en el navegador tal como:
● Controles Activex● Controles Java Script● Extensiones de Internet Explorer
Los atacantes esconden los exploits, de tal forma que cuando los usuarios visiten ciertos sitios, sean infectados automáticamente.
Cómo funcionan los exploits
Formas de atraer víctimas a sitios maliciosos:
● Enviar mensajes de correos no
solicitados.● Creando sitios que estén infectados,
cuyos nombres sean similares a sitios legítimos.
● Infectar sitios web pertenecientes a entidades legítimas.
● Colocar enlaces multimedia en redes sociales tal como facebook o MySpace.
Cómo funcionan los exploits
Son paquetes que contienen programas maliciosos, principalmente para ejecutar ataques automatizados con el fin de propagar malware.
Expliot Kits
Exploit Kits
Evolución de los diferentes exploit kits detectados desde Enero del 2009 (cortesía de Malware Domain List)
Exploit Kits
Los 5 principales actores (cortesía de Malware Domain List)
Exploit Kits
(estadísticas obtenidas mediante Kaspersky Security Network (KSN) del año 2011).
Ganando dinero con los exploits: Un modelo de negocio
Existen varias opciones para obtener beneficios económicos gracias a los exploits, a continuación se nombran algunas:
Los exploits pueden generar un rédito importante para sus desarrolladores.
2.- Vender estos programas maliciosos a otros delincuentes.
3.- Vender estos programas al gobierno.
4.- Utilizarlos como medio de extorsión a un desarrollador de programas.
1.-Infectar los ordenadores de los usuarios con todo tipo de códigos maliciosos que pueden ser usados para generar ingresos a través de chantaje, la venta de falsas aplicaciones contra programas espía o de información personal adquirida por medio de registradores de pulsaciones, etc.
Opciones para obtener beneficios económicos
¿CÓMO COMBATIR LA AMENAZA?
1.-Mantener siempre actualizado el sistema operativo así como los programas que tengamos. instalados.
2.-Desactivar funciones de programación innecesarias, como códigos ActiveX, o permitir solamente que estas sean usadas en sitios previamente revisados y confiables.
3.- No visitar sitios desconocidos o que puedan resultar poco confiables.
4.- Usar programas que examinan el contenido de los sitios web en tiempo real, antes de permitir que el usuario acceda a ellos. Programas como Link Scanner Pro, revisan el código HTML del sitio de destino, para asegurarse de que no tiene amenazas ocultas.
Existe una serie de pasos para proteger sus ordenadores de la amenaza de los exploits:
¿CÓMO COMBATIR LA AMENAZA?
6.- Algunos antivirus pueden detectar los exploits, se recomienda usar antivirus con capacidad proactiva. Por ejemplo:
● ESET detecta el exploit exploit Java 0-day.
● Panda Cloud Office Protection Advanced ofrece Protección contra amenazas y exploits que aprovechan vulnerabilidades desconocidas (zero-day).
5.- Utilizar un cortafuegos que proteja el sistema contra códigos maliciosos del tipo día cero, bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales.
¿CÓMO COMBATIR LA AMENAZA?
●
La tecnología Automatic Exploit Prevention de Kaspersky supervisa específicamente las vulnerabilidades objetivo que más se explotan para aplicar la inteligencia líder en el sector que brinda una capa adicional de supervisión de seguridad mejorada.
En la versión de Kaspersky Endpoint Security se encuentra la función tiene que ver con la protección contra exploits. Para ser más precisos –frente a exploits desconocidos, es decir, aquellos exploits como zero-days.
DATOS IMPORTANTES
De acuerdo con el sistema basado en la nube Kaspersky Security Network (KSN) en 2011 –videos, datos-, el escenario es el siguiente:
DATOS IMPORTANTES
Aquí se muestra información interesante sobre la distribución geográfica de los focos de los ataques web, la mayoría de las cuales usa exploits:
DATOS IMPORTANTES
Programas más atacados por los exploits (estadísticas obtenidas mediante Kaspersky Security Network (KSN) del año 2011).
