630 likes | 789 Views
DETECCION DE VIRUS EN MODO PROMISCUO NO SE TRATA DE TEMAS …………. Aviso: Esta presentacion puede ser molesta para personas que amen a los teletubbies o disgusten de bromas estupidas. Conceptos. TimidII.a Ejemplo. Conceptos:.
E N D
DETECCION DE VIRUS EN MODO PROMISCUO NO SE TRATA DE TEMAS …………
Aviso: Esta presentacion puede ser molesta para personas que amen a los teletubbies o disgusten de bromas estupidas.
TimidII.a Ejemplo Conceptos: • Virus: Definición de un programa o parte de el, que se copia y carga dentro de un computador sin el consentimiento del usuario, tambien como a la ejecución de ordenes propias sin la supervisión y sin los deseos del usuario. Se considera como virus a un programa que se copia a si mismo sin supervicion del usuario. • Promiscuidad o Pasividad: Se define como la posibilidad de que un dispositivo pueda “escuchar” lo que “contiene” o transporta una red de la cual es parte.
Comparación de cadenas:Esta es una de las mas torpes detecciones, pero mas usadas, en un virus cifrado, methamorfico, polimorfico o esteganografico, esta tecnica es ineficiente, debido a que el parasito mutara y cambiara su forma.
Verificacion de patrones:Esta verificacion es la que comunmente algunos antivirus utilizan para detectar malware, como el anterior metodo, el polimorfismo .
Heuristica:Un lindo metodo, es importante entender que es la heuristica, tomemos su principio base. DEFINITION: Heuristics is a method for solving problems in which one employs principles (rules of thumb) that usually lead to a solution. [Schunk 1996, 240, 443].
Pero como es que los antivirus utilizan ensayo y error para detectar codigo malicioso?, muchos de ellos utilizan bases en las que tienen las cadenas heuristicas a buscar, seria intersante verlas mas a detalle.
I-worm Klez. generic • All avc FILES.
A que problemas nos enfrentamos?: -No somos una parte activa de la red. -No podemos parsear los binarios completos porque alentariamos completamente la red y no es el fin. -Methamorfismo y Polimorfismo, los gravez problemas de un “desensamblador”………… Blah blah blah veamos un ejemplo
El problema: Tal vez una historia de la “vida real” nos ayude a comprender la magnitud de una epidemia:
El problema: Un dia Dipsi, estaba “descanzando” como cualquier buen administrador de sistemas…
El problema: • Hasta que…. Phoo. The m4st4h 3v|L 31337 burr1t0 ejem… estaba tramando un plan para ser el nuevo administrador y se le occurrio una idea!!!
El problema: • Enviar un virus “super” maligno, que con sus propias manitas habia codeado en visual basic script… algo realmente dificil de hacer.. Cof cof….
El problema: • En segundos…
El problema: Lo logró….
El problema: Really Evil hah!!!?
El problema: Ohhhh nooooo…..
El problema: • Los verdaderos problemas: • En grandes empresas es dificil predecir o pronosticar quien o que esta atentando contra mi red, con que tipo de ataque y a que maquina. • El ataque es externo o interno. • Porque esta lenta mi red? • Desinfectaron mi red hace 2 dias y hoy estoy infectado otra vez. - El virus XXX esta en TODA mi red…
El problema: • Las verdaderas razones: • El antivirus NO es la unica utileria que provee seguridad a un corporativo. • No se conoze las definiciones de que es una infeccion, un intento de infeccion y una epidemia. • El firewall convencional NO detiene virus. • No hay politicas de seguridad en la red.
El problema: • Al final tanto proveedor [antivirus], como el cliente terminan haciendose trizas…
El problema: • A veces no nos damos cuenta de lo que es un virus fuera de control hasta que tenemos una epidemia en nuestra red… para los que nunca han sufrido de este “mal”, veamos una simulación de la diseminación de virus en redes. CLICK!
El RULESET!!!!!! [set de reglas] antivirus
antivirus? poly.rules: Polymorfic Randomic… etc. Virus Based Infectionstega.rules: Steganografic Virus Infection and/or detection of steganografic used Software.metha.rules: Rarelly advanced managed polymorphism. worm.rules: Worms Networking Infection. unix.rules: Unix Virus Signs.eicar.rules: Basic rule for testing functionality of the engine/sniffer.java.rules: Java malicious script sings.macro.rules: Macrovirus Signs.mail.rules: Masive Mailer Virus Signs / worm.rulesmalware.rules: Misc Malicious Software / malware.script.rules: Script Based Virustrojan.rules: Trojan Based Virus Infectionpacked.rules: Packed Software, mainly utilized for infection based softwaredouble.rules: Rarely stupid double virus extension… [vbs.exe, txt.exe, etc.]p2pwor.rules: P2P Based Infection worms.virus.rules: all the restants. :)
antivirus? backdoor.rules: Detection of backdoor access over networks.attack-responses.rules: Common attack responses detection.experimental.rules: experimental exploit detectionlocal.rules: local privileges scalation signals detection.p2p.rules: p2p Access detection.smtp.rules: Sendmail rules.web-client.rules: Common error response and “detection”.exploit.rules: Exploit Detection.misc.rules: Miscellaneous attack detection file.policy.rules: Policy violation detection.snmp.rules: SNMP Based Attack detection.web-coldfusion.rules: Web-Coldfusion Based Attack detection.bad-traffic.rules: Bad traffic detection.finger.rules: Finger Based attack detection.pop3.rules: PoP3 Attack based detection.sql.rules: SQL Based attacks.. [inyection, etc.]web-frontpage.rules: frontpage based attacks.chat.rules: chat detection over network.ftp.rules: ftp attack detection.mysql.rules: mysql based attack.
antivirus? porn.rules: porn detection word based.telnet.rules: telnet based attack.web-iis.rules: web-iis based attack detection.ddos.rules: Distributed Denial of Service detectionicmp-info.rules: ICMP-info common attacks.netbios.rules: Netbios common attacks.rpc.rules: RPC common attacks.tftp.rules: tftp common attacks rule file detection.deleted.rules: deleted attempt detection.icmp.rules: ICMP common attacks.nntp.rules: nntp common attacks.rservices.rules: remote services common attacks and access.web-php.rules: web-php access detection.dns.rules: dns common based attacks.imap.rules: Imap common attacks.oracle.rules: Oracle based attack detection.scan.rules: Scan Detection.web-attacks.rules: web common attacks.x11.rules: x11 common attacks.dos.rules: Denial of Service common detection.info.rules: Retrieving Information detection.other-ids.rules: other ids detection.shellcode.rules: shellcode attempt.web-cgi.rules: WebCGI access and common attacks
Diferencias • DIFERENCIAS: 1.- Implementacion del modulo de heuristica. 2.- Implementacion del modulo de parsing. 3.- Rediseño de la incorporacion de libnet para la decodificacion del protocolo SMB. 4.- Rediseño de las firmas por medio de el modelo heuristico.
Como funciona? • Primer necesitamos entender como una red se contagia enteramente, con unos lindos graficos tal vez comprendamos :)
Como funciona? • Primeramente un “hacker malo”, una “persona mala” o simplemente alguien infectado en internet disipa el virus. El virus sobrepasa el firewall, pasa por nuestra zona militarizada, de tenerla :), va hacia los servidores de correo, estos mismos sin proteccion deliveran los mails infectados a nuestros clientes, ahora los usuarios abren el mail infectado, ahora podran disfrutar los lindos graficos, las lindas lineas de texto y el lindo adjunto que nos promete…… Britney_spears_naked_pussy_shaking.mpg.exe, ahora solo nos resta… REZAR!!!!!, el virus esta activo. La linda rutina para virus comunes es deliberarse asi mismo en nuestras bases de datos… y en nuestros servidores de aplicaciones :)
Como funciona? • El resultado: perdida de tiempo, perdida de dinero y la mas importante… PERDIDA DE INFORMACION. Este resultado es el mejor :), imaginemos un virus que no borra ningun archivo, solo sniffea los passwords de la red y los reenvia a su creador… SE ACUERDAN DE QAZ??.. Hehehehe. Al pasarle a microsoft.. Creanme no fue nada chistoso. Pero el problema real residen cuando una empresa antivirus, limpia nuestra red completa de una infeccion y en 2 dias ZAZ… estamos infectados otra vez……tenemos que pagar otra vez por los servicios de limpieza, pero porque ch&/&(/$&$%% estamos infectados otra vez? Comunmente las empresas antivirus atacan el problema de una manera normal, no desde abajo. Necesitamos saber de donde vino, de donde inicio la infeccion y quien corrio el virus por primera vez.
Como funciona? Entonces: Como detectar un parasito torpe por medio de reglas.
Como funciona? • Making the signature for antivirus:Hex: \x29\x37\x7d\x24\x45\x49\x43\x41\x52\x2d\x53\x54\x41\x4e\x44\x41\x52\x44Ascii: )7}$EICAR-STANDARDalert tcp any any -> any any (content:"| 29 37 7d 24 45 49 43 41 52 2d 53 54 41 4e 44 41 52 44 |"; msg:"Eicar Antivirus TestFile";)Easy.. no?Well graphically the IDS works just like this.
Como funciona? • Muy facil podemos detectar puntos de infeccion, puntos masivos de infeccion y falsos positivos. Podemos generar lindas estadisticas basadas en ACID o nuestro reporteador propio. Acerca de la deteccion de infecciones esteganograficas, methamorficas y polimorficas desarrollamos algoritmos para detectar los engines, parseando el archivo completo por la red.