En otras epocas el unico objetivo de un malware era destruir tu pc, que te enteres que alguien habia vulnerado tu seguridad y si es posible, repetir la "hazaña" en forma masiva. En la actualidad esto no sucede asi, ¿Vas al medico si te sentis en perfecto estado? ¿Te haces minimamente chequeos anuales aunque te sientas superman? Seguramente no. Con los ordenadores pasa exactamente igual. Tenemos la costumbre de no revisarla solamente por que todo "anda bien" sin tener en cuenta que la principal medida que toman los creadores de malware es esa: Hacer que todo siga funcionando como venia haciendolo, asi robar tus datos sin que siquiera lo sospeches.
INDICE: Windows
1- Tipos de Malware.
1a- Troyanos.
1b- Spyware.
1c- Troyanos bancarios.
1d- Botnets
2- Metodos de infección.
2a- Regedit.
2b- Inyección de procesos.
2c- Kernel patching.
3- Firewall.
3a- Nociones basicas.
3b- Medidas y consejos.
4- Politicas de usuario en Windows.
4a- Por que?
5- Howto: Sacar un troyano. Pasos a seguir.
6- Dispositivos USB: La importancia del Autorun.
7- Actualización de Software: Secunia
8- Consejos para pedir ayuda en forma adecuada en el foro de seguridad.
INDICE Linux (Ubuntu)
1- Privilegios: Root.
2- Iptables, FireStarter.
3- Malware en Linux? si
INDICE: Windows
Tipos de Malware
Como ya dijimos la variedad existentes de Malware es casi infinita. Pero antes que nada, ¿Que es un Malware?. Google nos dice que Malware es: "Software diseñado con el fin de generar algún daño al equipo que lo ejecuta". Bien ahora ¿Es esta definicion del todo correcta? No tanto. En la epoca en la que vivimos donde casi todos usamos tecnologia para nuestros asuntos importantes, el daño no es solo al equipo, si no mas bien a nosotros. Es decir, el equipo puede permanecer intacto, pero nosotros podemos sufrir un daño muy grave. Perder dinero en el banco, ser parte de cyberdelincuencia sin siquiera saberlo con las consecuencias legales pertinentes y muchisimos mas etc.
Entonces partimos de la base que la definicion correcta de Malware no es la conocida por el comun de la gente si no que es un "Software diseñado con el fin de no alertar ni dañar el equipo donde se encuentra pero si producir un daño grave al usuario."
1a- Troyanos.
Cualquiera conoce la epica historia de Troya pero pocos conocen como funciona un Troyano. Sin entrar en detalles tecnicos, lo que hace un troyano es crear una puerta en tu PC, una puerta trasera, un backdoor como se decia antes. Hay miles de tipos pero dos son los clasicos: Los de conexion directa, y los de conexion inversa. Los primeros envian una notificacion al atacante con tu ip para que el pueda conectarse a tu ordenador, si el troyano no se las apaño para saltar tu firewall, probablemente te salves. La conexion es Atacante->Victima por lo que tenes algo mas de posibilidad de safar si el troyano no es muy complejo.
Con los de conexion inversa es otra historia, porque como bien el nombre lo dice, la conexion se hace desde Victima->Atacante. Es decir, VOS te conectas a la pc del atacante. Anulando casi completamente las posibilidades de un Firewall estandar y/o capacidad para frenar la conexion en un usuario promedio. Si estas navegando en internet y el Firewall te dice que hay una conexion saliente, ¿La aceptas? lo mas probable es que si. Y es ahi, cuando ya estas infectado.
Troyanos Wikipedia
1b- Spyware
Aunque casi todo Malware es utilizado con fines economicos fraudulentos, este en especial realiza la tarea de enviarte publicidad constante, espiar tus habitos, gustos y costumbres. Y obviamente, enviarlas a un ordenador que procesa los datos.
Pueden ser ilegales, O NO. Existen varios softs legales que instalan Spyware en tu ordenador.
Cuando veas ventanas que contengan publicidad en el escritorio y vos no tenes siquiera abierto el navegador, de seguro es un Spyware lo que te acompaña dia a dia.
1c- Troyanos bancarios
Los troyanos bancarios son los mas complejos dentro del Malware existente, de la mano del phishing causan estragos en nuestras cuentas. Son los mas cambiantes y aunque no siempre son los mas completos en cuanto a funciones, si son los mas complejos. Dia a dia salen miles y son en definitiva el mas alto nivel de programacion de Malware.
Su funcion es clara: Robarte dinero, y lo logran. La industria de los troyanos bancarios es inmensa y la cantidad de dinero que se maneja es superior a lo que podriamos juntar si todo el foro vendiese todo lo que tiene y lo pusiese en un contenedor, ni asi llegariamos. Es mucha la plata, y esto es lo que motiva a los delincuentes a programar y vencer las defensas con las que contamos.
Cuando peleamos contra los troyanos bancarios, tenemos una desventaja, ellos son hackers excelentes y nosotros simples users, pero nada esta perdido y con las medidas adecuadas podemos estar a salvo.
1d- Botnets
Miles de ordenadores son partes de botnets sin tener la minima idea de lo que forman parte. Sin su consentimiento se cometen actos criminales con sus conexiones y obviamente con las consecuencias legales que acarrean dichos actos.
Una botnet es una red de varios ordenadores infectados a las cuales se las denomina zombies, robots, o como mas les guste. Para que suene mas facil, el atacante tiene miles de maquinas esperando por una orden. Ejemplos: Phishing, DDOS etc. Y los usuarios no tienen ni la mas minima idea de que todo esto sucede a travez de sus ordenadores.
2- Metodos de infección.
No quiero referirme a donde podes encontrar Malware. Te podes infectar con un mail, con una imagen, con un icono, con un acceso directo, con un juego flash, practicamente con CUALQUIER COSA existente en internet. Hay que saber de donde viene lo que tenemos en frente, tocar lo que sabemos de confianza. Los usuarios que navegan sin un minimo de preocupacion y encima, por paginas de dudosa procedencia. Son victimas mas que especiales para el Malware.
Quiero concentrarme en los metodos que utiliza el Malware habitualmente para existir en nuestro ordenador, para llevar a cabo el objetivo para el cual fue programado. No puedo evitar las costumbres de los usuarios de tocar cualquier .exe que vean, pero si puedo dar a conocer un poco mas que es lo que hace ese .exe maligno para quedar indefinidamente en un ordenador sin que nadie lo note.
2a- Regedit
El regedit es una base de datos, un contenedor de casi toda la informacion de Wndows, sus aplicaciones, sus programas de inicio y mas etc's. Es sabido que la mayoria de los Malware lo utilizan para residir en el sistema, iniciar con este, saltarse el Firewall integrado y demas. Damos una pasada a las entradas basicas que utiliza un software malicioso y las medidas que uno debe tomar ante posibles ataques.
Null Sessions:
O tambien conocido como anonymous logon, ademas de poner una buena clave en la cuenta de administrador es necesario configurar este valor en el registro.
Código:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestricAnonymous Value 1
Prevenir Registro remoto
Código:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\ParametersNullSessionPips
Muchas de estas claves se pueden encontrar en cualquier manual de regedit, por lo que no voy a seguir especificando una por una pero si paso a las claves que es necesario revisar ante la duda de que estas infectado.
Rutas de inicio para los Malware:
Código:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Se ejecuta siempre)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (Se ejecuta una vez)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx (Se ejecuta una vez y pasa a Run)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Puedes ver los mismos valores en Inicio>Ejecutar>Msconfig. Hay mas rutas de inicio que las pondre cuando me acuerde porque en este momento se me nublo la mente, igualmente, estas son las mas importantes y las que hay que revisar si o si para controlar que programas se inician con nuestro sistema.
Si se encuentra alguna entrada maliciosa, es util buscar el mismo nombre de esta en TODO el registro para encontrar otras posibles vias de ejecucion
Editare mas adelante (en un rato pongo las entradas del firewall de windows).
2b- Inyección de procesos.
Es conveniente revisar nuestra lista de procesos activa desde el administrador de tareas (Ctrl+alt+supr o inicio>ejecutar>taskmgr) cada tanto y si es posible tambien darle una chequeada con un software externo que tambien administre los procesos. Por ej: El visor de procesos del Tune up utilities, es un solo ejemplo y se puede usar cualquier soft. Pero es recomendable ya que muchas veces el ejecutable del Taskmgr es reemplazado o modificado para ocultar los procesos maliciosos, y aunque no es una forma util de ocultar procesos, funciona.
Las inyecciones en troyanos basicos generalmente se dan en los procesos del Internet explorer (Iexplore.exe) o del MSN Messenger (msnmsgr.exe) ya que es lo que el 90% del mundo utiliza, y generalmente estan programados con esa configuracion predeterminada por lo que los newbies o Script Kiddies utilizan esos procesos previamente establecidos por el creador del Malware.
En conclusion, si no tenemos ningun internet explorer abierto pero si vemos un proceso Iexplore.exe es porque algo raro pasa.
En el administrador de tareas vamos a Ver>Seleccionar columnas> Y marcamos Identificador de Procesos (si es que no esta marcado ya). Este identificador de procesos o PID es un numero que identifica los procesos en el sistema como bien lo dice su nombre. Desde la consola podemos buscarle una utilidad.
Inicio>Ejecutar>cmd> y ya en consola tipear netstat -nao.
De esta forma podemos lograr un rapido pantallazo de las conexiones efectuadas por nuestros procesos ya que el parametro -o en el comando netstat es ese mismo: Mostrar la ID del proceso asociada con cada conexion.
2c- Kernel patching.
Introducir codigo en el Kernel es el metodo de los rootkits por excelencia. Es imposible explicarlo en un topic y ademas es dificil que alguien que esta leyendo esto (es decir, que posee una nocion basica) pueda comprenderlo. Pero nunca esta de mas intentar informarse sobre estos metodos por lo que dejo un buen book.
Rootkits: Subverting the Windows Kernel
3- Firewall.
3a- Nociones basicas.
3b- Medidas y consejos.
Bonadeo creo un topic sobre el Comodo Firewall, el cual me parece un muy buen Software. Nadie puede explicar esto mejor que Bona asi que simplemente me voy a limitar a linkear ese post.
Comodo Firewall
4- Politicas de usuario en Windows.
4a- Por que?
Guia fortificación de XP
5- Howto: Sacar un troyano. Pasos a seguir.
Despues de que fortificaste algo tu sistema, de que revisaste cada tanto tu sistema, lo analizaste, tenias el antivirus al palo y igual se metio el bichito, es la hora de empezar con todas las armas que contamos, privadas, gratis, open source, las recomendadas.
Antes que nada es buena idea analizar con antivirus online ante posibles corrupciones de datos en los antivirus locales, recuerden que que muchas veces el malware modifica el archivo host para restringir y/o evitar el acceso a paginas web con antivirus online. Es necesario reestablecer el archivo host a su forma original si les sucede esto. Reg Unlocker es una buena herramienta para hacer esto de forma automatica
Antivirus Online
http://www.kaspersky.com/sp/virusscanner
http://www.ewido.net/en/onlinescan/run/
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com/
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html
Anti Spyware Online
http://www.nanoscan.com/?Lang=es
http://www.trendmicro.com/spyware-scan/
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html
¿Dudas de algun fichero? Subilo a cualquiera de estas:
http://www.virustotal.com/es/indexf.html (Se puede descargar e instalar virustotal uploader, agrega la opcion de "subir a virus total" en el menu del click derecho)
http://virusscan.jotti.org/
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html
Luego de esto entrar en modo seguro sin funciones de red y analizar con el antivirus que tengas actualizado y con un anti spyware tambien actualizado (con Spyware search and destroy por ej)
Revisar las entradas de registro previamente mencionadas en el apartado "Regedit" y eliminar cualquier entrada maliciosa.
Ningun Malware de complejidad baja/media puede resistir estas medidas.
6- Dispositivos USB: La importancia del Autorun.
Nunca se sabe quien puede venir con un virus en un dispositivo usb, ya que puede ser a proposito, o no. Por eso mejor resguardarse del autorun.
Para evitar el autorun en dispositivos usb y crear y ejecutar un archivo reg de esta manera.
Código:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS
oesNotExist" Y modificar esta clave como se crea conveniente de acuerdo a las necesidades especificadas en la web de MS.
Citar
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
7- Actualización de Software: Secunia
Mantener el Sistema y el Software de terceros actualizado es vital para evitar vulnerabilidades explotables en nuestro ordenador.
Linkeo al topic creado por Bonadeo> Secunia que explica las funciones del mencionado software para mantenerte al tanto de las actualizaciones pendientes.
8- Consejos para pedir ayuda en forma adecuada en el foro de seguridad.
1) Seguir los pasos de este topic.
2) Postear si el problema persiste con los maximos detalles posibles.
A) Sistema operativo.
B) Sintomas del PC y los pasos que intentaste para revertir la situacion.
C) Si el antivirus lo detecta, el nombre del Malware.
D) Un log del Software Hijackthis.
