tecnologías antimalware en windows vista josé parada gimeno it evangelist [email protected]
TRANSCRIPT
Tecnologías Antimalware en Windows Vista
José Parada GimenoJosé Parada GimenoIT EvangelistIT [email protected]@microsoft.com
AgendaAgenda
EntornoEntornoEl mundo de las amenazasEl mundo de las amenazasMalwareMalwareClasificaciónClasificación
Como ayuda VistaComo ayuda VistaVisión TecnológicaVisión Tecnológica
En profundidadEn profundidadProtección de la memoriaProtección de la memoria
Integridad de Sistemas en 64-bitIntegridad de Sistemas en 64-bit
Filtro Antiphising -IE7Filtro Antiphising -IE7
UACUAC
Windows DefenderWindows Defender
Entorno del Software Malintencionado
Viruses, gusanos, Troyanos, rootkits, Viruses, gusanos, Troyanos, rootkits, botsbots
Adware, spyware, Software de Adware, spyware, Software de monitorización o de control remotomonitorización o de control remoto
InofensivoInofensivo
PotencialmentPotencialmente No requeridoe No requerido
MaliciosoMalicioso
Espectro de MalwareEspectro de Malware
¿Que es el Spyware?¿Que es el Spyware?EjemplosEjemplosDescripciónDescripción
Sin amenazas potencialesSin amenazas potenciales
Usa recursos de Usa recursos de forma remotaforma remota
Recoge información Recoge información personalpersonal
Muestra anunciosMuestra anuncios
Cambia opciones del Cambia opciones del sistemasistema
Marca Marca automáticamenteautomáticamente
Claramente malicioso Claramente malicioso (virus, gusano, (virus, gusano, troyano)troyano)
InocuoInocuo
Colección de Colección de datosdatos
AnunciosAnuncios
Cambios de Cambios de configuraciónconfiguración
Uso de Uso de recursosrecursos
MarcadoMarcado
Actividad Actividad maliciosamaliciosa
MonitorizaciónMonitorización Guarda lo que Guarda lo que tecleastecleas
Dañ
o po
tenc
ial
Dañ
o po
tenc
ial
ExtremoExtremo
NingunoNinguno FunciónFunción
+ NotepadNotepad
+ ISP softwareISP software– Porn dialerPorn dialer
+ Control ParentalControl Parental– Key-loggersKey-loggers
– SasserSasser
+ Barra de busquedaBarra de busqueda– Recolector de datosRecolector de datos
+ Software Ad-supported Software Ad-supported – Pop-ups no autorizadosPop-ups no autorizados
+ Utilidades de Utilidades de configuraciónconfiguración
– Secuestro del Navegador Secuestro del Navegador
+ Aplicaciones en Aplicaciones en backgroundbackground
– Puertas traserasPuertas traseras
Spyware y Software no deseado: Spyware y Software no deseado: Aplicaciones que llevan a cabo ciertas Aplicaciones que llevan a cabo ciertas
funciones sin el apropiado control y funciones sin el apropiado control y consentimiento del usuario.consentimiento del usuario.
Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool
Windows DefenderWindows Defender
InofensivoInofensivo
PotencialmentPotencialmente no requeridoe no requerido
MaliciosoMalicioso
Espectro de MalwareEspectro de Malware
MalwareMalware
Existen muchas formas de malwareExisten muchas formas de malwareSoftware Malicioso (Worm / virus / Troyanos)Software Malicioso (Worm / virus / Troyanos)
Software NO deseado (spyware / adware)Software NO deseado (spyware / adware)
Comportamiento o modo de actuaciónComportamiento o modo de actuaciónVector de Replicación (email / P2P / IM / network)Vector de Replicación (email / P2P / IM / network)
Exploit de una vulnerabilidad de softwareExploit de una vulnerabilidad de software
Ingenieria Social Ingenieria Social
BackdoorBackdoor
Robo de contraseñasRobo de contraseñas
PolymorficoPolymorfico
RootkitRootkit
Payload ( borrado de disco duro, documentos, flash BIOS, etc.)Payload ( borrado de disco duro, documentos, flash BIOS, etc.)
El modo de implementarlo depende de la motivación del El modo de implementarlo depende de la motivación del autorautor
Existen varias fuentes de código para malwareExisten varias fuentes de código para malware
Los atacantes hacen pruebas frente a los productos de Los atacantes hacen pruebas frente a los productos de seguridadseguridad
Historia de MicrosoftHistoria de Microsoft
1992: Fundación de GeCAD1992: Fundación de GeCAD
Junio 2003: Microsoft adquiere los derechos de PI de Junio 2003: Microsoft adquiere los derechos de PI de GeCADGeCAD
Enero 2004: Herramientas de limpieza para ayudar con Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus los ataques de virus
Deciembre 2004 : Adquisición de la compañía de Deciembre 2004 : Adquisición de la compañía de software Giantsoftware Giant
Enero 2005: Lanzamiento del Malicious Software Enero 2005: Lanzamiento del Malicious Software Removal ToolRemoval Tool
Enero 2005: Lanzamiento de Windows Antispyware Enero 2005: Lanzamiento de Windows Antispyware (Beta 1)(Beta 1)
Febrero 2006: Lanzamiento de Windows Defender (Beta Febrero 2006: Lanzamiento de Windows Defender (Beta 2)2)
Malicious Software Removal Malicious Software Removal ToolTool
ObjetivosObjetivosReducir el Impacto del malware en usuarios Reducir el Impacto del malware en usuarios WindowsWindows
Entender las tendencias del malwareEntender las tendencias del malware
DistribuciónDistribuciónWindows UpdateWindows Update
Centro de DescargasCentro de Descargas
Sitio WebSitio Web
Reporte disponible públicamenteReporte disponible públicamente
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 92CDE33E99A9
Actividad de MSRTActividad de MSRT
2.7 billones de 2.7 billones de ejecucionesejecuciones
270 millones de equipos270 millones de equipos
0
750.000.000
1.500.000.000
2.250.000.000
3.000.000.000
Resultados MSRTResultados MSRT
16 millones de infecciones16 millones de infecciones
5.7 millones de equipos infectados5.7 millones de equipos infectados
1 infección cada 3111 infección cada 311
16
5,7
(mil
lio
ns)
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
Reducción del ImpactoReducción del Impacto
75-100%; 25
50-74%; 12
25-49%; 7
0-24%; 6
Incremento; 3
Decremento; 50
Entender las tendenciasEntender las tendencias
238372
592641
781
1.151
3.538
InstantMessaging
Worm
Virus ExploitWorm
P2P Worm Rootkit MassMailingWorm
BackdoorTrojans
Tipo de Malware (miles de equipos)
Troyanos de puerta trasera son la amenaza Troyanos de puerta trasera son la amenaza mas significante y mas crecientemas significante y mas creciente
Los Rootkits son una amenaza emergenteLos Rootkits son una amenaza emergente
Ingeniería Social 35%Ingeniería Social 35%
Como ayuda VistaComo ayuda Vista
Contra el Malware..Contra el Malware..PrevenciónPrevención
AislamientoAislamiento
RemediosRemedios
PrevenciónPrevención
Vulnerabilidad de SoftwareVulnerabilidad de Software •Ciclo de desarrollo seguroCiclo de desarrollo seguro•Actualizaciones AutomáticasActualizaciones Automáticas•Windows Firewall/IPSecWindows Firewall/IPSec•Data Execution ProtectionData Execution Protection•Address Space Layout RandomizationAddress Space Layout Randomization
AmenazaAmenaza Tecnología en VistaTecnología en Vista
Ingeniería SocialIngeniería Social •User Account ControlUser Account Control•Windows DefenderWindows Defender
Vulnerabilidad de la PolíticaVulnerabilidad de la Política •Contraseña de Administrador en BlancoContraseña de Administrador en Blanco•Firma de drivers en 64 bitFirma de drivers en 64 bit•Política de Firewall por RedPolítica de Firewall por Red
AislamientoAislamiento
AmenazaAmenaza Tecnología en VistaTecnología en Vista
Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64-bit Integridad de Sistemas de 64-bit
Recursos del SistemaRecursos del Sistema Fortificación de ServiciosFortificación de ServiciosFirewall Bidireccional Firewall Bidireccional IE Protected ModeIE Protected Mode
Configuración del SistemaConfiguración del Sistema User Account ControlUser Account ControlWindows DefenderWindows Defender
RemediosRemedios
AmenazaAmenaza Tecnología en VistaTecnología en Vista
Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows
Limpieza de Spyware Limpieza de Spyware Windows DefenderWindows Defender
Limpieza de Virus Limpieza de Virus Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool
Stack
Return Address
Locals
Protección de la MemoriaProtección de la Memoria Data Execution Protection Data Execution ProtectionAddress Space Layout RandomizationAddress Space Layout Randomization
DEPDEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()LoadLibrary()
ASLRASLR
Integridad de Sistemas de 64 Integridad de Sistemas de 64 bitbit
ApplicationCreateFile()
Kernel32.dllCreateFileW()
ntdll.dllZwCreateFile()
Interrupt Dispatch Table
2E
System Service Dispatch Table
NtCreateFile()
Interrupt Dispatch TableInterrupt Dispatch Table
Global Descriptor TableGlobal Descriptor Table
System Service Dispatch System Service Dispatch TableTable
Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows
Hace que el sistema funcione bien como un Hace que el sistema funcione bien como un usuario estándarusuario estándar
Proporciona un método seguro para ejecutar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoaplicaciones en un contexto elevado
Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el Deja claro las acciones que tienen un impacto en todo el equipoequipo
Virtualización del registro y ficheros para Virtualización del registro y ficheros para proporcionar compatibilidad.proporcionar compatibilidad.
Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos
Efectivamente: cuentas estándar pueden ejecutar Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de aplicaciones que necesitan cuentas de administración de manera segura.manera segura.
Protección de cuentas UsuarioProtección de cuentas UsuarioUAC (User Account Control)UAC (User Account Control)
Nos ayuda a implementar el principio de Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:menor privilegio de dos maneras distintas:1.1. El usuario no necesita tener privilegios El usuario no necesita tener privilegios
administrativos para realizar ciertas tareas administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En para las que se necesitas esos privilegios – En cambio:cambio:
Se le pregunta al usuario por credenciales con mas Se le pregunta al usuario por credenciales con mas privilegiosprivilegios
2.2. Aunque el usuario tenga privilegios Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitadosantes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientocredenciales, solo se necesita el consentimiento
Leer: Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp
xx
Internet Explorer 7Internet Explorer 7
Además de ser compatible con UAC, Además de ser compatible con UAC, incluirá:incluirá:
Modo ProtegidoModo Protegido que solo permite a IE navegar que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. sin mas permisos, aunque el usuario los tenga. Ejem. Instalar softwareEjem. Instalar software
Modo de “Solo-lectura”, excepto para los ficheros Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en temporales de Internet cuando el navegador esta en Zona de seguridad de InternetZona de seguridad de Internet
Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de poco tiempo y usa una red global de fuentes de datosdatos
ActiveX Opt-in, da al usuario el control de los ActiveX Opt-in, da al usuario el control de los controles Activexcontroles Activex
Todos los datos de cache se eliminan con un Todos los datos de cache se eliminan con un solo clicksolo click
Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:
1.1.Compara el Sitio Web con la lista local de sitios legítimos Compara el Sitio Web con la lista local de sitios legítimos conocidosconocidos
2.2.Escanea el sitio Web para conseguir características comunes a Escanea el sitio Web para conseguir características comunes a los sitios con Phisinglos sitios con Phising
3.3.Cheque el sitio con el servicio online que tiene Microsoft sobre Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horasitios reportados que se actualiza varias veces cada hora
Level 1: Warn Suspicious Website
Signaled
Level 2: Block Confirmed Phishing Site
Signaled and Blocked
Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7
Windows DefenderWindows Defender
MonitorizaciónMonitorización
DetecciónDetección
LimpiezaLimpieza
Software ExplorerSoftware Explorer
SpyNetSpyNet
MonitorizaciónMonitorización
Automatic Startup Entry Points (ASEPs)Automatic Startup Entry Points (ASEPs)
Configuración del SistemaConfiguración del Sistema
Internet Explorer Internet Explorer ConfiguracionConfiguracion
Add-onsAdd-ons
DescargasDescargas
Servicios y DriversServicios y Drivers
Ejecución de AplicacionesEjecución de Aplicaciones
Registro de AplicaciónesRegistro de Aplicaciónes
Windows Add-onsWindows Add-ons
DetecciónDetección
Motores compartidosMotores compartidos
Formatos de ficherosFormatos de ficherosContenedores (zip, rar, etc)Contenedores (zip, rar, etc)
Empaquetadores de Ficheros (upx, aspack)Empaquetadores de Ficheros (upx, aspack)
Muchos formatos estándar Muchos formatos estándar
Metodos de DetecciónMetodos de DetecciónHash simple de fichero( MD5, SHA1, CRC)Hash simple de fichero( MD5, SHA1, CRC)
Multi-CRCMulti-CRC
Firmas de Rootkits en modo usuarioFirmas de Rootkits en modo usuario
Detección genéricaDetección genérica
EmulaciónEmulación
HeurísticaHeurística
LimpiezaLimpieza
Scripting languageScripting language
Claves del registroClaves del registro
FicherosFicheros
Modificación del fichero HostModificación del fichero Host
Software ExplorerSoftware Explorer
En ejecuciónEn ejecución
Programas de InicioProgramas de Inicio
ServiciosServicios
DriversDrivers
SpyNetSpyNet
Ayuda a priorizar la creación de firmasAyuda a priorizar la creación de firmas
Se envía informaciónSe envía informaciónInformación del ficheroInformación del fichero
Engine / signature versionsEngine / signature versions
Voting dataVoting data
Información DemograficaInformación Demografica
Cifrado de datosCifrado de datos
Basico vs Avanzado – PIIBasico vs Avanzado – PII
OpcionalOpcional
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation
as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,
EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.