1 Código: HOL-SEG03
2 ► Tipos de Troyanos Troyanos de conexión directa Troyanos de conexión inversa ► Herramientas Netcat Crypcat ► Rootkits Rootkits modo usuario Rootkits modo Kernel ► Phishing Tipos de Phishing Troyanos bancarios
3 ► Análisis Malware Análisis estático Análisis dinámico ► Análisis RAM Memory Volcados de memoria Volcados de procesos ► Tipos de Herramientas
4 ► Malware Indetectable Antivirus Verificación firmas Heurística Técnicas utilizadas Encriptación Morphing Modificación firmas Binders Detección de firmas Herramientas
5 Los troyanos no son nada nuevo Desde los 70 ya se conocían troyanos que imitaban la pantalla de Login. ► La profesionalización del crimen online los ha “resucitado” como herramienta de fraude. ► En el mercado hay tal cantidad de malware, que para las empresas antivirus es prácticamente imposible analizarlas todas.
6 ► Los métodos tradicionales han ido pasando a la historia ► Hoy en día lo que se lleva son los troyanos personalizados y específicos Están desarrollados pensando en un fin específico Diversidad en el código fuente (Malware multiplataforma) Capacidad para adaptarse al entorno (conexiones inversas)
7 ► Conexión directa Gran auge en los 80 El atacante tenía que establecer la conexión Gran facilidad en aquella época (Usabilidad VS Seguridad) Se ha ido perdiendo con el paso de los años ► Conexión Inversa La seguridad ha avanzado mucho (FW, IDS, etc..) El troyano se conecta directamente al atacante Facilidad para pasar Firewalls, burlar antivirus, etc.. En algunos casos se requiere conocer cómo funciona internamente un SO.
8 ► Netcat La navaja suiza de los administradores Herramienta adoptada por los atacantes Detectada por algunos antivirus como Hack-Tool Permite ejecutar Shell Remotas Capacidad para compartir conexión con otras aplicaciones Muy difícil de detectar en ciertas configuraciones ► Crypcat Su homólogo en versión cifrada
9 Objetivo Ocultación total Muy extendidos En poco tiempo se han convertido en la primera línea de ataque Técnicas Inyección DKOM Tipos Usuario Kernel
10 ► Conocer qué aplicación llama a determinada API del sistema ► Utilizada ampliamente por spyware y rootkits ► Los objetivos son varios Escuchar mensajes de la aplicación Modificar datos de la aplicación Ocultación de todo tipo de elementos del SO Aplicación original ejecute código nuestro
11 ► La arquitectura i386 admite hasta 4 anillos o niveles de privilegios (0,3) ► Impide que código con privilegios inferiores sustituya código y datos de sistema (0) ► Anillo 0.- El más elevado ► Anillo 3.- Menos elevado (UserLand) ► Windows emplea dos niveles de privilegio (0 y 3) ► Se diseñó así para que se pudiese ejecutar en arquitecturas que no admitiesen los 4 anillos o niveles
12 ► Nivel 3 (UserLand) Internet Explorer Word Notepad Etc… ► Nivel 0 Controladores (drivers) Plug & Play Memoria virtual Etc…
13 ► Aplicaciones de usuario solicitan constantemente información a la capa de Kernel, y ésta al hardware ► Estas peticiones se realizan mediante llamadas al sistema. Todo ello conforma el subsistema Win32 User32.dll Gdi32.dll Kernel32.dll Shell32.dll Etc…
14 ► Llamada al subsistema Gestiona la solicitud de forma local, sin realizar llamadas al kernel Realizar la llamada a un proceso de la capa de usuario (csrss.exe), responsable de mantener todo el susbistema Win32. Éste mantiene la información de los procesos Win32 y se los devuelve a la API que ha efectuado la llamada Envía una llamada de procedimiento remoto (RPC) para que actúe como enlace (Ej.- Recursos compartidos) Llama a alguna API que necesite servicios de Kernel. Realizará una llamada a una librería de sistema (ntdll.dll) Ntdll.dll.- Librería especializada que contiene funciones de soporte interna, distribución de servicios Kernel32.dll.- Se suele confundir con el kernel de Windows. En realidad es una librería que opera en Ring 3 y únicamente transmite la información o llamadas a la librería ntdll.dll, también cargada en Ring3 Ntoskrnl.exe.- Contiene las funciones de kernel. Coopera internamente con otro driver de sistema (win32k.sys)
15 ► Deben alterar este camino o flujo de ruta para conseguir sus objetivos, sean cuales sean ► Este modo de alteración o modificación se puede realizar a través de un proceso llamado “enganche” o “hooking” ► La propia arquitectura de Windows permite una rápida implementación de este tipo de técnica, lo que permite flexibilidad y capacidad de ampliación a una herramienta, sea cual sea su fin ► Por regla general los rootkits modifican los datos que devuelven las llamadas de funciones del sistema de Windows para ocultar procesos, entradas de registro, etc…
16 ► Los más conocidos System Hooks (Inyección) IAT Patching ► Información sobre Hooks http://msdn2.microsoft.com/en- us/library/ms644990.aspx http://msdn2.microsoft.com/en- us/library/ms644990.aspx http://msdn2.microsoft.com/en- us/library/ms997537.aspx http://msdn2.microsoft.com/en- us/library/ms997537.aspx
17 ► Un hook (gancho) es un mecanismo por el cual una función puede interceptar eventos antes de llegar a su destino, llegando en algún caso a poder modificar el evento. ► Hay muchos tipos de hooks De teclado De ratón De mensaje a ventana De evento a ratón Etc…
18 ► Las funciones que reciben los eventos son llamadas funciones filtro y se clasifican de acuerdo al tipo de evento que interceptan. ► Para mantener y acceder a este tipo de funciones, las aplicaciones utilizan las siguientes funciones: SetWindowsHookEx UnHookWindowsHookEx
19 ► Las aplicaciones basadas en Windows utilizan las siguientes funciones: SetWindowsHookEx UnhookWindowsHookEx CallNextHookEx HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId);
20 ► Inyecciones DLL ► Proxy DLL ► Parchear llamadas ► Parchear la API ► Romper las barreras del espacio de memoria ► Winsock Hooking
21 ► Uno de los más fáciles ► Muy antiguo ► Se logra muy fácilmente creando un proxy dll, la cual contendrá funciones exportadas de la librería original de Windows (Winsock). Si renombramos esta librería a la original de Windows (wsock32.dll) y enlazada en el mismo directorio, la intercepción de mensajes ocurre al instante. ► Como contrapartida cabe decir que muchas de las funciones de la librería Winsock de Microsoft, no están documentadas, por lo que una copia de ésta restaría funcionalidad al sistema, siendo más fácil su detección. ► +Info: http://www.microsoft.com/msj/0997/hood0997.aspxhttp://www.microsoft.com/msj/0997/hood0997.aspx
22 ► Nuestro código (el maligno), debe estar en el mismo espacio de memoria que el ejecutable o dll a inyectar Podemos modificar la librería del ejecutable legítimo Crear Hilos de forma remota (CreateRemoteThread) http://msdn2.microsoft.com/en-us/library/ms682437.aspx http://msdn2.microsoft.com/en-us/library/ms682437.aspx ► Inyección a través de extensión de aplicaciones Su diseño (IE, Explorador de Windows, etc…) permite que se puedan “extender” sus funcionalidades. ► HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersi on\Windows\AppInit_DLLs
23 ► Programación en modo kernel la utilizan habitualmente aplicaciones legítimas (drivers, antivirus, etc…) ► Los rootkits en modo kernel necesitan cargarse en el espacio de memoria reservado para el kernel ► Una vez que están instalados funcionan de manera similar a como si lo estuviesen haciendo en Ring3, pero con la salvedad de que se están ejecutando en un espacio “reservado” para el Kernel ► Entra en juego nuevas técnicas Modificación de la tabla de descriptores del sistema (SSDT) Ej.- Crear Carpeta (NTcreateFile) Kernel32.dll ntdll.dll ntoskrnl.exe SSDT Crea Carpeta Rootkit modificaría la tabla SSDT para que apunte a una función específica del rootkit Se descubren fácilmente Se puede comparar la tabla SSDT con el TaskManager para ver los procesos en ejecución
24 ► Direct Kernel Object Manipulation Modifica los objetos del kernel directamente Muy peligroso Puede dar pantallas azules (BSOD) Llama directamente al administrador de objetos de Windows (Se puede ver con WinObj) Al modificar directamente los objetos, éste puede ocultar directamente los procesos sin que pasen a formar parte de una lista interna
25
26
27 ► Suscripción gratuita en [email protected]
28 ► Informática 64 http://www.informatica64.com http://www.informatica64.com [email protected] [email protected] +34 91 665 99 98 ► Profesor [email protected] [email protected]