SlideShare una empresa de Scribd logo

Malware en linux

Descargar como PPTX, PDF
Tensor, profile picture
Tensor

Este documento discute el malware en Linux, incluyendo tipos como rootkits y backdoors, técnicas de infección como inyección de código en el segmento de datos de archivos ELF, y métodos de detección y eliminación como el uso de herramientas como rkhunter y ClamAV. Concluye que aunque existe malware para Linux, los sistemas Linux tienen menos vulnerabilidades que Windows, pero que las defensas antivirus para Linux necesitan seguir mejorando.

Educación
1 de 41
Descargado 35 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
1 Usa Linux decían ... ...En Linux no hay virus decían MALWAREEN LINUX
Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
¿Por qué usar Linux (*NIX)? 5
¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
10 Similitudes y Diferencias con sistemas Windows
11  Market share Similitudes y Diferencias con sistemas Windows
12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
17  nitr0us@linux:~$ ./binario_infectado Técnicas de Infección / Propagación
18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
29 Técnicas de Anti Detección / Reversing / Debugging
Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
32 DEMO DETECCIÓN DE ROOTKITS rkhunter http://rkhunter.sourceforge.net Técnicas de Detección / Eliminación
33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
35  Y se ve así… Técnicas de Detección / Eliminación
36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
40 DEMO EJECUCIÓN DE ANTIVIRUS ClamAV http://www.clamav.net Técnicas de Detección / Eliminación
Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar

Más contenido relacionado

PPTX
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Alejandro Hernández
 
PPTX
Pent box security
Tensor
 
PPT
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
DOCX
VC4NM73-EQ#6-EXPLOIT
Jessica Onlyone
 
PPTX
Leccion0 sisop
Ugo Sanchez Baeza Profesor
 
PPT
Virus informaticos
EQUION
 
PPT
Seguridad informatica
walteraguero
 
PPTX
Antivirus
Antonio Ruiz Arbildo
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Alejandro Hernández
 
Pent box security
Tensor
 
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
VC4NM73-EQ#6-EXPLOIT
Jessica Onlyone
 
Leccion0 sisop
Ugo Sanchez Baeza Profesor
 
Virus informaticos
EQUION
 
Seguridad informatica
walteraguero
 
Antivirus
Antonio Ruiz Arbildo
 

La actualidad más candente (7)

DOC
Guía teórica seguridad informatica
karencocha98
 
PPT
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
RootedCON
 
PPT
Virus Informatico Leo
leo_millos
 
PDF
webminar ataques de fuerza bruta kali linux
Carlos Antonio Leal Saballos
 
PPT
Suites de auditorias informáticas
Tensor
 
PPTX
DIAPOSITIVAS VIRUS Y ANTIVIRUS
Felipe Londoño Vega
 
PPTX
Universidad autonoma del estado de hidalgo
AriiaDniiThaa
 
Guía teórica seguridad informatica
karencocha98
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
RootedCON
 
Virus Informatico Leo
leo_millos
 
webminar ataques de fuerza bruta kali linux
Carlos Antonio Leal Saballos
 
Suites de auditorias informáticas
Tensor
 
DIAPOSITIVAS VIRUS Y ANTIVIRUS
Felipe Londoño Vega
 
Universidad autonoma del estado de hidalgo
AriiaDniiThaa
 
Publicidad

Similar a Malware en linux (20)

PPTX
Malware en linux
Tensor
 
ODP
Malware for Linux
Adario de León
 
PPTX
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
RootedCON
 
PDF
Hacking withinnails pdfcompleto
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
PPSX
Virus y antivirus informaticos
andreabarrera1515
 
PPSX
Virus y antivirus informaticos
andreabarrera1515
 
PPTX
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Oskar Laguillo
 
PDF
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Alonso Eduardo Caballero Quezada
 
PPTX
Exposició..virus y antivirus
colinacampestre
 
PDF
Network.Penetration.CGSOL
ykro
 
PPTX
trabajo de computacion
andres_maigualema
 
PPTX
Método de infección, como detectarlos, los virus mas peligrosos
Jonny Esquivel
 
PPTX
Virus electronicos
Maryana Mora Buytrago
 
PPTX
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
PPTX
Virus y Vacunas Informaticas
U.P.T.C.
 
PDF
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
PPTX
Presen exposicion mantenimiento del software
colinacampestre
 
PDF
Seguridad Informatica
CECOTED
 
PPTX
VIRUS INFORMATICO
alexayu27
 
PPTX
Vacunas y virus informáticos
Yenny93
 
Malware en linux
Tensor
 
Malware for Linux
Adario de León
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
RootedCON
 
Hacking withinnails pdfcompleto
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Virus y antivirus informaticos
andreabarrera1515
 
Virus y antivirus informaticos
andreabarrera1515
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Oskar Laguillo
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Alonso Eduardo Caballero Quezada
 
Exposició..virus y antivirus
colinacampestre
 
Network.Penetration.CGSOL
ykro
 
trabajo de computacion
andres_maigualema
 
Método de infección, como detectarlos, los virus mas peligrosos
Jonny Esquivel
 
Virus electronicos
Maryana Mora Buytrago
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Virus y Vacunas Informaticas
U.P.T.C.
 
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Presen exposicion mantenimiento del software
colinacampestre
 
Seguridad Informatica
CECOTED
 
VIRUS INFORMATICO
alexayu27
 
Vacunas y virus informáticos
Yenny93
 
Publicidad

Más de Tensor (20)

PDF
Libertad
Tensor
 
PPTX
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
PPTX
Metodo de la bisección
Tensor
 
PPTX
Transito vehicular
Tensor
 
PPTX
Teoria de colas
Tensor
 
PDF
Practica 7 2016
Tensor
 
PDF
Practica 6 2016
Tensor
 
PPTX
Game maker
Tensor
 
PDF
Practica 5 2016
Tensor
 
PPTX
Procesamiento de archivos
Tensor
 
PPTX
Cadenas y funciones de cadena
Tensor
 
PPTX
Simulación en promodel clase 04
Tensor
 
PDF
Reduccion de orden
Tensor
 
PDF
Variación+de+parametros
Tensor
 
PDF
Coeficientes indeterminados enfoque de superposición
Tensor
 
PDF
Bernoulli y ricatti
Tensor
 
PDF
Practica no. 3 tiempo de servicio
Tensor
 
PPTX
Clase 14 ondas reflejadas
Tensor
 
PDF
Ondas em
Tensor
 
PPTX
Clase 7 ondas electromagneticas
Tensor
 
Libertad
Tensor
 
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
Metodo de la bisección
Tensor
 
Transito vehicular
Tensor
 
Teoria de colas
Tensor
 
Practica 7 2016
Tensor
 
Practica 6 2016
Tensor
 
Game maker
Tensor
 
Practica 5 2016
Tensor
 
Procesamiento de archivos
Tensor
 
Cadenas y funciones de cadena
Tensor
 
Simulación en promodel clase 04
Tensor
 
Reduccion de orden
Tensor
 
Variación+de+parametros
Tensor
 
Coeficientes indeterminados enfoque de superposición
Tensor
 
Bernoulli y ricatti
Tensor
 
Practica no. 3 tiempo de servicio
Tensor
 
Clase 14 ondas reflejadas
Tensor
 
Ondas em
Tensor
 
Clase 7 ondas electromagneticas
Tensor
 

Último (20)

PDF
ciencias-1.pdf libro cuarto basico niños
JeannieTrigo1
 
PDF
ACERTIJO Súper Círculo y la clave contra el Malvado Señor de las Formas. Por ...
JAVIER SOLIS NOYOLA
 
PDF
Breve historia de los Incas -- Patricia Temoche [Temoche, Patricia] -- Breve ...
Darwin Del Castillo
 
PDF
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
PDF
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
PDF
OK OK UNIDAD DE APRENDIZAJE 5TO Y 6TO CORRESPONDIENTE AL MES DE AGOSTO 2025.pdf
milo060459
 
PDF
Integrando la Inteligencia Artificial Generativa (IAG) en el Aula
Osman Villanueva
 
PDF
PFB-MANUAL-PRUEBA-FUNCIONES-BASICAS-pdf.pdf
LiliGuerraCuevas
 
PDF
Fundamentos_Educacion_a_Distancia_ABC.pdf
a2243810439
 
PDF
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
PDF
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
La Evaluacion Formativa en Nuevos Escenarios de Aprendizaje UGEL03 Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 
PDF
GUIA DE: CANVA + INTELIGENCIA ARTIFICIAL
AndinaVirtual
 
PDF
Punto Critico - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
IDH_Guatemala_2.pdfnjjjkeioooe ,l dkdldp ekooe
JosAngelLpezCrdova
 
PDF
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
PDF
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
ciencias-1.pdf libro cuarto basico niños
JeannieTrigo1
 
ACERTIJO Súper Círculo y la clave contra el Malvado Señor de las Formas. Por ...
JAVIER SOLIS NOYOLA
 
Breve historia de los Incas -- Patricia Temoche [Temoche, Patricia] -- Breve ...
Darwin Del Castillo
 
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
OK OK UNIDAD DE APRENDIZAJE 5TO Y 6TO CORRESPONDIENTE AL MES DE AGOSTO 2025.pdf
milo060459
 
Integrando la Inteligencia Artificial Generativa (IAG) en el Aula
Osman Villanueva
 
PFB-MANUAL-PRUEBA-FUNCIONES-BASICAS-pdf.pdf
LiliGuerraCuevas
 
Fundamentos_Educacion_a_Distancia_ABC.pdf
a2243810439
 
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
La Evaluacion Formativa en Nuevos Escenarios de Aprendizaje UGEL03 Ccesa007.pdf
Demetrio Ccesa Rayme
 
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 
GUIA DE: CANVA + INTELIGENCIA ARTIFICIAL
AndinaVirtual
 
Punto Critico - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
IDH_Guatemala_2.pdfnjjjkeioooe ,l dkdldp ekooe
JosAngelLpezCrdova
 
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 

Malware en linux

  • 1. 1 Usa Linux decían ... ...En Linux no hay virus decían MALWAREEN LINUX
  • 2. Contenido 2  ¿Por qué usar Linux (u otros basados en UNIX)?  Tipos de Malware  Similitudes y Diferencias con sistemas Windows  Motivadores para la creación de malware  Técnicas de Infección / Propagación  Demo(s)  Técnicas Anti Detección / Reversing / Debugging  Demo(s)  Técnicas de Detección / Eliminación  Demo(s)  Conclusión
  • 3. ¿Por qué usar Linux (*NIX)? 3  Porque es “GRATIS”  PORQUE NO HAY VIRUS … DECÍAN  Porque es para expertos y hackers  Porque si…
  • 4. ¿Por qué usar Linux (*NIX)? 4  http://www.dedoimedo.com/computers/linux-convert.html
  • 5. ¿Por qué usar Linux (*NIX)? 5
  • 6. ¿Por qué usar Linux (*NIX)? 6  http://www.dedoimedo.com/computers/linux-convert.html
  • 7. Tipos de Malware en Linux 7  Backdoors  Plataformas de SPAM (Correo no deseado)  Servidores de archivos (FTP, Torrents, etc.)  Botnets  Virus  Bombas de tiempo  Sniffers de información bancaria  Etc.
  • 8. 8  Rootkits  Set de herramientas para esconder rastros de ataque y mantener accesos futuros  Esconder archivos  Esconder procesos  Esconder conexiones de red  Usuarios escondidos  Y muchas otras capacidades Tipos de Malware en Linux
  • 9. Motivadores para la creación de malware 9  Mayormente financiera  Espionaje  Recientemente cuestiones geopolíticas entran en juego  (Stalking)
  • 11. 11  Market share Similitudes y Diferencias con sistemas Windows
  • 12. 12  Formato de archivo ejecutable  Windows: PE (Portable Executable)  Linux: ELF (Executable and Linking Format)  Muchos usuarios de Windows utilizan la cuenta de Administrador  Permisos de archivos en Linux por default  Menor factor de exposición Similitudes y Diferencias con sistemas Windows
  • 13. Técnicas de Infección / Propagación 13  Existen virus / gusanos en diversos lenguajes de programación como:  Perl  Bash scripts  Python  Etc.  Los más comunes y sofisticados son en el formato de archivos ELF
  • 14. Técnicas de Infección / Propagación 14  Executable and Linking Format  Formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix, etc.
  • 15. 15  Muchísimas técnicas de infección de binarios ELF  Mayormente infección en los binarios estáticamente  Ejemplo, inyección de un parásito en el segmento de datos .text .data .bss Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 16. 16 .text .data .bss  nitr0us@linux:~$ ./binario_infectado Código malicioso: x6ax0bx58x99x52 x66x68x2dx46x89 xe1x52x66x68x65 x73x68x74x61x62 x6cx68x6ex2fx69 x70x68x2fx73x62 x69x89xe3x52x51 x53x89xe1xcdx80 Técnicas de Infección / Propagación
  • 18. 18 DEMO INFECCIÓN ESTÁTICA INYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE DATOS ELF_data_infector.c http://www.brainoverflow.org/code/ELF_data_infector.c Técnicas de Infección / Propagación
  • 19. 19  En tiempo de ejecución  Uno de los últimos troyanos identificado para Linux con capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan  https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief- ungloved/  https://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief- trojan-targets-linux-inth3wild/  http://ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the- money Técnicas de Infección / Propagación
  • 20. 20  “Hand of Thief” Trojan Técnicas de Infección / Propagación
  • 21. 21  “Hand of Thief” Trojan  Es importarte mencionar que un usuario no se infecta “automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)  El autor recomienda… “Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.” www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/ Técnicas de Infección / Propagación
  • 22. 22  Otro de los últimos detectado es http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99 Técnicas de Infección / Propagación
  • 23. 23  A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente  Mayormente se requiere de la interacción del usuario  Ingeniería Social  Otros vectores de ataque  Cronjobs  Modificación de archivos de configuración  .bashrc  Etc. Técnicas de Infección / Propagación
  • 24. 24  Propagación a través de vulnerabilidades remotas  Exploits embedidos  Malas configuraciones  FTP / NFS / SMB con permisos de escritura para todos  Contraseñas por default en servicios de red Técnicas de Infección / Propagación
  • 25. 25  Error de capa 8 (PEBKAC) Técnicas de Infección / Propagación
  • 26. Detección / Reversing / Debugging 26  Muchas técnicas conocidas  Detección del entorno  Dejar de funcionar si está corriendo bajo una Máquina Virtual  Detección de ejecución a través de debuggers:  http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/  ptrace(PTRACE_TRACEME, 0, 0, 0)
  • 27. 27  Hasta más avanzadas como las presentadas por aczid  Linux debugging & anti-debugging  Hack In The Random 2600  Netherlands  September 8, 2012  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf  http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebuggin g.tgz Detección / Reversing / Debugging
  • 28. 28 DEMOS APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS” http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html gdb_elf_shield.c http://www.exploit-db.com/exploits/23523/ Detección / Reversing / Debugging
  • 29. 29 Técnicas de Anti Detección / Reversing / Debugging
  • 30. Técnicas de Detección / Eliminación 30  Presencia de elementos extraños y/o no identificados  Procesos | Archivos | Conexiones | Puertos  nitr0us@linux:~$ netstat -ant | grep LISTEN  Cuentas de usuarios no identificados  ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)  Elementos ocultos  Carpetas como “. “ o “.. “ o que inician con “.” no salen con un listado normal $ls –l
  • 31. 31  Ejecución periódica de herramientas de detección  chkrootkit  rkhunter  otras Técnicas de Detección / Eliminación
  • 33. 33  Ejecución periódica de integridad de archivos  Hashes  MD5  SHA-1  Etc.  Herramientas como  Tripwire ($)  AIDE (Advanced Intrusion Detection Environment) Técnicas de Detección / Eliminación
  • 34. 34  Antivirus  Detectan la existencia de código malicioso  Heurística  Sandboxes  Sensores de Red  Reverse Engineering  Etc. Técnicas de Detección / Eliminación
  • 35. 35  Y se ve así… Técnicas de Detección / Eliminación
  • 36. 36  Antivirus  Mayormente detección basada en firmas de virus, por ejemplo, una pequeña lista de malware conocido  http://en.wikipedia.org/wiki/Linux_malware Técnicas de Detección / Eliminación
  • 37. 37  Los engines analizadores no son suficientemente buenos aún  Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL]  http://lock.cmpxchg8b.com/sophail.pdf Técnicas de Detección / Eliminación
  • 38. 38  Los engines analizadores no son suficientemente buenos aún  En Febrero de 2013 analicé el engine de ELFs de ClamAV  En libclamav se encuentra elf.c, que es el engine analizador  Todas las variables son de tipo unsigned  Esto es bueno, sin embargo… Técnicas de Detección / Eliminación
  • 39. 39  Existen validaciones muy básicas (bypasseables) como: if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64)) if(file_hdr.e_ident[5] == 1) /* endianess */ if(phnum > 128) ... for(i = 0; i < phnum; i++) { if(shnum > 2048) Técnicas de Detección / Eliminación
  • 41. Conclusión 41  En Linux, SI hay virus y demás malware  Sus mecanismos de seguridad por default no lo hacen tan vulnerable contra el malware  El porcentaje de usuarios es mucho menor que Windows, así que el nivel de exposición también es menor  Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales  El software anti-malware para Linux necesita mejorar