Vc4 nm73 eq6-exploit
- 1. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 ÍNDICE INTRODUCCIÓN EXPLOIT TÉCNICAS: TUNNELING CONCLUSIÓN BIBLIOGRAFÍA INTRODUCCIÓN Si bien no existe una definición universal de exploit, esencialmente el término se refiere a cualquier código diseñado para exponer las vulnerabilidades de otras aplicaciones o aprovecharse de ellas. Los exploits de la red trabajan aprovechándose de las fallas de los navegadores o sus complementos y de otros programas con acceso a internet, incluyendo Microsoft Word, Adobe Acrobat y otras aplicaciones de uso habitual. Estas amenazas pueden tomar muchas formas diferentes: descargas forzadas, instalación de códigos maliciosos ocultos, infecciones silenciosas o automatizadas, pero todas tienen el mismo resultado: El ordenador se infecta solamente navegando por internet, sin que sea necesario hacer nada especial como. Por ejemplo, descargar un archivo. EXPLOIT Para comprender lo que es un exploit, tenemos que entender lo que es un agujero de seguridad. El software de cualquier tipo sean sistemas operativos, navegadores, paqueterías , etc., pueden contener agujeros de seguridad. Estos agujeros son errores que tienen en su programación y que permiten que otros usuarios o programas realicen acciones no permitidas por el software vulnerable, es decir del que tiene el agujero de seguridad. “Término que define aquellos programas informáticos usados por hackers cuyo funcionamiento se basa en aprovechar los agujeros de seguridad de los equipos informáticos ajenos para acceder a ellos de manera ilegítima.”
- 2. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 La palabra Exploit proviene del inglés y en español significa ‘explotar o aprovechar’. En informática, es una porción de software, fragmento de datos o secuencia de comandos que aprovecha un error intencionalmente, a fin de ocasionar un comportamiento no deseado. Actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal. HERRAMIENTAS DE DESARROLLO: Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación, aunque mayoritariamente se suele utilizar lenguaje C. Una de las herramientas más utilizadas para trabajar con este tipo de software es Metasploit Framework, una plataforma de test de penetración escrita en lenguaje de programación Ruby, como así también otros frameworks como Core Impact, Canvas, entre otros. PROCESO: Notemos que en estos casos, el exploit será un archivo especialmente armado por el atacante con un formato soportado por alguna de estas aplicaciones, como un documento PDF. Además el vector de ataque estará segmentada en varias partes, ya que al no estar expuesto a internet, el exploit (en este caso PDF) deberá llegar al objetivo por algún medio alternativo, por ejemplo, un correo electrónico. Luego, dicho archivo deberá ser ejecutado por el usuario y, recién en esta instancia, si el ataque no es detenido por ningún control de parte de la víctima (un firewall o antivirus), se podrá tener acceso al equipo objetivo. Es decir, si bien es un vector de ataque más sofisticado que no depende de la exposición a internet que tengan las aplicaciones, presenta un mayor nivel de complejidad al momento de ser lanzado. VULNERABILIDADES: Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo. Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos. Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían
- 3. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 permitidas en caso normal. Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: ■ ■ ■ ■ ■ ■ ■ ■ ■ Vulnerabilidades de desbordamiento o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string error). Vulnerabilidades de Cross Site Scripting CSS/XSS. Vulnerabilidades de inyección de SQL (SQL injection). Vulnerabilidades de Inyección de Caracteres CRLF Vulnerabilidades de denegación del servicio Vulnerabilidades Inyección múltiple HTML Vulnerabilidades de ventanas engañosas o de ventanas Window Spoofing TIPOS: Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados cientos de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría son utilizados como parte de otros malware (aquellos que pueden ser explotados en forma relativamente sencilla y que pueden lograr gran repercusión). Un EXPLOIT ZERODAY es un exploit que aún no se ha hecho público. Usualmente,está asociado a una vulnerabilidad zeroday, es decir, aquella que todavía no fue publicada. Los ataques con exploit zeroday ocurren mientras exista una ventana de exposición; esto es, desde que se encuentra una debilidad hasta el momento en que el proveedor la remedia, por ejemplo, mediante la liberación de un parche. esta ventana puede durar días o hasta meses, dependiendo del vendedor. ZERO DAY (Día cero): Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades, que no son conocidas por los profesionales del tema. Se define Zero Day como cualquier exploit que no haya sido mitigado por un parche del vendedor. Retomando la clasificación de exploits, es importante comprender las diferencias entre los tres tipos que detallaremos a continuación, ya que en futuros ejemplos haremos referencia a
- 4. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 estos conceptos. Los exploits remotos son aquellos que pueden ser lanzados desde otra ubicación diferente de la del equipo de la víctima. Esta puede ser otro equipo dentro de la red interna o bien un equipo desde internet. Típicamente, los exploits remotos permiten acceder en forma remota al equipo comprometido o bien dejarlo fuera de servicio. Por otra parte, los exploits locales: en ocasiones, al tomar control de un equipo en forma remota, el acceso obtenido presenta privilegios limitados. En estas situaciones es donde los locales entran en juego. Estos son ejecutados localmente en el equipo, en general, permiten elevar privilegios hasta administrador en el caso de plataformas Microsoft, o root en plataformas de UNIX. El tercer tipo son los exploits ClientSide: desde hace unos años hasta hoy, las aplicaciones y dispositivos vienen de fábrica con un mayor número de características de seguridad habilitadas. Debido a esto, los atacantes debieron desarrollar nuevos vectores de ataque que exploten otras debilidades de las organizaciones. Debemos saber que los exploits ClientSide buscan aprovecharse de vulnerabilidades que típicamente se encuentran en aplicaciones cliente, las cuales están instaladas en gran parte de las estaciones de trabajo de las organizaciones, pero que no están expuestas a internet. Ejemplos de ellas son las aplicaciones de ofimática, como Microsoft Office u Open Office, lectores de PDF como Adobe Acrobat Reader, navegadores de Internet como Firefox, Internet Explorer, Chrome o Safari e incluso reproductores multimedia como Windows Media Player, Wninamp o ITunes. CLASES DE EXPLOIT: ★ Modo Kernel: Es el modo superior de ejecución en el se puede acceder al 100% de la memoria, se tiene acceso al hardware, acceso de escritura a la flash y acceso al segundo procesador, incluso se puede cambiar el código del firmware que esta en la RAM, y se puede saltar cualquier protección. ★ Modo VHS Es un modo intermedio de ejecución, que es el que usa el xmb del firmware y el ejecutable principal de los updaters de sony. En el se puede acceder a 28 de 32 MB (4
- 5. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 MB Más que en el modo usuario), hay acceso de escritura a la flash. No hay acceso directo al hardware, ni al segundo procesador, ni al resto de 4 MB de memoria, donde están los módulos kernel del firmware. ★ MODO USUARIO Es el modo inferior de ejecución. En el solo se puede acceder a 24 de los 32 MB de memoria, y a la memoria gráfica. No se puede acceder directamente al hardware, ni hay posibilidad de escribir a la flash, ni acceder al segundo procesador. CICLO DE VIDA DE LA VULNERABILIDAD A continuación se da una breve descripción del ciclo de vida de la vulnerabilidad de una aplicación y del exploit que depende de ella. 1. La aplicación es lanzada al público. 2. Un investigador corrupto, o un delincuente informático descubre una vulnerabilidad en el programa, pero no da aviso al desarrollador. En lugar de esto, entrega esta información a los escritores de códigos malicioso a cambio de dinero u otro tipo de recompensa. Se crea entonces una aplicación que se aprovecha de dicha vulnerabilidad. Los desarrolladores de soluciones de seguridad aún no conocen estos programas dañinos, de modo que no pueden detectarlos. Generalmente, este tipo de amenazas se conoce como código malicioso de día cero. 3. El desarrollador de la aplicación vulnerable se entera del error a través de canales públicos. Esto puede ocurrir de varias formas. La más común es que la información sobre el hallazgo se filtre en foros clandestinos que los piratas comparten También puede tomar conocimiento por medio de los propios usuarios, por comunicaciones de otros desarrolladores, o por trabajos de investigación paralelos realizados por investigaciones honestos. 4. El código de prueba de concepto no lleva una carga maliciosa,. Su función es, simplemente, probar la viabilidad de los hallazgos y demostrar que, sin el parche adecuado, la vulnerabilidad realmente podría ser explotada. Un POC (Proofpfconcept, código de prueba de concepto) se usa principalmente para convencer de esto al desarrollador del programa en riesgo 5. Una vez que el desarrollador evalúa el informe de vulnerabilidad y concluye que es necesario crear un parche, comienza a trabajar en ello.
- 6. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 6. El desarrollador crea un parche para corregir la vulnerabilidad detectada. Posteriormente se distribuye la actualización de seguridad, usando el procedimiento estándar de la aplicación en cuestión 7. El usuario instala el parche del fabricante, para proteger la aplicación contra posibles explotaciones de la vulnerabilidad. En algún punto entre las etapas dos y siete, el exploit sale a la luz y comienza a infectar usuarios vulnerables. Este periodo se denomina ventana de oportunidad, ya que los piratas informáticos pueden adueñarse de los sistemas de los usuarios sin que estos lo sepan, aprovechándose de las vulnerabilidades que no fueron detectados o solucionados. Cuando un investigador de seguridad informa la existencia de una vulnerabilidad a un desarrollador de aplicaciones, sin difundir este dato a otras personas, se reduce enormemente la probabilidad de que la falla del programa sea aprovechada con fines maliciosos. Después que la vulnerabilidad ha sido corregida con el parche correspondiente, se pueden divulgar los detalles del error sin poner un riesgo a los usuarios, siempre que estos hayan actualizado sistemas. Las investigaciones muestran que aquellos usuarios que no instalan prontamente los últimos parches disponibles, corren un alto riesgo de que sus ordenadores se infectan con algún exploit que circula por la red. COMO FUNCIONAN LOS EXPLOITS Tan pronto como los delincuentes informáticos se enteran de la existencia de una vulnerabilidad, comienzan a escribir códigos malicioso para aprovecharse de ella. Esto podría implicar el esfuerzo colectivo de varios grupos de piratas o el trabajo de un solo individuo altamente cualificado, que algunas ocasiones es también el descubridor del error. En ocasiones, se lanzan a la venta en el mercado clandestino paquetes de herramientas para crear exploits. Estas aplicaciones cuestan entre 350 y 700 euros y cuentan con un servicio de actualizaciones de muy bajo coste, que son distribuidas a los usuarios cada vez que aparecen exploits nuevos y se agregan automáticamente al paquete, siguiendo el mismo método que las aplicaciones legítimas. Los ejemplos más destacados de tales paquetes incluyen los programas WebAttacker, de origen ruso y MPack. Estos conjuntos de herramientas contienen un grupo de exploits que se aprovechan de las
- 8. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 1.Infectar los ordenadores de los usuarios con todo tipo de códigos maliciosos que pueden ser usados para generar ingresos a través de chantaje, la venta de falsas aplicaciones contra programas espía o de información personal adquirida por medio de registradores de pulsaciones, etc. 2. Vender estos programas maliciosos a otros delincuentes. 3. Utilizarlos como medio de extorsión a un desarrollador de programas. COMO COMBATIR LA AMENAZA Existe una serie de pasos muy sencillos que los usuarios pueden seguir para proteger sus ordenadores de la amenaza de los exploits: 1. Mantener actualizados los parches del sistema y utilizar siempre la última versión del navegador. 2.Desactivar funciones de programación innecesarias, como códigos ActivX, o permitir solamente que estas sean usadas en sitios previamente revisados y confiables. 3. No visitar sitios desconocidos o que puedan resultar poco confiables. 4. usar programas que examinan el contenido de los sitios web en tiempo real, antes de permitir que el usuario acceda a ellos. Programas como Link Scanner Pro, revisan el código HTML del sitio de destino, para asegurarse de que no tiene amenazas ocultas. La extensión Finian SecureBrowsing realiza una evaluación del código y de la reputación del sitio, para estimar así la amenaza potencial. 5. Utilizar un cortafuegos que proteja el sistema contra códigos maliciosos del tipo día cero, bloqueando cualquier actividad inadecuada dentro de la red o de las aplicaciones locales. Outpost Firewall Pro 2008 incluirá la posibilidad de armar y personalizar una base de datos de sitios peligrosos cuyo acceso estará bloqueado. 6. Algunos antivirus pueden detectar y combatir los exploits, se recomienda usar antivirus con capacidad proactiva, es decir, con capacidad de detección de virus nuevos y desconocidos.Por ejemplo: ● ESET detecta el exploit exploit Java 0day. ● Panda Cloud Office Protection Advanced ofrece Protección contra amenazas y exploits que aprovechan vulnerabilidades desconocidas (zeroday). ● En la versión de Kaspersky Endpoint Security se encuentra la función tiene que ver con la protección contra exploits. Para ser más precisos –frente a exploits desconocidos, es
- 9. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 decir, aquellos exploits como zerodays. La tecnología Automatic Exploit Prevention de Kaspersky supervisa específicamente las vulnerabilidades objetivo que más se explotan para aplicar la inteligencia líder en el sector que brinda una capa adicional de supervisión de seguridad mejorada. PROTECCIÓN ANTIEXPLOITS PARA JAVA A pesar de los esfuerzos de los ciberdelincuentes, las soluciones de seguridad actuales pueden neutralizar eficazmente los ataques drivein lanzados por paquetes de exploits. Por lo general, la protección contra los exploits incluye un paquete integrado de tecnologías capaces de neutralizar estos ataques en diferentes etapas. Protección por etapas contra un ataque drivein ● ● ● ● ● Primera etapa: se bloquean los desvíos hacia la página de aterrizaje Segunda etapa: detección por el módulo file antivirus Tercera etapa: detección de exploits por firmas Cuarta etapa: detección proactiva de exploits Quinta etapa: detección del programa malicioso descargado EXPLOIT KITS Los exploit kits son paquetes que contienen programas maliciosos utilizados principalmente para ejecutar ataques automatizados del tipo ‘driveby’ con el fin de propagar malware. Estos paquetes están a la venta en el mercado negro, donde los precios varían desde unos cientos hasta miles de dólares. Hoy en día, también es muy común alquilar exploit kits tipo hosted. Esto hace que el mercado sea competitivo, con muchos actores y autores. Ejemplo de herramientas: ● ● ● ● ● MPAck CEPack FirePack Eleonore YES
- 10. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 ● Crimepack Los modernos exploits kits más conocidos son Eleonore, YES y Crimepack. Se han realizado muchas investigaciones y se ha publicado mucha información sobre estos paquetes de exploits en distintos blogs y sitios web. Analizado diferentes aspectos de estos paquetes, tenemos que: Distribución: Lo primero que llama la atención son los distintos patrones de distribución de los diferentes exploit kits. Los principales actores aquí son Phoenix y Eleonore, seguidos de Neosploit. Vulnerabilidades: Las vulnerabilidades a las que apuntan estos exploit kits, son vulnerabilidades en Internet Explorer, PDF y Java representan el 66% de los vectores de ataques usados por los exploit kits más populares. La mayoría de las vulnerabilidades explotadas son antiguas y existen parches para todas ellas. Sin embargo, se siguen usando con éxito. Resulta interesante notar que el índice de reutilización de las vulnerabilidades es del 41% (las mismas vulnerabilidades explotadas por distintos exploit kits). Nuevos exploits Las herramientas Crimepack y SEO Sploit Pack se dirigen a nuevos exploits, se han vuelto populares por su gran capacidad de explotar vulnerabilidades. Objetivos de los Exploits PDF, Internet Explorer y Java son los 3 principales objetivos, pero en este caso, siguiendo con AOL, MS Office, Firefox, Opera, Flash, Windows. Esto significa que están explotando los programas más populares instalados en los equipos de los usuarios víctimas.
- 11. INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS INTEGRANTES: Apolinar Crisóstomo Jessica Camacho Flores Sarahí Montserrat Hernández González Ivonne Valeria Lozada Pérez Yareli Guadalupe TEMAS: EXPOIT Coordinador de equipo FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013 CONCLUSIÓN En conclusión el problema de fondo es simple cada día nosotros como usuarios dependemos más de la informática, así como de los equipos de cómputo, por lo tanto con cualquier atentado contra ellos nos puede trastornar la vida. Los exploits representan un riesgo real y concreto para los ordenadores, pero mientras los usuarios cuenten con el conocimiento, el sentido común y las aplicaciones de seguridad apropiadas, pueden estar seguros de que estos programas no interferirán en sus vidas digitales. Es importante siempre estar alerta de los correos que se abren porque es una forma donde atacan los exploit, al igual que todo lo que ejecutamos en los navegadores, es decir tener un poco de sentido común y mantenernos informados sobre las nuevas amenazas que nos acechan, debido a que cada día la tecnología va creciendo y con ello las formas de infección, para ello tenemos que protegernos contra este tipo de malware y tener conciencia de lo que hacemos y a qué páginas accedemos. BIBLIOGRAFÍA http://books.google.com.mx/books?id=unlw22E8dFwC&pg=PA148&dq=que+es+exploit+en+informatic a&hl=es&sa=X&ei=3V4Uq7TEKea2AXpioDoAQ&ved=0CDoQ6AEwAw#v=onepage&q=que%20es%2 0exploit%20en%20informatica&f=false ● Cristian Borghello 2000 2009. Seguridad de la Información. http://www.seguinfo.com.ar/malware/exploit.htm ● Federico G. Pacheco 2000. Ethical Hacking http://books.google.com.mx/books?id=joMlAU4seLYC&pg=PA137&dq=vulnerabilidades+de+exploit&hl =es&sa=X&ei=qnMUoPMNOPw2QXCwoGABw&ved=0CC0Q6AEwAA#v=onepage&q=vulnerabilidade s%20de%20exploit&f=false http://www.ecured.cu/index.php/Exploit#Vulnerabilidades http://eugene.kaspersky.es/lospeligrosdelosexploitsylosdiasceroysuprevencion/