Mac OSX & Malware en tu

SLIDE 1

BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.

Mac OSX & Malware en tuempresa

Pedro Sánchez

¿Quien soy yo?

Pedro SánchezZaragoza, SPAIN

He trabajado en importantes empresas

como consultor especializado en Computer

Forensics, Honeynets, detección de

intrusiones, redes trampa y pen-testing. He

implantado normas ISO 27001, CMMI y

diversas metodologías de seguridad.

SLIDE 2

También colaboro sobre análisis forense

informático con las fuerzas de seguridad

del estado y diversas organizaciones

comerciales.

También he participado en las jornadas

JWID/CWID organizadas por el ministerio

de defensa, en donde obtuve la

certificación NATO SECRET

Actualmente soy miembro de la Spanish

Honeynet Project.

http://conexioninversa.blogspot.com

SLIDE 3

Que hacemos?

Especialistas en Análisis Forense Informático- Cualquier dispositivo que tenga un OS- Fugas de información- Litigios entre empresas

Análisis de seguridad en redes

SLIDE 4

Respuesta ante incidentes

Implantación de normas

Consultoría de seguridad

Hacking Ético

Pero no soy conocido por esto,

precisamente fuí conocido por ESTO:

SLIDE 5

SLIDE 6

Y Gracias a Chema Alonso…

SLIDE 7

Una aclaración…me gustan las chicas

SLIDE 8

Agenda:

Bitdefender

Escenario actual del malware

SLIDE 9

Escenario actual del malware

Malware & Mac OSX

Casos reales

Conclusiones

• Fundada en 2001

• Un Líder de Soluciones Anti-Malware Proactivas

• La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en Todo el Mundo

• Distribución en más de 100 países

• Nueve Oficinas Internacionales de

BitDefender de un Vistazo

SLIDE 10

• Nueve Oficinas Internacionales de Ventas

- Sede de Marketing Mundial en Silicon Valley

- Sede Mundial OEM en Silicon Valley

• Producto Disponible en 18 Idiomas

Hablamos de realidades

• BitDefender proporciona un motor común de detección y desinfección entodos sus productos empresariales

• Los motores se personalizan aún más para plataformas o aplicacionesespecíficas; por ejemplo Inspección URL y de Contenido

• BitDefender detecta y protege de media, contra 120.000 nuevas amenazas almes

SLIDE 11

mes

• Más de 4.000 nuevas firmas se añaden a la base de datos antivirus de todoslos días

• Los clientes de BitDefender obtienen protección continua con más de 16actualizaciones al día.

• El éxito de detección de BitDefender le ha llevado a ser adoptado por otrosproveedores líderes de soluciones Antivirus

Escenario actual del malware

SLIDE 12

BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.

Escenario actual del malware

Escenario de Amenazas - El Pasado

Virus

Gusanos de correo

Fuentes de ataque

DispositivoExtraíble

Tipos de amenazas Medios de Proliferación

SLIDE 13

Gusanos de correo

Gusanos exploit

Rootkits

Troyanos de puerta trasera

Clientes de Mensajería Instantánea

Adjuntos de correo

Script Kiddies

Escenario de Amenazas de Internet - Presente

Virus

Gusanos de correo

Gusanos exploit

Gusanos P2P

Fuentes de ataque

Sitios Web Multimedia Legítimos Comprometidos

Dispositivos

Clientes de Mensajería Instantánea

Hackers

Tipos de amenazas Medios de Proliferación

SLIDE 14

Gusanos P2P

Gusanos IM

Rootkits

Troyanos de puerta trasera

Spyware

Adware

Greyware

Dispositivos extraíbles

Dispositivos Móviles

Redes PúblicasWi-Fi

Aplicaciones Web 2.0

Adjuntos de Correo SPAM

Empresas Legítimas

Redes P2PPhishingCrimen organizado

Gobiernos extranjeros

Malware y otros monstruos en

Mac OSX

SLIDE 15

BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.

Malware & Mac OSX

SLIDE 16

SLIDE 17

SLIDE 18

Malware & Mac OSX

SLIDE 19

BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.

Malware & Mac OSXCaso 1: La espía que vino del frio

CASO 1:

Problema:

Entidad financiera deja de operar en todos sus cajeros y

servicios web debidos a un mal funcionamiento de servicios

centrales.

Impacto:

SLIDE 20

Impacto:

Mala imagen. Perdida de reputación, la duración del problema se

traslado durante horas

Análisis

Red nativa en Windows, Active Directory, Exchange y…

CASO 1:

10:20 h del 17 de Agosto de 2010.

Los usuarios de la LAN se quejan de que la red empieza a ser lenta

Servicios de directorio empiezan a fallar

12:30 h

Las unidades de red se desconectan cada cierto tiempo

Los servidores funcionan correctamente pero la red no da servicio

SLIDE 21

Se piensa y se comprueba:

Un mal fallo en los Routers de la instalación

Un nuevo especimen de malware se ha instalado y los AV no son capaces de detectarlo

Un reciente actualización del aplicativo financiero ha provocado la inestabilidad

Monitorizar ancho de banda

Grabar ficheros de tráfico de red .PCAP

Pasarlos por SNORT y Ooopsss!!! Sorpresa!!

SLIDE 22

Monitorizar ancho de banda

Grabar ficheros de tráfico de red .PCAP

Pasarlos por SNORT y Ooopsss!!! Sorpresa!!

SLIDE 23

Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!

SLIDE 24

Hora del análisis…

Verificamos lo último que se ha descargado y nos encontramos con un paquete llamado IWORK 09

Analizando el paquete vemos que hay un fichero

Este se encuentra en:

/System/Library/StartupItems/iWorkServices

SLIDE 25

/System/Library/StartupItems/iWorkServices

con atributos de read+write+execute

Despues de la ejecución la puerta trasera verifica si eresadministrador (sudo mode) utilizando "_geteuid" y"_getpwuid"

Si no se ejecuta como administrador sale de la instalación

Hora del análisis…

Crea los siguientes ficheros:

/System/Library/StartupItems/iWorkServices/iWorkServices/System/Library/StartupItems/iWorkServices/StartupParameters.plist/usr/bin/iWorkServices

Y el fichero "StartupParameters.plist" contiene los siguientes datos:

{Description = "iWorkServices";

SLIDE 26

Description = "iWorkServices";Provides = ("iWorkServices");Requires = ("Network");OrderPreference = "None";}

e intenta conectarse a:

69.92.177.146:59201qwfojzlk.freehostia.com:1024

Hora del análisis…

p2punlockplatformrandrshellscriptsendlogsset

banclearcleargethttpgethttpgetedleafsnodesp2pihist

SLIDE 27

setshellsleepsockssystemuidunknownsuptime

p2pihistp2pihistsizep2plockp2pmodep2ppeerp2ppeerportp2ppeertypep2pport

Protección

Proactiva

SLIDE 28

DeMo

El Malware en Mac OS X ¡Existe!

KeyloggerTroyanos

Conclusiones

SLIDE 29

Rootkits

BotnetsVirus

Spyware

Conclusiones

DNS Changerac OS X:

DNS Changer

• Descubierto el 30 de Noviembre de 2007

• Incluido en cracks/keyloggers/Keygens/etc.

• Bash Shell Script malicioso

SLIDE 30

• Bash Shell Script malicioso

• Cambiaba los DNS para controlar el tráfico de navegación.

• http://www.bitdefender.com/VIRUS-1000566-en--MAC.OSX.Trojan.DNSChanger.A.html

Rootkit en Mac OS X

- T0rn Rootkit.

- Trojanit Kit.

- Tuxendo.- Tuxendo.

Referencias:http://www.seguridadapple.com/2010/09/antirootkits-en-mac-os-x.html

Troyanos en Mac OS X: Boonana

- Desplegado en Octubre de 2010

- Utiliza un Applet Java para infectar alos usuarios.

Keylogger en Mac OS X

- Application.OSX.KeyboardSpy.

- HellRaiser. Keylogger incrustado en el troyano.

Referencias:http://www.iantivirus.com/threats/index/query/A/

- Desplegado el 27 deOctubre de 2010

- Utiliza un Applet Javapara infectar a losusuarios.

Troyanos en Mac OS X: Koobface

usuarios.

- Filosofía KISS

- También Linux (Ubuntu)

R.A.T. (Remote Administration Tool):Hellraiser

-Shell remota

- Acceso sistema ficherosficheros

- Petición autenticación

- Spotlight remoto

- Keylogger SMTP

Referencia:

http://ithreats.net/2010/04/20/rat-for-mac/

Botnets en Mac OS X: iBotnet

-Desplegada en Abril 2009.Ya existe una versión. F enel 2011

-Infección mediante copias piratas de:

- iWork 09’- iWork 09’

- Photoshop CS4.

-Usando redes P2P

http://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html

Pero lo peor de todoSON LOS TROYANOS…

Troyanos humanos

Pedimos ayuda a Bitdefender

Enviamos las firmas y en menos de cuatro horasdisponiamos de una herramienta para su limpieza

Características a día de hoy:– Protección en tiempo real

– Detección ampliada

SLIDE 39

Detección ampliada

– Fácil de usar

– Análisis inteligente de virus

• Firmas

• Análisis Heurístico estático

• Análisis Heurístico dinámico B-Have

Bitdefender 2011 for Mac

Administración del Servidor y de Puntos Finales

• Capacidades de Administración de Red Integradas– Versión de Microsoft del Lenguaje Script de Web-Based Enterprise

Management (WBEM) para Puntos Finales y Servidores

• Se incluyen más de 30 plantillas WMI Script Predefinidas– Cientos de Scripts Disponibles de forma Pública, Administración Remota

Automatizada:

• Termina aplicaciones y procesos

SLIDE 40

• Termina aplicaciones y procesos

• Instala y desinstala software (incluyendo otras soluciones AV)

• Reiniciar o apagar las estaciones de trabajo

• Activar/desactivar autoejecutables y unidades extraíbles USB

• Paquetes de Instalación Cliente / Servidor Personalizables– Seleccionar características de la instalación y desactivar funciones no deseadas

– Analizar el sistema antes de la Instalación

AdministraciónCentralizada

ProtecciónProactiva

Protección y Administración del Cliente

SLIDE 41

Informes y Estadísticas

• Conjunto de Informes Predefinidos– Infecciones, desinfecciones y archivos en cuarentena

• Estadísticas de Análisis de Virus– Diaria, semanal y mensualmente

– Periodo de tiempo establecido por el usuario

• Informes Basados en un Asistente

SLIDE 42

Informes Basados en un Asistente– Lista breve de los últimos 20 informes

definidos

• Exportar Informes– Informes disponibles en formatos de texto

o HTML

• Administración e Informe de Licencia– Utilización de licencias, clientes inactivos y umbrales

de implementación de licencias

Antiphising

Protección

Proactiva

SLIDE 43

DeMo

Antiphising

Esta demo no ha existido y se

autodestruirá de vuestros

Cerebros y mentes en cuanto

Toméis el café

SLIDE 44

Toméis el café

Referencias…

http://www.seguridadapple.com

http://www.malwarecity.com

http://conexioninversa.blogspot.com

http://www.bitdefender.es

SLIDE 45

http://www.bitdefender.es

pedro.sanchez@conexioninversa.com

¿Preguntas?