Вы находитесь на странице: 1из 75

Jornadas Espacios de Ciberseguridad

Mi ordenador es un zombi?

Esta presentacin se publica bajo licencia Creative Commons del tipo:


Reconocimiento No comercial Compartir Igual
http://creativecommons.org/licenses/by-nc-sa/4.0/
ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 2
INCIBE - Qu es?
El Instituto Nacional de Ciberseguridad de Espaa (INCIBE) es una sociedad dependiente del Ministerio de Industria,
Energa y Turismo (MINETUR) a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la
Informacin (SETSI).

INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos, la
red acadmica y de investigacin espaola (RedIRIS) y las empresas, especialmente para sectores estratgicos (Agenda
Digital para Espaa, aprobada en Consejo de Ministros el 15 de Febrero de 2012).

Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de
transformacin social y oportunidad para la innovacin. Para ello, con una actividad basada en la investigacin, la
prestacin de servicios y la coordinacin con los agentes con competencias en la materia , INCIBE lidera diferentes
actuaciones para la ciberseguridad a nivel nacional e internacional.

www.incibe.es

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 3


INCIBE - Qu es?
Pilares fundamentales sobre los que se apoya la actividad de INCIBE
Prestacin de servicios de proteccin de la privacidad, prevencin y reaccin a incidentes en ciberseguridad
Investigacin generacin de inteligencia y mejora de los servicios
Coordinacin colaboracin con entidades pblicas y privadas, nacionales e internacionales
rea de Operaciones

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 4


Jornadas Espacios Ciberseguridad
Caractersticas Jornadas curso 2015-2016
https://www.incibe.es/excelencia/talento/

JORNADAS PARA PROFESORES JORNADAS PARA ALUMNOS


Profesores de Bachiller y FP tecnolgicos. Alumnos de Bachiller y FP tecnolgicos.
Formacin para impartir las 8 temticas de manera 1 temtica por centro (de las 8 posibles).
autnoma. Grupos de entre 20 y 30 alumnos.
Grupos de entre 20 y 30 docentes. Duracin 3h (en una nica sesin).
Duracin 5h (en una nica sesin).

espacioscs_profesores@incibe.es espaciosciberseguridad@incibe.es

MATERIALES ON-LINE (YA DISPONIBLES EN LA PGINA WEB DE LAS JORNADAS)


PPT's de las 8 jornadas para alumnos
Vdeos de la imparticin de las 8 jornadas ntegras
Documentacin adicional para cada jornada:
Conocimientos previos de los alumnos.
Resumen de contenidos y vdeo pldoras de 5min sobre el contenido de cada jornada.
Material complementario para seguir investigando y aprendiendo sobre cada una de
las materias.
Materiales para la imparticin de los talleres por parte de los profesores:
PPT presentada en la jornada de profesores.
Dossier completo con la explicacin detallada de todas las jornadas de alumnos as
como los temas generales para la preparacin de los entornos de prcticas.

5
Otras Actuaciones de inters
Si te gusta la ciberseguridad y quieres profundizar en este tema en INCIBE se estn desarrollando las siguientes
actividades y eventos de ciberseguridad:

Formacin especializada en ciberseguridad: MOOC que se desarrollan a travs de la plataforma de


formacin de INCIBE (http://formacion-online.incibe.es) sobre conceptos avanzados en ciberseguridad tales
como ciberseguridad industrial, seguridad en dispositivos mviles, programacin segura, malware y
sistemas TI.

Programa de becas: Programa de becas anual en el que se establecern diferentes tipologas de becas:
formacin de cursos especializados y msteres en ciberseguridad, y becas de investigacin. Todas las
publicaciones de este tipo se realizar a travs de la siguiente pgina
https://www.incibe.es/convocatorias/ayudas/.

Evento de ciberseguridad CyberCamp (http://cybercamp.es).

CyberCamp es el evento internacional de INCIBE para identificar, atraer y promocionar el talento en ciberseguridad.
Identificar trayectorias profesionales de los jvenes talento.
Detectar y promocionar el talento mediante talleres y retos tcnicos.
Atraer el talento ofreciendo conferencias y charlas de ciberseguridad por profesionales y expertos de
primer nivel.

Y muchas cosas ms.


Evento para familias, contando con actividades de concienciacin y difusin de la ciberseguridad para
padres, educadores e hijos.
Promocin de la industria e investigacin en ciberseguridad.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 6


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 7
Introduccin a la ciberseguridad
Evolucin de las Tecnologas de la Informacin
La informacin es uno de los principales activos de una empresa.
Las empresas almacenan y gestionan la informacin en los Sistemas de Informacin.
Para una empresa resulta fundamental proteger sus Sistemas de Informacin para que su informacin est a
salvo. Dificultades:
El entorno donde las empresas desarrollan
sus actividades es cada vez ms complejo
debido al desarrollo de las tecnologas de
informacin y otros factores del entorno
empresarial

El perfil de un ciberdelincuente de un
sistema informtico ha cambiado
radicalmente. Si bien antes los objetivos
podan ser ms simples (acceder a un sitio
donde nadie antes haba conseguido
llegar) en la actualidad los atacantes se han
percatado de lo importante que es la
informacin y sobre todo de lo valiosa que
puede llegar a ser.
Es fundamental poner los medios tcnicos y organizativos necesarios para garantizar la seguridad de la
informacin. Para lograrlo hay que garantizar la confidencialidad, disponibilidad e integridad de la
informacin.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 8


Introduccin a la ciberseguridad
Casos notorios

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 9


Introduccin a la ciberseguridad
Seguridad de la Informacin
La seguridad de la informacin busca establecer y mantener programas, controles y polticas, que tengan como
finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin:
La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas no
autorizadas.

La integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La autenticidad: la informacin es lo que dice ser o el transmisor de la informacin es quien dice ser.
El no repudio: Estrechamente relacionado con la Autenticidad. Permite, en caso de ser necesario, que
sea posible probar la autora u origen de una informacin.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 10


Introduccin a la ciberseguridad
Riesgos para los Sistemas de Informacin
Qu son los riesgos en los sistemas de informacin?
Las amenazas sobre la informacin almacenada en un sistema informtico.
Ejemplos de riesgos en los sistemas de informacin

Dao fsico: fuego, agua, vandalismo, prdida de energa y desastres naturales.


Acciones humanas: accin intencional o accidental que pueda atentar contra la productividad.
Fallos del equipamiento: fallos del sistema o dispositivos perifricos.
Ataques internos o externos: hacking, cracking y/o cualquier tipo de ataque.
Prdida de datos: divulgacin de secretos comerciales, fraude, espionaje y robo.
Errores en las aplicaciones: errores de computacin, errores de entrada, etc.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 11


Introduccin a la ciberseguridad
La figura del HACKER
Qu es un hacker?

Experto en seguridad informtica, que se dedica a intervenir y/o realizar alteraciones tcnicas con
buenas o malas intenciones sobre un producto o dispositivo.

Qu tipos de hackers existen en funcin de los objetivos que tienen?

Black Hat Hackers: Suelen quebrantar la seguridad de un sistema o una red con fines
maliciosos.

White Hat Hackers: normalmente son los que penetran la seguridad de los sistemas bajo
autorizacin para encontrar vulnerabilidades. Suelen ser contratados por empresas para
mejorar la seguridad de sus propios sistemas.

Gray (Grey) Hat Hackers: Son una mezcla entre los dos anteriores puesto que tienen una tica
ambigua. Normalmente su cometido es penetrar en sistemas de forma ilegal para luego
informar a la empresa vctima y ofrecer sus servicios para solucionarlo.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 12


Introduccin a la ciberseguridad
Clases de ataques
Interrupcin: se produce cuando un recurso, herramienta o la propia red deja de estar disponible
debido al ataque.

Intercepcin: se logra cuando un tercero accede a la informacin del ordenador o a la que se encuentra
en trnsito por la red.

Modificacin: se trata de modificar la informacin sin autorizacin alguna.


Fabricacin: se crean productos, tales como pginas web o tarjetas magnticas falsas.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 13


Introduccin a la ciberseguridad
Tcnicas de hacking
Spoofing: se suplanta la identidad de un sistema total o parcialmente.
Sniffing: se produce al escuchar una red para ver toda la informacin transmitida por sta.
Man in the middle: siendo una mezcla de varias tcnicas, consiste en interceptar la comunicacin entre
dos interlocutores posicionndose en medio de la comunicacin y monitorizando y/o alterando la
comunicacin.

Malware: se introducen programas dainos en un sistema, como por ejemplo un virus, un keylogger
(herramientas que permiten monitorizar las pulsaciones sobre un teclado) o rootkits (herramientas que
ocultan la existencia de un intruso en un sistema).

Denegacin de servicio: consiste en la interrupcin de un servicio sin autorizacin.


Ingeniera social: se obtiene la informacin confidencial de una persona u organismo con fines
perjudiciales. El Phishing es un ejemplo de la utilizacin de ingeniera social, que consigue informacin
de la vctima suplantando la identidad de una empresa u organismo por internet. Se trata de una
prctica muy habitual en el sector bancario.

Adicionalmente existen multitud de ataques como XSS, CSRF, SQL injection, etc.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 14


Introduccin a la ciberseguridad
Mecanismos de defensa
Ante esta figura, cmo pueden protegerse las compaas con las nuevas tecnologas?

Los principales sistemas y ms conocidos son los siguientes:

Firewall: sistemas de restriccin de trfico basado en reglas.

Sistemas IDS / IPS: sistemas de monitorizacin, deteccin y/o


prevencin de accesos no permitidos en una red.

Honeypot: equipos aparentemente vulnerables diseados para atraer y


detectar a los atacantes, protegiendo los sistemas realmente crticos.

SIEM: sistemas de correlacin de eventos y generacin de alertas de


seguridad.

Antimalware: sistemas de deteccin de malware informtico.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 15


Introduccin a la ciberseguridad

Las prcticas del taller se realizan sobre un entorno controlado.


Utilizar las tcnicas mostradas en el presente taller sobre un
entorno real como Internet, puede ocasionar problemas legales.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 16


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 17
Objetivos del curso
Qu vamos a aprender hoy?
Qu es el malware?
Virus.
Gusanos.
troyanos.
Botnets:
Concepto.
Formacin.
Ejemplos.
Cmo me protejo de las botnets?
Cmo lo vamos a aprender?
1. Teora.
2. Prctica:
a. Ejercicios prcticos a lo largo de la
presentacin.
b. Prctica final Construyendo,
detectando y eliminando una
botnet real.
Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 18
ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 19
Malware
Qu es el malware? (I)
El Malware es el software que tiene objetivos maliciosos. Por ejemplo:
Borrado de informacin
Robo de informacin
Denegacin de servicio
Control remoto
Etc.
Se suele clasificar por su capacidad de propagacin. Las tres grandes familias
son:
Virus
Troyanos
Gusanos

Virus Gusanos Troyanos


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 20
Malware
Qu es el malware? (II)

Fuente: http://es.wikipedia.org/wiki/Malware

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 21


Malware
Qu es el malware? (III): Ciclo de vida del malware

Propagacin /
Diseo Ejecucin Deteccin Incorporacin Eliminacin
replicacin

Fuente: http://es.wikipedia.org/wiki/Malware

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 22


Malware
Virus
Virus Gusanos Troyanos
El virus es un tipo especfico de malware.
Es comn llamar virus al malware, pero en
realidad es solo un subconjunto.
Su nombre viene por su parecido a los virus reales (infeccin y propagacin).
Para su propagacin necesitan que cierta interaccin por parte del usuario.

VIRUS

Infecta otros programas Altera datos

Capacidad de mutacin Corrompe ficheros

Capacidad de cifrado Auto-propagacin

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 23


Malware
Gusanos (worms)
Virus Gusanos Troyanos
Los gusanos (habitualmente llamados worms)
son programas maliciosos que se propagan por
la red de forma automtica.
Los gusanos se transmiten explotando vulnerabilidades de los sistemas sin que
el usuario tenga que interactuar con ellos de ninguna manera.
Este tipo de malware es habitual en telfonos, ya que este tipo de dispositivo
conectado es idneo para una propagacin rpida.
Un gusano muy famoso, Stuxnet, es un malware supuestamente desarrollado
por Israel y Estados Unidos diseado para infectar infraestructuras crticas que
infect a 60.000 equipos en Irn.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 24


Malware
Troyanos Virus Gusanos Troyanos
Un troyano o caballo de Troya es un
programa malicioso (malware) que se presenta
al usuario como un programa aparentemente
inofensivo.
El trmino proviene de la Odisea de
Homero.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 25


Malware
Ejemplo de gusano: I love you (I)

El gusano se propaga automticamente, mandando un correo electrnico a


todos los contactos de Outlook.
Tras propagarse, causa graves daos en los ficheros del ordenador infectado,
borrando y sobrescribiendo ficheros.
Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 26
Malware
Ejemplo de gusano: I love you (II)
El nombre del fichero ejecutable,
LOVE-LETTER-FOR-YOU.TXT.vbs,
aprovechaba que Windows oculta las
extensiones conocidas para parecer un
fichero de texto:

Cmo evitarlo?

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 27


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 28
Botnets
Botnets (I)
Una botnet es una red de ordenadores infectados controlados por un
ciberdelincuente.

Los ordenadores infectados obedecern a las rdenes del ciberdelincuente,


de forma que ste dispone de un ejrcito de ordenadores listos para
realizar operaciones maliciosas en Internet en cualquier momento.
Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 29
Botnets
Botnets (II): ciclo de vida

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 30


Botnets
Botnets (III): ciclo de vida

Infeccin: el atacante infecta ordenadores personales de


usuarios por medio de troyanos.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 31


Botnets
Botnets (IV): ciclo de vida

El atacante forma as una red de miles de ordenadores


controlados por un servidor Command and Control.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 32


Botnets
Botnets (V): ciclo de vida

3
Una tercera parte malintencionada compra acceso a la
botnet para realizar acciones maliciosas, como por
ejemplo:

- Ataques de denegacin de servicio distribuidos (DDoS)


- Envo de Spam
- Fraude de clicks

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 33


Botnets
Botnets (VI): ciclo de vida

Se lanza el ataque distribuido. En este ejemplo, se utiliza


la botnet para enviar millones de correos publicitarios.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 34


Botnets
Botnets (VII): Ejemplos
Carna Botnet:

Carna Botnet fue una red de 420.000 dispositivos infectados.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 35


Botnets
Botnets (VIII): Ejemplos
ZeroAccess botnet
La botnet ZeroAccess fue una botnet especializada en minera de bitcoin y click
fraudulento.
Se estima que la red min unos 2,7 millones de dlares en bitcoins.

El bitcoin es una moneda electrnica creada en 2009. La


generacin (minera) de bitcoins necesita potencia
computacional, algo que se puede conseguir con una red de
ordenadores distribuidos.

Fuentes: http://www.reuters.com/article/2014/02/24/us-bitcoin-security-idUSBREA1N1JO20140224 y https://bitcoin.org/es/como-funciona

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 36


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 37
Introduccin a la ciberseguridad

Las prcticas del taller se realizan sobre un entorno controlado.


Utilizar las tcnicas mostradas en el presente taller sobre
un entorno real como Internet, puede ocasionar problemas
legales.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 38


Prctica: Construyendo una botnet
Introduccin
En esta prctica utilizaremos el troyano Flu Project para construir una
botnet.

El software Flu, desarrollado por Flu Project (http://www.flu-project.com), es


una herramienta tipo troyano que permite controlar mquinas de manera
remota.
Se trata de una aplicacin Open Source, desarrollada como prueba de
concepto para analizar el funcionamiento de herramientas maliciosas y
disear medidas anti-malware.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 39


Prctica: Construyendo una botnet
Objetivo
Objetivo: realizar un fraude de clics para falsear los resultados de una
encuesta:

El pirata informtico quiere falsear el resultado de esta encuesta. Podra


intentar votar muchas veces, pero como suele ser habitual, no es posible
votar ms de una vez:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 40


Prctica: Construyendo una botnet
Funcionamiento
La botnet est compuesta por dos elementos:
Cliente: programa malware que se instala en ordenadores comprometidos. Recibe las
rdenes del servidor Command and Control.
Ponindole un nombre engaoso,
flashplugin_chrome_v6.54.exe, podemos
engaar al usuario.
Servidor: servidor Command and Control que nos
permitir controlar la red de ordenadores infectados.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 41


Prctica: Construyendo una botnet
Entorno Equipo del atacante.
Contiene el servidor
Command and Control

El equipo del profesor ser el


equipo del hacker y los
equipos de los alumnos sern
los ordenadores infectados.

El profesor describe el entorno


del ejercicio.

Equipos infectados

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 42


Prctica: Construyendo una botnet
Herramientas
El conocido servidor web Apache HTTP
Server permitir al atacante instalar la
aplicacin Command and Control as
como una pgina web maliciosa para
infectar a los usuarios.

El servidor Command and Control de


Flu se instala sobre el servidor Apache

Beef es una herramienta que


permite tomar el control de
navegadores web. Se usar para
infiltrar el troyano Botnet.

Fuentes: http://httpd.apache.org/ , http://www.flu-project.com/ y http://beefproject.com/

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 43


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 44
Prctica: Construyendo una botnet
Paso 1: Infeccin (I)
Conectarse a la pgina web del atacante:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 45


Prctica: Construyendo una botnet
Paso 1: Infeccin (II)
El atacante utiliza Beef para mostrar un mensaje engaoso al usuario:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 46


Prctica: Construyendo una botnet
Paso 1: Infeccin (III)
El usuario se descarga el programa y lo ejecuta:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 47


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 48
Prctica: Construyendo una botnet
Paso 2: Explotacin (I)
El atacante puede ahora controlar el ordenador de forma remota mediante
la herramienta Command and Control de Flu:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 49


Prctica: Construyendo una botnet
Paso 2: Explotacin (II)
La herramienta dispone de un
intrprete de rdenes que
permite ejecutar comandos
en la mquina remota y
recibir la salida.
Ejemplo: el comando
ipconfig nos permite
obtener informacin sobre el
estado de la red en la
mquina remota:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 50


Prctica: Construyendo una botnet
Paso 2: Explotacin (III)
El troyano tambin registra todas las pulsaciones de teclado (keylogger). La
herramienta permite al atacante obtener estos datos para, por ejemplo,
robar contraseas.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 51


Prctica: Construyendo una botnet
Paso 2: Explotacin (IV)
Utilizaremos ahora nuestra botnet para falsear los resultados de la encuesta.
Un comando permite navegar a una pgina sin que el usuario de la mquina infectada se
d cuenta:

Hacindolo en cada mquina, podemos realizar un gran nmero de votaciones y falsear el


resultado de la encuesta:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 52


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: Construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 53
Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (I)
Cualquier antivirus debera detectar este virus, pero haremos una deteccin manual
para analizar su comportamiento.
El troyano puede intentar ocultarse en el administrador de tareas (haciendo uso de
un rootkit bajo una cuenta con privilegios de administracin), pero el programa
Process Explorer (herramienta comprada por Microsoft) s que lo lista
(flashplugin_chrome_v6.54.exe):

La herramienta Process Monitor permite ver las acciones realizadas por un proceso.
Se puede ver en la siguiente captura de pantalla la actividad del troyano:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 54


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (II)
Mirando en detalle los eventos del proceso, se puede observar que
peridicamente escribe un fichero:

Sin embargo, parece que la carpeta no contiene este fichero, incluso con la
opcin de mostrar archivos ocultos:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 55


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (III)
Esto ocurre porque el archivo est marcado como archivo oculto de sistema,
ocultndose as de forma ms efectiva. Para ver este tipo de archivos, se
puede utilizar tambin la lnea de comandos de Windows, PowerShell:
1) Navegamos hasta C:\Users\root\AppData\Roaming
2) Ejecutamos Get-ChildItem force, dnde force indica que se desea forzar la
visualizacin de todos los archivos, incluidos los archivos ocultos y/o de sistema.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 56


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (IV)
Si reiniciamos el ordenador, veremos que el proceso ha cambiado de nombre
y de ubicacin. Ahora, se llama abarmvavkv.exe:

Esta caracterstica (cambio de nombre y/o de ubicacin) es una caracterstica


tpica de los virus que disminuye la probabilidad de ser detectado.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 57


Prctica: Construyendo una botnet
Paso 3: Deteccin y
desinfeccin (V)
Abriendo las propiedades del
proceso, se obtiene
informacin interesante:
Ruta del archivo
ejecutable origen del
proceso (.exe).

Entrada del registro que


define el autoarranque (el
troyano se ejecuta al
iniciarse Windows).

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 58


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (VI)
Antes de borrar el archivo, es necesario terminar el proceso, ya que Windows
no permite la eliminacin de archivos en ejecucin. Para terminar el proceso,
utilizaremos Process Explorer:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 59


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (VII)
Ahora eliminamos el troyano utilizando PowerShell:
El comando rm force permite eliminar archivos de sistema:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 60


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (VIII)
El ltimo paso consiste en borrar la entrada del registro de Windows
infectada.

El registro de Windows es una


base de datos que almacena los
ajustes de configuracin y
opciones en los sistemas
operativos Microsoft Windows.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 61


Prctica: Construyendo una botnet
Paso 3: Deteccin y desinfeccin (IX)
Para asegurarnos que no queda rastro del virus, utilizaremos la opcin de
comprobacin del generador de bots:

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 62


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 63
Contramedidas
Cmo me defiendo de las botnets? (I)
Aplicar las medidas de seguridad generales frente a todo tipo de malware:
Ten cuidado con lo que descargas y ejecutas:

Fuentes: https://blog.malwarebytes.org/intelligence/2012/10/pick-a-download-any-download/

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 64


Contramedidas
Cmo me defiendo de las botnets? (II): Antivirus
Un antivirus es un programa especial diseado para detectar y eliminar
malware.
Utilizan diversos mtodos para detectar los virus:
Deteccin basada en firmas: es el mtodo ms comn. Analiza el fichero y lo compara
contra una base de datos de virus conocidos. No es eficaz en malware desconocido.
Deteccin heurstica: analiza el fichero en busca de patrones que habitualmente se
encuentran en los virus. Permite, a veces, detectar virus que an no se han reportado.
Deteccin basada en el comportamiento: analiza el comportamiento del ejecutable,
detectando acciones sospechosas (borrado de ficheros, etc.)
Deteccin en sandbox: ejecuta el programa sospechoso en un entorno virtual seguro, del
cul no se puede salir, y realiza una deteccin basada en comportamiento.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 65


Contramedidas
Cmo me defiendo de las botnets? (III) : Antivirus
Cuidado con los falsos Antivirus!
Los falsos antivirus son malware muy extendidos. Muestran a la vctima falsas amenazas
de seguridad, incitndole a instalar falsos antivirus que en realidad son virus.
A comienzos de 2014, la pgina oficial de Dailymotion fue pirateada y mostraba falsas
advertencias de antivirus, el falso antivirus se sirvi a travs de anuncios de terceros
(redirigiendo automticamente al usuario) mostrados en DailyMotion.

Fuentes: http://arstechnica.com/security/2014/02/what-a-fake-antivirus-attack-on-a-trusted-website-looks-like/ ,
https://www.youtube.com/watch?v=7xKmAsSzJv0

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 66


Contramedidas
Cmo me defiendo de las botnets? (IV) : Antivirus

Fuentes: http://arstechnica.com/security/2014/02/what-a-fake-antivirus-attack-on-a-trusted-website-looks-like/ ,
https://www.youtube.com/watch?v=7xKmAsSzJv0

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 67


Contramedidas
Cmo me defiendo de las botnets? (V): VirusTotal
VirusTotal:
Empresa espaola adquirida en 2012 por Google.
Permite subir archivos sospechosos para que sean analizados on-line por numerosos
antivirus.

Si subes un virus creado por ti mismo a VirusTotal, lo ms probable es que en pocos das las
bases de datos de la mayora de los antivirus lo incorporen como archivo malicioso.
Fuente: https://www.virustotal.com/es/

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 68


Contramedidas
Cmo me defiendo de las botnets? (VI): VirusTotal
Prctica: sube el virus Flu a VirusTotal para ver el resultado:

Fuente: https://www.virustotal.com/es/

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 69


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 70
Resumen
Resumen de conceptos

Una botnet es una red de ordenadores infectados controlados por un


ciberdelincuente.

Las botnets suelen ser compradas o alquiladas para fines maliciosos, como
pueden ser ataques de denegacin de servicio o fraude de clics (por ejemplo,
falsear una encuesta).

Los ordenadores son infectados por malware que los convierten en nodos de
la red.

Los mecanismos de defensa son los habituales frente a malware: un uso


responsable del ordenador y un buen antivirus.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 71


Resumen
Cuestiones

1. Qu es un troyano?

2. Para qu se utilizan las botnets? Ejemplos.

3. Qu es un servidor Command and Control?

4. Cmo se convierte un ordenador en un zombi?

5. Qu recomendaras para defenderse frente a infecciones?

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 72


Resumen
Respuestas
1. Un troyano es un tipo de malware. Es un programa que es aparentemente
inofensivo pero que realiza acciones maliciosas como borrar informacin del
ordenador, cifrar los ficheros del equipo recabar informacin para enviarla a un
atacante remoto, control remoto, etc.
2. Las botnets son utilizadas por los ciberdelincuentes para dar rdenes que luego
ejecutarn los ordenadores zombies de esa red. Se suelen utilizar para enviar spam,
hacer ataques de Denegacin de Servicio, fraude de clicks, etc.
3. Se llama as al servidor que controla la red de ordenadores infectados por la botnet.

4. Un ordenador se convierte en un zombie cuando se instala un troyano cuya accin


maliciosa sea formar parte de una botnet
5. Debemos tener un antivirus debidamente actualizado ejecutndose en nuestro
ordenador y, siempre, tener cuidado con lo que uno se descarga y ejecuta en el
ordenador; en caso de tener dudas sobre la legitimidad de algn fichero, se pueden
emplear herramientas como la Web de VirusTotal.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 73


ndice
1. INCIBE - Qu es?

2. Introduccin a la ciberseguridad

3. Objetivos del curso

4. Malware

5. Botnets

6. Prctica: construyendo una botnet

1. Infeccin

2. Explotacin

3. Deteccin y desinfeccin

7. Contramedidas

8. Resumen

9. Otros datos de inters


Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 74
Contacto (ms informacin y dudas sobre las jornadas):
Gracias espaciosciberseguridad@incibe.es
por tu atencin En las redes sociales:
@incibe
@certsi Oficina de Seguridad del internauta
@osiseguridad (Pienso luego clico)
@CyberCampES

INCIBE Oficina de Seguridad del internauta


OSIseguridad CyberCamp

Pg. INCIBE

Contctanos Grupo INCIBE


Oficina de Seguridad del internauta

En la sede: En los sitios web:


Avenida Jos Aguado, 41 - Edificio INCIBE www.incibe.es
24005 Len www.osi.es
Tlf. 987 877 189 www.cybercamp.es

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi?