Zusammenfassung der Ressource
Flussdiagrammknoten
- Riesgos de Seguridad en las organizaciones
- La gran mayoría de los componentes tecnológicos que usan todas las organizaciones a nivel mundial tienen vulnerabilidades.
- Muchas de estas debilidades pueden nacer con el producto como parte del diseño, tal vez por la omisión de los requisitos mínimos de seguridad de la información que todo nuevo producto software debe cumplir que debe considerarse por el analista de sistemas desde la fase misma de ingeniería de requisitos.
Aunque la mayor cantidad de vulnerabilidades son adicionadas al producto en la fase de implementación y desarrollo del software que incluye la construcción de la aplicación a través del uso de funciones, métodos y procedimientos débiles del lenguaje de programación elegido en el proyecto.
- La ausencia o pobre adopción de metodologías de calidad de software
- Las malas prácticas de ingeniería de software
- La concienciación en ciberseguridad
- La falta de entrenamiento en “desarrollo seguro”
- Garantiza la presencia de “Bugs” en las aplicaciones
- La palabra malware viene del inglés, y es el término resultante de la unión de las palabras 'malicious software' o software malicioso.
- Infiltrarse para robar información
- Dañar una computadora o sistema operativo
- Malware es una herramienta de software construida por un programador malicioso con la cual automatiza uno o más procedimientos de EXPLOTACIÓN DE VULNERABILIDADES de algunos sistemas con el fin de afectar alguna de las características de los activos de información.
- Payload:
Porción de código que ejecuta la acción maliciosa propósito del malware como la destrucción de ficheros, la apertura de un puerto, el registro de acciones del usuario.
- Vector de infección/ propagación:
Rutina que incluye el código que usa el malware para propagarse, infectar ò distribuirse.
- • Actividades de espionaje y seguimiento.
• Recolección de datos sensibles y robo de información
• La destrucción de la información y/o la avería de los sistemas objetivo.
• La manipulación y alteración de la información como ocurre con los crímenes financieros.
• El uso de tiempo de CPU para actividades de generación de SPAM, propagación de malware e incluso para replicar ataques contra terceros.
• La toma de control de la infraestructura tecnológica como ocurre con las botnets.
- Clasificación de software malicioso de acuerdo al propósito del malware
- Virus
Son programas maliciosos que se ejecutan en diferentes tipos de ordenadores y que requieren de un fichero anfitrión para ocultar su código e infectar el sistema víctima, de manera que son ejecutados con el archivo a petición del usuario o del Sistema Operativo.
- Cavity o viruses:
Incluyen su código dentro del área de memoria de otros archivos
- Gusanos
Software malicioso que no requiere de un anfitrión para su propagación. Se caracteriza por propagarse a través de la plataforma de red de las organizaciones. Aprovecha los servicios en ejecución y algunos copian su código en el área de memoria leída por los sockets de estos servicios con el fin de ser enviados como parte de los mensajes que intercambian servidores y clientes.
- Virus de Macro:
Incluyen su código dentro de rutinas de hojas electrónicas y ofimática
- Virus de camuflaje:
Usan nombres y rutas de componentes del sistema operativo
- De Sector de Arranque:
Ubica parte de su código en el sector de arranque del disco duro
- Cluster viruses:
Altera la tabla de asignación de archivos del sistema de archivos
- Stealth Viruses:
Emplean diversas técnicas de evasión para protegerse del antivirus
- Virus de Encripcion:
Que evitan la detección cifrando su código
- Spyware
Desarrollado para ejecutar tareas de espionaje de las actividades ejecutadas en el sistema comprometido, almacenan el registro de acciones del usuario en un fichero oculto/codificado o cifrado, y algunos otros envían esta información directamente al agresor a través de la red usando protocolos como SMTP/HTTP
- Carrier:
Es el componente de fachada y transporte del payload, generalmente sirve de carnada para que la víctima ejecute el producto
- Payload:
Rutinas de código malicioso que afectan los activos de la información, algunas de ellas pueden dañar ficheros, descargar y habilitar puertas traseras, afectar el sistema de archivos, entre otras cosas
- Dropper:
Es el componente de software encargado de hacer persistente al código maliciosos.
- Crear entradas en el registro de Windows
- Registrar como servicio al payload
- Keylogger:
Software que espía que registra el keystrokes del usuario clandestinamente
- Screenlogger:
Tipo de Spyware captura screenshots del ordenador del usuario
- Videologger:
Software espía que graba en porciones de video las actividades del usuario, generalmente utiliza algoritmos de compresión para reducir el espacio de almacenamiento y transporte requerido
- Backdoors
En términos del malware para sistemas TCP/IP, las puertas traseras son rutinas de código que al ejecutarse suben un proceso en la memoria RAM del ordenador victima que posee un módulo de comunicaciones con un numero de puerto lógico del nivel de transporte, a través del cual el agresor podrá tener acceso al sistema comprometido.
Generalmente están embebidos de forma oculta en algunos sistemas de información, como también algunos otros productos de malware los incluyen como parte de su Payload.
- Rootkits
Producto de Malware que compromete al sistema operativo a través del reemplazo componentes importantes del mismo o suplantando llamadas e interrupciones al sistema (hooking) y que es capaz de ocultar procesos, ficheros, programas, directorios y archivos de configuración para reducir su detección y la de otros productos de malware que se ejecuten en el sistema víctima
- Hypervisor level:
Modifican la secuencia de arranque y se cargan a si mismos en el hypervisor
- Kernel Level:
Adicionan código o reemplazan componentes del kernel original
- Aplication Level:
Inyectan código malicioso a los programas en la capa de aplicaciones
- Library level:
Interceptan y reemplazan las llamadas originales librerías del sistema operativo por falsos llamados evitando la detección de los procesos maliciosos
- Boot loader level:
Reemplaza el cargador de arranque por una versión modificada por el agresor
- Hardware/Firmware level:
Reemplaza/oculta controladores del hardware o su código
- Spoofeadores
Productos de software usados para falsificar mensajes completos o parámetros de diversos protocolos de comunicaciones usados en redes LAN y en la Internet con el fin de interceptar tráfico de un servicio para capturar información sensible, redireccionarlo a un host malicioso o impedir el acceso a los activos de información.
- Hijackers
Herramientas de software usadas para interceptar tráfico y secuestrar sesiones activas de varios usuarios de la plataforma de red de las organizaciones
- Session fixation:
Asignación de un valor conocido para la sesión del usuario víctima
- Session side jacking:
Secuestro de sesión apoyado en el uso de sniffers
- Browser hijacking:
Secuestro de la información de sesión modificando el comportamiento del navegador del usuario víctima
- Inyección de código:
Envió de código de scripting a la plataforma victima para obtener cookies e información de variables de sesión. Típicamente sobre plataformas web
- Exploits y exploits kits
Son rutinas de código resultado de la automatización de procedimientos de explotación de vulnerabilidades específicas, estas vulnerabilidades conocidas o de día cero presente en un software particular podrían ser explotadas local ò remotamente
- Los exploits kits son productos de software creados para construir, gestionar y lanzar exploits contra la plataforma de red de las organizaciones.
- Los exploits son apreciados en el mercado negro y muchos de ellos pueden ser comercializados en darknets como la Deepweb, principalmente los de día cero que podrían alcanzar precios del orden de los USD $6.000.
- Bots
Son productos de malware del siglo XXI, construidos principalmente por programadores contratados por redes de cibercriminales, que tienen características de varias familias de malware como: troyanos, backdoors, rootkits, spyware principalmente y que son usados para tomar el control total de los ordenadores y smartphones infectados con el fin de ponerlos a la disposición de una organización cibercriminal a través de un servidor llamado C2 que es administrado por un hacker malicioso con el rol de “pastor” o encargado de la gestión de los drones o zombis
- RATs/Remote Access Trojan:
Son considerados como la evolución de los troyanos y una fusión de estos con las backdoors o puertas traseras que permiten a agresor establecer una conexión remota (generalmente en reversa) para tener acceso al ordenador comprometido. Muchas campañas APT[1] hacen uso de este tipo de malware para ejecutar actividades de reconocimiento, salto de sistemas de autenticación, descarga y propagación de malware otros productos de software malicioso y acceso a información sensible de las organizaciones
- Ransomware:
Producto de software malicioso con tendencia creciente a nivel mundial, que se caracteriza por hacer uso de criptografía Simétrica y Asimétrica también conocida como hibrida para secuestrar los ficheros de los ordenadores y móviles infectados para luego pedir un rescate por la entrega de la llave criptográfica necesaria para descifrar los ficheros comprometidos, típicamente el pago se solicita en Bitcoins e incluso se le da soporte al usuario en la realización del pago del rescate
- Hibridos:
El Software malicioso ha evolucionado a partir de la conformación de grupos estructurados de cibercriminales que han optado por el uso de malware especializado y dirigido a algunos sectores como el financiero, de salud y de servicios. Muchas de estas organizaciones compran en las Darknets vulnerabilidades de día cero y exploits que las explotan para posteriormente mejóralos con sus equipos de desarrolladores maliciosos