PDF de programación - Detección de Malware Avanzado En Redes Organizacionales y Corporativas

Universidad de Buenos Aires

Facultades de Ciencias Económicas,
Cs. Exactas y Naturales e Ingeniería

Carrera de Master en Seguridad Informática







TESIS DE MASTER EN SEGURIDAD INFORMATICA






Detección de Malware Avanzado En Redes Organizacionales y

Corporativas.




Autor: Ing. Mario Ávila





Tutor: Ing. Hugo Pagola











Cohorte 2012










DECLARACION JURADA DE ORIGEN DE LOS CONTENIDOS





Por medio de la presente, el autor manifiesta conocer y aceptar el Reglamento
de Tesis vigente y que se hace responsable que la totalidad de los contenidos
del presente documento son originales y de su creación exclusiva, o bien
pertenecen a terceros u otras fuentes, que han sido adecuadamente
referenciados y cuya inclusión no infringe la legislación Nacional e
Internacional de Propiedad Intelectual.













FIRMADO

Mario Roberto Ávila Rodriguez
DNI 94722780











AGRADECIMIENTOS




Quiero agradecer a Dios por permitirme llegar donde estoy, a mi padre
Roberto Ávila por enseñarme siempre ser una persona íntegra en valores, a
mi madre Evamaría Rodríguez que me ha enseñado a ser persistente en mis
metas y objetivos, al director de tesis y a las personas cercanas que me han
apoyado para que el desarrollo de este proyecto salga adelante.


















To Sandy Cheeks, Mataderos, Buenos Aires Septiembre 2014.



















TABLA DE CONTENIDO

INDICE DE FIGURAS .............................................................................................. 1

INDICE DE GRAFICAS ........................................................................................... 3

1.

INTRODUCCION ............................................................................................. 5

1.1 PALABRAS CLAVES ................................................................................. 6

2 OBJETIVOS .................................................................................................. 11

2.1 OBJETIVO GENERAL ............................................................................. 11
2.2 OBJETIVOS ESPECÍFICOS .................................................................... 11

3 ALCANCES Y LIMITACIONES ..................................................................... 12

3.1 ALCANCES ............................................................................................. 12
3.2
LIMITACIONES ....................................................................................... 13

4 MARCO TEORICO ........................................................................................ 15

4.1 RESEÑA SOBRE STUXNET ................................................................... 15
4.2 RESEÑA SOBRE FLAME ........................................................................ 17
4.3 EVOLUCION DE LAS AMENAZAS TIPO “BLENDED THREATS” ............ 19
4.4 EVOLUCION TECNOLOGIAS DE PRIMERA GENERACION .................. 20

5

ESTUDIOS DE INFRAESTRUCTURAS DE REDES ACTUALES ................. 23

INVESTIGACION DE TOPOLOGIAS Y DIAGRAMAS EXISTENTES EN

5.1
REDES ORGANIZACIONALES Y CORPORATIVAS ......................................... 23
5.2 RESULTADOS Y ESTADISTICAS ENCUESTAS:.................................... 24
5.3 CONCLUSIONES SOBRE LAS INVESTIGACION DE
INFRAESTRUCTURAS ..................................................................................... 27

6 ANALISIS DEL MALWARE AVANZADO ...................................................... 29

INVESTIGACION DE MALWARE AVANZADO SOBRE PLATAFORMAS

6.1
EXISTENTES .................................................................................................... 32
6.2 OBTENCION DE TECNICAS Y METODOS DE ATAQUES DE MALWARE
A UTILIZAR MEDIANTE EL ESTUDIO PREVIO DE ATAQUES.......................... 37

7

PRUEBAS DE CONCEPTO........................................................................... 41








7.1 MONTAJE Y CONFIGURACIÓN DE LA TOPOLOGÍA DE RED ESTUDIADA EN LA
PLATAFORMA VMWARE ESX 5.5 ......................................................................... 41
7.2
INFECCIÓN DE TODA LA TOPOLOGÍA DE RED VIRTUALIZADA ........................... 43
7.3 ANÁLISIS DE MALWARE A TRAVÉS DE LOS EVENTOS Y LOGS DEL TRÁFICO. ..... 43
7.4 ANÁLISIS DE ESPECTRO ............................................................................. 43
7.5 HALLAZGOS Y RESULTADOS ....................................................................... 43

8 METODOLOGIA DE IMPLEMENTACION PLATAFORMA DE PROXIMA
GENERACION EN LAS REDES ACTUALES ....................................................... 46

9 CONCLUSIONES .......................................................................................... 49

10 BIBLIOGRAFIA ............................................................................................. 51

11 BIBLIOGRAFIA GENERAL ........................................................................... 53

12 ANEXOS ........................................................................................................ 57

12.1
12.2

PRUEBAS DE CONCEPTO ................................................................. 57
ENCUESTA Y RESULTADOS .............................................................. 83



Esp. Mario Ávila Rodríguez
TESIS DE MAESTRIA SEGURIDAD INFORMATICA - UBA









INDICE DE FIGURAS


Figura 1. Evolución complejidad del malware ........................................................ 16
Figura 2. Métodos de propagación Flame ............................................................ 18
Figura 3. Topología de red propuesta para montaje de PoC ................................. 41

Figura 4. Topología de red diseñada y montada en laboratorio ............................. 58
Figura 5. Consola de administración VWMARE ESX ............................................ 59

Figura 6. Consola de administración KERIO CONNECT ....................................... 62
Figura 7. Consola de Servicios activos en KERIO CONNECT ............................. 62
Figura 8. Consola de servicios WINSERVER ........................................................ 63
Figura 9. Consola SQL Server Configuration ......................................................... 63
Figura 10. Consola SQL Server Configuration ....................................................... 64
Figura 11. Instancia de base de datos creada ....................................................... 64
Figura 12. Servicios de File Server e IIS ................................................................ 65
Figura 13. . Consola de administración FW Checkpoint ........................................ 65

Figura 14. Consola de administración IPS Checkpoint .......................................... 66
Figura 15. Consola de administración sensor AMP ............................................... 66
Figura 16. Consola de administración AC .............................................................. 67
Figura 17. Políticas de monitoreo y transferencia de archivos ............................... 67
Figura 18. Parámetros de detección para archivos y malware .............................. 68

Figura 19. CMD Máquina victima 1 ........................................................................ 68
Figura 20. Transferencia Máquina victima 1 .......................................................... 69

Figura 21. Descompresión malware ...................................................................... 69
Figura 22. Máquina victima 2 ................................................................................. 70
Figura 23. Transmisión malware Máquina victima 2 .............................................. 70
Figura 24. Código malware Máquina victima 2 ...................................................... 70
Figura 25. UAC Máquina victima 2 ........................................................................ 71
Figura 26. Malware no listado Máquina victima 2 .................................................. 71

Detección de Malware Avanzado en Redes Organizacionales

1


Esp. Mario Ávila Rodríguez
TESIS DE MAESTRIA SEGURIDAD INFORMATICA - UBA



Figura 27. Consola de administración AMP ........................................................... 72
Figura 28. Logs de 3 meses aproximadamente ..................................................... 72
Figura 29. Contexto de red de la topología ............................................................ 73
Figura 30. Maquinas infectadas y comprometidas. ................................................ 73
Figura 31. Maquinas infectadas y comprometidas ................................................. 74
Figura 32. Resumen de tráfico de análisis ............................................................. 74
Figura 33. Segundo resumen de tráfico de análisis ............................................... 75
Figura 34. Solicitudes DNS por parte de máquinas infectadas .............................. 75

Figura 35. Log de conexiones desde maquinas comprometidas ........................... 75
Figura 36. Log de conexiones desde maquinas comprometidas ........................... 76

Figura 37. Maquinas comprometidas ..................................................................... 77
Figura 38. Características de hosts comprometidos .............................................. 77
Figura 39. Detección de conexiones CnC .............................................................. 78
Figura 40. Intentos de conexión tipo CnC desde el servidor de correo .................. 78
Figura 41. Intentos de conexión tipo Tor Exit Node ............................................... 78
Figura 42. Conexión tipo Bots ................................................................................ 78