Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

¡Te miro y no te veo!

Estamos rodeados de amenazas a nuestros sistemas y datos más valiosos y no somos capaces de detectarlo hasta que los mismos ya se han visto comprometidos o, ni aún, en ese momento !!!!

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ¡Te miro y no te veo!

¡Te miro y no te veo!
APT's (APAv)

APT
Acronimo creado por Mandiant o por la US Air Force en 2006:

Avanzada (Advanced)
Persistente (Persistent)
Amenaza (Threat)
Está en el Top de las amenazas del cibercrimen
No busca un beneficio a corto plazo, prefieren permanecer escondidos hasta lograr su objetivos:

Económicos (espionaje)
Militares (búsqueda de debilidades, información)
Técnicos (credenciales, códigos fuentes)
Políticos (desestabilización o desorganización)
Ciclo de Vida ataque
@juancrui
juancrui@sit1.es
http://blog.sit1.es
Juan Carlos RUILOBA
Peligro importante y como no se ve y no se conoce no se tiene en consideración

Diferencia de otros ataques:
motivación
recursos
perseverancia
Características

Personal: objetivos con intereses políticos, comerciales o de seguridad.
Persistencia: Si existe resistencia al ataque cambiara a nuevo tipo de ataque, incluso pasar de ataques externos a internos.
Control y enfoque: Dirigido a hacerse con el control de infraestructuras (redes eléctricas o de comunicaciones) comprometer la propiedad intelectual o la seguridad nacional.
Tiempo y dinero: No se preocupan del coste del ataque (financiación por estados nacionales o el cibercrimen)
Automatización: la automatización es dirigida para aumentar el poder de penetración en un solo objetivo, a diferencia de la automatización clásica para atacar múltiples objetivos.
Una sola capa: Solo un grupo u organización posee y controla todos los roles del ataque y no están distribuidos en grupos externos a la organización atacante.
Reconocimiento inicial
Los atacantes recolectan la información a través de fuentes públicas o privadas y metodos de test. Búsqueda de vulnerabilidades, Ingeniería Social y Spear-Phishing.
El objetivo del ataque puede ser directo o a través de una victima que puede proporcionar el acceso colateral.
Compromiso inicial
Establecer puntos de apoyo
Establecer accesos para controlar desde el exterior entre los C&C y los equipos comprometidos. Estas puertas traseras puden permanecer largo tiempo latente.
Escalar privilegios
La escalada de privilegios consiste desde obtener nombres de usuario y passwords al acceso de certificados PKI, software cliente VPN, ordenadores priviligiados.
Reconocimiento interno
Recopilar información sobre la estructura interna de la Red
Mover lateralmente
A menudo las máquinas primeras comprometidas no tienen datos que desean por lo que deben moverse a otras de la red para obtener la información, esta actividad puede ser realizada a través de herramientas del Sistema u otras usadas por los administardores de la red.
Administrar y Mantener presencia
Instalar nuevas medidas como backdoors, malware en varios equipos. Metodos de acceso que no sean backdoors como PKI's validos, credenciales VPN. ataques "Red herring" malware para distraer a los administradores.
Completar misión
Si el objetivo principal es robar datos, los empaquetan y cifran. La extracción de la información puede ser con técnicas de goteo "drip fed" o a chorro "Fire hosed", dependiendo del atacante, la habilidad de detección de la victima o la necesidad de extraer la información rápidamente.
Métodos para penetrar en la red del objetivo. Ganar el acceso (Spear-Phishing, DNS-Spoofing, MitM, exploits, medios físicos como USB memory sticks, ataques basados en Web) y determinar los metodos mas efectivos o eficientes de explotar la información. Pueden intentar ofuscar sus intenciones mediante la instalación de rogueware u otros malwares.
2010
2010
2011
2011
2009
2009
Stuxnet
junio de 2010: Gusano-Malware avanzado que afecta a sistemas SCADA de control y monitorización.
Incluye un rootkit para PLC (Sistemas reprogramables). Originalmente diseñado para infraestructuras críticas iraníes con sistemas de control Siemens, introducido a través de memorias Flash-USB.
Stuxnet es excesivamente grande (0.5 MB) escrito en distintos lenguajes incluyendo C++. Firmado digitalmente con dos certificados auténticos. Actualización por P2P
Se sospecha su desarrollo entre Israel y EEUU para atacar las centrales nucleares de Irán.
Operación Night Dragon
Noviembre 2009: se observaron ataques cibernéticos contra las empresas petroleras y petroquímicas globales. Utilizando correos electrónicos de ingeniería social, junto con las vulnerabilidades del sistema operativo Microsoft Windows para obtener acceso a las computadoras. Con el acceso de los hackers obtuvieron acceso a información sobre los sistemas de producción de gas y petróleo y los documentos operativos y financieros.
Operación Shady RAT
Desde 2006 a 2011: 72 organizaciones afectadas por el robo de información entre las que se incluían Naciones Unidas, Comite Olimpico Internacional, gobiernos y diversas empresas en todo el Mundo.
Nitro
Orientada al ciberespionaje industrial y al robo de información (patentes, fórmulas, procesos de manufacturación) de 29 empresas químicas y 19 del sector de defensa. Empleó una versión reciclada del troyano (RAT) Poisonlvy.
Operación Aurora
Operación Gh0sNet
Marzo 2009: 1295 equipos en 103 países. Objetivo espiar al Dalai Lama y embajadas, ministerios de países del Sur/Sureste de Asia. Se sospecha del gobierno chino detrás de la operación. Empleo de la herramienta Gh0st RAT.
Junio - Diciembre de 2009: 30 Multinacionales (incluidas Yahoo, Google, Adobe Systems, Symantec y Juniper Networks) sufrieron un robo de información confidencial. El acceso se consiguió a través de correos "spear-phishing" (correos personalizados dirigidos) con links a WebSites de Taiwan que alojaban malware 0Day en JavaScript.
2012
2012
2013
2013
2012
2012
Duqu
Septiembre 2011: Malware avanzado orientado a sistemas industriales encontrado en centros europeos y enfocado a recolectar información. Escrito en un desconocido alto lenguaje de programación, aunque ultimamente se decanta en "OO C" y compilado en MS Visual Studio 2008. Tiene muchas semejanzas con Stuxnet como explotar vulnerabilidades 0days del kernel de Windows, Componentes firmados con keys digitales robadas y dirigidas al programa nuclear de Iran.
Gauss
mediados 2011: malware detectado en oriente medio y es un complejo kit de ciberespionaje, modular y desarrollable remotamente, específico para el robo de credenciales y espionaje de transacciones bancarias, afectando a grandes entidades bancarias. Basado en Flame e intercambia funcionalidades con éste como las subrutinas de infección USB. Las victimas principales fueron Libano, Palestina e Israel.
APT1
Febrero 2013: Unidad militar del ejercito chino encargada de ciber-inteligencia a nivel mundial, especialmente en países de habla inglesa. Ataque a 141 organizaciones de los EEUU y otros países de habla inglesa desde el 2006. Robo Propiedad Intelectual.
Red October
enero 2013: Robo de información a diplomáticos e instituciones gubernamentales de distintos países. Activo desde el 2007 los objetivos países del este de Europa y países del Asia Central. Malware propio: "Rocra". El control es a través de 60 dominios y servidores en diferentes países. Documentos robados de diversas extensiones, destaca las "acid" que se refieren a "Acid Cryptofilier" usada por varias entidades de la Union Europea a la OTAN. Uno de los comandos en Trojan dropper es el cambio del codepage a 1251, requerido para renderizar las fuentes cirílicas y en las propiedades de los archivos Excel de todos los exploits indican su edición con Chino simplificado.
The Flame
Operación Medre
Junio 2012: No es precisamente un APT porque ni es persistente ni avanzado (su clave de cifrado es "1"), aunque sea una amenaza para las empresas afectadas. Red de espionaje industrial con objetivo de robar documentos CAD de países de habla hispana (Peru principalmente y España incluida) envíando los ficheros por correo a servidores en China
Descubierto en mayo 2012 y también conocido como Flamer y sKyWIper. Malware avanzado utilizado para el ciberespionaje en países de Oriente Medio, entre los que se encuentran Iran, Israel, Sudán, Siria, Libano, Arabia Saudi y Egipto. Se propaga por LAN y Memorias USB. Tamaño grande 20MB, C++, usa 5 métodos diferente de cifrado y BD SQLite. Aprovecha dos vulnerabilidades usadas por Stuxnet para infectar sistemas (recurso 207). Utilizaba un certificado generado mediante técnicas de colisión de la función hash MD5. Israel o EEUU como detrás del mismo.
PRIMERA ETAPA DEL ATAQUE
EXPLOITS
A partir del análisis de los casos conocidos , se identificaron dos formas principales a través del cual Backdoor.Win32.Sputnik infecta a las víctimas. Ambos métodos se basan en spear -phishing e-mails que se envían a las víctimas potenciales. Los correos contienen un adjunto que puede ser un documento de Excel o Word , con nombres atractivos. Además de los documentos de Office (CVE-2009 - 3129 , CVE -2010- 3333 CVE - 2012-0158), parece que los atacantes también se infiltraron en la red víctima (s) a través de la explotación de Java 'NewsFinder.jar'), conocido como el exploit 'Rhino ' (CVE-2011 - 3544 ).
DROPPER
El dropper es un archivo PE EXE que se extrae por uno de los exploits utilizados para dejar el malware a la victima y ejecutarlo.
LOADER MODULE
Comprueba privilegios de administrador y establece una estrategia para cada caso. Cada 100 segundos el módulo se asegura que ha sido registrado por el autorun utilizando claves del registro. Inicia un hilo cargador con una de las URLs de microsoft disponible
MAIN COMPONENT
El archivo es un dll PE compilado con MS Visual Studio 2005. Cada 900 segundos ejecuta un bucle de mensajes Windows, chequeando si existe conexión a Internet y, si es que si, comienza el hilo: Toma un identificador de los valores de la máquina envíandolo a un C&C que le contesta con un paquete cifrado que descifra con un simple XOR y lo ejecuta dependiendo los datos del mismo.
SEGUNDA ETAPA DEL ATAQUE
MÓDULOS. VISIÓN GENERAL
El principal componente del Sputnik implementa un framework provisto por los C&C. Muchas de las tareas son proporcionadas una vez como librerias PE que se reciben, se ejecutan y se eliminan como recolectar información del soft y del hard, de las redes y Sistemas de ficheros, extraer historiales de navegación, password almacenados, IP pública, descarga de ficheros de los servidores FTP. Varias tareas están constantemente presentes como la de esperar que se conecte teléfonos Nokia o iPhones para obtener la información de los mismos e infectar el móvil con la versión del Sputnik, leer unidades USB, almacenar las teclas o capturar pantallas.
Grupos de Módulos
1) Recon: recoger información de carácter general sobre el sistema de destino que ayuda a localizar e identificar la máquina infectada, estimar el valor potencial de los datos informáticos actuales y definen qué otros módulos deben ser ejecutados. Además, estos módulos obtienen el historial del navegador, credenciales almacenadas en caché del navegador y la configuración del cliente FTP.
2) Password: Roba las credenciales de varias aplicaciones y recursos , desde Mail.ru a MS Outlook y hashes de credenciales de las cuentas de Windows
Grupos de Módulos
3) Email: Roba correos electrónicos de MS Outlook tanto en almacenamiento local como servidor de correo POP3/IMAP remoto.
4) USB drive: Roba archivos desde dispositivos conectados.
5) Keyboard: Almacena las teclas pulsadas, grabando el texto de los campos de password y capturando pantallazos.
6) Persistence: Contiene instalador y carga de un plugin en aplicaciones populares como MS Office o Adobe Reader. Es una puerta trasera para recuperar el acceso perdido en la máquina.
Grupos de Módulos
7) Spreading: Busca otros hosts de la red, realizan fingerprint de los mismos y los infectan via MS08-067 o por las credenciales de administrador robadas. Uno de estos módulos puede vaciar la información de la configuración del router de red Cisco.
8) Mobile: Vuelca toda la información valiosa sobre dispositivos móviles conectados localmente (contactos, calendarios, SMS y correos además de otros muchos datos privados). Comprueban si el dispositivo estaba abierto (jailbroken).
Grupos de Módulos
9) Exfiltration: Mientras que algunos de los otros módulos funcionan en modo "offline" , recogen y almacenan datos localmente, este grupo de módulos transfiere todos los datos recogidos al servidor C&C.
Los módulos de este grupo son capaces de llegar a los servidores FTP, redes compartidas remotas, así como las unidades de disco locales y copiar archivos de estos recursos. A diferencia de los módulos de recolección de datos Recon, estos módulos, están diseñados para funcionar en varias ocasiones y llevar sólo nuevos datos valiosos.

Historia de algunos ataques APT
Historia de algunos ataques APT
Septiembre 2013: campaña activa de ciberespionaje principalmente centrada en 11 organizaciones en Corea del Sur y dos entidades en China como posibles blancos, incluyendo el Instituto Sejong, el Instituto de Corea para Análisis de Defensa (KIDA), el Ministerio de Unificación de Corea del Sur, Hyundai Merchant Marine y partidarios de la unificación coreana. Primeros signos datan de abril de 2013. Se utiliza el troyano Kimsuky y utiliza una versión modificada de TeamViewer como puerta de entrada. Todo apunta a Corea del Norte detrás de la APT, por los objetivos, por las cadenas de ruta con palabras coreanas:

(atacar, terminar), por las IP's detrás de los emails origen del spar-phishing que son de las provincias chinas de Jilin y Liaoning, cuyos ISPs también abastecen zonas de Corea del Norte, el malware Kimsuky solo desactiva herramientas de seguridad de AhnLab, una compañía antimalware de Corea del Sur.
Kimsuky
Víctimas se descargan un troyano-dropper que se utiliza para descargar malware adicional con capacidad de espionaje: registro de teclas, recopilación de listados de directorios, acceso por control remoto y robo de documentos HWP (relacionados con el procesador de texto de Corea del Sur del paquete Hancom Office, muy usado por el gobierno local).
Pensemos!
Ataques contra la Seguridad Nacional:

a) Contra infraestructuras críticas
b) Ciberespionaje gubernamental y a la economía
c) Ciberespionaje Industrial
d) Ciberguerra

Vías de Infección:

1) Ingeniería Social combinada:
a) Malware procedente de Internet:
a.1: A través de sitios Web
a.2: Spear Phishing
a.3: Archivos compartidos / P2P
a.4: Wares, keygen, cracks.
b) Medios físicos (sticks, tarjetas de memorias, DVDs, CDs)
2) WebKits/Exploits



Detección
1) Firewalls Corporativos (origen/destino + estado)
2) Análisis Forense del tráfico:
2.a: Detección de anomalías/ataques de Red (capas de enlace de datos, de red, de transporte y de aplicación)
2.b: Detección de canales encubiertos (Covert Channels) (almacenamiento, temporización y ocultos)
3): HIDS y otros mecanismos en cada equipo de la organización
3.a: Enhanced Mitigation Experience Toolkit (EMET) (MS)
3.b: Indicadores de compromiso (IOC). Detectar comportamientos de APTs
3.c: HoneyTokens (cuentas de correo falsas, entradas en robots.txt, registros en BD, monitorización de puertos no usados, ejecutables cepo balizados,...)
4) Métodos de Correlación: Analizando en conjunto los eventos como la linea de trabajo "Complex Event Procesing" (CEP)
Conclusiones
Es una nueva amenaza a tener en cuenta, muy peligrosa y debemos considerarla en su justa medida
No nos sirven las soluciones habituales del resto de amenazas
Precisamos tener y formar un grupo de trabajo dedicado a las APTs, el cuál deberá realizar las siguientes funciones:
Vigilancia constante mediante herramientas automatizadas y monitorización en tiempo real.
Buscar comportamientos anómalos.
Vigilancia del tráfico que entra y sale de nuestra Red e incluso dentro de nuestra Red.
Concienciar y educar al personal de la empresa.
Analisis de riesgos previos antes de implantar nuevas tecnologías.
Emplear las técnicas de detección anteriormente descritas y analizar sus resultados para establecer técnicas de hardening.
Estar al día de los resultados de los CERTs.
Emplear el Sentido Común y evitar, en la medida, soluciones estándar.
¿Alguna cuestión?
@juancrui
juancrui@sit1.es
blog.sit1.es
...¿Icefog?
Nettrav
Debemos ganar antes de ir a la Guerra.

Sun Tzu
El futuro ...
La mejor estrategia ante las APT's es no tener estrategia.
Mi estrategia será el resultado de sus estrategias y mis pasos el resultado de sus pasos. Mis defensas serán propias, dinámicas y ya están incorporadas.

juancrui (c) 2013
0000
0000
0111
Licencia para espiar
Full transcript