Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Advanced Persistent Threat

No description
by

Ivan Flores

on 2 November 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Advanced Persistent Threat

Advanced Persistent Threat
APT

Características
Casos reales
By Ivan Flores
Las APT se caracterizan por ser amenazas reales sofisticadas y dirigidas (aunque no en todos los casos tienen por qué ser técnicamente complejas), y contar de tal premeditación y persistencia como para ser completamente eficaces contra las
contra medidas establecidas en el/los sistema/s objetivo/s.


Amenazas Persistentes Avanzadas
APTs
Sus pretensiones son altas; los afectados, raramente saben que son objetivos y
desconocen el origen, alcance o autoría de dicho ataque. Una vez definido un
único objetivo, los cibercriminales iniciarán una campaña ofensiva en la que no
importa el tiempo que se invierta.

Los atacantes no esperan conseguir un beneficio a corto plazo (como pudieran
buscar otros tipos de ataques masivos), sino que prefieren permanecer
desapercibidos y constantes hasta alcanzar su objetivo.
AMENAZA (THREAT)
Representan un riesgo y tienen un objetivo en concreto e importante.
Persistente (Persistent)
Este tipo de amenazas buscan un objetivo concreto por lo cual si un objetivo se resiste a ser penetrado el atacante no abandonara la misión si no desarrollara u nuevo tipo de ataque además de que una vez penetrado esta amenaza permanece silenciosa y pasivamente hasta que se alcancen los objetivos.
Avanzada (Advanced)
La mayoría de las APTs detectadas ha presentado un grado de sofisticación y complejidad mayor a las amenazas comunes, esto hace que pase desapercibidas a antivirus, firewalls, IPS, etc. En algunos casos utilizan explotan vulnerabilidades de tipo Zero Day, esto quiere decir que son vulnerabilidades no conocidas.



Operación Aurora
(2009)
En este ataque más de treinta multinacionales (incluidas Google, Adobe Systems o Juniper Netwoks) sufrieron el robo de información confidencial.
STUXNET
(2010)

El primer Malware avanzado detectado que afecta a sistemas SCADA de control y monitorización de procesos pudiendo afectar infraestructuras críticas. Originalmente fue diseñado para atacar infraestructuras iraníes pero la infección fue expandiéndose llegando a países como Indonesia, India o Estados Unidos.

Duqu
(2012)
Malware orientado a sistemas industriales encontrado en centros europeos y enfocados a la recolección de información.
APT1
(2013)
Unidad Militar del ejecito chino encargada de Ciber-Inteligencia a nivel mundial, especialmente en países de habla inglesa.
Flame
(2012)
Malware avanzado diseñado para llevar a cabo ataques de ciberespionaje en países de oriente medio, viéndose principalmente afectados a países como Irán, Israel, Sudan, Siria, Líbano, Arabia Saudita y Egipto.
Operación Medre
(2012)

Red de espionaje industrial cuyo objetivo es robar ficheros de tipo AutoCAD (diseños y planos). Se centra en países de habla hispana
Gauss
(2012)
Malware detectado en oriente medio (sobre todo en Libano, Israel, y territorios palestinos) dirigido al robo de credenciales y espionaje de transacciones bancarias viéndose afectadas grandes entidades bancarias.
Red October
(2013)
Utilizado para el robo de información de instituciones gubernamentales de distintos países. Similar a Flame. Se caracterizo en que infectaba dispositivos móviles y realizaba técnicas forenses para recuperar la información eliminada.
Algunas empresas afectadas...
Fases de una APT
1. Recopilación de Información
En esta fase se busca y se recopila toda la información estratégica del objetivo fijado. Utilizan el tipo de inteligencia conocido como OSINT (Open Source Intelligence) este tipo de inteligencia se basa en la obtención de información de fuentes en internet, ya sea redes sociales, blogs, foros. En esta fase se buscan los eslabones mas debiles a los cuales se les dirige el ataque.
2. Intrusión Inicial
Para ello es posible que usen una o varias técnicas de ataque, como por ejemplo: técnicas de ingeniería social (a través de correos personalizados/dirigidos –Spear-Phishing Attacks- al personal de la empresa/organismo objetivo con adjuntos a través de envíos de mensajes fraudulentos vía redes sociales como Facebook o Twitter que contengan algún enlace malicioso, usando mensajería instantánea, etc.); otras técnicas serían: DNS Spoofing, ataques Man in the Middle (véase el caso de DigiNotar), utilizando medios físicos (pen drive infectado al alcance), exploits que aprovechan vulnerabilidades conocidas (o no), Web based Attacks,etc.





3. Asegurar la comunicación
Asegurar la comunicación entre los equipos comprometidos y los servidores de Command and Control (C&C) de los criminales a través de los que reciben las instrucciones, para ello se suele establecer una puerta trasera (backdoor) en la red. El malware instalado puede permanecer latente durante días, semanas o meses sin ser localizado, llegando a replicarse en ciertos casos. Entre otras cualidades dispone de una gran capacidad de ocultación.

4. Búsqueda de Información Sencible
El malware comienza su fase de exploración a través de la red, en la que se
busca los equipos que almacenan la información sensible. El malware
avanzado usará diversas técnicas para obtener credenciales de usuarios,
conseguir escalado de privilegios, buscar unidades mapeadas, etc.
Finalmente el malware dispondrá de un mapa de la infraestructura de red
determinando los activos clave
5. Extracción de Información
(Exfiltración)
Una vez adquiridos los datos sensibles en los servidores infectados, éstos se enviarán generalmente de forma cifrada a través de protocolos comúnmente permitidos como FTP o HTTP a otro servidor externo controlado por los criminales.
Infraestructuras Criticas
Son aquellas infraestructuras que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
Administración

Agua

Alimentación

Energía

Espacio

Industria Química

Industria Nuclear

Instalaciones de Investigación

Salud

Sistema Financiero y Tributario

Tecnologías de la Información y las Comunicaciones (TIC)

Transporte
Sistemas SCADA
Es el acrónimo de Supervisión, Control y Adquisión de Datos (en inglés Supervisory Control And Data Acquisition) es una aplicación que permite el control y supervisión de procesos industriales de forma remota. La particularidad de este sistema es que facilita en tiempo real la retroalimentación del sistema controlando automáticamente el proceso con los datos de los diferentes sensores que lo conforman. Además suministra datos en tiempo real del estado del proceso, pudiendo tener información sobre el control de calidad, los niveles de producción, y otras variables que ayudan a la gestión del proceso.
CASO DE ESTUDIO
STUXNET
Stuxnet un gusano informático descubierto en 2010 por VirusBlockAda una empresa de seguridad que radica en Bielorrusia. Es el primero gusano que espía y que reprograma sistemas industriales afectando infraestructuras criticas como las centrales nucleares
COMO ENFRENTAR ESTAS
NUEVAS AMENAZAS
MODELADO DE AMENAZAS
Es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.

El análisis y modelado de amenazas, trata por lo tanto, de un proceso que nos va a
facilitar la comprensión de las diferentes amenazas de seguridad a las que va a
estar expuesto un sistema o una aplicación, y cuya finalidad es preparar las defensas adecuadas durante las fases de diseño, implementación y también
durante su posterior revisión y testeo. Se trata de identificar las amenazas y definir una política adecuada que nos permita mitigar el riesgo a unos niveles aceptables, una forma efectiva y en base a unos costes razonables.

Inteligencia de Amenazas

INTERNA
EXTERNA
UNIFICACIÓN
Indicadores de Compromiso (IOC)
OPENIOC
Malware Information Sharing Platform
MISP
TAXII
Trusted Automated eXchange of Indicator Information
STIX
Structured Threat Information eXpression
EJEMPLO
GRACIAS
¿PREGUNTAS?
Bibliografia
Detección de APTS INTECO CERT
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/deteccion_apt.pdf

Analisis y modelado de Amenazas
Autor(es):Daniel P. F.
http://www.etnassoft.com/biblioteca/analisis-y-modelado-de-amenazas/

Nuevas Amenazas de Internet
Roberto Martinez (Professional Security Analyst & Cyber Threats Researcher Kaspersky LATAM )
http://about.me/r0bertmart1nez
Full transcript