CONGRESO INTERNACIONAL EN TECNOLOGÍAS DE LA INFORMACIÓN Y CIBERSEGURIDAD
Cesar Augusto Zarate Camargo
Analista Seguridad Informática
Investigador Informática Forense Gerente y Gestor de SWAT SECURITY – IT
http://www.swatsecurityit.com
ANALISIS DEL MODELO DE UN ATAQUE APT Y APROXIMACION A UNA ESTRATEGIA DE DEFENSA
César Augusto Zárate ( c4m4l30n )
Un APT es como un adversario que posee niveles sofisticados de conocimientos y recursos importantes que le permiten crear oportunidades para lograr sus objetivos mediante múltiples vectores de ataque (por ejemplo, Informáticos, Físicos y Engaño). Estos objetivos suelen incluir el establecimiento de puntos de apoyo y que se extiende dentro de la infraestructura de TI de las organizaciones orientadas a los efectos de ex filtración de información, menoscabar o anular aspectos críticos de una misión, programa o la organización; o posicionándose para llevar a cabo estos objetivos en el futuro. La amenaza persistente avanzada APT: persigue sus objetivos en varias ocasiones durante un período prolongado de tiempo; se adapta a los esfuerzos de los defensores para resistirlo; y está decidido a mantener el nivel de la interacción necesaria para ejecutar sus objetivos.
César Augusto Zárate ( c4m4l30n )
El Atacante tiene la capacidad de evadir la detección y la capacidad de obtener y mantener el acceso a redes bien protegidas y la información confidencial contenida en ellos. El Atacante es en general se adapta y es muy recursivo.
La naturaleza Persistente de la amenaza hace que sea difícil de impedir el acceso a la red Objetivo del ataque y, una vez que Atacante ha obtenido éxito en el ataque, es muy difícil de eliminar, manteniendo control y monitoreo externo para la ex filtración de datos o el sabotaje de la infraestructura.
El Atacante no sólo tiene la intención sino también la capacidad para tener acceso a información sensible almacenada electrónicamente.
César Augusto Zárate ( c4m4l30n)
MOTIVACION:
•QUIEN:
•Agencias Estatales
•Crimen Organizado
•Terroristas
•Activistas
•Fuerzas Armadas
•POR QUE
•Intereses Políticos
•Intereses Económicos
•Intereses
Tecnológicos
RECONOCIMIENTO
Y ARMADO:
•BÚSQUEDA DE LA
ORGANIZACIÓN,
PERSONAL Y OBJETIVOS
•CREAR LAS ARMAS
ESPECIFICAS PARA EL
OBJETIVO
(PERSONALIZADAS)
•TROYANOS
•DOC
ENTREGA:
•EL ARMA DISEÑADA ES
ENTREGADA AL
OBJETIVO EL VECTOR
VARIA SEGÚN SEA EL
CASO:
•CORREO
•USB
•SITIO WEB INFECTADO
EXPLOTACION:
•LAS ARMAS SON
ACTIVADAS, SE USAN
EXPLOITS EN
APLICACIONES O
SISTEMAS OPERATIVOS
VULNERABLES,
BUSCANDO PRIVILEGIOS
EN EL SISTEMA O
CUENTAS DE USUARIO
INSTALACION
•EL ARMA SE INSTALA
EN EL SISTEMA Y POR
MEDIO DE TROYANOS
DE ACCESOS REMOTO,
PUERTAS TRASERAS
(BACKDOOR) SE
CONVIERTEN EN
RESIDENTES EN EL
SISTEMA
COMANDO Y
CONTROL
•LAS ARMAS
ESTABLECEN CANALES
DE COMUNICACIÓN
BIDIRECCIONALES DE
COMANDO Y CONTROL
CON SERVIDORES
REMOTOS
ACCIONES EN EL
OBJETIVO
•MOVIMIENTO LATERAL
•RECOLECCION DE
DATOS
•ENCRIPCION
•EXFILTRACION
•DAÑO
•CUBRIR HUELLAS
•REPETIR EL CICLO
FASES DE UN APT
César Augusto Zárate ( c4m4l30n )
AMENAZA OBJETIVO IMPACTO
AGENCIAS DE INTELIGENCIA
GRUPOS CRIMINALES
GRUPOS TERRORISTAS
GRUPOS ACTIVISTAS
FUERZAS ARMADAS
Defensa De Secretos Industriales Comerciales
Pérdida de Secretos Comerciales o Ventaja Competitiva Comercial
Robo de Dinero, Extorsión, Datos Personales, Secretos Industriales o comerciales para vender
Pérdida Financiera, Violación de Datos de Clientes a Gran Escala o Pérdida de Secretos Comerciales
Producción de Terror Generalizado a través de la muerte, la destrucción o la interrupción de servicios
Pérdidas en la producción, servicios, Irregularidades del mercado de valores, Riesgo potencial de la vida humana
Información confidencial y la interrupción de servicios
Fugas Importantes de Datos y Perdida de servicio
inteligencia o posicionamiento de apoyo a futuros ataques contra infraestructura critica nacional
Graves daños a las instalaciones en el caso de un conflicto militar
César Augusto Zárate ( c4m4l30n )
OBJETIVO: robar datos confidenciales, como credenciales bancarias online, contraseñas del navegador y configuraciones del sistema.
César Augusto Zárate ( c4m4l30n )
Gauss recoge datos sobre las víctimas con la intención de enviarlo a los atacantes, los datos que contienen también incluye información sobre las interfaces de red, características de BIOS y detalles de la unidad del computador. Es infecta dispositivos USB con el robo de datos de componentes que explotar el (CVE-2010-2568) la vulnerabilidad LNK, el mismo utilizado por Stuxnet y Flame.
César Augusto Zárate ( c4m4l30n )
Se asume que fue creado a medias por el gobierno de los USA e Israel, para conseguir acabar con el programa de enriquecimiento de Uranio de Irán El gusano Stuxnet se difundía utilizando varios 0days utilizando los pendrives como medio de infección, ya que los equipos de las centrales nucleares estaban aislados de Internet. Una vez infectado uno de los equipos de la red, STUXNET manipulaba valores en los sensores que alimentaban el sistema SCADA, haciendo creer a los ingenieros que algo iba mal en la central, de tal forma que al final lanzaron las medidas de protección, anulando su funcionamiento.
César Augusto Zárate ( c4m4l30n )
Con el nombre de "W32.Disttrack" o "W32.EraseMBR" dentro del sistema, el virus posee un archivo ejecutable que contiene la palabra "wiper" así como la palabra "ArabianGulf". Las palabras recuerdan al software malintencionado conocido como Wiper que llevó al descubrimiento de Flame, otro virus desarrollado por los gobiernos de Estados Unidos e Israel con el fin de atacar y terminar con el programa nuclear de Irán. "Este es un software malintencionado que corrompe los archivos de la computadora que ha sido infectada y sobrescribe el Registro Maestro de Inicio (MBR) con el fin de inutilizar la computadora infectada," explicó la firma de seguridad informática Symantec. El virus consiste en tres componentes: 1.- Dropper - el componente principal y fuente de la infección original. 2.-Wiper - este módulo es responsable por la funcionalidad de destrucción de la amenaza. 3.-Reporter - este módulo es responsable de reportar la información sobre la infección de vuelta al atacante.
César Augusto Zárate ( c4m4l30n )
Se estima que el Tercer Departamento tiene una plantilla de 130.000 personas Su misión principal dentro de una estrategia de ciberguerra es la de proteger todos los sistemas de información militares y gubernamentales, por lo que se les engloba dentro de la parte de activos dedicados a la CND (Computer Network Defense) [15]. también está realizando labores de recopilación de inteligencia (CNE, Computer Network Exploitation) y se le atribuyen algunas capacidades de CNA (Computer Network Attack).
César Augusto Zárate ( c4m4l30n )
La Unidad 61398, mantiene en su base de operaciones el grupo “Comment Crew” que es un grupo de Hackers mas grandes de china, según informe de la firma de seguridad privada Mandiant; según este Informe el código de la unidad de Hackers es APT-1
LA UNIDAD 61398
César Augusto Zárate ( c4m4l30n )
Operación Titan Rain (2003)
Operación Ghost Net (2008)
Operación Night Dragon (2009)
Operación Aurora (2010)
Operación Shadows in the cloud (2010)
Ataque a RSA (2011)
Ataque a Lockheed Martin (2011)
Operación Shady Rat (2011)
Operación Byzantine Hades (2011): se realizó entre 2003 y 2008
César Augusto Zárate ( c4m4l30n )
La unidad APT-1 es responsable de alrededor de 141 Ataques a entidades en todo el Mundo y según Mandiant la Unidad APT-1 cuenta con “apoyo directo del Gobierno” chino para perpetrar una “amplia campaña de espionaje cibernético a largo plazo”.
César Augusto Zárate ( c4m4l30n )
Ciberataque: se trata de campañas en las cuales se afecta la infraestructura TI de una empresa buscando aprovechar alguna vulnerabilidad y robar algún tipo de información sensible que le genere algún tipo de ganancia económica al atacante.
Las APT, si bien los objetivos finales pueden ser muy similares a los ataques tradicionales, empezamos a ver que son campañas con una duración mucho más amplia, más dirigidas y sigilosas que buscan recabar mayor cantidad de información, afectar sistemas de forma prolongada o incluso hacer monitoreo de lo que pasa al interior de los sistemas de las víctimas. Dadas estas diferencias, nos encontramos con campañas de Ingeniería Social más complejas y no solo limitadas al uso de Exploits y códigos maliciosos genéricos o adquiridos en el mercado negro.
César Augusto Zárate ( c4m4l30n )
REGIN ATP (2015) esta campaña dirige su ataque a operadores de telecomunicaciones, instituciones gubernamentales, cuerpo políticos multinacionales, e instituciones de investigación y financieros, así como a individuos involucrados en criptografía y matemáticas de avanzada. Los ciber-criminales están, al parecer, interesados en recolectar datos de inteligencia y facilitar otros tipos de ataques. Si bien gran parte de la información recopilada incluye el espionaje de correo electrónicos y documentos, los malhechores apuntan –y sin piedad- a las empresas de telecomunicaciones y proveedores de servicio GSM.
César Augusto Zárate ( c4m4l30n )
También en 2014 el equipo de investigación de ESET en Canadá informó de una campaña llamada “Operación Windigo” que en los últimos dos años llegó a afectar más de 25 mil servidores Linux y Unix, buscando redirigir a quienes visitan los sitios web infectados a contenido malicioso, además de enviar spam. En este caso, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México.
César Augusto Zárate ( c4m4l30n )
Todas las afirmaciones que dan responsabilidad a uno u otro país se basan en evidencias circunstanciales similares y ninguna prueba sólida se puede proporcionar (Figura 1). Sin embargo, una cosa es segura para estos APT-Atacantes están muy organizados y trabajaban como un equipo en lugar de actos unipersonales.
Atacantes sofisticados coordinados y determinados
Actores ¿Quién?
Hackers Clásicos
Script-Kiddies
Crimen Organizado
Crime-Ware Kit x ej. Zeus or Spyware
desde
USA – CIA??
WIKI-LEAKS ANONYMUS RUSIA??
CHINA??
ESPIONAJE
OBJETIVOS FINANCIEROS
FINANCIAMIENTO O PODER
INCLUIDOS
USAN
ATACANTES APT
César Augusto Zárate ( c4m4l30n )
Spear-Phishing es considerado como la forma más eficaz para que el malware o enlace malicioso al punto de entrada del modelo de ataque APT. Estos correos suelen contener contenidos altamente relacionados con los receptores específicos, como un minuto de una reunión celebrada el día anterior o una confirmación de una visita por la tarde del remitente falso.
Ataque oportuno y repetido
“PERSISTENTE”
Otros Medios Electrónicos
Espionaje Tradicional
Amenazas en al Punto de
Entrada
Otros Medios
Spear Phishing
USB “Abandonadas”u otros medios de
instalación
Trashing Escuchas
Telefónicas Ingeniería Social
Plantar un Topo
César Augusto Zárate ( c4m4l30n )
Con el fin de preparar un alto volumen de dichos correos electrónicos de phishing en el momento preciso y tema especifico, los Atacantes-APT requieren muchos esfuerzos no técnicos para llevar a cabo un extenso reconocimiento antes de la infección. Criminales organizados y hackers clásicos pueden ser buenos en la escritura de malware en aspecto técnico, pero no controlan muchos recursos y no tienen la paciencia en la preparación de este tipo de mensajes. Por lo tanto, se ha marcado como el primer atributo clave de un ataque APT
Ataque oportuno y repetido
“PERSISTENTE”
Victima u Organización
objetivo
Humano
Reconocimiento Intensivo
Spear Phishing
Ejecuta
Atacante
Por medio de Footprinting
César Augusto Zárate ( c4m4l30n )
Ejecuta
Punto de Entrada Punto de
Ataque Punto de Intrusión
Base de Datos no Analizado
Detectado por Antivirus
Exploits conocidos
Amenazas no Sofisticadas
Herramientas de amenaza a la
medida
Web Sites Maliciosos
Selecciona
Amenazas 0-Day Identificados
Exploit 0-Day Humano
Spear Phishing
APT No Identificada
Parcialmente Detectada
Shaddy, RAT
Shaddy, RAT
PDF, MS, x ej: GhostNet
Stuxnet, Aurora, Lockhead
Detectada por Antivirus
Punto de Intrusión
Revisar la Política de Seguridad
Infección Multi-etapa
Recolección de Inteligencia “PERSISTENTE”
Infección Inicial
C&C
Humano
Inyección de código API de enganche
TX - Encript
Infección Multi-etapa
Infección Detectada
C&C C&C
C&C
Humano
Forensia del Malware
Reinstalar el sistema
Respuesta de
Incidentes
Instrucciones Instrucciones
A0 A1-An
P1,P2,P3
11,12,13
Posee Posee
Analisis o toma de decision
P4…Pn TX - Encript
TX - Encript
César Augusto Zárate ( c4m4l30n )
César Augusto Zárate ( c4m4l30n )
MOTIVACION RECONOC. Y
ARMADO ENTREGA EXPLOTACION INSTALACION
COMANDO
Y CONTROL
ACCIONES EN
EL OBJETIVO
AT
AQ
UE
Búsqueda de Objetivos (Corp. Pers ) Crear Armas a la medida
El arma diseñada es entregada al objetivo el vector varia según sea el caso
Las armas son activadas, se usan exploits en app o S.O. vulnerables, buscando privilegios
Se instalan en el sistema y por medio de troyanos backdoor se convierten en residentes en el sistema
Se establecen canales de comunicación bidireccionales de comando y control con servidores remotos
Mvto. lateral Recolec. de datos Encripcion Exfiltracion Daño Cubrir huellas Repetir el ciclo
DEFEN
SA
LÍNEA BASE DE
SEGURIDAD
CYBER INTEL. OSINT
DETECCION Y DENEGACION ANALISIS
INVEST RESP.
RETALIACION
Defensa en Profundidad Buenas Practicas Gobierno Riesgo Cumplimiento Entrenamiento de Usuarios
Cyber Inteligencia Indicador de Tiempo Real Compartido Inteligencia de Código Abierto
Amenazas de Zero Day, conocer las vulnerabilidades, Virtualización, Sandboxing (Ambientes Estériles de Prueba) Detección de Malware y anomalías de Red
Análisis de seguridad del usuario Detección de anomalías de comportamiento Biométrico
CSIRT Virtualización Remediación Recuperación Retaliación
INCUMPLIMIENTOS TECNOLOGICOS
INCUMPLIMIENTOS MENORES INCUMPLIMIENTOS POR ENTRETENIMIENTO
CTRL FALLA
Estado y Motivación de los APT
FASE 1 Línea Base
de Seguridad
FASE 2 Cyber
Seguridad y OSINT
FASE3 Amenazas 0-
Day Analisis Vulns. Det. Anomalias
FASE 4 Analisis de Seguridad y
Big Data
FASE 5 Investigar Respuesta Retaliación
DESPLIEGUE Negocios y
Riesgos Basados en prioridades
FALLA Casos de Estudio
http://www.slideshare.net/ansanz/capacidades-de-china-para-la-ciberguerra
http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/kaspersky-lab-identifica-la-operaci%C3%B3n-%E2%80%9Coctubr
http://intelreport.mandiant.com/ http://www.isaca.org/Education/Conferences/Documents/Latin-CACS-
2013-Presentations/133.pdf http://espionageware.blogspot.com.co/2011/10/advanced-persistent-
threat-model.html http://www.secureworks.com/cyber-threat-intelligence/advanced-
persistent-threat/understand-the-threat/ http://lamiradadelreplicante.com/2014/03/19/operacion-windigo-
comprometida-la-seguridad-de-miles-de-servidores-linux/ https://blog.kaspersky.com.mx/regin-apt-una-campana-altamente-
sofisticada/4617/ http://www.viruslist.com/sp/analysis?pubid=207271277 http://www.ismgcorp.com/global-apt-defense-summit/los-angeles-12 https://www.linkedin.com/pulse/advanced-persistent-threat-tansel-
akyuz-cissp-pmp?trk=seokp_posts_primary_cluster_res_title http://unsecuritynow.blogspot.com.co/ http://espionageware.blogspot.com.co/2014/02/profiling-apt-
attackers.html?view=timeslide