guerra contra los_ciberataques_ dirigidos1

1FTS CONFIDENTIAL Copyright 2013 FUJITSU

Guerra contra los ciberataques dirigidosAproximación, táctica y herramientas

Maria Gutierrez <[email protected]>

Luis Lopez <[email protected]>

HOMSEC 2013


Agenda

Anatomía de un APT Incidentes recientes por malware

dirigido ¿Quien está detrás de los APT? Mitigación de APTs Application Whitelisting FireEye Cazando botnets con FireEye


Anatomía de un APT

¿Que es un APT? El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force

en 2006 para describir los ciberataques complejos (“Advanced’) contra objetivos específicos durante largos periodos de tiempo ( “persistent”).

Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o un gobierno

Hemos podido ver casos recientes de APTs, como el de RSA, las centrales nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la máxima eficacia y precisión.

Advanced: El adversario es poderoso y está organizado Persistent – Ataque constante Threat – Uso de amenazas digitales para materializar los ataques


Anatomía de un APT

Características de los APT

Están organizados (varias personas, tecnologías y técnicas)

Son eficientes (a veces tecnologías simples como RATs (Remote Access Trojans), según los objetivos, a veces técnicas básicas o ingeniería social, otras veces utilizarán exploits 0-day o spear phishing

Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán reuniones de seguimiento para ver la forma de obtener el objetivo)


Anatomía de un APT

Son dirigidos (a organizaciones específicas, individuos, estados, naciones etc.)

Son persistentes – No se hace una sola vez, sino durante un largo periodo

Son evasivos – pueden fácilemente camuflarse con los productos de seguridad tradicionales.

Son complejos – los APT comprenden una mezcla de métodos de ataque complejos dirigidos a múltiples vulnerabilidades.

Cuanto más tiempo permanezca sin detectar un atacante en la red del objetivo, mas daño podrá realizar.


Anatomía de un APT

Son Lentos y de Baja Intensidad Los atacantes monitorizan constantemente las redes sociales para

obtener información ventajosa.

En un caso, los atacantes comprometieron los objetivos de un tercero suministrador de software, insertando un troyano en un software de actualización, y esperaron a que el objetivo real descargase el troyano a través de la actualización en su red.

Los hackers chinos disfrutaron de acceso sin límites a la red corporativa de Nortel durante una década, utilizando contraseñas robadas a los altos ejecutivos para descargar material protegido por la propiedad intelectual.


Anatomía de un APT

OBJETIVOS de un APT

Políticos - Incluye ataques a la población para alcanzar los objetivos

Negocios / Económicos - El robo de propiedad intelectual, para obtener una ventaja competitiva

Técnicos - Obtener el código fuente para el desarrollo

Militares - Identificar los puntos débiles que permitirían a fuerzas militares inferiores derrotar a las fuerzas militares superiores


Incidentes por malware dirigido


Anatomía de un APT

¿QUIEN ESTA DETRAS? Nacion, estado, cyberseguridad

El "problema de la atribución“

Se esconden por la facilidad digital para hacerlo. Caso China.


Anatomía de un APT

Hall of Fame

1. Flame

2. Aurora

3. Duqu

4. Stuxnet

5. PoisonIvy


Anatomía de un APT

Ciclo de vida de un APT Preparación

Definir Objetivo

Encontrar y organizar complices

Obtencción o construcción de herramientas

Investigación de objetivos/infraestructura/empleados

Test para detección

Intrusión Inicial Despliegue

Intrusión Inicial

Iniciar conexión saliente


Anatomía de un APT

Expansión Esta fase incluye:

Ampliar acceso y obtener credenciales

Fortalecer puntos de apoyo

Search and Exfiltration Búsqueda y evasión de datos

Cleanup Eliminar pistas y permanecer

indetectable


Mitigación de APTs

Sistema clásico de “Seguridad en Profundidad”. Absolutamente necesario para mitigar cualquier amenaza.

Utilización de técnicas avanzadas de mitigación. Soluciones:

Herramientas de Whitelisting

Ejecución previa y observación de comportamiento: FireEye

Whitelisting no es una VERDADERA solución. Presenta varios problemas.


Application Whitelisting

No es una verdadera solución de amplio espectro.

Si bien es cierto que es buena solución en ciertos entornos , p.e. Cajeros automáticos, POS, en definitiva entornos MONO-APP, está muy limitado

Choca frontalmente con las técnicas de BYOD y movilidad actuales, explosión de “apps”, así como en cualquier entorno multipropósito.

En el caso de firma con certificados digitales de apps, PKI es el talón de Aquiles

Casos

WordChromePowerPointWinzipMozillaAcrobat Reader

Apps to run


FireEye

http://www.youtube.com/watch?v=c9DV5rICto8

Video

http://www.youtube.com/watch?v=c9DV5rICto8


FireEye

Nueva generación de soluciones para detección de ataques dirigidos, y zerodays, y en general malware no firmado y desconocido.

No es únicamente un set de algoritmos eurísticos y firmas ¿Como lo hace?

Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o herramienta correspondiente: Word, Reader… en un entorno virtual.

Traza todo lo que hace incluso graba el entorno de runtime para análisis posterior. Utiliza esta info para bloqueo y publica la info para uso común.

Multi-vector: Multi-protocol,Web, Email, File, Forense


FireEye

Fase 1: Captura agresiva con firmas y eurísticos Despliegue pasivo/fuera de banda o en línea Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y

EXEs Maximiza la captura de ataques potenciales zero-day

XML/SNMP alertas sobre infecciones y destinos CnC

Recurrente global que comparte inteligencia en el Cloud MAX

Fast Path tiempo real bloqueando en Appliance

Phase 3

Tráfico de red InternoExterno

Fase 3: Bloqueo del Call Back Para el robo de

datos/activos

Fase 2: Análisis con Máquinas Virtuales Confirmación de ataques maliciosos Eliminación de falsos positivos


FireEye

QUÉ NO ES FireEye:

No es un Firewall No es un IPS No es un NGFW No es un Proxy No es una gateway AV


FireEye

Nuevo sistema de detección de , no sustituye a capas actuales

Email MPS

Web MPS

DesktopAV

IPS IDSSecure

WebGateway

Port Scanning

Javascript Malicioso Conocido

URL Categorizadas Maliciosas

Patrones y actividad de malware conocido

Zero-Day Browser and/or Plugin Exploit

Well Known Web Exploit Modified Polymorphically

eMail SpearPhishing with URL to Malware or Malware Attached

Filtros deFirmas/Heuristica/Reputación

Ataques Browser Zero-Day y/o Exploits de Plugins Web

Exploits Web Bien Conocidos Modificados Polimorficamente

Email con SpearPhishing con URL a Malware o Malware Adjunto


FireEye. Cómo el malware traspasa la tecnología actual de seguridad ¿Por que la tecnología de seguridad que ya tenemos no es

suficiente? Vulnerabilidades dirigidas a browser, ActiveX y plug-in

Exploits Zero-day

JavaScript ofuscado

Cargas polimorficas

Nombres de dominios dinámicos

Comunicaciones cifradas

Sitios web legítimos comprometidos

Ingeniería social…y más


FireEye. Cómo el malware traspasa la tecnología actual de seguridad Ejemplo de porosidad


FireEye

Perfil de FireEye Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador

de la compañía de virtualización Terraspring, adquirida por Sun

Aziz es el inventor original del conjunto de funcionalidades core que hay tras FireEye Malware Protection System.

La compañía tiene su sede en Milpitas, California.

El producto principal es su sistema de protección de Malware para web security, email security, file security y malware analysis.

En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de más rápido crecimiento en América del Norte en el Deloitte 2012 Technology Fast 500.

http://en.wikipedia.org/wiki/Milpitas,_California


Web Malware Protection System

• Bloqueo en linea tanto entrante como saliente

• Análisis de contenido avanzado (PDF, JavaScript, URLs)

• Modelos hasta 1 Gbps con latencia de microseg.

FUNCIONALIDADES

En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos

Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables

Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos

Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo comparte a través de la Malware Protection Cloud network

Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real

http://

24FTS CONFIDENTIAL

Email Malware Protection System

Copyright 2013 FUJITSU

• Soporta muchos tipos de ficheros (PDF, formatos Office, ZIP, etc.)

• Análisis de Adjuntos• Análisis de URL• Correlación de URLs maliciosas

de emails al CMS

FUNCIONALIDADES

Protección contra spear phishing y ataques compuestos

Analiza todo el correo para adjuntos y URLs maliciosas

Seguridad activa como MTA In-line o SPAN/BCC para monitorización

Análisis de fuerza bruta de todos los adjuntos en el VX Engine

Integración con Web MPS para análisis/bloqueo de URL maliciosas

Y para bloqueo de nuevos canales de callback que se descubran

25FTS CONFIDENTIAL

Protege servidores que comparten ficheros del malware latente

Controla el malware adquirido en la red vía web o email o compartiendo ficheros u obtenido por procedimientos manuales

Detecta la difusión de malware a través de recursos compartidos de la red

Análisis continuo e incremental de los ficheros compartidos de la red

Integración con Web MPS para bloqueo de nuevos canales descubiertos de callback.

File Malware Protection System

Copyright 2013 FUJITSU

• Soporta amplio rango de tipos de ficheros (PDF, Office, ZIP, etc.)

• Soporta CIFS

• Cuarentena de ficheros maliciosos

• Integración vía CMS

FUNCIONALIDADES


Multi-Protocol, Real-Time VX Engine

FASE 1Multi-Protocol

Objecto de Captura

FASE 2Ejecución en Entorno Virtual

FASE1: WEB MPS• Captura Agresiva• Filtrado de Objetos Web

ANÁLISIS DINÁMICO EN TIEMPO REAL

• Detección de exploits

• Análisis de malware binario

• Matriz cruzada de OS/apps

• Origina conexión a URL

• Subsecuentes URLs

• Informe de modificación en OS

• Descriptores de proto C&C

Ajusta al Objetivo SO y

Aplicaciones

FASE 1: E-MAIL MPS• Adjuntos de Email• Análisis de URL

FASE1: FILE MPS• Ficheros Compartidos de

red


Cazando Botnets con FireEye

Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y esfuerzos individuales (Nova7) en jul 2012

Primeras versiones en Febrero 2008

La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C) y Lethic (2008, 310K)

En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de 2012 hasta 33.3% )

Grum tenía 120.000 hosts infectados

4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda

Peligro de los botnets, utilizados normalmente para Spam pero pueden utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!

28FTS CONFIDENTIAL

guerra contra los_ciberataques_ dirigidos1

Documents