guerra contra los_ciberataques_ dirigidos1
DESCRIPTION
TRANSCRIPT
1FTS CONFIDENTIAL Copyright 2013 FUJITSU
Guerra contra los ciberataques dirigidosAproximación, táctica y herramientas
Maria Gutierrez <[email protected]>
Luis Lopez <[email protected]>
HOMSEC 2013
2FTS CONFIDENTIAL Copyright 2013 FUJITSU
Agenda
Anatomía de un APT Incidentes recientes por malware
dirigido ¿Quien está detrás de los APT? Mitigación de APTs Application Whitelisting FireEye Cazando botnets con FireEye
3FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
¿Que es un APT? El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force
en 2006 para describir los ciberataques complejos (“Advanced’) contra objetivos específicos durante largos periodos de tiempo ( “persistent”).
Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o un gobierno
Hemos podido ver casos recientes de APTs, como el de RSA, las centrales nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la máxima eficacia y precisión.
Advanced: El adversario es poderoso y está organizado Persistent – Ataque constante Threat – Uso de amenazas digitales para materializar los ataques
4FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Características de los APT
Están organizados (varias personas, tecnologías y técnicas)
Son eficientes (a veces tecnologías simples como RATs (Remote Access Trojans), según los objetivos, a veces técnicas básicas o ingeniería social, otras veces utilizarán exploits 0-day o spear phishing
Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán reuniones de seguimiento para ver la forma de obtener el objetivo)
5FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Son dirigidos (a organizaciones específicas, individuos, estados, naciones etc.)
Son persistentes – No se hace una sola vez, sino durante un largo periodo
Son evasivos – pueden fácilemente camuflarse con los productos de seguridad tradicionales.
Son complejos – los APT comprenden una mezcla de métodos de ataque complejos dirigidos a múltiples vulnerabilidades.
Cuanto más tiempo permanezca sin detectar un atacante en la red del objetivo, mas daño podrá realizar.
6FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Son Lentos y de Baja Intensidad Los atacantes monitorizan constantemente las redes sociales para
obtener información ventajosa.
En un caso, los atacantes comprometieron los objetivos de un tercero suministrador de software, insertando un troyano en un software de actualización, y esperaron a que el objetivo real descargase el troyano a través de la actualización en su red.
Los hackers chinos disfrutaron de acceso sin límites a la red corporativa de Nortel durante una década, utilizando contraseñas robadas a los altos ejecutivos para descargar material protegido por la propiedad intelectual.
7FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
OBJETIVOS de un APT
Políticos - Incluye ataques a la población para alcanzar los objetivos
Negocios / Económicos - El robo de propiedad intelectual, para obtener una ventaja competitiva
Técnicos - Obtener el código fuente para el desarrollo
Militares - Identificar los puntos débiles que permitirían a fuerzas militares inferiores derrotar a las fuerzas militares superiores
8FTS CONFIDENTIAL Copyright 2013 FUJITSU
Incidentes por malware dirigido
9FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
¿QUIEN ESTA DETRAS? Nacion, estado, cyberseguridad
El "problema de la atribución“
Se esconden por la facilidad digital para hacerlo. Caso China.
10FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Hall of Fame
1. Flame
2. Aurora
3. Duqu
4. Stuxnet
5. PoisonIvy
11FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Ciclo de vida de un APT Preparación
Definir Objetivo
Encontrar y organizar complices
Obtencción o construcción de herramientas
Investigación de objetivos/infraestructura/empleados
Test para detección
Intrusión Inicial Despliegue
Intrusión Inicial
Iniciar conexión saliente
12FTS CONFIDENTIAL Copyright 2013 FUJITSU
Anatomía de un APT
Expansión Esta fase incluye:
Ampliar acceso y obtener credenciales
Fortalecer puntos de apoyo
Search and Exfiltration Búsqueda y evasión de datos
Cleanup Eliminar pistas y permanecer
indetectable
13FTS CONFIDENTIAL Copyright 2013 FUJITSU
Mitigación de APTs
Sistema clásico de “Seguridad en Profundidad”. Absolutamente necesario para mitigar cualquier amenaza.
Utilización de técnicas avanzadas de mitigación. Soluciones:
Herramientas de Whitelisting
Ejecución previa y observación de comportamiento: FireEye
Whitelisting no es una VERDADERA solución. Presenta varios problemas.
14FTS CONFIDENTIAL Copyright 2013 FUJITSU
Application Whitelisting
No es una verdadera solución de amplio espectro.
Si bien es cierto que es buena solución en ciertos entornos , p.e. Cajeros automáticos, POS, en definitiva entornos MONO-APP, está muy limitado
Choca frontalmente con las técnicas de BYOD y movilidad actuales, explosión de “apps”, así como en cualquier entorno multipropósito.
En el caso de firma con certificados digitales de apps, PKI es el talón de Aquiles
Casos
WordChromePowerPointWinzipMozillaAcrobat Reader
Apps to run
15FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
http://www.youtube.com/watch?v=c9DV5rICto8
Video
16FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
Nueva generación de soluciones para detección de ataques dirigidos, y zerodays, y en general malware no firmado y desconocido.
No es únicamente un set de algoritmos eurísticos y firmas ¿Como lo hace?
Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o herramienta correspondiente: Word, Reader… en un entorno virtual.
Traza todo lo que hace incluso graba el entorno de runtime para análisis posterior. Utiliza esta info para bloqueo y publica la info para uso común.
Multi-vector: Multi-protocol,Web, Email, File, Forense
17FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
Fase 1: Captura agresiva con firmas y eurísticos Despliegue pasivo/fuera de banda o en línea Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y
EXEs Maximiza la captura de ataques potenciales zero-day
XML/SNMP alertas sobre infecciones y destinos CnC
Recurrente global que comparte inteligencia en el Cloud MAX
Fast Path tiempo real bloqueando en Appliance
Phase 3
Tráfico de red InternoExterno
Fase 3: Bloqueo del Call Back Para el robo de
datos/activos
Fase 2: Análisis con Máquinas Virtuales Confirmación de ataques maliciosos Eliminación de falsos positivos
18FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
QUÉ NO ES FireEye:
No es un Firewall No es un IPS No es un NGFW No es un Proxy No es una gateway AV
19FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
Nuevo sistema de detección de , no sustituye a capas actuales
Email MPS
Web MPS
DesktopAV
IPS IDSSecure
WebGateway
Port Scanning
Javascript Malicioso Conocido
URL Categorizadas Maliciosas
Patrones y actividad de malware conocido
Zero-Day Browser and/or Plugin Exploit
Well Known Web Exploit Modified Polymorphically
eMail SpearPhishing with URL to Malware or Malware Attached
Filtros deFirmas/Heuristica/Reputación
Ataques Browser Zero-Day y/o Exploits de Plugins Web
Exploits Web Bien Conocidos Modificados Polimorficamente
Email con SpearPhishing con URL a Malware o Malware Adjunto
20FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye. Cómo el malware traspasa la tecnología actual de seguridad ¿Por que la tecnología de seguridad que ya tenemos no es
suficiente? Vulnerabilidades dirigidas a browser, ActiveX y plug-in
Exploits Zero-day
JavaScript ofuscado
Cargas polimorficas
Nombres de dominios dinámicos
Comunicaciones cifradas
Sitios web legítimos comprometidos
Ingeniería social…y más
21FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye. Cómo el malware traspasa la tecnología actual de seguridad Ejemplo de porosidad
22FTS CONFIDENTIAL Copyright 2013 FUJITSU
FireEye
Perfil de FireEye Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador
de la compañía de virtualización Terraspring, adquirida por Sun
Aziz es el inventor original del conjunto de funcionalidades core que hay tras FireEye Malware Protection System.
La compañía tiene su sede en Milpitas, California.
El producto principal es su sistema de protección de Malware para web security, email security, file security y malware analysis.
En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de más rápido crecimiento en América del Norte en el Deloitte 2012 Technology Fast 500.
23FTS CONFIDENTIAL Copyright 2013 FUJITSU
Web Malware Protection System
• Bloqueo en linea tanto entrante como saliente
• Análisis de contenido avanzado (PDF, JavaScript, URLs)
• Modelos hasta 1 Gbps con latencia de microseg.
FUNCIONALIDADES
En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos
Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables
Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos
Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo comparte a través de la Malware Protection Cloud network
Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real
http://
24FTS CONFIDENTIAL
Email Malware Protection System
Copyright 2013 FUJITSU
• Soporta muchos tipos de ficheros (PDF, formatos Office, ZIP, etc.)
• Análisis de Adjuntos• Análisis de URL• Correlación de URLs maliciosas
de emails al CMS
FUNCIONALIDADES
Protección contra spear phishing y ataques compuestos
Analiza todo el correo para adjuntos y URLs maliciosas
Seguridad activa como MTA In-line o SPAN/BCC para monitorización
Análisis de fuerza bruta de todos los adjuntos en el VX Engine
Integración con Web MPS para análisis/bloqueo de URL maliciosas
Y para bloqueo de nuevos canales de callback que se descubran
25FTS CONFIDENTIAL
Protege servidores que comparten ficheros del malware latente
Controla el malware adquirido en la red vía web o email o compartiendo ficheros u obtenido por procedimientos manuales
Detecta la difusión de malware a través de recursos compartidos de la red
Análisis continuo e incremental de los ficheros compartidos de la red
Integración con Web MPS para bloqueo de nuevos canales descubiertos de callback.
File Malware Protection System
Copyright 2013 FUJITSU
• Soporta amplio rango de tipos de ficheros (PDF, Office, ZIP, etc.)
• Soporta CIFS
• Cuarentena de ficheros maliciosos
• Integración vía CMS
FUNCIONALIDADES
26FTS CONFIDENTIAL Copyright 2013 FUJITSU
Multi-Protocol, Real-Time VX Engine
FASE 1Multi-Protocol
Objecto de Captura
FASE 2Ejecución en Entorno Virtual
FASE1: WEB MPS• Captura Agresiva• Filtrado de Objetos Web
ANÁLISIS DINÁMICO EN TIEMPO REAL
• Detección de exploits
• Análisis de malware binario
• Matriz cruzada de OS/apps
• Origina conexión a URL
• Subsecuentes URLs
• Informe de modificación en OS
• Descriptores de proto C&C
Ajusta al Objetivo SO y
Aplicaciones
FASE 1: E-MAIL MPS• Adjuntos de Email• Análisis de URL
FASE1: FILE MPS• Ficheros Compartidos de
red
27FTS CONFIDENTIAL Copyright 2013 FUJITSU
Cazando Botnets con FireEye
Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y esfuerzos individuales (Nova7) en jul 2012
Primeras versiones en Febrero 2008
La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C) y Lethic (2008, 310K)
En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de 2012 hasta 33.3% )
Grum tenía 120.000 hosts infectados
4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda
Peligro de los botnets, utilizados normalmente para Spam pero pueden utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!
28FTS CONFIDENTIAL