amenazas avanzadas persistentes

ArmasUtilizadasenelQuintoDominiodelaGuerra

AMENAZAS AVANZADAS PERSISTENTES - APT

ElCiberespacio

DavidPereira

David PereiraDavidPereira:(CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH) esunInvestigadorDigital,Consultorconmasde17añosdeexperienciaenelAreadelaSeguridadinformáticaylaComputaciónForense,quehadesarrolladolaboresdeEthicalHacking,PruebasdePenetraciónyAnálisisForenseparadiversasEntidadesNacionalescomoInternacionalesdemúltiplesambitoscomoelFinanciero,Energético,Militar,Diplomatico,Minero,entreotros.

AMENAZASAVANZADASPERSISTENTES- APT

Perspectiva:Content PageEl campo de batalla mundial está migrando de los 4 Dominios tradicionales al quinto Dominio:

Tierra Mar

Aire

Ciberespacio

TodalaInfraestructuraCríticadeunPaíspasaaserunObjetivomilitarparacualquieratacanteoenemigo;

LasentidadesquehacenpartedelaInfraestructuraCríticadeunpaísestánconectadasalCiberespacio.


OTAN: LOSHACKERSSONLOSGUERREROSDELSIGLOXXI

http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm

CIBERDEFENSASecreaelconceptodeC4ISR:• Comando• Control• Comunicaciones• Computadores• Inteligencia• Vigilancia• Reconocimiento


QUE ES UNA APT ? (Advanced Persistent Threat)

AmenazaAvanzadaPersistente• Malware orientado específicamente contra objetivos Corporativos,

Políticos, de Infraestructura o Militares• Este Malware, normalmente es Diseñado y Construido a la Medida

específica del Blanco (Caso Stuxnet)• Puede adaptarse de acuerdo a las condiciones que encuentre en el

Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones)


BuscaBeneficioEconómico;• RobodeIdentidad• DatosdeTarjetasdeCrédito• DatosBancarios• SecuestroInformación• DañoaunEnemigooCompetidor

Comparación APT vs. Malware Tradicional

MalwareTradicional APTControl,Información,Desestabilizar• RobodeSecretosCorporativos• ControldeInfraestructuraCríticaEnemiga• AltaLatencia• UltimaTecnología• BajaDetección


Objetivo: Infraestructura Crítica

RedesEléctricas

SistemaFinanciero

SoporteVital

SistemasInformación

GeneracióndePoder

RedesdeComunicación

Gobierno BancosBolsadeValores

AcueductoVías/Carreteras

BDRegistraduríaBDDIANBDEPS/IPSBDCentralesRiesgo

HidroeléctricasTermoeléctricasPetrolerasGasoductos

CablesInteroceánicosInternetSatélitesRadioRedCelulares

SuministrodeEnergía

EjecutivoAutoridadesCivilesAutoridadesMilitares

SistemasSCADA/AUTOMATIZACION

SecontrolanpormediodeSistemasdeinformación

quepuedenserVulnerablesanteAPT


¿Que Hace mas peligrosas a las APT ?Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización suficientes para hacerlo desconfiar de ciertos indicadores;• Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos)• Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la

Empresa – Entidad• Correo electrónico que le indique la obligación de descargar determinado software o información.• Regalo de Dispositivos de Almacenamiento (USB)


RecoleccióndeInformación- OSINT

Fases de una APT

Lograr un Punto de Acceso

RecibirOrdenesdelComandoyControl(C&C)– (C2)

MovimientoLateral

Fase6

Fase1

Fase2

Fase3

Fase4

Fase5 DescubrimientodeActivos– Datos- Información

Exfiltración– RobarlosDatosencontradosAMENAZASAVANZADASPERSISTENTES- APT

• Ambiente e Infraestructura de IT• Estructura Organizacional• Empleados – Ex Empleados• Correos Electrónicos• Colaboradores• Clientes• Proveedores

Fase 1: Recolección de Información


• Correo Electrónico Malicioso• Mensajería Instantánea• Aplicaciones Maliciosas en Redes Sociales• Regalo de Dispositivos• Explotación de Fallas en Software• INSIDER87% de las Organizaciones Atacadas, caen por una URL maliciosa

Fase 2: Lograr un punto de acceso


Llamar a Casa para recibir instrucciones• Asegurar la Continuidad de la Comunicación entre la red

Comprometida y el o los Servidores de C&C o C2.• La mayor cantidad de tráfico de C&C se maneja a través de puertos

HTTP y HTTPS utilizados para navegación web común.• Se utilizan mecanismos Fast Flux para esconder los Servidores

C&C o C2

Fase 3: Comando y Control (C&C)


Fase 3: Comando y Control (C&C)

MaquinaInfectadacon

APTenAlinteriordelaEntidad

Firewallquepermiteelpasodetráficoporpuertosconocidos:

80- 443

SitioWebMaliciosoquehacelasvecesde

C&C/C2(ComandoyControl)

ReddeOcultamientoutilizadaporel

Atacante

Atacante


Fase 3: (C&C) – Fast Flux

SitioWebwww.maligno.com

DirecciónIP1


DirecciónIP2

DirecciónIP3

DirecciónIP4

DirecciónIP5

DireccionesMúltiplesque

rotanpermanentementeparaengañaralosmecanismosde

detecciónyfiltradoServidordeResolucióndeNombres- DNSResuelve

haciamúltiplesdireccionesipelDominio

www.maligno.com

Búsqueda de Computadores en la red comprometida que almacenen información sensible e importante de la Entidad o Empresa con valor para el o los atacantes.Las técnicas utilizadas incluyen:• Modificar claves de acceso de un Computador o Servidor• Creación de Nombres de Usuarios para tener acceso • Escalar Privilegios

Fase 4: Movimiento Lateral


• Identificar los Sistemas Principales de la Entidad Atacada• Servidores• Estaciones Clave

• Identificar información importante para su futura ex filtración.• Este proceso puede tomar mucho tiempo, pero esta es una de las

características de las APT; sus dueños no tienen prisa.

Fase 5: Descubrimiento de ACTIVOS / DATOS


• Transmisión de la Información de Valor a una ubicación bajo el control del atacante.

• Esto se realiza normalmente por puertos de salida autorizados en el Firewall de las Entidades Objetivo: http (80) https(443-SSL).

Fase 6: Exfiltración de los Datos


Caso Shady RAT


NO!!!¿Nuestras Defensas Normales son Efectivas ante una APT?


• La mayoría de las Arquitecturas de defensa se diseñan pensando que el enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos olvidamos de controlar las Salidas.

• Muchas APT han logrado éxito por que alguien interno colaboró (Insider).• Nuestras defensas tradicionales están diseñadas para permitir

puertos/servicios y/o denegar puertos/servicios; así que un servicio permitido puede ser explotado (Http/Https).

¿Porqué no es efectiva nuestra defensa?


• Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades dia cero.

• Contra el malware avanzado depositamos nuestra confianza en los Antivirus, los cuales detectan amenazas basados en firmas o comportamiento (Heurística Rudimentaria), con insuficiente profundización; si el Malware es lo suficientemente avanzado, la detección es nula.

¿Porqué no es efectiva nuestra defensa?


La respuesta es……… No Necesariamente!

• Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT;

• No necesariamente vamos a poder detectar la penetración o el ataque en si mismo, pero si podemos detectar sus consecuencias.

¿Estamos indefensos ante las APT?


¿Preguntas? [email protected]

Twitter:d4v1dp3r31r4

amenazas avanzadas persistentes

Technology