iocs defensa colaborativa frente amenazas avanzadas

IOCs: Defensa

Colaborativa frente

Amenazas Avanzadas

David Pérez Comendador

David.perez@pandasecurity.com

@perez_1987

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2

Índice

1. Datos sobre el CiberCrimen en

2015

2. Servicios del CiberCrimen

3. Casos conocidos del CiberCrimen

en 2015

4. ¿Cómo podemos combatir ante el

CiberCrimen organizado?

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 3

1. Datos sobre el CiberCrimen en 2015

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 4

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 5

Datos Víctimas del

CyberCrimen en 2015

431 MILLONES

Víctimas del CiberCrimen

(69 % ADULTOS)

+1 MILLON / DIA

50000 / HORA

820 / MINUTO

15 VICTIMAS POR

SEGUNDO!!!!!!

Fuente: Microsoft

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 6

2. Servicios del CiberCrimen

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 7

El servicio del

CiberCrimen• Infraestructura

• Datos

• Pago por instalación

• Hacking

• Traducción

• Lavado de dinero

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 8

3. Casos conocidos del CiberCrimen en

2015

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 9

Casos del CiberCrimen

conocidos en 2015:

Anthem en febrero reconoció un robo

de datos de 80 millones de clientes por

un ataque con un coste aprox 100

millones de $

AdultFriendFinder en marzo sufrió el

robo de los datos de clientes. Los

atacantes ofrecieron 70 bitcoint s

(17000 $) por la BBDD. Fue publicada.

En febrero una comisaría de Illinois

pagó 500 $ por recuperar la info de uno

de sus ataques

Fuente: Informe PandaLabs 2015.

http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 10

4. ¿Cómo podemos combatir ante el

CiberCrimen organizado?

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 11

Fuente: IBM

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 12

¿Cómo podemos combatir ante el ciber

crimen organizado?

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 13

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 14

¿De qué manera podemos compartir

información?

“IOC es la descripción de un

incidente de ciberseguridad,

actividad y/o artefacto malicioso

mediante patrones para ser

identificado en una red o endpoint

pudiendo mejorar así las

capacidades ante la gestión de

incidentes.”

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 15

¿Cómo y dónde podemos generar y/o

compartir IOCs?

• ¿Dónde?:

• ¿Cómo?:

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 16

Representa un lenguaje para la

especificación, la captura, la

caracterización y comunicación de

información estandarizada amenaza

cibernética de una manera estructurada

para apoyar los procesos de gestión de

amenaza cibernética más eficaces y

aplicación de automatización, soportado

por OASIS

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 17

¿Qué caracterizamos con cada tipo de objeto?

Fuente: stix.mitre.org

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 18

Ejemplos:

+90 Tipos (Ficheros, IPs, E-mails, Claves de Registro)

IP: 192,168,1,1

Hash: a98079807649123..

Fichero: FileName prueba_malware.exe

Descripción de algo que se pueda ver

El md5 a98079807649123… es un MW del tipo Kido

Email desde pepito@mufasa.com es phishing

Información acerca de una investigación de un incidente de ciberseguridad

El equipo PANDA-DAVID, propietario David Pérez, está infectado por el MW Kido

Tácticas, técnicas y procedimientos: Descripción del comportamiento y los recursos utilizados por el atacante, incluyendo el MW, patrones, infraestructura, herramientas, personajes o localización

El Malware Kiko ha accedido mediante SQL Injection atacando al departamento de Retail conectándose a la IP 1.2.3.4

Describen vulnerabilidades u errores de configuración. Se pueden describir CVE, CCE, CWE.

CVE-2014-0160 Heartbleed

Describe un patrón de actividad en curso con un propósito u objetivo común

Campaña contra la banca

Información sobre amenazas y/o individuos que ejecutan ataques.

Anonymous, KDZ-23, APT

También se puede incluir información adicional como la nacionalidad

Respuestas preventivas o reactivos a la actividad de amenazas

Instalar el KB-343432 o limpiar la cache o eliminar la entrada de registro X

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 19

Arquitectura:

Fuente: stix.mitre.org

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 20

Casos de uso: 1. Analizar Ciber amenazas

2. Especificación de Patrones de los

indicadores de Ciber Amenazas

3. La gestión de incidentes de ciber

seguridad:

1. Prevención

2. Detección

3. Respuesta

4. Compartición de ciber amenazas

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 21

Fuente: stix.mitre.org

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 22

Caso práctico de caracterización de un incidente

de ciber seguridad

(Locky: Primera Campaña)Fuente: Panda Security

Un usuario en una empresa española recibió un correo con un fichero adjunto:

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 23

El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker

(Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió

el notepad con el siguiente texto:

Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su

desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la

recopilación de evidencias, respuesta y prevención.

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 24

Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de

compromiso:

IOCs en Email:

Subject: ATTN: Invoice J-62163564

Sender: RandallAriel900@universalshop.ch

Filename: invoice_J-62163564.doc

SENDER SUBJECT FILENAME

OBJECT

O E-MAIL

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 25

IOCs en Disco:

El dropper se descarga un fichero dentro de la carpeta temporal:

Filename: c:\Users\<username>\AppData\Local\Temp\[A-Z]{10}.exe

El fichero con la información para desencriptar los ficheros:

Filename: _Locky_recover_instructions.txt

MD5 del fichero descargado (Generado de forma aleatoria)

Hash: d10a376572a1b107fa4157009223edb1

Claves de registro creadas:

Registry keys:

HKEY_USERS\Software\Locky\"completed"

HKEY_USERS\Software\Locky\"paytext"

HKEY_USERS\Software\Locky\"id"

HKEY_USERS\Software\Locky\"pubkey“

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Locky"

REGISTR

YFILENAME

OBJECT

O FILE

HASH

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 26

IOCs de Red:

El dropper se intenta descargar desde varias URLs:

Value:

www.iglobali.com/34gf5y/r34f3345g.exe

www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe

www.villaggio.airwave.at/34gf5y/r34f3345g.exe

VALUE

OBJECT

O URI

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 27

Si hacemos una primera relación de IOCs:Campaña Locky

IOCs Ficheros IOCs Red IOCs Email

TTP Relacionado TTP RelacionadoTTP Relacionado

Variante de

Víctimas

Ataque Usado

Usa el Malware

Cryptolocker

Locky

SPAM

Víctimas en ES

Contiene

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 28

PR: Prevención y RespuestaPreventiva:

• Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y

de Email

• Búsqueda en los endpoints del parque de los IOCs de ficheros que ha

podido crear el MW (Entradas de Registro, Nombres de fichero,

Hash..)

• Detección y bloqueo de procesos que intenten borrar las copias de

seguridad del sistema

• Búsqueda en los sistemas perimetrales de más equipos que hayan

podido recibir más emails o se hayan conectado a las URLs

relacionadas con el malware dentro del parque.

Recovery:

Debido al cifrado de los ficheros encriptados la única solución sería

acceder al pago y seguir las instrucciones del notepad

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29

Si conectamos las COAs:Campaña Locky

IOCs Ficheros IOCs Red IOCs Email

TTP Relacionado TTP RelacionadoTTP Relacionado

Variante de

Víctimas

Ataque Usado

Usa el Malware

Cryptolocker

Locky

SPAM

Víctimas en

ES

COAs

Sugeridas

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 30

Más info:

Página oficial: http://stix.mitre.org

(Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear

perfiles de compartición, comunidades..)

Github: https://github.com/STIXProject/

Cualquier duda: David.perez@pandasecurity.com

David Pérez Comendador

david.perez@pandasecurity.com

@perez_1987