técnicas de evasión de antivirus y canales encubiertos · normas iso 27001, cmmi (nivel 5),...

Técnicas de evasión de antivirus y Canales Encubiertos

Febrero 2016

He trabajado en importantes empresas como consultor especializado en Computer

Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado

normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad

especialmente en el sector bancario durante mas de diez años.

También colaboro sobre Respuesta ante incidentes, seguridad, peritaje y análisis forense

informático con diversas organizaciones comerciales y con las fuerzas y empresas de

seguridad del estado y agencias gubernamentales.

He participado en las jornadas LookShields organizadas por el ministerio de defensa y

obtuve la certificación Nato Secret, también he dado conferencias en NATO Cooperative

Cyber Defence Centre of Excellence Tallinn, en Estonia.

He trabajado en el área de inteligencia de Bitdefender para Google durante cuatro años.

Soy miembro de la Spanish Honeynet Project, fundador de Conexión Inversa y soy Perito

Judicial Informático en la Asociación Nacional de Ciberseguridad y peritaje Tecnológico

(ANCITE).

Actualmente soy el responsable del equipo de respuesta ante incidentes de Deloitte.

Cyber Incident Response

CIR

Pedro Sánchez Cordero

Estado de la seguridad actual

© 2015 Deloitte Advisory, S.L. 4

El ministro ha destacado también algunas cifras

significativas:

18.000 ataques cibernéticos registrados en 2014 por el

CERT de Seguridad e Industria

80 incidentes de operadores de infraestructuras críticas y

más de 40 comunicaciones relativas a la Ciberseguridad.

El ministro del Interior español, Jorge Fernández Díaz,

ha recordado recientemente que “el ciberdelito supone ya

la tercera forma delictiva y criminal más importante a nivel mundial”

Estado actual



significativas:








Estado actual

Riesgos más relevantes 2015 (CCN-CERT)

Riesgos de recibir un ataque cibernético


CIBERESPIONAJE: Hacia la búsqueda de información

sensible

• Ámbito en crecimiento: APT más sofisticadas y rastreo

más difícil

12

3

Países más atacados por APT

CIBERDELINCUENCIA: Fraude y fines lucrativos

• Máxima incidencia: TPV y cajeros automáticos

• Métodos en auge: exploits-kits, phishing, e-money,

explotación de puertas traseras

HACKTIVISMO: La política como trasfondo

• Anonymous, nuevos países en el punto de mira

• Denegación de servicio y desfiguración de contenido

Mapa de objetivos 2015

Ciberseguridad, un riesgo global

Mapa de posibles amenazas

11

Los ciberataques se han multiplicado drásticamente en términos de

frecuencia, complejidad y finalidad.

Ataques a plataformas

propias (web, apps,

móviles) Ataques a clientes

(fuera de parámetro)

Fuga de información

confidencial

Ataques activos

intangibles

FraudeAtaques a activos

físicos o

infraestructuras críticas

Credenciales

robadas

Malware

Phishing

Reputación

Directivos

Reputación

Marca

Empleado/

GestorSucursal

Tienda/CajeroSistema

Video

vigilancia

VoIP/

Videoconferencia

Fraude de

empleado o de

3ª parte

Fraude Tarjetas

o cadena de

suministros

Abuso redes

sociales

Robo de

información

Filtrado de

información

Pérdida/Robo

Dispositivo

Hacking

DoS

DDoS Vulnerabilida

d en HW y SW

Análisis de Malware en Canales Encubiertos - Casos RealesHackLab


Fases de un ataque

Mecanismos de ataque

en el pasado

Virus

Gusanos de correo

Gusanos exploit

Rootkits

Troyanos de puerta trasera

Dispositivo

Extraíble

Clientes de Mensajería Instantánea

Adjuntos de correo

PirataInformático


Virus

Gusanos de correo

Gusanos exploit

Gusanos P2P

Gusanos IM

Rootkits

Troyanos de puertatrasera

Spyware

Adware

Greyware

Fuentes

de ataque

Sitios Web Multimedia Legítimos Comprometidos

Dispositivos extraíbles

Dispositivos Móviles

Redes PúblicasWi-Fi

Clientes de

Mensajería

Instantánea

Hackers

Aplicaciones Web 2.0

Tipos de amenazas

Medios

Adjuntos de Correo SPAM

Empresas Legítimas

Redes P2PPhishingCrimen organizado

Gobiernos extranjeros

Mecanismos actuales


FASE 1: INTELIGENCIA

Preparando la amenaza

Colaboradores

Amigos

Empleados

Capacitaciones

Perfiles

Gustos

Sitios Web Multimedia Legítimos Comprometidos

Dispositivos extraíbles

Dispositivos Móviles

Redes PúblicasWi-Fi

Clientes de

Mensajería

Instantánea

Aplicaciones Web 2.0

Redes P2PPhishing

Victima(s)

FASE II:

DESARROLLO DEL APT

Hackers

Routers

Servidores

AD / LDAP / VPN

Switches

FASE III:

CONTROL


Destacado: EL MALWARE

Cada vez es más usual que un atacante obtenga

información de una organización utilizando ‘piezas’ y

componentes de malware. Muchos de estos no son

detectados por los antivirus, antimalware y otros

mecanismos de seguridad local y perimetral.


Esto lleva a las organizaciones a destinar grandes

cantidades presupuestarias con objeto de reducir y

minimizar el impacto que se producen cuando estas son

atacadas. Disponer de buenos productos, última

tecnología, ‘estar al día’ y disponer de unas buenas

fuentes de información son los objetivos a perseguir por

las empresas.

TECNICAS

ANTIMALWARE


Ventajas

Detección basada en firmas

Utiliza huellas digitales (hash) sobre un contenedor

propietario o base de datos de hashes que se

distribuye con el propio producto antimalware

actualizándose desde un servidor de internet.

La firma (a comparar) podría representar una serie

de bytes en el archivo. También puede ser un hash

criptográfico del archivo o de sus secciones.

Este método de malware detección ha sido un

aspecto esencial de las herramientas antivirus

desde su creación, sigue siendo una parte de

muchas herramientas hasta la fecha.


• Una limitación importante de la detección basada en

firmas es que, por sí mismo, este método es incapaz

de detectar malware de día 0, el cual aún no se han

desarrollado firmas.

• Con este pensamiento, los atacantes modernos

utilizan con frecuencia el concepto de mutación, el cual

mutan sus creaciones para conservar la funcionalidad

maliciosa cambiando la firma del archivo.

Desventajas


Ventajas

Detección por heurística

Utiliza una detección sin una coincidencia exacta

de la firma.

Por ejemplo, una herramienta antivirus podría

buscar la presencia de instrucciones raras o código

basura en el archivo examinado. La herramienta

también puede emular la ejecución del archivo para

ver lo que haría si se ejecuta.

Un atributo sospechoso podría no ser suficiente

para marcar el archivo como malicioso. Sin

embargo, varias de estas características podrían

superar el umbral de riesgo esperada, lo que lleva

la herramienta para clasificar el archivo como

malware


• La mayor desventaja de la heurística es que puede

marcar archivos legítimos como maliciosos.

• La industria del malware utiliza ejecución retardada

para comprobar si se encuentra en un entorno

controlado o de emulación.

• Para evitar la búsqueda de instrucciones raras utilizan

como plantilla un ejecutable del sistema a infectar.

Desventajas


Ventajas

Detección por comportamiento

El antimalware observa cómo el programa se

ejecuta, en lugar de simplemente emulando su

ejecución. Este enfoque intenta identificar el

malware mediante la búsqueda de

comportamientos sospechosos, como la descarga

de componentes de código malicioso, la

modificación del archivo hosts o la observación de

las pulsaciones de teclado.

Al igual que con la heurística, cada una de estas

acciones por sí mismo no podría ser suficiente para

clasificar el programa como malware. Sin embargo,

en conjunto, podrían ser indicativos de un

programa malicioso.


• La mayor desventaja de la heurística es que puede

marcar archivos legítimos como maliciosos.

• La industria del malware utiliza ejecución retardada

para comprobar si se encuentra en un entorno

controlado o de emulación.

• Otra técnica consiste en lanzar el programa ‘bueno’ y

ejecutar la pieza de malware sobre una acción del

programa.

Desventajas


Ventajas

Detección por comparación

Identifica el malware mediante la recopilación de

datos de los equipos protegidos con el antimalware.

Esto se hace generalmente mediante la captura de

los datos relevantes sobre el archivo y el contexto

de su ejecución en el punto final, y les proporciona

datos al motor en la nube para su procesamiento.

El agente antivirus local solamente necesita realizar

un procesamiento mínimo.

Un motor basado en la nube permite a los usuarios

individuales de la herramienta antivirus para

beneficiarse de las experiencias de otros

miembros de la comunidad


• Ineficaz ante malware de día 0.

• El malware actual utiliza técnicas de falseo de datos al

identificar el tipo de antimalware que está instalado en

el equipo, enviando datos de otras aplicaciones

legitimas.

• También permite el bloqueo de direcciones IP donde el

antimalware envía información.

• URL´s salientes: Los botnets de última generación

crean miles de conexiones de URL salientes que

pueden confundir a los dispositivos de seguridad.

Estos patrones pueden transformarse constantemente

y pueden evadir algunos métodos de detección.

Desventajas


http://www.av-comparatives.org/wp-content/uploads/2015/10/avc_fdt_201509_en.pdf

ANATOMIA DE UNA

EXTORSION (I)

Análisis de Malware en Canales

Encubiertos - Casos Reales

HackLab


Tiene 48 horas para abonar la cantidad, si no

lo hace sus sistemas dejaran de dar servicio.

Hoy a las 16:01h sabrá de mi existencia.


PLANIFICACIÓN

Primera reunión (ejecutiva):

• Establecer los puntos de fuga o de entrada ante

un ataque

• Determinar el riesgo

• Activar continuidad de negocio

Segunda reunión (técnica):

• Activar contingencia local (Backups)

• Desplegar herramientas de control


Objetivos

Determinar el origen de la fuente

Analizar las cabeceras de correo

Comprobar la amenaza por internet

Activar protocolos de denuncia

Activar protocolos de comunicación


DESPLIEGUE Y CONTROL

• Consiste en la toma de control de todos los

dispositivos de seguridad.

• Refuerzo de actualizaciones

• ‘parches’ de seguridad

• Fortalecimiento de contraseñas

• Control de los activos críticos

• Servidores

• Bases de datos

• Frontend


Objetivos

Disponer de una toma de control de los

sistemas más críticos.

Aplicar medidas de control

Aplicar monitorización


TECNOLOGIAS


ANATOMIA DE UNA

EXTORSION

HORA ZULU


16:01h

• Silencio absoluto

• Tráfico normal

16:03h

• Aumento de peticiones a Google

• Aumento del tráfico https

• Aumento de peticiones de un

departamento de usuarios



16:01h


• Tráfico normal

16:03h







¿Qué obtuvimos?

Una pieza de malware que realizaba las siguientes

funciones en el equipo infectado:

• Peticiones a un formulario ubicado en Google

Docs

De los cuales envía la siguiente información:

• Usuarios

• Contraseñas

• Documentos de Word

• Visor de eventos

• Certificados.


• Las contraseñas se envían a un formulario

• Los documentos o archivos de gran tamaño

a Gdrive


¿Cómo funciona?

Se ejecuta en los siguientes sistemas

operativos:

Windows 2012, Windows 7, Windows 8, Windows

10, Windows 95, Windows 98, Windows Me,

Windows NT, Windows Server 2003, Windows

Server 2008, Windows Vista, Windows XP.

Se crea la siguiente clave en el registro:

HKEY_CURRENT_USER\Software\Microsoft\Wind

ows\CurrentVersion\Explorer\CLSID\[RANDOM

GUID]\ShellFolder\"[RANDOM CHARACTERS]" =

"[ENCRYPTED CONFIGURATION DATA]"

El malware se conecta a:

XXX.XXX.XXX.XXX:8080

Donde espera actualizaciones o comandos

Se inicia al arranque del sistema operativo:

HKEY_CURRENT_USER\Software\Microsoft\Wind

ows\CurrentVersion\Run\"wwnotify" = "rundll32.dll

Infecta los navegadores del usuario.



¿Qué mecanismo de evasión utiliza?

Inmune a la detección de los antimalwares (0 Day)

• Código ofuscado

• Código poliformico

• Código cifrado

• Utiliza SSL de las peticiones a Google.

Genera múltiples conexiones legitimas a sitios web de

la organización (con objeto de confundir)



¿Cómo lo detectamos?

Desde un primer momento es difícil dado que no

es detectado por los antivirus.

Utilizando Indicadores de compromiso (IOC)

El patrón a utilizar son los siguientes:

• Entre 300 y 700 peticiones por segundo a

servidores de Google

• Peticiones a Gdrive (ver DNS)

• Utilización de las claves del registro anteriormente

citadas

• Conexiones cuyo puerto de destino es 8080

• Proceso oculto con nombre “Rundll32dll”

• Proceso oculto con nombre “wupdate”


CANALES

ENCUBIERTOS


¿Qué es un canal encubierto?

Es un mecanismo de fuga de información qué consiste

en la utilización de tráfico de red legitimo en

conexiones a redes sociales o sitios web de alto

prestigio y que por medio de una vulnerabilidad o

función, permite que un pirata informático envíe

información al exterior.

Un concepto más sencillo es el uso del puerto 443 o

certificado firmado o bien utilizar el propio de las redes

sociales.

Los proxies, NAT y otros mecanismos son de mucha

utilidad para neutralizar algunos tipos de canales,

especialmente aquellos en los que la conexión termina

en la frontera y es iniciada una nueva, como es el caso

de los proxies. Por ello los atacantes están empleando

cada vez más canales de comunicación basados en

protocolo HTTP, ya que este es uno de los pocos que

habitualmente están permitidos en cualquier

organización. Como medida de ocultación, suelen

utilizar conexiones HTTPS que impiden la inspección

de los paquetes por parte de los detectores de

intrusos.



¿Dónde se conectan?

Generalmente a servidores comprometidos o

alquilados en diferentes lugares del mundo, que les

sirven de Command & Control (C&C).

Esto hace que los especialistas en seguridad hayan

desarrollado listas de negras y de reputación de

direcciones IP, redes y nombres de dominio, que

sirven para identificar estas conexiones anómalas.

Hoy en día el malware utiliza conexiones conocidas

como Google, Facebook o Twitter.

En estos momentos, el uso de canales cubiertos por

parte de malware está más extendido



EJEMPLO


TECNICAS DE

EVASION


Un sencillo KeyLogger

Lo ideal para la industria del malware es desarrollar

algo nuevo, que no este registrado en las casas

antivirus.

Para ello realizan un malware simple y van

construyendo objetos alrededor de este.



RAM EVASION

Uno de los métodos más comunes para evitar la

detección de un malware es ejecutar un binario o

Shell en la memoria, sin necesidad de tocar el

disco duro.

Para lograr esto, existen varios módulos públicos,

utilizando Shellcode o incluir un módulo RunPE a

partir de la creación de un crypter.

La técnica del unicornio (Unicorn) está siendo

actualmente devastadora al poder evadir el acceso

a disco.


“Sin duda existen millones de binarios repartidos por el

mundo utilizando esta misma ShellCode ¿Cómo es

posible que los antivirus no la detecten?”

Sencillamente porque es imposible realizar el análisis en

memoria de todos los ejecutables de un ordenador, por

cuestiones de rendimiento. No obstante, si esta

ShellCode se incluye como “string” en el binario en disco,

las compañías antivirus tendrán mucho más sencilla su

detección…cosa que la industria del malware sabe.


RAM EVASION - TECNICA UNICORN

Es una técnica simple para el uso de un ataque

sobre PowerShell e inyectar código shell

directamente en la memoria.

El uso es sencillo, basta con ejecutar el programa

(debe de estar instalado metasploit) y se genera el

código de PowerShell en una ventana de línea de

comandos.

Se crea un fichero con la Shell a ejecutar.

Es la base de muchos de los malwares actuales.



MACROS DE OFFICE

Una forma sencilla de ‘engañar’ a la victima es

utilizar macros embebidos en documentos y hojas

de cálculo de Microsoft Office.

Código de Visual Basic es fácil de escribir, flexible y

fácil de refactorizar.

Todas las macros de fuentes no confiables están

deshabilitadas de forma predeterminada y su

código sólo se ejecuta si el usuario lo permite de

forma explícita.

Para superar esta limitación, los autores de código

tienen que utilizar técnicas de ingeniería social para

engañar a los usuarios para ejecutar sus macros.

.



MACROS DE OFFICE

Se ha descubierto lo que parece ser una serie de

plantillas downloader VBA. Estas plantillas en

cuestión contiene código de Visual Basic con

comentarios útiles en cuanto a donde los autores

deben insertar un enlace malicioso, así como

detalles de los métodos para ofuscar el código.

El código en las plantillas suele ser muy simplista

en diseño. Por ejemplo, la plantilla de la foto de

abajo, simplemente importa la API de Windows

URLDownloadToFile para descargar un archivo

ejecutable en el directorio temporal del usuario

Una vez descargado, el código utiliza el shell de

comandos para ejecutar la muestra.


Unicorn - Macros de Office

Sobre una hoja de cálculo legítima se sustituye algunas funciones

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited ("DTTL"), sociedad del Reino Unido no cotizada limitada

por garantía, y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad

jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página

www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.

Deloitte presta servicios de auditoría, consultoría, asesoramiento fiscal y legal y asesoramiento en transacciones y reestructuraciones a

organizaciones nacionales y multinacionales de los principales sectores del tejido empresarial. Con más de 200.000 profesionales y presencia en

150 países en todo el mundo, Deloitte orienta la prestación de sus servicios hacia la excelencia empresarial, la formación, la promoción y el impulso

del capital humano, manteniendo así el reconocimiento como la firma líder de servicios profesionales que da el mejor servicio a sus clientes.

técnicas de evasión de antivirus y canales encubiertos · normas iso 27001, cmmi (nivel 5),...

Documents