SlideShare a Scribd company logo

Amenazas avanzadas persistentes

Secpro - Security Professionals
Secpro - Security Professionals

APT - Amenazas Avanzadas Persistentes

Technology
1 of 24
Download to read offline
Armas Utilizadas en el Quinto Dominio de la Guerra AMENAZAS AVANZADAS PERSISTENTES - APT El Ciberespacio David Pereira
David Pereira David Pereira: (CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH) es un Investigador Digital, Consultor con mas de 17 años de experiencia en el Area de la Seguridad informática y la Computación Forense, que ha desarrollado labores de Ethical Hacking, Pruebas de Penetración y Análisis Forense para diversas Entidades Nacionales como Internacionales de múltiples ambitos como el Financiero, Energético, Militar, Diplomatico, Minero, entre otros. AMENAZAS AVANZADAS PERSISTENTES - APT
Perspectiva:Content Page El campo de batalla mundial está migrando de los 4 Dominios tradicionales al quinto Dominio: Tierra Mar Aire Ciberespacio Toda la Infraestructura Crítica de un País pasa a ser un Objetivo militar para cualquier atacante o enemigo; Las entidades que hacen parte de la Infraestructura Crítica de un país están conectadas al Ciberespacio. AMENAZAS AVANZADAS PERSISTENTES - APT
OTAN: LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI http://www.nato.int/ docu/review/2013/Cy ber/Hackers-for- hire/EN/index.htm
CIBERDEFENSA Se crea el concepto de C4ISR: • Comando • Control • Comunicaciones • Computadores • Inteligencia • Vigilancia • Reconocimiento AMENAZAS AVANZADAS PERSISTENTES - APT
QUE ES UNA APT ? (Advanced Persistent Threat) Amenaza Avanzada Persistente • Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares • Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco (Caso Stuxnet) • Puede adaptarse de acuerdo a las condiciones que encuentre en el Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones) AMENAZAS AVANZADAS PERSISTENTES - APT
Busca Beneficio Económico; • Robo de Identidad • Datos de Tarjetas de Crédito • Datos Bancarios • Secuestro Información • Daño a un Enemigo o Competidor Comparación APT vs. Malware Tradicional Malware Tradicional APT Control, Información, Desestabilizar • Robo de Secretos Corporativos • Control de Infraestructura Crítica Enemiga • Alta Latencia • Ultima Tecnología • Baja Detección AMENAZAS AVANZADAS PERSISTENTES - APT
Objetivo: Infraestructura Crítica Redes Eléctricas Sistema Financiero Soporte Vital Sistemas Información Generación de Poder Redes de Comunicación Gobierno Bancos Bolsa de Valores Acueducto Vías / Carreteras BD Registraduría BD DIAN BD EPS/IPS BD Centrales Riesgo Hidroeléctricas Termoeléctricas Petroleras Gasoductos Cables Interoceánicos Internet Satélites Radio Red Celulares Suministro de Energía Ejecutivo Autoridades Civiles Autoridades Militares Sistemas SCADA / AUTOMATIZACION Se controlan por medio de Sistemas de información que pueden ser Vulnerables ante APT AMENAZAS AVANZADAS PERSISTENTES - APT
¿Que Hace mas peligrosas a las APT ? Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización suficientes para hacerlo desconfiar de ciertos indicadores; • Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos) • Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la Empresa – Entidad • Correo electrónico que le indique la obligación de descargar determinado software o información. • Regalo de Dispositivos de Almacenamiento (USB) AMENAZAS AVANZADAS PERSISTENTES - APT
Recolección de Información - OSINT Fases de una APT Lograr un Punto de Acceso Recibir Ordenes del Comando y Control (C&C) – (C2) Movimiento Lateral Fase 6 Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Descubrimiento de Activos – Datos - Información Exfiltración – Robar los Datos encontrados AMENAZAS AVANZADAS PERSISTENTES - APT
• Ambiente e Infraestructura de IT • Estructura Organizacional • Empleados – Ex Empleados • Correos Electrónicos • Colaboradores • Clientes • Proveedores Fase 1: Recolección de Información AMENAZAS AVANZADAS PERSISTENTES - APT
• Correo Electrónico Malicioso • Mensajería Instantánea • Aplicaciones Maliciosas en Redes Sociales • Regalo de Dispositivos • Explotación de Fallas en Software • INSIDER 87% de las Organizaciones Atacadas, caen por una URL maliciosa Fase 2: Lograr un punto de acceso AMENAZAS AVANZADAS PERSISTENTES - APT
Llamar a Casa para recibir instrucciones • Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2. • La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS utilizados para navegación web común. • Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2 Fase 3: Comando y Control (C&C) AMENAZAS AVANZADAS PERSISTENTES - APT
Fase 3: Comando y Control (C&C) Maquina Infectada con APT en Al interior de la Entidad Firewall que permite el paso de tráfico por puertos conocidos: 80 - 443 Sitio Web Malicioso que hace las veces de C&C / C2 (Comando y Control) Red de Ocultamiento utilizada por el Atacante Atacante AMENAZAS AVANZADAS PERSISTENTES - APT
Fase 3: (C&C) – Fast Flux Sitio Web www.maligno.com Dirección IP 1 AMENAZAS AVANZADAS PERSISTENTES - APT Dirección IP 2 Dirección IP 3 Dirección IP 4 Dirección IP 5 Direcciones Múltiples que rotan permanentemente para engañar a los mecanismos de detección y filtrado Servidor de Resolución de Nombres - DNS Resuelve hacia múltiples direcciones ip el Dominio www.maligno.com
Búsqueda de Computadores en la red comprometida que almacenen información sensible e importante de la Entidad o Empresa con valor para el o los atacantes. Las técnicas utilizadas incluyen: • Modificar claves de acceso de un Computador o Servidor • Creación de Nombres de Usuarios para tener acceso • Escalar Privilegios Fase 4: Movimiento Lateral AMENAZAS AVANZADAS PERSISTENTES - APT
• Identificar los Sistemas Principales de la Entidad Atacada • Servidores • Estaciones Clave • Identificar información importante para su futura ex filtración. • Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; sus dueños no tienen prisa. Fase 5: Descubrimiento de ACTIVOS / DATOS AMENAZAS AVANZADAS PERSISTENTES - APT
• Transmisión de la Información de Valor a una ubicación bajo el control del atacante. • Esto se realiza normalmente por puertos de salida autorizados en el Firewall de las Entidades Objetivo: http (80) https(443-SSL). Fase 6: Exfiltración de los Datos AMENAZAS AVANZADAS PERSISTENTES - APT
Caso Shady RAT AMENAZAS AVANZADAS PERSISTENTES - APT
NO!!! ¿Nuestras Defensas Normales son Efectivas ante una APT? AMENAZAS AVANZADAS PERSISTENTES - APT
• La mayoría de las Arquitecturas de defensa se diseñan pensando que el enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos olvidamos de controlar las Salidas. • Muchas APT han logrado éxito por que alguien interno colaboró (Insider). • Nuestras defensas tradicionales están diseñadas para permitir puertos/servicios y/o denegar puertos/servicios; así que un servicio permitido puede ser explotado (Http/Https). ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
• Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades dia cero. • Contra el malware avanzado depositamos nuestra confianza en los Antivirus, los cuales detectan amenazas basados en firmas o comportamiento (Heurística Rudimentaria), con insuficiente profundización; si el Malware es lo suficientemente avanzado, la detección es nula. ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
La respuesta es……… No Necesariamente! • Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; • No necesariamente vamos a poder detectar la penetración o el ataque en si mismo, pero si podemos detectar sus consecuencias. ¿Estamos indefensos ante las APT? AMENAZAS AVANZADAS PERSISTENTES - APT
¿Preguntas? David F. Pereira david.pereira@secpro.org Twitter: d4v1dp3r31r4

Recommended

Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Windows internals Essentials
Windows internals EssentialsWindows internals Essentials
Windows internals EssentialsJohn Ombagi
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Trupti Shiralkar, CISSP
 
WTF is Penetration Testing v.2
WTF is Penetration Testing v.2WTF is Penetration Testing v.2
WTF is Penetration Testing v.2Scott Sutherland
 
The Rise of the Purple Team
The Rise of the Purple TeamThe Rise of the Purple Team
The Rise of the Purple TeamPriyanka Aash
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 

Recommended

Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Windows internals Essentials
Windows internals EssentialsWindows internals Essentials
Windows internals EssentialsJohn Ombagi
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Trupti Shiralkar, CISSP
 
WTF is Penetration Testing v.2
WTF is Penetration Testing v.2WTF is Penetration Testing v.2
WTF is Penetration Testing v.2Scott Sutherland
 
The Rise of the Purple Team
The Rise of the Purple TeamThe Rise of the Purple Team
The Rise of the Purple TeamPriyanka Aash
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 
Ethical hacking/ Penetration Testing
Ethical hacking/ Penetration TestingEthical hacking/ Penetration Testing
Ethical hacking/ Penetration TestingANURAG CHAKRABORTY
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfSouvikRoy114738
 
Purple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation ExercisesPurple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation ExercisesJorge Orchilles
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Threat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CKThreat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CKKatie Nickels
 
Proactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesProactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesRecorded Future
 
Red team and blue team in ethical hacking
Red team and blue team in ethical hackingRed team and blue team in ethical hacking
Red team and blue team in ethical hackingVikram Khanna
 
C2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control FrameworksC2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control FrameworksJorge Orchilles
 
Purple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHatPurple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHatJorge Orchilles
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2Secpro - Security Professionals
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...CODE BLUE
 
How to Plan Purple Team Exercises
How to Plan Purple Team ExercisesHow to Plan Purple Team Exercises
How to Plan Purple Team ExercisesHaydn Johnson
 
OSI Layer Security
OSI Layer SecurityOSI Layer Security
OSI Layer SecurityNurkholish Halim
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent ThreatAmmar WK
 
Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Christopher Korban
 
Advanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security ManagementAdvanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security ManagementMayur Nanotkar
 
Android Security & Penetration Testing
Android Security & Penetration TestingAndroid Security & Penetration Testing
Android Security & Penetration TestingSubho Halder
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...HelpSystems
 

More Related Content

What's hot

Ethical hacking/ Penetration Testing
Ethical hacking/ Penetration TestingEthical hacking/ Penetration Testing
Ethical hacking/ Penetration TestingANURAG CHAKRABORTY
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfSouvikRoy114738
 
Purple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation ExercisesPurple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation ExercisesJorge Orchilles
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Threat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CKThreat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CKKatie Nickels
 
Proactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesProactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesRecorded Future
 
Red team and blue team in ethical hacking
Red team and blue team in ethical hackingRed team and blue team in ethical hacking
Red team and blue team in ethical hackingVikram Khanna
 
C2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control FrameworksC2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control FrameworksJorge Orchilles
 
Purple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHatPurple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHatJorge Orchilles
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERAErik Van Buggenhout
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...CODE BLUE
 
How to Plan Purple Team Exercises
How to Plan Purple Team ExercisesHow to Plan Purple Team Exercises
How to Plan Purple Team ExercisesHaydn Johnson
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixJorge Orchilles
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent ThreatAmmar WK
 
Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Christopher Korban
 
Advanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security ManagementAdvanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security ManagementMayur Nanotkar
 
Android Security & Penetration Testing
Android Security & Penetration TestingAndroid Security & Penetration Testing
Android Security & Penetration TestingSubho Halder
 

What's hot (20)

Ethical hacking/ Penetration Testing
Ethical hacking/ Penetration TestingEthical hacking/ Penetration Testing
Ethical hacking/ Penetration Testing
 
Thick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdfThick Client Penetration Testing.pdf
Thick Client Penetration Testing.pdf
 
Purple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation ExercisesPurple Team - Work it out: Organizing Effective Adversary Emulation Exercises
Purple Team - Work it out: Organizing Effective Adversary Emulation Exercises
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Threat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CKThreat-Based Adversary Emulation with MITRE ATT&CK
Threat-Based Adversary Emulation with MITRE ATT&CK
 
Proactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesProactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor Types
 
Red team and blue team in ethical hacking
Red team and blue team in ethical hackingRed team and blue team in ethical hacking
Red team and blue team in ethical hacking
 
C2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control FrameworksC2 Matrix A Comparison of Command and Control Frameworks
C2 Matrix A Comparison of Command and Control Frameworks
 
Purple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHatPurple Team Exercise Hands-On Workshop #GrayHat
Purple Team Exercise Hands-On Workshop #GrayHat
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERA
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
[CB21] Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon ...
 
How to Plan Purple Team Exercises
How to Plan Purple Team ExercisesHow to Plan Purple Team Exercises
How to Plan Purple Team Exercises
 
OSI Layer Security
OSI Layer SecurityOSI Layer Security
OSI Layer Security
 
Adversary Emulation and the C2 Matrix
Adversary Emulation and the C2 MatrixAdversary Emulation and the C2 Matrix
Adversary Emulation and the C2 Matrix
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent Threat
 
Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018Purple Teaming with ATT&CK - x33fcon 2018
Purple Teaming with ATT&CK - x33fcon 2018
 
Advanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security ManagementAdvanced Persistent Threats (APTs) - Information Security Management
Advanced Persistent Threats (APTs) - Information Security Management
 
Android Security & Penetration Testing
Android Security & Penetration TestingAndroid Security & Penetration Testing
Android Security & Penetration Testing
 

Similar to Amenazas avanzadas persistentes

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...HelpSystems
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Héctor López
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Penetration testing
Penetration testingPenetration testing
Penetration testinggh02
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaKERNEL404
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICANeto-bujia
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 

Similar to Amenazas avanzadas persistentes (20)

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Phish and tricks
Phish and tricksPhish and tricks
Phish and tricks
 
Apt malware
Apt malwareApt malware
Apt malware
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
 

More from Secpro - Security Professionals

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaSecpro - Security Professionals
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 

More from Secpro - Security Professionals (14)

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
 

Recently uploaded

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Recently uploaded (10)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Amenazas avanzadas persistentes

  • 3. Perspectiva:Content Page El campo de batalla mundial está migrando de los 4 Dominios tradicionales al quinto Dominio: Tierra Mar Aire Ciberespacio Toda la Infraestructura Crítica de un País pasa a ser un Objetivo militar para cualquier atacante o enemigo; Las entidades que hacen parte de la Infraestructura Crítica de un país están conectadas al Ciberespacio. AMENAZAS AVANZADAS PERSISTENTES - APT
  • 5. CIBERDEFENSA Se crea el concepto de C4ISR: • Comando • Control • Comunicaciones • Computadores • Inteligencia • Vigilancia • Reconocimiento AMENAZAS AVANZADAS PERSISTENTES - APT
  • 6. QUE ES UNA APT ? (Advanced Persistent Threat) Amenaza Avanzada Persistente • Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares • Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco (Caso Stuxnet) • Puede adaptarse de acuerdo a las condiciones que encuentre en el Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones) AMENAZAS AVANZADAS PERSISTENTES - APT
  • 7. Busca Beneficio Económico; • Robo de Identidad • Datos de Tarjetas de Crédito • Datos Bancarios • Secuestro Información • Daño a un Enemigo o Competidor Comparación APT vs. Malware Tradicional Malware Tradicional APT Control, Información, Desestabilizar • Robo de Secretos Corporativos • Control de Infraestructura Crítica Enemiga • Alta Latencia • Ultima Tecnología • Baja Detección AMENAZAS AVANZADAS PERSISTENTES - APT
  • 8. Objetivo: Infraestructura Crítica Redes Eléctricas Sistema Financiero Soporte Vital Sistemas Información Generación de Poder Redes de Comunicación Gobierno Bancos Bolsa de Valores Acueducto Vías / Carreteras BD Registraduría BD DIAN BD EPS/IPS BD Centrales Riesgo Hidroeléctricas Termoeléctricas Petroleras Gasoductos Cables Interoceánicos Internet Satélites Radio Red Celulares Suministro de Energía Ejecutivo Autoridades Civiles Autoridades Militares Sistemas SCADA / AUTOMATIZACION Se controlan por medio de Sistemas de información que pueden ser Vulnerables ante APT AMENAZAS AVANZADAS PERSISTENTES - APT
  • 9. ¿Que Hace mas peligrosas a las APT ? Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización suficientes para hacerlo desconfiar de ciertos indicadores; • Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos) • Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la Empresa – Entidad • Correo electrónico que le indique la obligación de descargar determinado software o información. • Regalo de Dispositivos de Almacenamiento (USB) AMENAZAS AVANZADAS PERSISTENTES - APT
  • 10. Recolección de Información - OSINT Fases de una APT Lograr un Punto de Acceso Recibir Ordenes del Comando y Control (C&C) – (C2) Movimiento Lateral Fase 6 Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Descubrimiento de Activos – Datos - Información Exfiltración – Robar los Datos encontrados AMENAZAS AVANZADAS PERSISTENTES - APT
  • 11. • Ambiente e Infraestructura de IT • Estructura Organizacional • Empleados – Ex Empleados • Correos Electrónicos • Colaboradores • Clientes • Proveedores Fase 1: Recolección de Información AMENAZAS AVANZADAS PERSISTENTES - APT
  • 12. • Correo Electrónico Malicioso • Mensajería Instantánea • Aplicaciones Maliciosas en Redes Sociales • Regalo de Dispositivos • Explotación de Fallas en Software • INSIDER 87% de las Organizaciones Atacadas, caen por una URL maliciosa Fase 2: Lograr un punto de acceso AMENAZAS AVANZADAS PERSISTENTES - APT
  • 13. Llamar a Casa para recibir instrucciones • Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2. • La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS utilizados para navegación web común. • Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2 Fase 3: Comando y Control (C&C) AMENAZAS AVANZADAS PERSISTENTES - APT
  • 14. Fase 3: Comando y Control (C&C) Maquina Infectada con APT en Al interior de la Entidad Firewall que permite el paso de tráfico por puertos conocidos: 80 - 443 Sitio Web Malicioso que hace las veces de C&C / C2 (Comando y Control) Red de Ocultamiento utilizada por el Atacante Atacante AMENAZAS AVANZADAS PERSISTENTES - APT
  • 15. Fase 3: (C&C) – Fast Flux Sitio Web www.maligno.com Dirección IP 1 AMENAZAS AVANZADAS PERSISTENTES - APT Dirección IP 2 Dirección IP 3 Dirección IP 4 Dirección IP 5 Direcciones Múltiples que rotan permanentemente para engañar a los mecanismos de detección y filtrado Servidor de Resolución de Nombres - DNS Resuelve hacia múltiples direcciones ip el Dominio www.maligno.com
  • 16. Búsqueda de Computadores en la red comprometida que almacenen información sensible e importante de la Entidad o Empresa con valor para el o los atacantes. Las técnicas utilizadas incluyen: • Modificar claves de acceso de un Computador o Servidor • Creación de Nombres de Usuarios para tener acceso • Escalar Privilegios Fase 4: Movimiento Lateral AMENAZAS AVANZADAS PERSISTENTES - APT
  • 17. • Identificar los Sistemas Principales de la Entidad Atacada • Servidores • Estaciones Clave • Identificar información importante para su futura ex filtración. • Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; sus dueños no tienen prisa. Fase 5: Descubrimiento de ACTIVOS / DATOS AMENAZAS AVANZADAS PERSISTENTES - APT
  • 18. • Transmisión de la Información de Valor a una ubicación bajo el control del atacante. • Esto se realiza normalmente por puertos de salida autorizados en el Firewall de las Entidades Objetivo: http (80) https(443-SSL). Fase 6: Exfiltración de los Datos AMENAZAS AVANZADAS PERSISTENTES - APT
  • 20. NO!!! ¿Nuestras Defensas Normales son Efectivas ante una APT? AMENAZAS AVANZADAS PERSISTENTES - APT
  • 21. • La mayoría de las Arquitecturas de defensa se diseñan pensando que el enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos olvidamos de controlar las Salidas. • Muchas APT han logrado éxito por que alguien interno colaboró (Insider). • Nuestras defensas tradicionales están diseñadas para permitir puertos/servicios y/o denegar puertos/servicios; así que un servicio permitido puede ser explotado (Http/Https). ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
  • 22. • Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades dia cero. • Contra el malware avanzado depositamos nuestra confianza en los Antivirus, los cuales detectan amenazas basados en firmas o comportamiento (Heurística Rudimentaria), con insuficiente profundización; si el Malware es lo suficientemente avanzado, la detección es nula. ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
  • 23. La respuesta es……… No Necesariamente! • Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; • No necesariamente vamos a poder detectar la penetración o el ataque en si mismo, pero si podemos detectar sus consecuencias. ¿Estamos indefensos ante las APT? AMENAZAS AVANZADAS PERSISTENTES - APT