3. Perspectiva:Content Page
El campo de batalla mundial está migrando de los 4
Dominios tradicionales al quinto Dominio:
Tierra Mar
Aire
Ciberespacio
Toda la Infraestructura Crítica de un País
pasa a ser un Objetivo militar para
cualquier atacante o enemigo;
Las entidades que hacen parte de la
Infraestructura Crítica de un país están
conectadas al Ciberespacio.
AMENAZAS AVANZADAS PERSISTENTES - APT
6. QUE ES UNA APT ? (Advanced Persistent Threat)
Amenaza Avanzada Persistente
• Malware orientado específicamente contra objetivos Corporativos,
Políticos, de Infraestructura o Militares
• Este Malware, normalmente es Diseñado y Construido a la Medida
específica del Blanco (Caso Stuxnet)
• Puede adaptarse de acuerdo a las condiciones que encuentre en el
Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones)
AMENAZAS AVANZADAS PERSISTENTES - APT
7. Busca Beneficio Económico;
• Robo de Identidad
• Datos de Tarjetas de Crédito
• Datos Bancarios
• Secuestro Información
• Daño a un Enemigo o Competidor
Comparación APT vs. Malware Tradicional
Malware Tradicional APT
Control, Información, Desestabilizar
• Robo de Secretos Corporativos
• Control de Infraestructura Crítica Enemiga
• Alta Latencia
• Ultima Tecnología
• Baja Detección
AMENAZAS AVANZADAS PERSISTENTES - APT
9. ¿Que Hace mas peligrosas a las APT ?
Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la
mayoría de los casos no está preparado y no ha pasado por procesos de
concientización suficientes para hacerlo desconfiar de ciertos indicadores;
• Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos)
• Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la
Empresa – Entidad
• Correo electrónico que le indique la obligación de descargar determinado software o información.
• Regalo de Dispositivos de Almacenamiento (USB)
AMENAZAS AVANZADAS PERSISTENTES - APT
10. Recolección de Información - OSINT
Fases de una APT
Lograr un Punto de Acceso
Recibir Ordenes del Comando y Control (C&C) – (C2)
Movimiento Lateral
Fase 6
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5 Descubrimiento de Activos – Datos - Información
Exfiltración – Robar los Datos encontrados
AMENAZAS AVANZADAS PERSISTENTES - APT
11. • Ambiente e Infraestructura de IT
• Estructura Organizacional
• Empleados – Ex Empleados
• Correos Electrónicos
• Colaboradores
• Clientes
• Proveedores
Fase 1: Recolección de Información
AMENAZAS AVANZADAS PERSISTENTES - APT
12. • Correo Electrónico Malicioso
• Mensajería Instantánea
• Aplicaciones Maliciosas en Redes Sociales
• Regalo de Dispositivos
• Explotación de Fallas en Software
• INSIDER
87% de las Organizaciones Atacadas, caen por una URL maliciosa
Fase 2: Lograr un punto de acceso
AMENAZAS AVANZADAS PERSISTENTES - APT
13. Llamar a Casa para recibir instrucciones
• Asegurar la Continuidad de la Comunicación entre la red
Comprometida y el o los Servidores de C&C o C2.
• La mayor cantidad de tráfico de C&C se maneja a través de puertos
HTTP y HTTPS utilizados para navegación web común.
• Se utilizan mecanismos Fast Flux para esconder los Servidores
C&C o C2
Fase 3: Comando y Control (C&C)
AMENAZAS AVANZADAS PERSISTENTES - APT
14. Fase 3: Comando y Control (C&C)
Maquina Infectada
con
APT en Al interior
de la Entidad
Firewall que permite el
paso de tráfico por
puertos conocidos:
80 - 443
Sitio Web Malicioso
que hace las veces de
C&C / C2
(Comando y Control)
Red de
Ocultamiento
utilizada por el
Atacante
Atacante
AMENAZAS AVANZADAS PERSISTENTES - APT
15. Fase 3: (C&C) – Fast Flux
Sitio Web
www.maligno.com
Dirección IP 1
AMENAZAS AVANZADAS PERSISTENTES - APT
Dirección IP 2
Dirección IP 3
Dirección IP 4
Dirección IP 5
Direcciones
Múltiples que
rotan
permanentemente
para engañar a los
mecanismos de
detección y filtrado
Servidor de Resolución de
Nombres - DNS Resuelve
hacia múltiples direcciones ip
el Dominio
www.maligno.com
16. Búsqueda de Computadores en la red comprometida que almacenen
información sensible e importante de la Entidad o Empresa con valor
para el o los atacantes.
Las técnicas utilizadas incluyen:
• Modificar claves de acceso de un Computador o Servidor
• Creación de Nombres de Usuarios para tener acceso
• Escalar Privilegios
Fase 4: Movimiento Lateral
AMENAZAS AVANZADAS PERSISTENTES - APT
17. • Identificar los Sistemas Principales de la Entidad Atacada
• Servidores
• Estaciones Clave
• Identificar información importante para su futura ex filtración.
• Este proceso puede tomar mucho tiempo, pero esta es una de las
características de las APT; sus dueños no tienen prisa.
Fase 5: Descubrimiento de ACTIVOS / DATOS
AMENAZAS AVANZADAS PERSISTENTES - APT
18. • Transmisión de la Información de Valor a una ubicación bajo el
control del atacante.
• Esto se realiza normalmente por puertos de salida autorizados en el
Firewall de las Entidades Objetivo: http (80) https(443-SSL).
Fase 6: Exfiltración de los Datos
AMENAZAS AVANZADAS PERSISTENTES - APT
21. • La mayoría de las Arquitecturas de defensa se diseñan pensando que el
enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos
olvidamos de controlar las Salidas.
• Muchas APT han logrado éxito por que alguien interno colaboró (Insider).
• Nuestras defensas tradicionales están diseñadas para permitir
puertos/servicios y/o denegar puertos/servicios; así que un servicio
permitido puede ser explotado (Http/Https).
¿Porqué no es efectiva nuestra defensa?
AMENAZAS AVANZADAS PERSISTENTES - APT
22. • Nuestras defensas tradicionales no están preparadas para manejar
vulnerabilidades dia cero.
• Contra el malware avanzado depositamos nuestra confianza en los
Antivirus, los cuales detectan amenazas basados en firmas o
comportamiento (Heurística Rudimentaria), con insuficiente profundización;
si el Malware es lo suficientemente avanzado, la detección es nula.
¿Porqué no es efectiva nuestra defensa?
AMENAZAS AVANZADAS PERSISTENTES - APT
23. La respuesta es……… No Necesariamente!
• Existen mecanismos, políticas y tecnologías que nos permiten mejorar el
nivel de detección del comportamiento de las APT;
• No necesariamente vamos a poder detectar la penetración o el ataque en si
mismo, pero si podemos detectar sus consecuencias.
¿Estamos indefensos ante las APT?
AMENAZAS AVANZADAS PERSISTENTES - APT