0FTS CONFIDENTIAL
Guerra contra los ciberataques dirigidos
Aproximación, táctica y herramientas
Copyright 2013 FUJITSU
Mar...
1FTS CONFIDENTIAL
Agenda
Copyright 2013 FUJITSU
 Anatomía de un APT
 Incidentes recientes por malware
dirigido
 ¿Quien ...
2FTS CONFIDENTIAL
Anatomía de un APT
 ¿Que es un APT?
 El termino APT (Advanced Persistent Threat) fue acuñado por la US...
3FTS CONFIDENTIAL
Anatomía de un APT
 Características de los APT
 Están organizados (varias personas, tecnologías y técn...
4FTS CONFIDENTIAL
Anatomía de un APT
 Son dirigidos (a organizaciones específicas, individuos, estados, naciones
etc.)
 ...
5FTS CONFIDENTIAL
Anatomía de un APT
 Son Lentos y de Baja Intensidad
 Los atacantes monitorizan constantemente las rede...
6FTS CONFIDENTIAL
Anatomía de un APT
 OBJETIVOS de un APT
 Políticos - Incluye ataques a la población para alcanzar los ...
7FTS CONFIDENTIAL
Incidentes por malware dirigido
Copyright 2013 FUJITSU
8FTS CONFIDENTIAL
Anatomía de un APT
 ¿QUIEN ESTA DETRAS?
 Nacion, estado, cyberseguridad
 El "problema de la atribució...
9FTS CONFIDENTIAL
Anatomía de un APT
 Hall of Fame
1. Flame
2. Aurora
3. Duqu
4. Stuxnet
5. PoisonIvy
Copyright 2013 FUJI...
10FTS CONFIDENTIAL
Anatomía de un APT
 Ciclo de vida de un APT
 Preparación
 Definir Objetivo
 Encontrar y organizar c...
11FTS CONFIDENTIAL
Anatomía de un APT
 Expansión
 Esta fase incluye:
 Ampliar acceso y obtener
credenciales
 Fortalece...
12FTS CONFIDENTIAL
Mitigación de APTs
 Sistema clásico de “Seguridad en Profundidad”. Absolutamente
necesario para mitiga...
13FTS CONFIDENTIAL
Application Whitelisting
 No es una verdadera solución de amplio
espectro.
 Si bien es cierto que es ...
14FTS CONFIDENTIAL
FireEye
Copyright 2013 FUJITSU
http://www.youtube.com/watch?v=c9DV5rICto8
 Video
15FTS CONFIDENTIAL
FireEye
 Nueva generación de soluciones para detección de ataques
dirigidos, y zerodays, y en general ...
16FTS CONFIDENTIAL
FireEye
Copyright 2013 FUJITSU
Fase 1: Captura agresiva con firmas y eurísticos
 Despliegue pasivo/fue...
17FTS CONFIDENTIAL
FireEye
 QUÉ NO ES FireEye:
 No es un Firewall
 No es un IPS
 No es un NGFW
 No es un Proxy
 No e...
18FTS CONFIDENTIAL
FireEye
 Nuevo sistema de detección de , no sustituye a capas actuales
Copyright 2013 FUJITSU
Email
MP...
19FTS CONFIDENTIAL
FireEye. Cómo el malware traspasa la
tecnología actual de seguridad
 ¿Por que la tecnología de segurid...
20FTS CONFIDENTIAL
FireEye. Cómo el malware traspasa la
tecnología actual de seguridad
 Ejemplo de porosidad
Copyright 20...
21FTS CONFIDENTIAL
FireEye
 Perfil de FireEye
 Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador
de ...
22FTS CONFIDENTIAL
Web Malware Protection System
Copyright 2013 FUJITSU
• Bloqueo en linea tanto
entrante como saliente
• ...
23FTS CONFIDENTIAL
Email Malware Protection System
Copyright 2013 FUJITSU
• Soporta muchos tipos de
ficheros (PDF, formato...
24FTS CONFIDENTIAL
 Protege servidores que comparten ficheros del malware latente
 Controla el malware adquirido en la r...
25FTS CONFIDENTIAL
Multi-Protocol, Real-Time VX Engine
Copyright 2013 FUJITSU
FASE 1
Multi-Protocol
Objecto de Captura
FAS...
26FTS CONFIDENTIAL
Cazando Botnets con FireEye
Copyright 2013 FUJITSU
 Botnet Grum desarticulado por FireEye junto Spamha...
27FTS CONFIDENTIAL
Upcoming SlideShare
Loading in …5
×

Guerra contra los_ciberataques_ dirigidos1

583 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
583
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • NOTAS:• Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well- known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.• Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level ofinteraction needed to execute their objectives.• Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.Source : Richard Bejtlich’s Blog
  • Perfil bajo, “belowthe radar”
  • http://www.elmundo.es/elmundo/2011/08/04/navegante/1312444272.html http://www.elmundo.es/elmundo/2011/08/05/navegante/1312533212.htmlEl diario oficial del gobierno chino ha rechazado las acusaciones contra China que aseguraban que era el 'actor estatal' que estaba detrás de los masivos 'ciberataques' contra gobiernos y empresas que la compañía de seguridadMcAfee aseguró haber descubierto.El Diario del Pueblo, principal portavoz del partido comunista en el país asiático, aseguró que las acusaciones estaban mal encaminadas. "La vinculación de China a los ataques de piratería en Internet es una irresponsabilidad", dijo.El Diario no cita ninguna reacción oficial a las acusaciones, pero su respuesta es lo más cercano a esa reacción gubernamental contra las acusaciones, pues el gobierno chino ha utilizado otras veces este periódico para dar respuesta a las acusaciones sobre piratería."El informe de McAfee asegura que hay un 'actor estatal' involucrado en la operación a gran escala de 'ciber-espionaje', pero es evidente que su análisis no resiste un análisis".La compañía McAfee informó esta semana que 72 organizaciones y gobiernos, entre las que estaban los gobiernos de Estados Unidos o Corea del Sur y organizaciones como Naciones Unidas o el Comité Olímpico Internacional, habían sido víctimas de una gran operación de 'ciber-espionaje' durante los últimos cinco años.El informe no señala que "actor estatal" estaba detrás de los ataques, sin embargo, varios expertos apuntaron con posterioridad a China como posible país responsable, ya que algunos de los objetivos tenían información de especial interés para Pekín.La respuesta del diario oficial chino acusa a McAfee de publicar el informe para alarmar a la gente para comprar sus productos de seguridad. "De hecho, como el número de ataques informáticos contra importantes empresas y organizaciones internacionales ha crecido este año, algunos medios internacionales han acusado varias veces a China como el 'villano' que está detrás de las escenas", añadió el periódico.El pasado mes de junio China ya fue acusada por Google de estar detrás delintento de robo de las contraseñas de cientos de usuarios de su correo Gmail. En aquella ocasión también fue el Diario del Pueblo el que respondió a Google acusándole de ser un "instrumento político" para difamar al gobierno chino.Este nuevo episodio dificulta un poco más las relaciones entre Occidente y China, enrarecidas desde hace tiempo por la falta de libertad en la red que existe en el país asiático.
  • Flame (28 Mayo 2012). por MAHER Center of IranianNational Computer Emergency Response Team (CERT),[5]Kaspersky Lab[6] and CrySyS Lab of the Budapest University of Technology and Economics.Afectó a  IranianOilMinistry  cyberespionage en paises de oriente medioEl ultimo estado en su informe (CrySySLab) es "es ciertamente el más sofisticado malware que hemos encontrado durante nuestra práctica; es, sin lugar a discusión, el malware más complejo jamás encontrado”Flame es un programa grande poco característico de 20 megabytes. Se ha escrito parcialmente en lenguaje de scripting Lua con código linkadocomplilado en C++, y permite a otros módulos de ataque que sean cargados después de la infección inicial. El malware utiliza cinco métodos de cifrado diferentes y una base de datos SQLite para almacenar información estructurada. Además incluye un certificado MS fraudulento de una ca intermediaAurora (12 de enero de 2010) Operation Aurora fué un  cyber ataque producido por un APT (advancedpersistentthreats) según el ElderwoodGroup, basado en Beijing, China, con conexiones con el People'sLiberationArmy. Inicialmente su revelación la hizo Google el 12 de enero de 2010, parece ser que el ataque comenzó a mediados del 2009 y continuó hasta diciembre de 2009.  Descubierto por McAfee, ha sido dirigido a docenas de organizaciones, entre otras Adobe Systems, Juniper Networks and Rackspace han confirmado públicamente que han sido objetivos. Según los medios, Yahoo, Symantec, NorthropGrumman, Morgan Stanley y Dow Chemical también fueron objetivos. Duqu (Septiembre 2011). Sistemas de control industriales. Cercano a Stuxnet aunque para propósitos distintos. Incluye Cripto, zero-day, c&c. Stuxnet. (Junio 2010). Se piensa que ha sido creado por UnitedStates e Israel para atacar instalaciones nucleares Iraníes con sistemas SCADA Siemens. Firma digital, 5 zero-days,  PoisonIvy (2005) Ejemplo de RAT. Descubierto por Symantec en 2005. Es considerado una pesadilla en los sistemas y redes; permite al atacante de forma secreta controlar el ordenador de los usuarios infectados. El malware como PoisonIvy se conoce como “remoteaccesstrojan,” proporciona control remoto al atacante a través de una puerta trasera. Una vez instalado el virus, el atacante puede activar los controles del ordenador atacado pra grabar o manipular su contenido, incluso activar el micrófono y la webcam para grabar audio y video. Pensado incialmente como herramienta para hackers amaters, PoisonIvy ha sido utilizado en sofisticados ataques contra docenas de firmas occidentales, incluyendo aquellos involucrados en la defensa de la industrias químicas, según informes públicos disponibles de Symantec. Tras la investigación, las trazas de los ataques apuntaban a China.
  • Secureworks
  • Caso Bit9 -------------------------------------------------------------------Hispasec - una-al-día 13/02/2013 El ataque a Bit9, malware firmado con certificados y otras conclusiones ----------------------------------------------------------------------- A Bit9 se le han colado en los sistemas de forma que los atacantes han firmado malware con un certificado perteneciente a la compañía de seguridad. Bit9 no es como un antivirus "al uso": su principal característica es basarse, al contrario que el resto de los motores, en listas blancas. ¿Qué demuestra el ataque sobre este acercamiento contra el malware?  Bit9 comercializa un producto basado en "whitelisting". Esto quiere decir que se basa en lo contrario a los antivirus convencionales: básicamente mantiene una enorme base de programas "confiables" y en las máquinas protegidas con él solo se pueden ejecutar esos programas. Como la propia Bit9 reconoce, se trata de un acercamiento que al menos rompe con la dinámica habitual. En principio y por definición, por muy nuevas que sean las amenazas no afectarán a los clientes que tienen instalada esta solución... Por ejemplo, ante TheFlame, los sistemas protegidos por Bit9 habrían sido los únicos capaces de no verse afectados por este fichero firmado por la mismísima Microsoft (y Bit9 se encargó de enorgullecerse públicamente de ello).  Pero no todo son luces en los sistemas de "listas blancas", y este incidente sirve para recordarlos. Mantener una lista blanca, es tremendamente complejo, costoso e "incómodo". Tanto, que los propios de Bit9 reconocen que los atacantes fueron capaces de entrar en sus sistemas precisamente porque no instalaron su propia solución en un puñado de equipos de su red. Suficientes para que un atacante penetrara en ella y consiguiera entrar hasta la cocina: robarle las claves privadas para poder firmar software.  Pero en ciertos entornos merece la pena sufrir esta incomodidad, y las soluciones de lista blanca seguro que son una capa de seguridad importante y robusta. ¿Cuánto? ¿Qué ocurre cuando un atacante tiene como objetivo una empresa protegida por lista blanca de software? ¿Es de verdad impenetrable? No, nunca. Pero el atacante sin duda se enfrenta ante un grave problema. Cuando se sabe que una compañía utiliza el antivirus X, simplemente se preparan las herramientas (el malware) que se va utilizar para evitar que esa compañía lo detecte, se modifica, se reprograma, se oculta hasta que pasa desapercibido para esa marca. ¿Pero y si la compañía solo permite ciertos programas, cómo hago pasar como legítimo mi malware?  En este caso, y es ciertamente curioso, las listas blancas han cumplido su objetivo... a medias. El atacante se ha visto obligado a ir más allá y atacar a la compañía que protege a su verdadero objetivo, para poder penetrar en él. En resumen, muy probablemente el ataque a Bit9 para firmar malware, no es más que un medio para que ese malware pase desapercibido a la hora de atacar algún sistema protegido por Bit9 (el fin último del atacante), y poder así entrar en ellos.  El hecho de que les haya resultado más sencillo atacar a la compañía que protege para, más tarde, atacar al protegido y tener éxito en ambos objetivos, puede hacernos una idea de lo desarrollado del ataque. Hay que tener en cuenta que, como todo, en los ataques también reina la economía del esfuerzo. Por muy motivados que estuvieran para entrar en un tercero protegido por Bit9, la alternativa de intentar romper ese sistema directamente les pareció más costosa que ir primero contra Bit9, firmar su código, y penetrar en ese tercero posteriormente. Las lecturas y conclusiones son varias. Los atacantes no temen entrar en ningún tipo de redes, por muy protegidas que puedan estar. Aunque la inversión sea alta, la recompensa debe cuadrarles con el beneficio. Esto es algo que ya sabemos desde que han aparecido los últimos "supertroyanos".  Sobre el uso de las listas blancas, demuestra la fortaleza de la aproximación, pero también sus debilidades. Una es la que ya conocíamos. El mayor miedo de un antivirus es caer en los falsos positivos, y en el caso de las listas blancas el problema de base sigue siendo el mismo que para todos los sistemas antivirus: dictaminar si un fichero es benigno o no. Imaginemos ficheros programados para ser benignos durante un tiempo, o que en un momento dado descargue módulos indeseables. Esto requeriría una ingeniería inversa potente, manual, compleja y en constante mejora... como los antivirus tradicionales.  Con este incidente se añade una pega en la que quizás no se había pensado demasiado... atacar a la compañía que cataloga un fichero como benigno o no, y marcar el malware como benigno. Aunque en realidad, no es, en esencia, muy diferente a lo que ocurrió con TheFlame. Sus creadores atacaron la estructura PKI de Microsoft, para poder entrar en un tercero cómodamente. Consiguieron firmar código y con ello el ataque más elaborado de la historia del malware.  Opina sobre esta noticia: http://unaaldia.hispasec.com/2013/02/el-ataque-bit9-malware-firmado-con.html#comments Más información: Bit9 and OurCustomers’ Securityhttps://blog.bit9.com/2013/02/08/bit9-and-our-customers-security/  Sergio de los Santosssantos@hispasec.comTwitter: @ssantosv
  • KEY POINT: More in-depth with the FireEye Malware VM analysis * Proprietary VM technology * Ability to detect even VM aware malware * Runs the full OS and browser software stack
  • Ejemplo si estuviésemos en el Q1 de 2011. El ficherobinario editor de MS “edit.com” pasaría en perímetro, al no llevarcargamaliciosa, el fichero de Conficker no, al ser un virus y estarestarfirmadodesde 2008, pero el malware (APT) Stuxnetpasaría a través del perímetro al no darpositivopor firma y estarprobadopara no dartampocopositivo en los algoritmoseurísticos.
  • ... http://www.sramanamitra.com/2008/10/27/opportunities-at-the-cusps-fireeye-ceo-ashar-aziz-part-7/ http://www.fireeye.com/company/leadership.htmlAshar Aziz, founded FireEye in 2004 and now serves as vice chairman of the board, CTO, and chief strategy officer. Since founding the company he has also served as CEO through November 2012 and has led the technical and business strategies for FireEye. He is the original inventor of the core set of technologies behind the groundbreaking FireEye Malware Protection System. This work has led to the filing of over 18 patents on various aspects of FireEye technologies. Ashar has received over 20 patents in the areas of networking, cryptography, network security, and data center virtualization for work done prior to FireEye. Before FireEye, Ashar founded Terraspring, a company focused on data center automation and virtualization. Terraspring was successfully acquired by Sun Microsystems in 2002, where Ashar then served as CTO of the company’s N1 program. Before Terraspring, Ashar spent twelve years at Sun as a distinguished engineer focused on networking and network security. Ashar holds an S.B in Electrical Engineering and Computer Science from the Massachusetts Institute of Technology and an M.S. in Computer Science from the University of California, Berkeley, where he received the UC Regents Fellowship.
  • The Cutwailbotnet, founded around 2007[1] is a botnet mostly involved in sending spam e-mails. The bot is typically installed on infected machines by a Trojan component calledPushdo.[2]HistoryIn June, 2009 it was estimated that the Cutwail botnet was the largest botnet in terms of the amount of infected hosts. Security provider MessageLabs estimated that the total size of the botnet was around 1.5 to 2 million individual computers, capable of sending 74 billion spam messages a day, or 51 million every minute, equal to 46.5% of the worldwide spam volume.[2][3]In February 2010 the botnet's activities were slightly altered when it started a DDoS attack against 300 major sites, including the CIA, FBI, Twitter and Paypal. The reasons for this attack weren't fully understood, and some experts described it as an "accident", mainly due to the lack of damage and disruption, along with the infrequency of the attacks.[4]In August 2010, researchers from University of California, Santa Barbara and Ruhr University Bochum attempted to take down the botnet, and managed to take offline 20 of the 30 Command and Control servers that the botnet was using.[2]
  • Guerra contra los_ciberataques_ dirigidos1

    1. 1. 0FTS CONFIDENTIAL Guerra contra los ciberataques dirigidos Aproximación, táctica y herramientas Copyright 2013 FUJITSU Maria Gutierrez <maria.gutierrez@ts.fujitsu.com> Luis Lopez <luis.lopez@ts.fujitsu.com> HOMSEC 2013
    2. 2. 1FTS CONFIDENTIAL Agenda Copyright 2013 FUJITSU  Anatomía de un APT  Incidentes recientes por malware dirigido  ¿Quien está detrás de los APT?  Mitigación de APTs  Application Whitelisting  FireEye  Cazando botnets con FireEye
    3. 3. 2FTS CONFIDENTIAL Anatomía de un APT  ¿Que es un APT?  El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force en 2006 para describir los ciberataques complejos (“Advanced’) contra objetivos específicos durante largos periodos de tiempo ( “persistent”).  Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o un gobierno  Hemos podido ver casos recientes de APTs, como el de RSA, las centrales nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la máxima eficacia y precisión.  Advanced: El adversario es poderoso y está organizado Persistent – Ataque constante Threat – Uso de amenazas digitales para materializar los ataques Copyright 2013 FUJITSU
    4. 4. 3FTS CONFIDENTIAL Anatomía de un APT  Características de los APT  Están organizados (varias personas, tecnologías y técnicas)  Son eficientes (a veces tecnologías simples como RATs (Remote Access Trojans), según los objetivos, a veces técnicas básicas o ingeniería social, otras veces utilizarán exploits 0-day o spear phishing  Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán reuniones de seguimiento para ver la forma de obtener el objetivo) Copyright 2013 FUJITSU
    5. 5. 4FTS CONFIDENTIAL Anatomía de un APT  Son dirigidos (a organizaciones específicas, individuos, estados, naciones etc.)  Son persistentes – No se hace una sola vez, sino durante un largo periodo  Son evasivos – pueden fácilemente camuflarse con los productos de seguridad tradicionales.  Son complejos – los APT comprenden una mezcla de métodos de ataque complejos dirigidos a múltiples vulnerabilidades.  Cuanto más tiempo permanezca sin detectar un atacante en la red del objetivo, mas daño podrá realizar. Copyright 2013 FUJITSU
    6. 6. 5FTS CONFIDENTIAL Anatomía de un APT  Son Lentos y de Baja Intensidad  Los atacantes monitorizan constantemente las redes sociales para obtener información ventajosa.  En un caso, los atacantes comprometieron los objetivos de un tercero suministrador de software, insertando un troyano en un software de actualización, y esperaron a que el objetivo real descargase el troyano a través de la actualización en su red.  Los hackers chinos disfrutaron de acceso sin límites a la red corporativa de Nortel durante una década, utilizando contraseñas robadas a los altos ejecutivos para descargar material protegido por la propiedad intelectual. Copyright 2013 FUJITSU
    7. 7. 6FTS CONFIDENTIAL Anatomía de un APT  OBJETIVOS de un APT  Políticos - Incluye ataques a la población para alcanzar los objetivos  Negocios / Económicos - El robo de propiedad intelectual, para obtener una ventaja competitiva  Técnicos - Obtener el código fuente para el desarrollo  Militares - Identificar los puntos débiles que permitirían a fuerzas militares inferiores derrotar a las fuerzas militares superiores Copyright 2013 FUJITSU
    8. 8. 7FTS CONFIDENTIAL Incidentes por malware dirigido Copyright 2013 FUJITSU
    9. 9. 8FTS CONFIDENTIAL Anatomía de un APT  ¿QUIEN ESTA DETRAS?  Nacion, estado, cyberseguridad  El "problema de la atribución“  Se esconden por la facilidad digital para hacerlo. Caso China. Copyright 2013 FUJITSU
    10. 10. 9FTS CONFIDENTIAL Anatomía de un APT  Hall of Fame 1. Flame 2. Aurora 3. Duqu 4. Stuxnet 5. PoisonIvy Copyright 2013 FUJITSU
    11. 11. 10FTS CONFIDENTIAL Anatomía de un APT  Ciclo de vida de un APT  Preparación  Definir Objetivo  Encontrar y organizar complices  Obtencción o construcción de herramientas  Investigación de objetivos/infraestructura/empleados  Test para detección Copyright 2013 FUJITSU  Intrusión Inicial  Despliegue  Intrusión Inicial  Iniciar conexión saliente
    12. 12. 11FTS CONFIDENTIAL Anatomía de un APT  Expansión  Esta fase incluye:  Ampliar acceso y obtener credenciales  Fortalecer puntos de apoyo  Search and Exfiltration  Búsqueda y evasión de datos  Cleanup  Eliminar pistas y permanecer indetectable Copyright 2013 FUJITSU
    13. 13. 12FTS CONFIDENTIAL Mitigación de APTs  Sistema clásico de “Seguridad en Profundidad”. Absolutamente necesario para mitigar cualquier amenaza.  Utilización de técnicas avanzadas de mitigación.  Soluciones:  Herramientas de Whitelisting  Ejecución previa y observación de comportamiento: FireEye  Whitelisting no es una VERDADERA solución. Presenta varios problemas. Copyright 2013 FUJITSU
    14. 14. 13FTS CONFIDENTIAL Application Whitelisting  No es una verdadera solución de amplio espectro.  Si bien es cierto que es buena solución en ciertos entornos , p.e. Cajeros automáticos, POS, en definitiva entornos MONO-APP, está muy limitado  Choca frontalmente con las técnicas de BYOD y movilidad actuales, explosión de “apps”, así como en cualquier entorno multipropósito.  En el caso de firma con certificados digitales de apps, PKI es el talón de Aquiles  Casos Copyright 2013 FUJITSU Word Chrome PowerPoint Winzip Mozilla Acrobat Reader Apps to run
    15. 15. 14FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU http://www.youtube.com/watch?v=c9DV5rICto8  Video
    16. 16. 15FTS CONFIDENTIAL FireEye  Nueva generación de soluciones para detección de ataques dirigidos, y zerodays, y en general malware no firmado y desconocido.  No es únicamente un set de algoritmos eurísticos y firmas  ¿Como lo hace?  Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o herramienta correspondiente: Word, Reader… en un entorno virtual.  Traza todo lo que hace incluso graba el entorno de runtime para análisis posterior. Utiliza esta info para bloqueo y publica la info para uso común.  Multi-vector: Multi-protocol,Web, Email, File, Forense Copyright 2013 FUJITSU
    17. 17. 16FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU Fase 1: Captura agresiva con firmas y eurísticos  Despliegue pasivo/fuera de banda o en línea  Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y EXEs  Maximiza la captura de ataques potenciales zero-day Phase 3 Tráfico de red InternoExterno Fase 3: Bloqueo del Call Back  Para el robo de datos/activos Fase 2: Análisis con Máquinas Virtuales  Confirmación de ataques maliciosos  Eliminación de falsos positivos
    18. 18. 17FTS CONFIDENTIAL FireEye  QUÉ NO ES FireEye:  No es un Firewall  No es un IPS  No es un NGFW  No es un Proxy  No es una gateway AV Copyright 2013 FUJITSU
    19. 19. 18FTS CONFIDENTIAL FireEye  Nuevo sistema de detección de , no sustituye a capas actuales Copyright 2013 FUJITSU Email MPS Web MPS Desktop AV IPS IDS Secure Web Gateway Port Scanning Javascript Malicioso Conocido URL Categorizadas Maliciosas Patrones y actividad de malware conocido Zero-Day Browser and/or Plugin Exploit Well Known Web Exploit Modified Polymorphically eMail SpearPhishing with URL to Malware or Malware Attached Filtros de Firmas/Heuristica/Reputación Ataques Browser Zero-Day y/o Exploits de Plugins Web Exploits Web Bien Conocidos Modificados Polimorficamente Email con SpearPhishing con URL a Malware o Malware Adjunto
    20. 20. 19FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  ¿Por que la tecnología de seguridad que ya tenemos no es suficiente?  Vulnerabilidades dirigidas a browser, ActiveX y plug-in  Exploits Zero-day  JavaScript ofuscado  Cargas polimorficas  Nombres de dominios dinámicos  Comunicaciones cifradas  Sitios web legítimos comprometidos  Ingeniería social…y más Copyright 2013 FUJITSU
    21. 21. 20FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  Ejemplo de porosidad Copyright 2013 FUJITSU
    22. 22. 21FTS CONFIDENTIAL FireEye  Perfil de FireEye  Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador de la compañía de virtualización Terraspring, adquirida por Sun  Aziz es el inventor original del conjunto de funcionalidades core que hay tras FireEye Malware Protection System.  La compañía tiene su sede en Milpitas, California.  El producto principal es su sistema de protección de Malware para web security, email security, file security y malware analysis.  En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de más rápido crecimiento en América del Norte en el Deloitte 2012 Technology Fast 500. Copyright 2013 FUJITSU
    23. 23. 22FTS CONFIDENTIAL Web Malware Protection System Copyright 2013 FUJITSU • Bloqueo en linea tanto entrante como saliente • Análisis de contenido avanzado (PDF, JavaScript, URLs) • Modelos hasta 1 Gbps con latencia de microseg. FUNCIONALIDADES  En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos  Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables  Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos  Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo comparte a través de la Malware Protection Cloud network  Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real http://
    24. 24. 23FTS CONFIDENTIAL Email Malware Protection System Copyright 2013 FUJITSU • Soporta muchos tipos de ficheros (PDF, formatos Office, ZIP, etc.) • Análisis de Adjuntos • Análisis de URL • Correlación de URLs maliciosas de emails al CMS FUNCIONALIDADES  Protección contra spear phishing y ataques compuestos  Analiza todo el correo para adjuntos y URLs maliciosas  Seguridad activa como MTA In-line o SPAN/BCC para monitorización  Análisis de fuerza bruta de todos los adjuntos en el VX Engine  Integración con Web MPS para análisis/bloqueo de URL maliciosas  Y para bloqueo de nuevos canales de callback que se descubran
    25. 25. 24FTS CONFIDENTIAL  Protege servidores que comparten ficheros del malware latente  Controla el malware adquirido en la red vía web o email o compartiendo ficheros u obtenido por procedimientos manuales  Detecta la difusión de malware a través de recursos compartidos de la red  Análisis continuo e incremental de los ficheros compartidos de la red  Integración con Web MPS para bloqueo de nuevos canales descubiertos de callback. File Malware Protection System Copyright 2013 FUJITSU • Soporta amplio rango de tipos de ficheros (PDF, Office, ZIP, etc.) • Soporta CIFS • Cuarentena de ficheros maliciosos FUNCIONALIDADES
    26. 26. 25FTS CONFIDENTIAL Multi-Protocol, Real-Time VX Engine Copyright 2013 FUJITSU FASE 1 Multi-Protocol Objecto de Captura FASE 2 Ejecución en Entorno Virtual FASE1: WEB MPS • Captura Agresiva • Filtrado de Objetos Web ANÁLISIS DINÁMICO EN TIEMPO REAL • Detección de exploits • Análisis de malware binario • Matriz cruzada de OS/apps • Origina conexión a URL • Subsecuentes URLs • Informe de modificación en OS • Descriptores de proto C&C Ajusta al Objetivo SO y Aplicaciones FASE 1: E-MAIL MPS • Adjuntos de Email • Análisis de URL FASE1: FILE MPS • Ficheros Compartidos de red
    27. 27. 26FTS CONFIDENTIAL Cazando Botnets con FireEye Copyright 2013 FUJITSU  Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y esfuerzos individuales (Nova7) en jul 2012  Primeras versiones en Febrero 2008  La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C) y Lethic (2008, 310K)  En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de 2012 hasta 33.3% )  Grum tenía 120.000 hosts infectados  4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda Peligro de los botnets, utilizados normalmente para Spam pero pueden utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!
    28. 28. 27FTS CONFIDENTIAL

    ×