• Save
David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]
Upcoming SlideShare
Loading in...5
×
 

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013]

on

  • 941 views

 

Statistics

Views

Total Views
941
Views on SlideShare
891
Embed Views
50

Actions

Likes
0
Downloads
0
Comments
0

6 Embeds 50

http://teayudamoss.blogspot.com.es 34
https://twitter.com 4
http://teayudamoss.blogspot.com 4
https://www.blogger.com 3
http://teayudamoss.blogspot.com.ar 3
http://teayudamoss.blogspot.mx 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013] David Fuertes - Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? [Rooted CON 2013] Presentation Transcript

  • Señales  Débiles  ¿Nos  protegemos  sabiendo    que  nos  van  a  atacar?  David Fuertes (dfuertes@sourcefire.com)Security Engineer Southern Europe
  • Agenda    Ø Amenazas  a  día  de  hoy  Ø Aproximaciones  Defensivas  Ø Señales  débiles  Ø Herramientas  necesarias  Ø POC#1  –  Exploit  Kits,  canales  encubiertos   2
  • Realidad  actual  AGILE SECURITY   ¿Qué  está  pasando?  
  • Ataques  a  día  de  hoy  Profesionalización, Motivación 4
  • Nuevo modelo de seguridadAprendiendo de nuestros errores WSJ:http://blogs.rsa.com/rivner/anatomy-of-an-attack/ What should companies do? Mr. Coviello: Security has always been developed reactively: Find the hole, and plug the hole. It has resulted in a whole bunch of individual isolated controls that dont really give you any form of defense in depth. The controls were also designed to defend a perimeter that, because of the increased manera preactivamobile ü  Defensas desarrolladas de use of the Web and devices, has largely dissolved. ü  Protección de Perimetro es insuficiente We needSe necesita un nuevo modelo de seguridad, ü  a new model for security. We call it an intelligence- driven model. It is based on risk and new tools that are behavior inteligente based and predictive. It is also based on a big-data application so you ü  No se gasta dinero / esfuerzo en detectar y can spot an attack in progress, so you can do a better job responding to it. responder (proceso, personas , herramientas) Mr. Coviello: We are used to spending money on preventing attacks, and we are not spending enough money on detecting and responding to attacks. 5
  • No  existen  “balas  de  plata”   Application Control “Arreglemos el NAC firewall” IDS / IPS “La red se defiende sola” UTM PKI “No hay falsos positivos, No hay falsos negativos.” AV “Sin clave no hay acceso”FW/VPN “Encuentra el patrón” “Bloquear o Permitir” 6
  • Ataques  a  día  de  hoy  MODELO  DE  SEGURIDAD  INSUFICIENTE,  “Balas  de  plata”   7
  • Poder  de  la  información  ¿Quién  está  por  delante?     Todos conocemos las ü  Vulnerabilidades  Zero  Day   ü  Vulnerabilidades  conocidas  (no  Zero   características del famoso Day!)   ü  Especifico   ü  Profesional   “APT”……… ü  MoLvado   ü  Elevado  raLo  de  éxito   Stuxnet   ü  Persistente   Gauss     Flame   2009   2012   Duqu   2012   2011   8
  • Flame   Gauss   2012   2012   Stuxnet   2009   Duqu   2011  ......EXISTE comunicación entre bandas.¿Cómo es nuestra comunicación? 9
  • Ataques  a  día  de  hoy  MODELO  DE   RELACIONES,  SEGURIDAD   COMUNICACIÓN  INSUFICIENTE,   ENTRE  GRUPOS,  “Balas  de  plata”   ¿y  nosotros?   10
  • Realidad  de  hoy  Los  ataques  evolucionan  y  evaden  las  defensas  tradicionales   Todos con defensas tradicionales – FW, IPS, AV. No ha sido suficiente 11
  • Ataques  a  día  de  hoy  MODELO  DE   RELACIONES,   NADIE  ESTA  A  SEGURIDAD   COMUNICACIÓN   SALVO,  INSUFICIENTE,   ENTRE  GRUPOS,   ¿Lenes  algo  “Balas  de  plata”   ¿y  nosotros?   que  proteger?   12
  • ¿Cómo  nos  estamos  AGILE SECURITY protegiendo?  
  • Lo  habitual…..  
  • Medidas  PrevenYvas  Eventos   t  
  • Si  el  ataque  es  avanzado…..  Eventos   t  
  • Horizonte  de  Eventos   X Firewall X IDS/IPS X Malware X Antivirus ‘ Horizonte de Eventos’ Endpoint 17
  • ¿Cual  es  tu  filoso[a?  Ø ¿Te proteges por si acaso te atacan?Ø  ¿O te proteges sabiendo que te van a atacar?Ø  Si supieras que ibas a ser comprometido, ¿te hubieras protegido de manera diferente? 18
  • Protección  a  lo  largo  del  Yempo   Una  aproximación  basada  en  ataques   Antes Durante Después Políticas y Control Identificación y Bloqueo Análisis y Remediación Descubrir el entorno Detectar Determinar Implementar políticas Prevenir alcance de acceso Contener Parcheo Remediar Firewall IPS IDS Application Control Anti-virus SIEM & Log Mgmt Vulnerability Management Anti-malware Forensics Patch Management Full Packet Capture19  
  • Señales    Débiles  AGILE SECURITY
  • Fases  de  un  ataque   §  Toma de Control Inicial ▸  1) Reconocimiento ▸  2) Intrusión Inicial en la red ▸  3) Establecer Backdoors ▸  4) Obtener Credenciales Usuarios ▸  5) Instalar Utilidades §  Movimiento lateral ▸  6) Escalado de Privilegios, movimientos laterales y extracción de información §  7) Mantener Persistencia 21
  • Intrusión  Inicial  §  Lo más protegernos? ¿Cómo común es “Client-Side”§  Detección: Social + “Spear Phishing” ▸  Ingeniería§  Ataques internos à USB, Usuarios móviles ▸  Cambios en la red ▸  A veces no indirectas de una intrusion Evidencias es necesaria intrusión inicial§  “Client-Side” comportamientos ▸  Detección de§  Herramientas:en el formato de ficheros ▸  Complejidad ▸  Ofuscación Superioridad de la Información Visibilidad, ▸  Componentes embebidos Tiempo Real ▸  Tamaño de ficheros vs. Detección en tiempo real Forense§  Aparecen Señales débiles 22
  • Backdoors  §  Múltiples, con diversas configuraciones Defensas tradicionales ▸  Actualizados constantemente. Detección AV pobre ▸  Sofisticados en la red: Firmas estáticas insuficiente ●  Canales de comunicación cifrados y ofuscados§  ¿Cómo protegernos? ●  Tráfico legítimo HTTP, HTTPs, DNS ▸  Visibilidad aleatorios, Headers comunes, etc ●  Contenidos ▸  Comportamiento ▸  Reúsan librerías comunes (p.ej Microsoft) para ▸  reducir tamañosen los canales de salida Control estricto ▸  Credenciales legítimasusuario Controlar Actividad de de usuarios 23
  • Exploración,  Propagación  y     Salida  de  Información  ①  Comunicación C&C ▸  Instrucciones, descargas, etc.②  Ataques – Movimientos Laterales ▸  Compromiso de servidores ▸  Uso de credenciales③  Almacenamiento de información ▸  Servidor de almacenamiento ▸  Compresión, cifrado④  Salida de Información 24
  • Señales  Débiles  §  “Una señal débil es un factor de cambio difícilmente perceptible en el presente pero con fuertes implicaciones a futuro” 25
  • Seguridad  “Después”  del  ataque   Señales  débiles  en  una  DMZ  Qué ocurre si de repente….ü  Aparecen nuevos servidoresü  Se publican servicios nuevosü  Se abren comunicaciones inusuales 26
  • Seguridad  “Después”  del  ataque   Ataques  en  el  lado  de  cliente  Qué ocurre si…ü  Mobilidad, USBü  Compromiso físico, enemigo dentroü  Exploit Lado clienteØ  Flujos inesperados"Ø  Canales encubiertos 27
  • Seguridad  “Después”  del  ataque   AcYvidad  de  Usuario  Inesperada  Las credenciales son críticas...!ü  Monitorizar, Restringir y controlar derechos administrativos.ü  ¿Están mis usuarios donde deben? 28
  • ¿Qué  necesitamos?  AGILE SECURITY
  • Mecanismos  de  Visibilidad  Conocer  en  todo  momento  lo  que  protegemos   = Escaneo Activo de Red ü  Incorpora contexto de negocio" Inventario, entrada manual ü  Corrige desviaciones + Tiempo Real + Intrusivo conocidas" + Precision + Permite almacenar Descubrimiento + ü  No es escalable Pasivo información de Negocio Contexto + Evadible + No es intrusivo - Precisión 30
  • Capacidad  RetrospecYva  Eventos t 31
  • Personas,  Proceso   Negocio Red Correlación / Centralización Full FW, Visibilidad IPS PacketNGFW Retrospección Capture Logs 32
  • Conclusiones  AGILE SECURITY
  • Conclusiones  Ø Detección  compleja,  no  estamos  preparados.  Ø Modelo  defensivo  prevenYvo.  Ø No  tenemos  suficiente  visibilidad.  Ø Necesitamos  las  herramientas  adecuadas.  Ø Personas,  Proceso  Ø Hay  que  pensar  de  manera  diferente  
  • POC  AGILE SECURITY Exploit  Kits   Canales  Encubiertos  
  • Exploit  Kits  Un  ecosistema  de  malware   36
  • Escenario   2) Redirección 1) Conexión Inicial IFRAME, etc 3)Exploit + LOADER 4) Canal Encubierto Comando y Control 37
  • Un  clásico……   RAT,  Poison  Ivy   Crearemos “backdoors”…. Siempre pensando en la salida más fácil para un canal encubierto: ü  HTTP o HTTPS ü  DNSü  Objetivo Crear Señales Débiles 38
  • Canales  Encubiertos   Reverse  HTTP  Shell     hOp://www.thc.org/papers/fw-­‐backd.htm   Hacker WWW Server Web Proxy1.  El cliente (usuario) corre una shell local. Se conectará con el servidor externo periódicamente.2.  Se envía una petición HTTP (GET/POST) al servidor web controlado por nuestro atacante.3.  Se emplea codificación base64 para evitar cacheo.4.  En las respuestas, el servidor externo envía comandos a ejecutar en la shell.Ø  Son solo 260 lineas de Perl…… 39
  • Visibilidad…..   40
  • ¿Preguntas?   41
  • Muchas  Gracias!   42