Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs

Cyber Security Brazil 2016 - Tendências, Técnicas e soluções no combate aos ataques de APTs e AVTs

  • Be the first to comment

  • Be the first to like this

Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs

  1. 1. Tendências, Técnicas e Soluções no Combate aos Ataques de APTs e AVTs Mauro Risonho de Paula Assumpção Março/2016
  2. 2. Agenda (continuação 1/4)Agenda (continuação 1/4) • Quem sou eu • Quem é a Agility Networks • APTs/AVTs • Análise passo a passo de ataques APT/AVT • 10 Passos de APTs/AVTs • Cenário • Passo 1 – Seleção de Alvos • Passo 2 – Recolhendo Informações dos Ambientes Alvos • Passo 3 – Pontos de Entradas para Ataques
  3. 3. Agenda (continuação 2/4)Agenda (continuação 2/4) • Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s) • Passo 5 – Escalada de Privilégios • Passo 6 – C&C – Command and Control Communication • Passo 7 – Movimento de Ataque Lateral • Passo 8 – Descoberta de Ativos e Persistência • Passo 9 – Extração de Dados • Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
  4. 4. Agenda (continuação 3/4)Agenda (continuação 3/4) • Projetos Open Source para detecção, pesquisa e bloqueios de APTs/AVTs (DIY DO IT YOURSELF) • APT - Open Source Tools • SP-025: Advanced Monitoring and Detection • IOC - Open Source Tools • Falando rapidamente sobre o APT Linux.DDoS.XoR Malware/Droper/Rootkit • DEMO • Em algum próximo Evento, por ai ...
  5. 5. Agenda (continuação 4/4)Agenda (continuação 4/4) • Referências • Dúvidas
  6. 6. Quem sou euQuem sou eu Mauro “Risonho” de Paula Assumpção aka firebits Nerd/Autodidata/Entusiasta/Pentester/ Security Researcher/Instrutor/Palestrante e Eterno Aprendiz Senior Security Analyst (R&D) - Agility Networks, SIS (Reverse Eng. Malwares, Deep Web, VA/VM e Pentest)
  7. 7. Quem é a Agility NetworksQuem é a Agility Networks A AGILITY NETWORKS é um “Trusted Advisor” em serviços e soluções sofisticadas para infraestrutura de TI, reconhecida e admirada pelos resultados obtidos ao longo de mais de 20 anos de atuação junto a grandes empresas e instituições públicas. Fundada em 1991, atua em 3 competências-chave: Data Center & Cloud, Application Delivery e Segurança e é integradora de vários Vendors reconhecidos de mercado nacional e mundial.
  8. 8. APT (Advanced Persistent Threat)APT (Advanced Persistent Threat)  "Avançado" significa técnicas sofisticadas usando malwares e vulnerabilidades conhecidas para explorar os sistemas internos.  "Persistente" sugere que um sistema de comando e controle externo é continuamente monitorando e extraem dados de um alvo específico.  "Ameaça" indica o envolvimento humano em orquestrar o(s) ataque(s).
  9. 9. AVT (Advanced Volatile Threat)AVT (Advanced Volatile Threat)  "Avançado" significa técnicas sofisticadas usando malwares e vulnerabilidades conhecidas para explorar os sistemas internos.  “Volátil" sugere que um sistema de comando e controle externo é continuamente monitorando e extraem dados de um alvo específico, mas usando processos em memória (RAM, GPURAM e outros relativos à memória volátil).  "Ameaça" indica o envolvimento humano em orquestrar o(s) ataque(s).
  10. 10. O que os APTs/AVTs tem em comum?O que os APTs/AVTs tem em comum?  Basicamente, o foco é um ataque à rede.  As redes alvo são geralmente, instituições financeiras à inteligência militar.  O objetivo de um ataque direcionado é roubar propriedade intelectual valiosa, dinheiro e/ou outras informações pessoalmente identificáveis.  O que muda é abordagem da técnica final (APTs geralmente em disco e AVTs geralmente em memória), podendo existir híbridos (APTVTs talvez?)
  11. 11. Análise passo a passo de ataques de APT/AVT
  12. 12. CenárioCenário
  13. 13. 10 passos estratégicos e táticos via AVTs/APTs10 passos estratégicos e táticos via AVTs/APTs  Passo 1 – Seleção de Alvos  Passo 2 – Recolhendo Informações dos Ambientes Alvos  Passo 3 – Pontos de Entradas para Ataques  Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)  Passo 5 – Escalada de Privilégios  Passo 6 – C&C – Command and Control Communication  Passo 7 – Movimento de Ataque Lateral  Passo 8 – Descoberta de Ativos e Persistência  Passo 9 – Extração de Dados  Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
  14. 14. Passo 1 - Seleção de Alvos (via redes sociais)Passo 1 - Seleção de Alvos (via redes sociais)
  15. 15. Passo 2 - Recolhendo Informações dos AmbientesPasso 2 - Recolhendo Informações dos Ambientes
  16. 16. Passo 3 – Pontos de Entradas para AtaquesPasso 3 – Pontos de Entradas para Ataques
  17. 17. Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)
  18. 18. Passo 5 – Escalada de PrivilégiosPasso 5 – Escalada de Privilégios
  19. 19. Passo 6 – C&C – Command and Control CommunicationPasso 6 – C&C – Command and Control Communication
  20. 20. Desktop de Usuário comum infectado Passo 7 – Movimento de Ataque LateralPasso 7 – Movimento de Ataque Lateral
  21. 21. Passo 8 – Descoberta de Ativos e PersistênciaPasso 8 – Descoberta de Ativos e Persistência
  22. 22. Passo 9 – Extração de DadosPasso 9 – Extração de Dados
  23. 23. Passo 10 – Encobrindo Pistas, Rastros e Evidências do AtaquePasso 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
  24. 24. Projetos Open Source para detecção, pesquisa e bloqueios de APTs/AVTs (DIY DO IT YOURSELF)
  25. 25. APT - Open Source ToolsAPT - Open Source Tools Aptdetector •https://github.com/abzcoding/aptdetector Ludumdare32 (APT Game Fake) •http://www.tobypinder.com/ld32 XCOM •https://github.com/Tryan18/XCOM Aptdetector-go (projeto inicial ainda) •https://github.com/abzcoding/aptdetector-go APTnotes •https://github.com/kbandla/APTnotes
  26. 26. SP-025: Advanced Monitoring and DetectionSP-025: Advanced Monitoring and Detection • http://www.opensecurityarchitecture.org/cms/library/patternla ndscape/314-sp-025-advanced-monitoring-and-detection
  27. 27. IOC - Open Source ToolsIOC - Open Source Tools Intel •https://github.com/JohnnyWachter/intel iocminion •https://github.com/pun1sh3r/iocminion IOCextractor •https://github.com/stephenbrannon/IOCextractor pyioc •https://github.com/jeffbryner/pyioc
  28. 28. AVT - Open Source ToolsAVT - Open Source Tools Anti-Meterpreter •http://www.mertsarica.com/codes/antimeter2.zip
  29. 29. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS É hora de “uma DEMO” LIKE A BOSS!!!
  30. 30. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS Fonte: https://www.fireeye.com/blog/threat- research/2015/02/anatomy_of_a_brutef.html
  31. 31. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS IOC Domains •wangzongfacai.com •dsaj2a.com •dsaj2a.org •dsaj2a1.org •... IP addresses (hard-coded into binary) •103.25.9.228 •103.25.9.229 Malware Binary MD5 Hashes •0b7630ead879da12b74b2ed7566da2fe (variant 1) •85ecdf50a92e76cdb3f5e98d54d014d4 (variant 2) (IOC Completo em https://www.fireeye.com/blog/threat- research/2015/02/anatomy_of_a_brutef.html)
  32. 32. Em algum próximo evento...Em algum próximo evento... ● Pentest Clássico (estilo décadas de 80 e 90) usando Artificial Intelligence + Machine Learning
  33. 33. Dúvidas?
  34. 34. Obrigado!Obrigado! Mauro “Risonho” de Paula Assumpção aka firebits www.agilitynetworks.com.br https://www.linkedin.com/in/firebitsbr http://pt.slideshare.net/firebits mauro.risonho@gmail.com mauro.assumpcao@agilitynetworks.com.br https://twitter.com/firebitsbr

    Be the first to comment

    Login to see the comments

Cyber Security Brazil 2016 - Tendências, Técnicas e soluções no combate aos ataques de APTs e AVTs

Views

Total views

163

On Slideshare

0

From embeds

0

Number of embeds

1

Actions

Downloads

2

Shares

0

Comments

0

Likes

0

×