SlideShare une entreprise Scribd logo

Guerra contra los_ciberataques_ dirigidos1

Télécharger en tant que PPTX, PDF
L
lulops
1  sur  28
0FTS CONFIDENTIAL Guerra contra los ciberataques dirigidos Aproximación, táctica y herramientas Copyright 2013 FUJITSU Maria Gutierrez <maria.gutierrez@ts.fujitsu.com> Luis Lopez <luis.lopez@ts.fujitsu.com> HOMSEC 2013
1FTS CONFIDENTIAL Agenda Copyright 2013 FUJITSU  Anatomía de un APT  Incidentes recientes por malware dirigido  ¿Quien está detrás de los APT?  Mitigación de APTs  Application Whitelisting  FireEye  Cazando botnets con FireEye
2FTS CONFIDENTIAL Anatomía de un APT  ¿Que es un APT?  El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force en 2006 para describir los ciberataques complejos (“Advanced’) contra objetivos específicos durante largos periodos de tiempo ( “persistent”).  Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o un gobierno  Hemos podido ver casos recientes de APTs, como el de RSA, las centrales nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la máxima eficacia y precisión.  Advanced: El adversario es poderoso y está organizado Persistent – Ataque constante Threat – Uso de amenazas digitales para materializar los ataques Copyright 2013 FUJITSU
3FTS CONFIDENTIAL Anatomía de un APT  Características de los APT  Están organizados (varias personas, tecnologías y técnicas)  Son eficientes (a veces tecnologías simples como RATs (Remote Access Trojans), según los objetivos, a veces técnicas básicas o ingeniería social, otras veces utilizarán exploits 0-day o spear phishing  Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán reuniones de seguimiento para ver la forma de obtener el objetivo) Copyright 2013 FUJITSU
4FTS CONFIDENTIAL Anatomía de un APT  Son dirigidos (a organizaciones específicas, individuos, estados, naciones etc.)  Son persistentes – No se hace una sola vez, sino durante un largo periodo  Son evasivos – pueden fácilemente camuflarse con los productos de seguridad tradicionales.  Son complejos – los APT comprenden una mezcla de métodos de ataque complejos dirigidos a múltiples vulnerabilidades.  Cuanto más tiempo permanezca sin detectar un atacante en la red del objetivo, mas daño podrá realizar. Copyright 2013 FUJITSU
5FTS CONFIDENTIAL Anatomía de un APT  Son Lentos y de Baja Intensidad  Los atacantes monitorizan constantemente las redes sociales para obtener información ventajosa.  En un caso, los atacantes comprometieron los objetivos de un tercero suministrador de software, insertando un troyano en un software de actualización, y esperaron a que el objetivo real descargase el troyano a través de la actualización en su red.  Los hackers chinos disfrutaron de acceso sin límites a la red corporativa de Nortel durante una década, utilizando contraseñas robadas a los altos ejecutivos para descargar material protegido por la propiedad intelectual. Copyright 2013 FUJITSU
6FTS CONFIDENTIAL Anatomía de un APT  OBJETIVOS de un APT  Políticos - Incluye ataques a la población para alcanzar los objetivos  Negocios / Económicos - El robo de propiedad intelectual, para obtener una ventaja competitiva  Técnicos - Obtener el código fuente para el desarrollo  Militares - Identificar los puntos débiles que permitirían a fuerzas militares inferiores derrotar a las fuerzas militares superiores Copyright 2013 FUJITSU
7FTS CONFIDENTIAL Incidentes por malware dirigido Copyright 2013 FUJITSU
8FTS CONFIDENTIAL Anatomía de un APT  ¿QUIEN ESTA DETRAS?  Nacion, estado, cyberseguridad  El "problema de la atribución“  Se esconden por la facilidad digital para hacerlo. Caso China. Copyright 2013 FUJITSU
9FTS CONFIDENTIAL Anatomía de un APT  Hall of Fame 1. Flame 2. Aurora 3. Duqu 4. Stuxnet 5. PoisonIvy Copyright 2013 FUJITSU
10FTS CONFIDENTIAL Anatomía de un APT  Ciclo de vida de un APT  Preparación  Definir Objetivo  Encontrar y organizar complices  Obtencción o construcción de herramientas  Investigación de objetivos/infraestructura/empleados  Test para detección Copyright 2013 FUJITSU  Intrusión Inicial  Despliegue  Intrusión Inicial  Iniciar conexión saliente
11FTS CONFIDENTIAL Anatomía de un APT  Expansión  Esta fase incluye:  Ampliar acceso y obtener credenciales  Fortalecer puntos de apoyo  Search and Exfiltration  Búsqueda y evasión de datos  Cleanup  Eliminar pistas y permanecer indetectable Copyright 2013 FUJITSU
12FTS CONFIDENTIAL Mitigación de APTs  Sistema clásico de “Seguridad en Profundidad”. Absolutamente necesario para mitigar cualquier amenaza.  Utilización de técnicas avanzadas de mitigación.  Soluciones:  Herramientas de Whitelisting  Ejecución previa y observación de comportamiento: FireEye  Whitelisting no es una VERDADERA solución. Presenta varios problemas. Copyright 2013 FUJITSU
13FTS CONFIDENTIAL Application Whitelisting  No es una verdadera solución de amplio espectro.  Si bien es cierto que es buena solución en ciertos entornos , p.e. Cajeros automáticos, POS, en definitiva entornos MONO-APP, está muy limitado  Choca frontalmente con las técnicas de BYOD y movilidad actuales, explosión de “apps”, así como en cualquier entorno multipropósito.  En el caso de firma con certificados digitales de apps, PKI es el talón de Aquiles  Casos Copyright 2013 FUJITSU Word Chrome PowerPoint Winzip Mozilla Acrobat Reader Apps to run
14FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU http://www.youtube.com/watch?v=c9DV5rICto8  Video
15FTS CONFIDENTIAL FireEye  Nueva generación de soluciones para detección de ataques dirigidos, y zerodays, y en general malware no firmado y desconocido.  No es únicamente un set de algoritmos eurísticos y firmas  ¿Como lo hace?  Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o herramienta correspondiente: Word, Reader… en un entorno virtual.  Traza todo lo que hace incluso graba el entorno de runtime para análisis posterior. Utiliza esta info para bloqueo y publica la info para uso común.  Multi-vector: Multi-protocol,Web, Email, File, Forense Copyright 2013 FUJITSU
16FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU Fase 1: Captura agresiva con firmas y eurísticos  Despliegue pasivo/fuera de banda o en línea  Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y EXEs  Maximiza la captura de ataques potenciales zero-day Phase 3 Tráfico de red InternoExterno Fase 3: Bloqueo del Call Back  Para el robo de datos/activos Fase 2: Análisis con Máquinas Virtuales  Confirmación de ataques maliciosos  Eliminación de falsos positivos
17FTS CONFIDENTIAL FireEye  QUÉ NO ES FireEye:  No es un Firewall  No es un IPS  No es un NGFW  No es un Proxy  No es una gateway AV Copyright 2013 FUJITSU
18FTS CONFIDENTIAL FireEye  Nuevo sistema de detección de , no sustituye a capas actuales Copyright 2013 FUJITSU Email MPS Web MPS Desktop AV IPS IDS Secure Web Gateway Port Scanning Javascript Malicioso Conocido URL Categorizadas Maliciosas Patrones y actividad de malware conocido Zero-Day Browser and/or Plugin Exploit Well Known Web Exploit Modified Polymorphically eMail SpearPhishing with URL to Malware or Malware Attached Filtros de Firmas/Heuristica/Reputación Ataques Browser Zero-Day y/o Exploits de Plugins Web Exploits Web Bien Conocidos Modificados Polimorficamente Email con SpearPhishing con URL a Malware o Malware Adjunto
19FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  ¿Por que la tecnología de seguridad que ya tenemos no es suficiente?  Vulnerabilidades dirigidas a browser, ActiveX y plug-in  Exploits Zero-day  JavaScript ofuscado  Cargas polimorficas  Nombres de dominios dinámicos  Comunicaciones cifradas  Sitios web legítimos comprometidos  Ingeniería social…y más Copyright 2013 FUJITSU
20FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  Ejemplo de porosidad Copyright 2013 FUJITSU
21FTS CONFIDENTIAL FireEye  Perfil de FireEye  Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador de la compañía de virtualización Terraspring, adquirida por Sun  Aziz es el inventor original del conjunto de funcionalidades core que hay tras FireEye Malware Protection System.  La compañía tiene su sede en Milpitas, California.  El producto principal es su sistema de protección de Malware para web security, email security, file security y malware analysis.  En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de más rápido crecimiento en América del Norte en el Deloitte 2012 Technology Fast 500. Copyright 2013 FUJITSU
22FTS CONFIDENTIAL Web Malware Protection System Copyright 2013 FUJITSU • Bloqueo en linea tanto entrante como saliente • Análisis de contenido avanzado (PDF, JavaScript, URLs) • Modelos hasta 1 Gbps con latencia de microseg. FUNCIONALIDADES  En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos  Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables  Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos  Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo comparte a través de la Malware Protection Cloud network  Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real http://
23FTS CONFIDENTIAL Email Malware Protection System Copyright 2013 FUJITSU • Soporta muchos tipos de ficheros (PDF, formatos Office, ZIP, etc.) • Análisis de Adjuntos • Análisis de URL • Correlación de URLs maliciosas de emails al CMS FUNCIONALIDADES  Protección contra spear phishing y ataques compuestos  Analiza todo el correo para adjuntos y URLs maliciosas  Seguridad activa como MTA In-line o SPAN/BCC para monitorización  Análisis de fuerza bruta de todos los adjuntos en el VX Engine  Integración con Web MPS para análisis/bloqueo de URL maliciosas  Y para bloqueo de nuevos canales de callback que se descubran
24FTS CONFIDENTIAL  Protege servidores que comparten ficheros del malware latente  Controla el malware adquirido en la red vía web o email o compartiendo ficheros u obtenido por procedimientos manuales  Detecta la difusión de malware a través de recursos compartidos de la red  Análisis continuo e incremental de los ficheros compartidos de la red  Integración con Web MPS para bloqueo de nuevos canales descubiertos de callback. File Malware Protection System Copyright 2013 FUJITSU • Soporta amplio rango de tipos de ficheros (PDF, Office, ZIP, etc.) • Soporta CIFS • Cuarentena de ficheros maliciosos FUNCIONALIDADES
25FTS CONFIDENTIAL Multi-Protocol, Real-Time VX Engine Copyright 2013 FUJITSU FASE 1 Multi-Protocol Objecto de Captura FASE 2 Ejecución en Entorno Virtual FASE1: WEB MPS • Captura Agresiva • Filtrado de Objetos Web ANÁLISIS DINÁMICO EN TIEMPO REAL • Detección de exploits • Análisis de malware binario • Matriz cruzada de OS/apps • Origina conexión a URL • Subsecuentes URLs • Informe de modificación en OS • Descriptores de proto C&C Ajusta al Objetivo SO y Aplicaciones FASE 1: E-MAIL MPS • Adjuntos de Email • Análisis de URL FASE1: FILE MPS • Ficheros Compartidos de red
26FTS CONFIDENTIAL Cazando Botnets con FireEye Copyright 2013 FUJITSU  Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y esfuerzos individuales (Nova7) en jul 2012  Primeras versiones en Febrero 2008  La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C) y Lethic (2008, 310K)  En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de 2012 hasta 33.3% )  Grum tenía 120.000 hosts infectados  4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda Peligro de los botnets, utilizados normalmente para Spam pero pueden utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!
27FTS CONFIDENTIAL

Recommandé

Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical HackingMarcos Harasimowicz
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoInGriid Ruiiz Larregui
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Adavanced persistant threads
Adavanced persistant threadsAdavanced persistant threads
Adavanced persistant threadsEventos Creativos
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equiposMartín Pachetta
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 

Recommandé

Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical HackingMarcos Harasimowicz
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoInGriid Ruiiz Larregui
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Adavanced persistant threads
Adavanced persistant threadsAdavanced persistant threads
Adavanced persistant threadsEventos Creativos
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equiposMartín Pachetta
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSecpro - Security Professionals
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]Eduardo Arriols Nuñez
 
Seguridad Informatica 2.0
Seguridad Informatica 2.0Seguridad Informatica 2.0
Seguridad Informatica 2.0david_06
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1Bárbara Díez
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentesSecpro - Security Professionals
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridadDignaMariaBD
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialMocho Padierna
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASjavierhrobayo
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1Luis Fernando Aguas Bucheli
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1Luis Fernando Aguas Bucheli
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1Luis Fernando Aguas Bucheli
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 

Contenu connexe

Tendances

Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Seguridad Informatica 2.0
Seguridad Informatica 2.0Seguridad Informatica 2.0
Seguridad Informatica 2.0david_06
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1Bárbara Díez
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridadDignaMariaBD
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASjavierhrobayo
 

Tendances (20)

Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Seguridad Informatica 2.0
Seguridad Informatica 2.0Seguridad Informatica 2.0
Seguridad Informatica 2.0
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
 
TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1TRABAJO VOLUNTARIO INFORMÁTICA 2º1
TRABAJO VOLUNTARIO INFORMÁTICA 2º1
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
Las redes y su seguridad
Las redes y su seguridadLas redes y su seguridad
Las redes y su seguridad
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICAS
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 

Similaire à Guerra contra los_ciberataques_ dirigidos1

Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...Cristian Garcia G.
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática Steed10
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Jeferson Hr
 
Seguridad en informática
Seguridad en informáticaSeguridad en informática
Seguridad en informáticakatyi cauich
 
firewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdffirewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdfDennis Reyes
 
sara muñoz web quest
sara muñoz web quest sara muñoz web quest
sara muñoz web questOnce Redes
 
Web quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaWeb quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaOnce Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 

Similaire à Guerra contra los_ciberataques_ dirigidos1 (20)

Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...
Adiós a las amenazas sofisticadas y al "pensamiento aislado" en seguridad y ...
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_red
 
La seguridad informática
La seguridad informática La seguridad informática
La seguridad informática
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Seguridad de la_informaci_n_
Seguridad de la_informaci_n_
 
Seguridad en informática
Seguridad en informáticaSeguridad en informática
Seguridad en informática
 
Seguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptxSeguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptx
 
Seguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptxSeguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptx
 
firewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdffirewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdf
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentación1
Presentación1Presentación1
Presentación1
 
sara muñoz web quest
sara muñoz web quest sara muñoz web quest
sara muñoz web quest
 
Web quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaWeb quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabala
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 

Guerra contra los_ciberataques_ dirigidos1

  • 1. 0FTS CONFIDENTIAL Guerra contra los ciberataques dirigidos Aproximación, táctica y herramientas Copyright 2013 FUJITSU Maria Gutierrez <maria.gutierrez@ts.fujitsu.com> Luis Lopez <luis.lopez@ts.fujitsu.com> HOMSEC 2013
  • 2. 1FTS CONFIDENTIAL Agenda Copyright 2013 FUJITSU  Anatomía de un APT  Incidentes recientes por malware dirigido  ¿Quien está detrás de los APT?  Mitigación de APTs  Application Whitelisting  FireEye  Cazando botnets con FireEye
  • 3. 2FTS CONFIDENTIAL Anatomía de un APT  ¿Que es un APT?  El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force en 2006 para describir los ciberataques complejos (“Advanced’) contra objetivos específicos durante largos periodos de tiempo ( “persistent”).  Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o un gobierno  Hemos podido ver casos recientes de APTs, como el de RSA, las centrales nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la máxima eficacia y precisión.  Advanced: El adversario es poderoso y está organizado Persistent – Ataque constante Threat – Uso de amenazas digitales para materializar los ataques Copyright 2013 FUJITSU
  • 4. 3FTS CONFIDENTIAL Anatomía de un APT  Características de los APT  Están organizados (varias personas, tecnologías y técnicas)  Son eficientes (a veces tecnologías simples como RATs (Remote Access Trojans), según los objetivos, a veces técnicas básicas o ingeniería social, otras veces utilizarán exploits 0-day o spear phishing  Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán reuniones de seguimiento para ver la forma de obtener el objetivo) Copyright 2013 FUJITSU
  • 5. 4FTS CONFIDENTIAL Anatomía de un APT  Son dirigidos (a organizaciones específicas, individuos, estados, naciones etc.)  Son persistentes – No se hace una sola vez, sino durante un largo periodo  Son evasivos – pueden fácilemente camuflarse con los productos de seguridad tradicionales.  Son complejos – los APT comprenden una mezcla de métodos de ataque complejos dirigidos a múltiples vulnerabilidades.  Cuanto más tiempo permanezca sin detectar un atacante en la red del objetivo, mas daño podrá realizar. Copyright 2013 FUJITSU
  • 6. 5FTS CONFIDENTIAL Anatomía de un APT  Son Lentos y de Baja Intensidad  Los atacantes monitorizan constantemente las redes sociales para obtener información ventajosa.  En un caso, los atacantes comprometieron los objetivos de un tercero suministrador de software, insertando un troyano en un software de actualización, y esperaron a que el objetivo real descargase el troyano a través de la actualización en su red.  Los hackers chinos disfrutaron de acceso sin límites a la red corporativa de Nortel durante una década, utilizando contraseñas robadas a los altos ejecutivos para descargar material protegido por la propiedad intelectual. Copyright 2013 FUJITSU
  • 7. 6FTS CONFIDENTIAL Anatomía de un APT  OBJETIVOS de un APT  Políticos - Incluye ataques a la población para alcanzar los objetivos  Negocios / Económicos - El robo de propiedad intelectual, para obtener una ventaja competitiva  Técnicos - Obtener el código fuente para el desarrollo  Militares - Identificar los puntos débiles que permitirían a fuerzas militares inferiores derrotar a las fuerzas militares superiores Copyright 2013 FUJITSU
  • 8. 7FTS CONFIDENTIAL Incidentes por malware dirigido Copyright 2013 FUJITSU
  • 9. 8FTS CONFIDENTIAL Anatomía de un APT  ¿QUIEN ESTA DETRAS?  Nacion, estado, cyberseguridad  El "problema de la atribución“  Se esconden por la facilidad digital para hacerlo. Caso China. Copyright 2013 FUJITSU
  • 10. 9FTS CONFIDENTIAL Anatomía de un APT  Hall of Fame 1. Flame 2. Aurora 3. Duqu 4. Stuxnet 5. PoisonIvy Copyright 2013 FUJITSU
  • 11. 10FTS CONFIDENTIAL Anatomía de un APT  Ciclo de vida de un APT  Preparación  Definir Objetivo  Encontrar y organizar complices  Obtencción o construcción de herramientas  Investigación de objetivos/infraestructura/empleados  Test para detección Copyright 2013 FUJITSU  Intrusión Inicial  Despliegue  Intrusión Inicial  Iniciar conexión saliente
  • 12. 11FTS CONFIDENTIAL Anatomía de un APT  Expansión  Esta fase incluye:  Ampliar acceso y obtener credenciales  Fortalecer puntos de apoyo  Search and Exfiltration  Búsqueda y evasión de datos  Cleanup  Eliminar pistas y permanecer indetectable Copyright 2013 FUJITSU
  • 13. 12FTS CONFIDENTIAL Mitigación de APTs  Sistema clásico de “Seguridad en Profundidad”. Absolutamente necesario para mitigar cualquier amenaza.  Utilización de técnicas avanzadas de mitigación.  Soluciones:  Herramientas de Whitelisting  Ejecución previa y observación de comportamiento: FireEye  Whitelisting no es una VERDADERA solución. Presenta varios problemas. Copyright 2013 FUJITSU
  • 14. 13FTS CONFIDENTIAL Application Whitelisting  No es una verdadera solución de amplio espectro.  Si bien es cierto que es buena solución en ciertos entornos , p.e. Cajeros automáticos, POS, en definitiva entornos MONO-APP, está muy limitado  Choca frontalmente con las técnicas de BYOD y movilidad actuales, explosión de “apps”, así como en cualquier entorno multipropósito.  En el caso de firma con certificados digitales de apps, PKI es el talón de Aquiles  Casos Copyright 2013 FUJITSU Word Chrome PowerPoint Winzip Mozilla Acrobat Reader Apps to run
  • 15. 14FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU http://www.youtube.com/watch?v=c9DV5rICto8  Video
  • 16. 15FTS CONFIDENTIAL FireEye  Nueva generación de soluciones para detección de ataques dirigidos, y zerodays, y en general malware no firmado y desconocido.  No es únicamente un set de algoritmos eurísticos y firmas  ¿Como lo hace?  Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o herramienta correspondiente: Word, Reader… en un entorno virtual.  Traza todo lo que hace incluso graba el entorno de runtime para análisis posterior. Utiliza esta info para bloqueo y publica la info para uso común.  Multi-vector: Multi-protocol,Web, Email, File, Forense Copyright 2013 FUJITSU
  • 17. 16FTS CONFIDENTIAL FireEye Copyright 2013 FUJITSU Fase 1: Captura agresiva con firmas y eurísticos  Despliegue pasivo/fuera de banda o en línea  Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y EXEs  Maximiza la captura de ataques potenciales zero-day Phase 3 Tráfico de red InternoExterno Fase 3: Bloqueo del Call Back  Para el robo de datos/activos Fase 2: Análisis con Máquinas Virtuales  Confirmación de ataques maliciosos  Eliminación de falsos positivos
  • 18. 17FTS CONFIDENTIAL FireEye  QUÉ NO ES FireEye:  No es un Firewall  No es un IPS  No es un NGFW  No es un Proxy  No es una gateway AV Copyright 2013 FUJITSU
  • 19. 18FTS CONFIDENTIAL FireEye  Nuevo sistema de detección de , no sustituye a capas actuales Copyright 2013 FUJITSU Email MPS Web MPS Desktop AV IPS IDS Secure Web Gateway Port Scanning Javascript Malicioso Conocido URL Categorizadas Maliciosas Patrones y actividad de malware conocido Zero-Day Browser and/or Plugin Exploit Well Known Web Exploit Modified Polymorphically eMail SpearPhishing with URL to Malware or Malware Attached Filtros de Firmas/Heuristica/Reputación Ataques Browser Zero-Day y/o Exploits de Plugins Web Exploits Web Bien Conocidos Modificados Polimorficamente Email con SpearPhishing con URL a Malware o Malware Adjunto
  • 20. 19FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  ¿Por que la tecnología de seguridad que ya tenemos no es suficiente?  Vulnerabilidades dirigidas a browser, ActiveX y plug-in  Exploits Zero-day  JavaScript ofuscado  Cargas polimorficas  Nombres de dominios dinámicos  Comunicaciones cifradas  Sitios web legítimos comprometidos  Ingeniería social…y más Copyright 2013 FUJITSU
  • 21. 20FTS CONFIDENTIAL FireEye. Cómo el malware traspasa la tecnología actual de seguridad  Ejemplo de porosidad Copyright 2013 FUJITSU
  • 22. 21FTS CONFIDENTIAL FireEye  Perfil de FireEye  Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador de la compañía de virtualización Terraspring, adquirida por Sun  Aziz es el inventor original del conjunto de funcionalidades core que hay tras FireEye Malware Protection System.  La compañía tiene su sede en Milpitas, California.  El producto principal es su sistema de protección de Malware para web security, email security, file security y malware analysis.  En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de más rápido crecimiento en América del Norte en el Deloitte 2012 Technology Fast 500. Copyright 2013 FUJITSU
  • 23. 22FTS CONFIDENTIAL Web Malware Protection System Copyright 2013 FUJITSU • Bloqueo en linea tanto entrante como saliente • Análisis de contenido avanzado (PDF, JavaScript, URLs) • Modelos hasta 1 Gbps con latencia de microseg. FUNCIONALIDADES  En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos  Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables  Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos  Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo comparte a través de la Malware Protection Cloud network  Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real http://
  • 24. 23FTS CONFIDENTIAL Email Malware Protection System Copyright 2013 FUJITSU • Soporta muchos tipos de ficheros (PDF, formatos Office, ZIP, etc.) • Análisis de Adjuntos • Análisis de URL • Correlación de URLs maliciosas de emails al CMS FUNCIONALIDADES  Protección contra spear phishing y ataques compuestos  Analiza todo el correo para adjuntos y URLs maliciosas  Seguridad activa como MTA In-line o SPAN/BCC para monitorización  Análisis de fuerza bruta de todos los adjuntos en el VX Engine  Integración con Web MPS para análisis/bloqueo de URL maliciosas  Y para bloqueo de nuevos canales de callback que se descubran
  • 25. 24FTS CONFIDENTIAL  Protege servidores que comparten ficheros del malware latente  Controla el malware adquirido en la red vía web o email o compartiendo ficheros u obtenido por procedimientos manuales  Detecta la difusión de malware a través de recursos compartidos de la red  Análisis continuo e incremental de los ficheros compartidos de la red  Integración con Web MPS para bloqueo de nuevos canales descubiertos de callback. File Malware Protection System Copyright 2013 FUJITSU • Soporta amplio rango de tipos de ficheros (PDF, Office, ZIP, etc.) • Soporta CIFS • Cuarentena de ficheros maliciosos FUNCIONALIDADES
  • 26. 25FTS CONFIDENTIAL Multi-Protocol, Real-Time VX Engine Copyright 2013 FUJITSU FASE 1 Multi-Protocol Objecto de Captura FASE 2 Ejecución en Entorno Virtual FASE1: WEB MPS • Captura Agresiva • Filtrado de Objetos Web ANÁLISIS DINÁMICO EN TIEMPO REAL • Detección de exploits • Análisis de malware binario • Matriz cruzada de OS/apps • Origina conexión a URL • Subsecuentes URLs • Informe de modificación en OS • Descriptores de proto C&C Ajusta al Objetivo SO y Aplicaciones FASE 1: E-MAIL MPS • Adjuntos de Email • Análisis de URL FASE1: FILE MPS • Ficheros Compartidos de red
  • 27. 26FTS CONFIDENTIAL Cazando Botnets con FireEye Copyright 2013 FUJITSU  Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y esfuerzos individuales (Nova7) en jul 2012  Primeras versiones en Febrero 2008  La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C) y Lethic (2008, 310K)  En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de 2012 hasta 33.3% )  Grum tenía 120.000 hosts infectados  4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda Peligro de los botnets, utilizados normalmente para Spam pero pueden utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!

Notes de l'éditeur

  1. NOTAS:• Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well- known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.• Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level ofinteraction needed to execute their objectives.• Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.Source : Richard Bejtlich’s Blog
  2. Perfil bajo, “belowthe radar”
  3. http://www.elmundo.es/elmundo/2011/08/04/navegante/1312444272.html http://www.elmundo.es/elmundo/2011/08/05/navegante/1312533212.htmlEl diario oficial del gobierno chino ha rechazado las acusaciones contra China que aseguraban que era el &apos;actor estatal&apos; que estaba detrás de los masivos &apos;ciberataques&apos; contra gobiernos y empresas que la compañía de seguridadMcAfee aseguró haber descubierto.El Diario del Pueblo, principal portavoz del partido comunista en el país asiático, aseguró que las acusaciones estaban mal encaminadas. &quot;La vinculación de China a los ataques de piratería en Internet es una irresponsabilidad&quot;, dijo.El Diario no cita ninguna reacción oficial a las acusaciones, pero su respuesta es lo más cercano a esa reacción gubernamental contra las acusaciones, pues el gobierno chino ha utilizado otras veces este periódico para dar respuesta a las acusaciones sobre piratería.&quot;El informe de McAfee asegura que hay un &apos;actor estatal&apos; involucrado en la operación a gran escala de &apos;ciber-espionaje&apos;, pero es evidente que su análisis no resiste un análisis&quot;.La compañía McAfee informó esta semana que 72 organizaciones y gobiernos, entre las que estaban los gobiernos de Estados Unidos o Corea del Sur y organizaciones como Naciones Unidas o el Comité Olímpico Internacional, habían sido víctimas de una gran operación de &apos;ciber-espionaje&apos; durante los últimos cinco años.El informe no señala que &quot;actor estatal&quot; estaba detrás de los ataques, sin embargo, varios expertos apuntaron con posterioridad a China como posible país responsable, ya que algunos de los objetivos tenían información de especial interés para Pekín.La respuesta del diario oficial chino acusa a McAfee de publicar el informe para alarmar a la gente para comprar sus productos de seguridad. &quot;De hecho, como el número de ataques informáticos contra importantes empresas y organizaciones internacionales ha crecido este año, algunos medios internacionales han acusado varias veces a China como el &apos;villano&apos; que está detrás de las escenas&quot;, añadió el periódico.El pasado mes de junio China ya fue acusada por Google de estar detrás delintento de robo de las contraseñas de cientos de usuarios de su correo Gmail. En aquella ocasión también fue el Diario del Pueblo el que respondió a Google acusándole de ser un &quot;instrumento político&quot; para difamar al gobierno chino.Este nuevo episodio dificulta un poco más las relaciones entre Occidente y China, enrarecidas desde hace tiempo por la falta de libertad en la red que existe en el país asiático.
  4. Flame (28 Mayo 2012). por MAHER Center of IranianNational Computer Emergency Response Team (CERT),[5]Kaspersky Lab[6] and CrySyS Lab of the Budapest University of Technology and Economics.Afectó a  IranianOilMinistry  cyberespionage en paises de oriente medioEl ultimo estado en su informe (CrySySLab) es &quot;es ciertamente el más sofisticado malware que hemos encontrado durante nuestra práctica; es, sin lugar a discusión, el malware más complejo jamás encontrado”Flame es un programa grande poco característico de 20 megabytes. Se ha escrito parcialmente en lenguaje de scripting Lua con código linkadocomplilado en C++, y permite a otros módulos de ataque que sean cargados después de la infección inicial. El malware utiliza cinco métodos de cifrado diferentes y una base de datos SQLite para almacenar información estructurada. Además incluye un certificado MS fraudulento de una ca intermediaAurora (12 de enero de 2010) Operation Aurora fué un  cyber ataque producido por un APT (advancedpersistentthreats) según el ElderwoodGroup, basado en Beijing, China, con conexiones con el People&apos;sLiberationArmy. Inicialmente su revelación la hizo Google el 12 de enero de 2010, parece ser que el ataque comenzó a mediados del 2009 y continuó hasta diciembre de 2009.  Descubierto por McAfee, ha sido dirigido a docenas de organizaciones, entre otras Adobe Systems, Juniper Networks and Rackspace han confirmado públicamente que han sido objetivos. Según los medios, Yahoo, Symantec, NorthropGrumman, Morgan Stanley y Dow Chemical también fueron objetivos. Duqu (Septiembre 2011). Sistemas de control industriales. Cercano a Stuxnet aunque para propósitos distintos. Incluye Cripto, zero-day, c&amp;c. Stuxnet. (Junio 2010). Se piensa que ha sido creado por UnitedStates e Israel para atacar instalaciones nucleares Iraníes con sistemas SCADA Siemens. Firma digital, 5 zero-days,  PoisonIvy (2005) Ejemplo de RAT. Descubierto por Symantec en 2005. Es considerado una pesadilla en los sistemas y redes; permite al atacante de forma secreta controlar el ordenador de los usuarios infectados. El malware como PoisonIvy se conoce como “remoteaccesstrojan,” proporciona control remoto al atacante a través de una puerta trasera. Una vez instalado el virus, el atacante puede activar los controles del ordenador atacado pra grabar o manipular su contenido, incluso activar el micrófono y la webcam para grabar audio y video. Pensado incialmente como herramienta para hackers amaters, PoisonIvy ha sido utilizado en sofisticados ataques contra docenas de firmas occidentales, incluyendo aquellos involucrados en la defensa de la industrias químicas, según informes públicos disponibles de Symantec. Tras la investigación, las trazas de los ataques apuntaban a China.
  5. Secureworks
  6. Caso Bit9 -------------------------------------------------------------------Hispasec - una-al-día 13/02/2013 El ataque a Bit9, malware firmado con certificados y otras conclusiones ----------------------------------------------------------------------- A Bit9 se le han colado en los sistemas de forma que los atacantes han firmado malware con un certificado perteneciente a la compañía de seguridad. Bit9 no es como un antivirus &quot;al uso&quot;: su principal característica es basarse, al contrario que el resto de los motores, en listas blancas. ¿Qué demuestra el ataque sobre este acercamiento contra el malware?  Bit9 comercializa un producto basado en &quot;whitelisting&quot;. Esto quiere decir que se basa en lo contrario a los antivirus convencionales: básicamente mantiene una enorme base de programas &quot;confiables&quot; y en las máquinas protegidas con él solo se pueden ejecutar esos programas. Como la propia Bit9 reconoce, se trata de un acercamiento que al menos rompe con la dinámica habitual. En principio y por definición, por muy nuevas que sean las amenazas no afectarán a los clientes que tienen instalada esta solución... Por ejemplo, ante TheFlame, los sistemas protegidos por Bit9 habrían sido los únicos capaces de no verse afectados por este fichero firmado por la mismísima Microsoft (y Bit9 se encargó de enorgullecerse públicamente de ello).  Pero no todo son luces en los sistemas de &quot;listas blancas&quot;, y este incidente sirve para recordarlos. Mantener una lista blanca, es tremendamente complejo, costoso e &quot;incómodo&quot;. Tanto, que los propios de Bit9 reconocen que los atacantes fueron capaces de entrar en sus sistemas precisamente porque no instalaron su propia solución en un puñado de equipos de su red. Suficientes para que un atacante penetrara en ella y consiguiera entrar hasta la cocina: robarle las claves privadas para poder firmar software.  Pero en ciertos entornos merece la pena sufrir esta incomodidad, y las soluciones de lista blanca seguro que son una capa de seguridad importante y robusta. ¿Cuánto? ¿Qué ocurre cuando un atacante tiene como objetivo una empresa protegida por lista blanca de software? ¿Es de verdad impenetrable? No, nunca. Pero el atacante sin duda se enfrenta ante un grave problema. Cuando se sabe que una compañía utiliza el antivirus X, simplemente se preparan las herramientas (el malware) que se va utilizar para evitar que esa compañía lo detecte, se modifica, se reprograma, se oculta hasta que pasa desapercibido para esa marca. ¿Pero y si la compañía solo permite ciertos programas, cómo hago pasar como legítimo mi malware?  En este caso, y es ciertamente curioso, las listas blancas han cumplido su objetivo... a medias. El atacante se ha visto obligado a ir más allá y atacar a la compañía que protege a su verdadero objetivo, para poder penetrar en él. En resumen, muy probablemente el ataque a Bit9 para firmar malware, no es más que un medio para que ese malware pase desapercibido a la hora de atacar algún sistema protegido por Bit9 (el fin último del atacante), y poder así entrar en ellos.  El hecho de que les haya resultado más sencillo atacar a la compañía que protege para, más tarde, atacar al protegido y tener éxito en ambos objetivos, puede hacernos una idea de lo desarrollado del ataque. Hay que tener en cuenta que, como todo, en los ataques también reina la economía del esfuerzo. Por muy motivados que estuvieran para entrar en un tercero protegido por Bit9, la alternativa de intentar romper ese sistema directamente les pareció más costosa que ir primero contra Bit9, firmar su código, y penetrar en ese tercero posteriormente. Las lecturas y conclusiones son varias. Los atacantes no temen entrar en ningún tipo de redes, por muy protegidas que puedan estar. Aunque la inversión sea alta, la recompensa debe cuadrarles con el beneficio. Esto es algo que ya sabemos desde que han aparecido los últimos &quot;supertroyanos&quot;.  Sobre el uso de las listas blancas, demuestra la fortaleza de la aproximación, pero también sus debilidades. Una es la que ya conocíamos. El mayor miedo de un antivirus es caer en los falsos positivos, y en el caso de las listas blancas el problema de base sigue siendo el mismo que para todos los sistemas antivirus: dictaminar si un fichero es benigno o no. Imaginemos ficheros programados para ser benignos durante un tiempo, o que en un momento dado descargue módulos indeseables. Esto requeriría una ingeniería inversa potente, manual, compleja y en constante mejora... como los antivirus tradicionales.  Con este incidente se añade una pega en la que quizás no se había pensado demasiado... atacar a la compañía que cataloga un fichero como benigno o no, y marcar el malware como benigno. Aunque en realidad, no es, en esencia, muy diferente a lo que ocurrió con TheFlame. Sus creadores atacaron la estructura PKI de Microsoft, para poder entrar en un tercero cómodamente. Consiguieron firmar código y con ello el ataque más elaborado de la historia del malware.  Opina sobre esta noticia: http://unaaldia.hispasec.com/2013/02/el-ataque-bit9-malware-firmado-con.html#comments Más información: Bit9 and OurCustomers’ Securityhttps://blog.bit9.com/2013/02/08/bit9-and-our-customers-security/  Sergio de los Santosssantos@hispasec.comTwitter: @ssantosv
  7. KEY POINT: More in-depth with the FireEye Malware VM analysis * Proprietary VM technology * Ability to detect even VM aware malware * Runs the full OS and browser software stack
  8. Ejemplo si estuviésemos en el Q1 de 2011. El ficherobinario editor de MS “edit.com” pasaría en perímetro, al no llevarcargamaliciosa, el fichero de Conficker no, al ser un virus y estarestarfirmadodesde 2008, pero el malware (APT) Stuxnetpasaría a través del perímetro al no darpositivopor firma y estarprobadopara no dartampocopositivo en los algoritmoseurísticos.
  9. ... http://www.sramanamitra.com/2008/10/27/opportunities-at-the-cusps-fireeye-ceo-ashar-aziz-part-7/ http://www.fireeye.com/company/leadership.htmlAshar Aziz, founded FireEye in 2004 and now serves as vice chairman of the board, CTO, and chief strategy officer. Since founding the company he has also served as CEO through November 2012 and has led the technical and business strategies for FireEye. He is the original inventor of the core set of technologies behind the groundbreaking FireEye Malware Protection System. This work has led to the filing of over 18 patents on various aspects of FireEye technologies. Ashar has received over 20 patents in the areas of networking, cryptography, network security, and data center virtualization for work done prior to FireEye. Before FireEye, Ashar founded Terraspring, a company focused on data center automation and virtualization. Terraspring was successfully acquired by Sun Microsystems in 2002, where Ashar then served as CTO of the company’s N1 program. Before Terraspring, Ashar spent twelve years at Sun as a distinguished engineer focused on networking and network security. Ashar holds an S.B in Electrical Engineering and Computer Science from the Massachusetts Institute of Technology and an M.S. in Computer Science from the University of California, Berkeley, where he received the UC Regents Fellowship.
  10. The Cutwailbotnet, founded around 2007[1] is a botnet mostly involved in sending spam e-mails. The bot is typically installed on infected machines by a Trojan component calledPushdo.[2]HistoryIn June, 2009 it was estimated that the Cutwail botnet was the largest botnet in terms of the amount of infected hosts. Security provider MessageLabs estimated that the total size of the botnet was around 1.5 to 2 million individual computers, capable of sending 74 billion spam messages a day, or 51 million every minute, equal to 46.5% of the worldwide spam volume.[2][3]In February 2010 the botnet&apos;s activities were slightly altered when it started a DDoS attack against 300 major sites, including the CIA, FBI, Twitter and Paypal. The reasons for this attack weren&apos;t fully understood, and some experts described it as an &quot;accident&quot;, mainly due to the lack of damage and disruption, along with the infrequency of the attacks.[4]In August 2010, researchers from University of California, Santa Barbara and Ruhr University Bochum attempted to take down the botnet, and managed to take offline 20 of the 30 Command and Control servers that the botnet was using.[2]