Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Armas	Utilizadas	en	el	
Quinto	Dominio	de	la	Guerra
AMENAZAS AVANZADAS
PERSISTENTES - APT
El	Ciberespacio
David	Pereira
David Pereira
David	Pereira:	(CEH,	ECSA/LPT,	CHFI,	ENSA,	ECSS,	ECVP,	CEI,	QGSS,	ECIH) es	
un	Investigador	Digital,	Consult...
Perspectiva:Content Page
El campo de batalla mundial está migrando de los 4
Dominios tradicionales al quinto Dominio:
Tier...
OTAN: LOS		HACKERS	SON	LOS	GUERREROS	DEL	SIGLO	XXI
http://www.nato.int/
docu/review/2013/Cy
ber/Hackers-for-
hire/EN/index...
CIBERDEFENSA
Se	crea	el	concepto	de	C4ISR:
• Comando
• Control
• Comunicaciones
• Computadores
• Inteligencia
• Vigilancia...
QUE ES UNA APT ? (Advanced Persistent Threat)
Amenaza	Avanzada	Persistente
• Malware orientado específicamente contra obje...
Busca	Beneficio	Económico;
• Robo	de	Identidad
• Datos	de	Tarjetas	de	Crédito
• Datos	Bancarios
• Secuestro	Información
• ...
Objetivo: Infraestructura Crítica
Redes	
Eléctricas
Sistema	
Financiero
Soporte	
Vital
Sistemas	
Información
Generación	
d...
¿Que Hace mas peligrosas a las APT ?
Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la
mayoría de ...
Recolección	de	Información	- OSINT
Fases de una APT
Lograr un Punto de Acceso
Recibir	Ordenes	del		Comando	y	Control	(C&C)...
• Ambiente e Infraestructura de IT
• Estructura Organizacional
• Empleados – Ex Empleados
• Correos Electrónicos
• Colabor...
• Correo Electrónico Malicioso
• Mensajería Instantánea
• Aplicaciones Maliciosas en Redes Sociales
• Regalo de Dispositiv...
Llamar a Casa para recibir instrucciones
• Asegurar la Continuidad de la Comunicación entre la red
Comprometida y el o los...
Fase 3: Comando y Control (C&C)
Maquina	Infectada	
con
APT	en	Al	interior	
de	la	Entidad
Firewall	que	permite	el	
paso	de	...
Fase 3: (C&C) – Fast Flux
Sitio	Web
www.maligno.com
Dirección	IP	1	
AMENAZAS	AVANZADAS	PERSISTENTES	- APT
Dirección	IP	2	
...
Búsqueda de Computadores en la red comprometida que almacenen
información sensible e importante de la Entidad o Empresa co...
• Identificar los Sistemas Principales de la Entidad Atacada
• Servidores
• Estaciones Clave
• Identificar información imp...
• Transmisión de la Información de Valor a una ubicación bajo el
control del atacante.
• Esto se realiza normalmente por p...
Caso Shady RAT
AMENAZAS	AVANZADAS	PERSISTENTES	- APT
NO!!!
¿Nuestras Defensas Normales son Efectivas ante una APT?
AMENAZAS	AVANZADAS	PERSISTENTES	- APT
• La mayoría de las Arquitecturas de defensa se diseñan pensando que el
enemigo está aún Afuera y tratamos de cerrar todas...
• Nuestras defensas tradicionales no están preparadas para manejar
vulnerabilidades dia cero.
• Contra el malware avanzado...
La respuesta es……… No Necesariamente!
• Existen mecanismos, políticas y tecnologías que nos permiten mejorar el
nivel de d...
¿Preguntas?
David	F.	Pereira
david.pereira@secpro.org
Twitter:	d4v1dp3r31r4
Prochain SlideShare
Chargement dans…5
×

Amenazas avanzadas persistentes

874 vues

Publié le

APT - Amenazas Avanzadas Persistentes

Publié dans : Technologie
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Soyez le premier à aimer ceci

Amenazas avanzadas persistentes

  1. 1. Armas Utilizadas en el Quinto Dominio de la Guerra AMENAZAS AVANZADAS PERSISTENTES - APT El Ciberespacio David Pereira
  2. 2. David Pereira David Pereira: (CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH) es un Investigador Digital, Consultor con mas de 17 años de experiencia en el Area de la Seguridad informática y la Computación Forense, que ha desarrollado labores de Ethical Hacking, Pruebas de Penetración y Análisis Forense para diversas Entidades Nacionales como Internacionales de múltiples ambitos como el Financiero, Energético, Militar, Diplomatico, Minero, entre otros. AMENAZAS AVANZADAS PERSISTENTES - APT
  3. 3. Perspectiva:Content Page El campo de batalla mundial está migrando de los 4 Dominios tradicionales al quinto Dominio: Tierra Mar Aire Ciberespacio Toda la Infraestructura Crítica de un País pasa a ser un Objetivo militar para cualquier atacante o enemigo; Las entidades que hacen parte de la Infraestructura Crítica de un país están conectadas al Ciberespacio. AMENAZAS AVANZADAS PERSISTENTES - APT
  4. 4. OTAN: LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI http://www.nato.int/ docu/review/2013/Cy ber/Hackers-for- hire/EN/index.htm
  5. 5. CIBERDEFENSA Se crea el concepto de C4ISR: • Comando • Control • Comunicaciones • Computadores • Inteligencia • Vigilancia • Reconocimiento AMENAZAS AVANZADAS PERSISTENTES - APT
  6. 6. QUE ES UNA APT ? (Advanced Persistent Threat) Amenaza Avanzada Persistente • Malware orientado específicamente contra objetivos Corporativos, Políticos, de Infraestructura o Militares • Este Malware, normalmente es Diseñado y Construido a la Medida específica del Blanco (Caso Stuxnet) • Puede adaptarse de acuerdo a las condiciones que encuentre en el Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones) AMENAZAS AVANZADAS PERSISTENTES - APT
  7. 7. Busca Beneficio Económico; • Robo de Identidad • Datos de Tarjetas de Crédito • Datos Bancarios • Secuestro Información • Daño a un Enemigo o Competidor Comparación APT vs. Malware Tradicional Malware Tradicional APT Control, Información, Desestabilizar • Robo de Secretos Corporativos • Control de Infraestructura Crítica Enemiga • Alta Latencia • Ultima Tecnología • Baja Detección AMENAZAS AVANZADAS PERSISTENTES - APT
  8. 8. Objetivo: Infraestructura Crítica Redes Eléctricas Sistema Financiero Soporte Vital Sistemas Información Generación de Poder Redes de Comunicación Gobierno Bancos Bolsa de Valores Acueducto Vías / Carreteras BD Registraduría BD DIAN BD EPS/IPS BD Centrales Riesgo Hidroeléctricas Termoeléctricas Petroleras Gasoductos Cables Interoceánicos Internet Satélites Radio Red Celulares Suministro de Energía Ejecutivo Autoridades Civiles Autoridades Militares Sistemas SCADA / AUTOMATIZACION Se controlan por medio de Sistemas de información que pueden ser Vulnerables ante APT AMENAZAS AVANZADAS PERSISTENTES - APT
  9. 9. ¿Que Hace mas peligrosas a las APT ? Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización suficientes para hacerlo desconfiar de ciertos indicadores; • Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos) • Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la Empresa – Entidad • Correo electrónico que le indique la obligación de descargar determinado software o información. • Regalo de Dispositivos de Almacenamiento (USB) AMENAZAS AVANZADAS PERSISTENTES - APT
  10. 10. Recolección de Información - OSINT Fases de una APT Lograr un Punto de Acceso Recibir Ordenes del Comando y Control (C&C) – (C2) Movimiento Lateral Fase 6 Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Descubrimiento de Activos – Datos - Información Exfiltración – Robar los Datos encontrados AMENAZAS AVANZADAS PERSISTENTES - APT
  11. 11. • Ambiente e Infraestructura de IT • Estructura Organizacional • Empleados – Ex Empleados • Correos Electrónicos • Colaboradores • Clientes • Proveedores Fase 1: Recolección de Información AMENAZAS AVANZADAS PERSISTENTES - APT
  12. 12. • Correo Electrónico Malicioso • Mensajería Instantánea • Aplicaciones Maliciosas en Redes Sociales • Regalo de Dispositivos • Explotación de Fallas en Software • INSIDER 87% de las Organizaciones Atacadas, caen por una URL maliciosa Fase 2: Lograr un punto de acceso AMENAZAS AVANZADAS PERSISTENTES - APT
  13. 13. Llamar a Casa para recibir instrucciones • Asegurar la Continuidad de la Comunicación entre la red Comprometida y el o los Servidores de C&C o C2. • La mayor cantidad de tráfico de C&C se maneja a través de puertos HTTP y HTTPS utilizados para navegación web común. • Se utilizan mecanismos Fast Flux para esconder los Servidores C&C o C2 Fase 3: Comando y Control (C&C) AMENAZAS AVANZADAS PERSISTENTES - APT
  14. 14. Fase 3: Comando y Control (C&C) Maquina Infectada con APT en Al interior de la Entidad Firewall que permite el paso de tráfico por puertos conocidos: 80 - 443 Sitio Web Malicioso que hace las veces de C&C / C2 (Comando y Control) Red de Ocultamiento utilizada por el Atacante Atacante AMENAZAS AVANZADAS PERSISTENTES - APT
  15. 15. Fase 3: (C&C) – Fast Flux Sitio Web www.maligno.com Dirección IP 1 AMENAZAS AVANZADAS PERSISTENTES - APT Dirección IP 2 Dirección IP 3 Dirección IP 4 Dirección IP 5 Direcciones Múltiples que rotan permanentemente para engañar a los mecanismos de detección y filtrado Servidor de Resolución de Nombres - DNS Resuelve hacia múltiples direcciones ip el Dominio www.maligno.com
  16. 16. Búsqueda de Computadores en la red comprometida que almacenen información sensible e importante de la Entidad o Empresa con valor para el o los atacantes. Las técnicas utilizadas incluyen: • Modificar claves de acceso de un Computador o Servidor • Creación de Nombres de Usuarios para tener acceso • Escalar Privilegios Fase 4: Movimiento Lateral AMENAZAS AVANZADAS PERSISTENTES - APT
  17. 17. • Identificar los Sistemas Principales de la Entidad Atacada • Servidores • Estaciones Clave • Identificar información importante para su futura ex filtración. • Este proceso puede tomar mucho tiempo, pero esta es una de las características de las APT; sus dueños no tienen prisa. Fase 5: Descubrimiento de ACTIVOS / DATOS AMENAZAS AVANZADAS PERSISTENTES - APT
  18. 18. • Transmisión de la Información de Valor a una ubicación bajo el control del atacante. • Esto se realiza normalmente por puertos de salida autorizados en el Firewall de las Entidades Objetivo: http (80) https(443-SSL). Fase 6: Exfiltración de los Datos AMENAZAS AVANZADAS PERSISTENTES - APT
  19. 19. Caso Shady RAT AMENAZAS AVANZADAS PERSISTENTES - APT
  20. 20. NO!!! ¿Nuestras Defensas Normales son Efectivas ante una APT? AMENAZAS AVANZADAS PERSISTENTES - APT
  21. 21. • La mayoría de las Arquitecturas de defensa se diseñan pensando que el enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos olvidamos de controlar las Salidas. • Muchas APT han logrado éxito por que alguien interno colaboró (Insider). • Nuestras defensas tradicionales están diseñadas para permitir puertos/servicios y/o denegar puertos/servicios; así que un servicio permitido puede ser explotado (Http/Https). ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
  22. 22. • Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades dia cero. • Contra el malware avanzado depositamos nuestra confianza en los Antivirus, los cuales detectan amenazas basados en firmas o comportamiento (Heurística Rudimentaria), con insuficiente profundización; si el Malware es lo suficientemente avanzado, la detección es nula. ¿Porqué no es efectiva nuestra defensa? AMENAZAS AVANZADAS PERSISTENTES - APT
  23. 23. La respuesta es……… No Necesariamente! • Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT; • No necesariamente vamos a poder detectar la penetración o el ataque en si mismo, pero si podemos detectar sus consecuencias. ¿Estamos indefensos ante las APT? AMENAZAS AVANZADAS PERSISTENTES - APT
  24. 24. ¿Preguntas? David F. Pereira david.pereira@secpro.org Twitter: d4v1dp3r31r4

×