O documento apresenta uma agenda sobre tendências, técnicas e soluções no combate a ataques de APTs e AVTs. Resume os 10 passos estratégicos de ataques, incluindo a seleção de alvos, obtenção de informações, entrada no sistema, implantação de malware, escalada de privilégios, comunicação C&C, movimento lateral, descoberta de ativos, extração de dados e encobrimento de evidências. Também discute ferramentas open source para detecção e projetos DIY.
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs
1. Tendências, Técnicas e Soluções no
Combate aos Ataques de APTs e AVTs
Mauro Risonho de Paula Assumpção
Março/2016
2.
3. Agenda (continuação 1/4)Agenda (continuação 1/4)
• Quem sou eu
• Quem é a Agility Networks
• APTs/AVTs
• Análise passo a passo de ataques APT/AVT
• 10 Passos de APTs/AVTs
• Cenário
• Passo 1 – Seleção de Alvos
• Passo 2 – Recolhendo Informações dos Ambientes Alvos
• Passo 3 – Pontos de Entradas para Ataques
4. Agenda (continuação 2/4)Agenda (continuação 2/4)
• Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)
• Passo 5 – Escalada de Privilégios
• Passo 6 – C&C – Command and Control Communication
• Passo 7 – Movimento de Ataque Lateral
• Passo 8 – Descoberta de Ativos e Persistência
• Passo 9 – Extração de Dados
• Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
5. Agenda (continuação 3/4)Agenda (continuação 3/4)
• Projetos Open Source para detecção, pesquisa e bloqueios de
APTs/AVTs (DIY DO IT YOURSELF)
• APT - Open Source Tools
• SP-025: Advanced Monitoring and Detection
• IOC - Open Source Tools
• Falando rapidamente sobre o APT Linux.DDoS.XoR
Malware/Droper/Rootkit
• DEMO
• Em algum próximo Evento, por ai ...
7. Quem sou euQuem sou eu
Mauro “Risonho” de Paula Assumpção
aka firebits
Nerd/Autodidata/Entusiasta/Pentester/
Security Researcher/Instrutor/Palestrante e
Eterno Aprendiz
Senior Security Analyst (R&D) - Agility Networks,
SIS (Reverse Eng. Malwares, Deep Web, VA/VM
e Pentest)
8. Quem é a Agility NetworksQuem é a Agility Networks
A AGILITY NETWORKS é um “Trusted Advisor” em serviços e soluções
sofisticadas para infraestrutura de TI, reconhecida e admirada pelos resultados
obtidos ao longo de mais de 20 anos de atuação junto a grandes empresas e
instituições públicas. Fundada em 1991, atua em 3 competências-chave: Data
Center & Cloud, Application Delivery e Segurança e é integradora de vários
Vendors reconhecidos de mercado nacional e mundial.
9. APT (Advanced Persistent Threat)APT (Advanced Persistent Threat)
"Avançado" significa técnicas sofisticadas usando malwares e
vulnerabilidades conhecidas para explorar os sistemas internos.
"Persistente" sugere que um sistema de comando e controle
externo é continuamente monitorando e extraem dados de um alvo
específico.
"Ameaça" indica o envolvimento humano em orquestrar o(s)
ataque(s).
10. AVT (Advanced Volatile Threat)AVT (Advanced Volatile Threat)
"Avançado" significa técnicas sofisticadas usando malwares e
vulnerabilidades conhecidas para explorar os sistemas internos.
“Volátil" sugere que um sistema de comando e controle externo é
continuamente monitorando e extraem dados de um alvo
específico, mas usando processos em memória (RAM, GPURAM e
outros relativos à memória volátil).
"Ameaça" indica o envolvimento humano em orquestrar o(s)
ataque(s).
11. O que os APTs/AVTs tem em comum?O que os APTs/AVTs tem em comum?
Basicamente, o foco é um ataque à rede.
As redes alvo são geralmente, instituições financeiras à inteligência
militar.
O objetivo de um ataque direcionado é roubar propriedade intelectual
valiosa, dinheiro e/ou outras informações pessoalmente identificáveis.
O que muda é abordagem da técnica final (APTs geralmente em disco e
AVTs geralmente em memória), podendo existir híbridos (APTVTs talvez?)
14. 10 passos estratégicos e táticos via AVTs/APTs10 passos estratégicos e táticos via AVTs/APTs
Passo 1 – Seleção de Alvos
Passo 2 – Recolhendo Informações dos Ambientes Alvos
Passo 3 – Pontos de Entradas para Ataques
Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)
Passo 5 – Escalada de Privilégios
Passo 6 – C&C – Command and Control Communication
Passo 7 – Movimento de Ataque Lateral
Passo 8 – Descoberta de Ativos e Persistência
Passo 9 – Extração de Dados
Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
15. Passo 1 - Seleção de Alvos (via redes sociais)Passo 1 - Seleção de Alvos (via redes sociais)
16. Passo 2 - Recolhendo Informações dos AmbientesPasso 2 - Recolhendo Informações dos Ambientes
17. Passo 3 – Pontos de Entradas para AtaquesPasso 3 – Pontos de Entradas para Ataques