O documento apresenta uma agenda sobre tendências, técnicas e soluções no combate a ataques de APTs e AVTs. Resume os 10 passos estratégicos de ataques, incluindo a seleção de alvos, obtenção de informações, entrada no sistema, implantação de malware, escalada de privilégios, comunicação C&C, movimento lateral, descoberta de ativos, extração de dados e encobrimento de evidências. Também discute ferramentas open source para detecção e projetos DIY.

1. Tendências, Técnicas e Soluções no
Combate aos Ataques de APTs e AVTs
Mauro Risonho de Paula Assumpção
Março/2016

3. Agenda (continuação 1/4)Agenda (continuação 1/4)
• Quem sou eu
• Quem é a Agility Networks
• APTs/AVTs
• Análise passo a passo de ataques APT/AVT
• 10 Passos de APTs/AVTs
• Cenário
• Passo 1 – Seleção de Alvos
• Passo 2 – Recolhendo Informações dos Ambientes Alvos
• Passo 3 – Pontos de Entradas para Ataques

4. Agenda (continuação 2/4)Agenda (continuação 2/4)
• Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)
• Passo 5 – Escalada de Privilégios
• Passo 6 – C&C – Command and Control Communication
• Passo 7 – Movimento de Ataque Lateral
• Passo 8 – Descoberta de Ativos e Persistência
• Passo 9 – Extração de Dados
• Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque

5. Agenda (continuação 3/4)Agenda (continuação 3/4)
• Projetos Open Source para detecção, pesquisa e bloqueios de
APTs/AVTs (DIY DO IT YOURSELF)
• APT - Open Source Tools
• SP-025: Advanced Monitoring and Detection
• IOC - Open Source Tools
• Falando rapidamente sobre o APT Linux.DDoS.XoR
Malware/Droper/Rootkit
• DEMO
• Em algum próximo Evento, por ai ...

6. Agenda (continuação 4/4)Agenda (continuação 4/4)
• Referências
• Dúvidas

7. Quem sou euQuem sou eu
Mauro “Risonho” de Paula Assumpção
aka firebits
Nerd/Autodidata/Entusiasta/Pentester/
Security Researcher/Instrutor/Palestrante e
Eterno Aprendiz
Senior Security Analyst (R&D) - Agility Networks,
SIS (Reverse Eng. Malwares, Deep Web, VA/VM
e Pentest)

8. Quem é a Agility NetworksQuem é a Agility Networks
A AGILITY NETWORKS é um “Trusted Advisor” em serviços e soluções
sofisticadas para infraestrutura de TI, reconhecida e admirada pelos resultados
obtidos ao longo de mais de 20 anos de atuação junto a grandes empresas e
instituições públicas. Fundada em 1991, atua em 3 competências-chave: Data
Center & Cloud, Application Delivery e Segurança e é integradora de vários
Vendors reconhecidos de mercado nacional e mundial.

9. APT (Advanced Persistent Threat)APT (Advanced Persistent Threat)

"Avançado" significa técnicas sofisticadas usando malwares e
vulnerabilidades conhecidas para explorar os sistemas internos.

"Persistente" sugere que um sistema de comando e controle
externo é continuamente monitorando e extraem dados de um alvo
específico.

"Ameaça" indica o envolvimento humano em orquestrar o(s)
ataque(s).

10. AVT (Advanced Volatile Threat)AVT (Advanced Volatile Threat)

"Avançado" significa técnicas sofisticadas usando malwares e
vulnerabilidades conhecidas para explorar os sistemas internos.

“Volátil" sugere que um sistema de comando e controle externo é
continuamente monitorando e extraem dados de um alvo
específico, mas usando processos em memória (RAM, GPURAM e
outros relativos à memória volátil).

"Ameaça" indica o envolvimento humano em orquestrar o(s)
ataque(s).

11. O que os APTs/AVTs tem em comum?O que os APTs/AVTs tem em comum?

Basicamente, o foco é um ataque à rede.

As redes alvo são geralmente, instituições financeiras à inteligência
militar.

O objetivo de um ataque direcionado é roubar propriedade intelectual
valiosa, dinheiro e/ou outras informações pessoalmente identificáveis.

O que muda é abordagem da técnica final (APTs geralmente em disco e
AVTs geralmente em memória), podendo existir híbridos (APTVTs talvez?)

12. Análise passo a
passo de
ataques de APT/AVT

13. CenárioCenário

14. 10 passos estratégicos e táticos via AVTs/APTs10 passos estratégicos e táticos via AVTs/APTs

Passo 1 – Seleção de Alvos

Passo 2 – Recolhendo Informações dos Ambientes Alvos

Passo 3 – Pontos de Entradas para Ataques

Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)

Passo 5 – Escalada de Privilégios

Passo 6 – C&C – Command and Control Communication

Passo 7 – Movimento de Ataque Lateral

Passo 8 – Descoberta de Ativos e Persistência

Passo 9 – Extração de Dados

Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque

15. Passo 1 - Seleção de Alvos (via redes sociais)Passo 1 - Seleção de Alvos (via redes sociais)

16. Passo 2 - Recolhendo Informações dos AmbientesPasso 2 - Recolhendo Informações dos Ambientes

17. Passo 3 – Pontos de Entradas para AtaquesPasso 3 – Pontos de Entradas para Ataques

18. Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)

19. Passo 5 – Escalada de PrivilégiosPasso 5 – Escalada de Privilégios

20. Passo 6 – C&C – Command and Control CommunicationPasso 6 – C&C – Command and Control Communication

21. Desktop de
Usuário
comum
infectado
Passo 7 – Movimento de Ataque LateralPasso 7 – Movimento de Ataque Lateral

22. Passo 8 – Descoberta de Ativos e PersistênciaPasso 8 – Descoberta de Ativos e Persistência

23. Passo 9 – Extração de DadosPasso 9 – Extração de Dados

24. Passo 10 – Encobrindo Pistas, Rastros e Evidências do AtaquePasso 10 – Encobrindo Pistas, Rastros e Evidências do Ataque

25. Projetos Open Source para
detecção, pesquisa e
bloqueios de APTs/AVTs (DIY
DO IT YOURSELF)

26. APT - Open Source ToolsAPT - Open Source Tools
Aptdetector
•https://github.com/abzcoding/aptdetector
Ludumdare32 (APT Game Fake)
•http://www.tobypinder.com/ld32
XCOM
•https://github.com/Tryan18/XCOM
Aptdetector-go (projeto inicial ainda)
•https://github.com/abzcoding/aptdetector-go
APTnotes
•https://github.com/kbandla/APTnotes

27. SP-025: Advanced Monitoring and DetectionSP-025: Advanced Monitoring and Detection
• http://www.opensecurityarchitecture.org/cms/library/patternla
ndscape/314-sp-025-advanced-monitoring-and-detection

28. IOC - Open Source ToolsIOC - Open Source Tools
Intel
•https://github.com/JohnnyWachter/intel
iocminion
•https://github.com/pun1sh3r/iocminion
IOCextractor
•https://github.com/stephenbrannon/IOCextractor
pyioc
•https://github.com/jeffbryner/pyioc

29. AVT - Open Source ToolsAVT - Open Source Tools
Anti-Meterpreter
•http://www.mertsarica.com/codes/antimeter2.zip

30. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
É hora de
“uma DEMO”
LIKE
A
BOSS!!!

31. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
Fonte: https://www.fireeye.com/blog/threat-
research/2015/02/anatomy_of_a_brutef.html

32. DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
IOC
Domains
•wangzongfacai.com
•dsaj2a.com
•dsaj2a.org
•dsaj2a1.org
•...
IP addresses (hard-coded into binary)
•103.25.9.228
•103.25.9.229
Malware Binary MD5 Hashes
•0b7630ead879da12b74b2ed7566da2fe (variant 1)
•85ecdf50a92e76cdb3f5e98d54d014d4 (variant 2)
(IOC Completo em https://www.fireeye.com/blog/threat-
research/2015/02/anatomy_of_a_brutef.html)

33. Em algum próximo evento...Em algum próximo evento...
●
Pentest Clássico (estilo décadas de 80 e 90) usando
Artificial Intelligence + Machine Learning

34. Dúvidas?

35. Obrigado!Obrigado!
Mauro “Risonho” de Paula Assumpção
aka firebits
www.agilitynetworks.com.br
https://www.linkedin.com/in/firebitsbr
http://pt.slideshare.net/firebits
mauro.risonho@gmail.com
mauro.assumpcao@agilitynetworks.com.br
https://twitter.com/firebitsbr