View
2
Download
0
Category
Preview:
Citation preview
Spear Phishing e Ameaças Direcionadas:
novo cenário de ataques via e-‐mail
Felipe Guitel Marke.ng Manager Trend Micro Brasil
Fortalecer o negócio…
…e garan?r a segurança da informação!
Consumerização Cloud &
Virtualização
Ciber Ameaças
TI
Atacantes
Usuários
91% dos ataques direcionados começam com o spear- phishing
Copyright 2015 Trend Micro Inc. 6
Quão complexo é o atual cenário?
99 10 % dos Malware Atuais Infectam < Empresas
80 1 % dos Malware Atuais Infectam = Empresa
Cenário de Ameaças
Tempo
Exploração de Vulnerabilidades
Malware Tradicional
Ameaças Avançadas
Employee Data Leaks
Ataques Direcionados
Sofis>cação
Advanced Persistent Threats • Nem sempre os componentes são maliciosos; • O foco é ser evasivo, não detectável; • Controlado por um humano;
• Múl?plos vetores de ataque; • Ataque conbnuo, repe??vo; • Atacantes são pacientes;
• Exploram brechas do sistema; • Exploram brechas de segurança; • Com recursos suficientes para ter êxito no ataque.
Ameaças dirigidas Bot Malware
Distribuição Com planejamento Distribuição em massa Distribuição em massa
Interrompe Serviços? Não Não Sim
Padrão do Ataque Direcionado (pequenos grupos e organizações)
Não direcionado (abrangência global)
Não direcionado (abrangência global)
Alvo Organizações/Empresas Individual , informação bancária on line Randômico
Frequência do Ataque Muitas vezes Única Única
Armas -‐ Exploit “Zero-‐day” -‐ Baixa RAT integrado -‐ Dropper ou Backdoor
Múl?plos “Exploits”, tudo em um
Dependentes do desenvolvimento do Malware
Taxa de detecção Menos que 10%,
se a amostra for descoberta em menos de 1 mês
Aproximadamente 86%, se a amostra for descoberta em
menos de 1 mês
Aproximadamente 99%, se a amostra for descoberta em
menos de 1 mês
Perfil das Ameaças
2014 Annual Trend Micro Security Roundup
11
THE INVISIBLE BECOMES VISIBLE
Previsões da Trend Micro para 2015
Previsões 2015 Os ciber criminosos utilizarão darknets/deepweeb e foruns exclusivos para compartilhar e vender crimeware
O aumento de ciber atividades produzirá mais e melhores ferramentas e métodos de ataque com sucesso.
Graças às vulnerabilidades mobile que deixam brechas para a infecção dos dispositivos móveis, os kits de exploração possuem como alvo o Android.
Ataques direcionados se tornarão tão comuns como o cyber crime.
1 |
2 |
3 |
4 |
Novos métodos de pagamento através de dispositivos móveis, vão introduzir novas ameaças.
Nós veremos mais tentativas de exploração de vulnerabilidades em aplicativos de código aberto.
A diversidade tecnológica dos dispositivos IoE/IoT, vai suavizar os ataques em massa, mas o mesmo não será verdade para os dados processados.
Mais ameaças bancárias e com motivação financeira, surgirão.
5 |
6 |
7 |
8 |
O aumento de ciber atividades maliciosas produzirá mais e melhores ferramentas e métodos de ataque com mais sucesso. 2|
• Malware Conhecido 95,7%
• Botnets Ativas 87,2%
• Aplicações Disruptivas 82,9%
• Malware Bancário 77%
• Documentos Maliciosos 82,9%
• Atividades de Fuga de Dados 36,1%
Fonte: Úl?mas 100 análises realizadas com o Deep Discovery no Brasil entre 2013 e 2014
• Malware Desconhecido 61,7%
• Ataques na Rede 76,6%
• Malware Android 31,9%
• Malware Mac OS 10,6%
• Serviços Cloud Storage 72,3%
Trend Micro • 26 anos de exper?se, + 1,2 Bilhão de US$, “Pure-‐play” de segurança; • Headquarter no Japão • Tokyo Exchange Nikkei Index (4704) • Maior empresa de segurança no mundo com foco em segurança • Mais de 5200 funcionários, 38 unidades de negócio • 48 das top 50 corporações globais • 8 anos consecu?vos à
+500,000 clientes enterprise +155 Milhões de estações de trabalho
RTL
Global Threat Intelligence +1,200 especialistas no mundo
FTR
Regional TrendLabs
Forward-‐Looking Threats Research
O Submundo do Crime Digital Brasileiro
19
Ataques Direcionados e Ameaças Desconhecidas
• Quem está atacando? • Quão profundo é o ataque? • Que informação eles ob?veram? • Quanto tempo o ataque está ocorrendo? • Sou o único sofrendo esse ataque? • Como impeço que aconteça novamente?
• Para descobrir se você está sendo atacado ou já foi comprome?do
• Para entender o nível do ataque • Para definir quão sofis?cado foi o ataque
– Ataque oportunista ou direcionado – O ataque foi criado para evadir
a detecção?
Como você pode proteger se não detecta?
Ganhe visibilidade para corrigir… Por que Breach Detec?on System?
Defesa Customizada
Tecnologia avançada para analisar pequenos sinals
DETECTA
Perfil da ameaça Origem? Risco? Canal?
ANALISA ADAPTA
Proteção Instantânea com assinatura dinâmica
RESPONDE
Threat infec?on containement
• Completa visibilidade com as tecnologias Deep Discovery • Monitoramento avançado com sensores na Rede, Canais e Host • Proteção contra ameaças customizadas & ataques direcionados
Sandbox Inspeção Protocolos
Reputação de rede
Análise arquivo
Análise de Comportamento
Iden?ficação de C&C
Monitoramento Sistema
Sandbox Customizada
• Imagem SO customizada • Acelera a execução • Detecção An?-‐Análise • 32 & 64 bits • Executa binários, documentos, URL
WinXP SP3 Win7 Base
Isolated Network
Poder da Sandbox Customizada
Filesystem monitor
Registry monitor
Process monitor
Rootkit scanner
Network driver
Fake Explorer
Fake Server Fake AV API
Hooks
Win7 Hardened
Core Threat Simulator
LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000 LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000 LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000 key: HKEY_CURRENT_USER\Local Se�ngs\MuiCache\48\52C64B7E\LanguageList value: key: HKEY_CURRENT_USER\So�ware\Microso�\Onheem\20bi1d4f Write: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32 Injec?ng process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exe socket ARGs: ( 2, 2, 0 ) Return value: 28bfe socket ARGs: ( 23, 1, 6 ) Return value: 28c02 window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2 internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008 .......
Modifies file with infec.ble type : eqawoc.exe Inject processus : 2604 taskhost.exe Access suspicious host : mmlzntponzkfuik.biz
!
Poder da Sandbox Customizada vs. Técnicas An?-‐Security • O exemplo abaixo demonstra a análise de um artefato em 3 perfis de sandbox
– Na primeira sandbox (1) – o artefato malicioso não apresentou nenhum risco pois para que sua ro?na de execução exis?sse, a máquina deveria possuir sistema operacional em português;
– Nas outras sandbox (2 e 3) – o artefato foi executado pois as sandbox possuiam Windows em português, caracterís?ca presente no ambiente corpora?vo do cliente deste exemplo.
1 2 3
Deep Discovery Email Inspector Proteção contra Ataques Direcionados por Email
Um appliance de email dedicado que detecta e bloqueia emails contendo conteúdo malicioso ou referências a URLs
• Sandbox personalizada e engines de detecção analizam os anexos dos emails
• Analisa completamente o des?no das URLs embu?das no email
• Deriva senhas de arquivos protegidos • Co-‐existe com outros produtos de segurança de email
Ø Bloqueia emails direcionados que causam fuga de dados
Deep Discovery Email Inspector
• Anexos: Analisados com detecção de engines & sandboxes • Senhas: Derivadas inteligentemente usando listas e heurís?ca
• URLs: Reputação, rastreamento & sandbox para malware & exploits
• Sandbox Personalizada: Configurada para reproduzir seus sistemas
• Controles de Polí?cas: Torna fácil personalizar polí?cas de segurança • Análise de Ameaças: Ferramentas & inteligência para analisar a natureza do ataque
Email GW
Email Server
Deep Discovery
X
Proteção de Ameaças Avançadas bloqueia ataques direcionados de email
Web proxy
Defesa Customizada e Integrada
Deep Discovery Analyzer
Blacklist dinâmica
App Server
Storage
Analyzer
!
SMTP relay
Mail Server
Endpoint !
af12e45b49cd23... 48.67.234.25:443 68.57.149.56:80 d4.mydns.cc b1.mydns.cc ...
!
ScanMail
IWSva
IMSva
Infec?on & payload
C&C callback
OfficeScan Deep Security
3c4çba176915c3ee3df87b9c127ca1a1bcçba17
Custom Signature
NSS Labs Breach Detec?on Tests Melhor detecção & 360°proteção
Convite: Trend Micro Security Assessment
Copyright 2015 Trend Micro Inc.
felipe_guitel@trendmicro.com
h�p://blog.trendmicro.com.br
Obrigado!
Confidential | Copyright 2014 Trend Micro Inc.
Recommended