Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
Simón Roses Femerling
• Fundador y CEO de VULNEX: www.vulnex.com
• Blog: www.simonroses.com
• Twitter: @simonroses / @vulnexsl
Ex Microsoft, PwC & @Stake
CISSP, CEH & CSSLP
Ponente: Blackhat, RSA, OWASP, DeepSec, AppSec USA, Microsoft Technets, etc.
1
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
OBJETIVOS
• Un vistazo al panorama de ataques 2012
• Casos reales de APT
• Por qué falla la seguridad
• Cuestión de tiempo
2
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
AGENDA
1. Cuando los APT atacan
2. Casos reales
3. Conclusiones
4. Preguntas y respuestas
3
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
4
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. Perfil Atacantes
5
Atacante Casual
Empleados / Internos
Hacktivistas
Atacante Económico /
Crimen Atacante Estado-Nación
+
-
Seguridad
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. Ataques 2011-2012 • 2011
• Sony
• Citigroup
• Sega
• BART
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. Datos
• Sólo un 6% de los incidentes en 2011 fueron detectados internamente
• Los ataques pasaron desapercibidos una media de 416 días
• En el 100% de los incidentes las credenciales fueron robadas
• Atacantes profesionales roban el SAM
7
(1 ) Advanced Persistent Pentesting: Fighting Fire with Fire
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. APT • Los APT han conseguido comprometer la seguridad de muchas organizaciones (1000 Fortune)
• Utilizan una amplia variedad de ataques y estrategias:
® Ingeniería social
® Exploits
® Phishing
® Troyanos
• Su objetivo es mantener persistencia y anonimato con el fin de robar durante todo el máximo tiempo posible:
• Correos electrónicos
• Documentos
• Atacan desde lugares seguros
8
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. APT Características
• Sofisticados
• Organizados en equipos (programadores, testers, jefes de proyectos, pentesters, etc.)
• Profesionales / Trabajo
• Acceso a recursos
• No tienen miedo a ser detectados
9
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
1. Ciclo de Vida APT
10
(1 ) Advanced Persistent Pentesting: Fighting Fire with Fire
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
11
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Ejemplos de sofisticación
• Uso del sistema de actualizaciones para distribuir malware en la organización
• Software de seguridad malicioso
• Certificados y PKI comprometidos
• Servicios que detectan cada nuevo fichero, carpeta y correo creado y lo envían al atacante
• Sistemas VOIP comprometidos habilitando micrófonos en sala de reuniones
12
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Análisis de 5 APT
1. XTreme RAT (febrero 2012 – CNN, mayo 2012)
2. Sync Agent (mayo, 2012)
3. Medre (junio, 2012)
4. FinSpy (agosto, 2012)
5. LuckyCat (agosto, 2012)
13
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Xtreme RAT (I) • Descripción: Xtreme RAT es uno de los diversos troyanos
utilizados por el gobierno Sirio contra los disidentes. Se vende por 40 EUR versión completa y 350 EUR con código fuente vía Paypal.
• Vector Ataque: ingeniería social, programa malicioso
• Impacto: individuos posiblemente del gobierno mediante el ordenador de un detenido infectaron a diversos disidentes con el fin de su localización y detención.
• Origen: ¿?
• Plataformas Afectadas: Windows 14
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Xtreme RAT (II)
15
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Sync Agent (I)
• Descripción: binario (setuid-root) por defecto en teléfonos ZTE Score M comercializados mercado americano
• Vector Ataque: al ejecutar el binario con una contraseña se activa una shell de administrador (root).
• Impacto: ZTE y HUAWEI en el punto de mira y vetados por el gobierno EE.UU. y Reino Unido (UK).
• Origen: China
• Plataformas Afectadas: Android 2.3 (Gingerbread)
16
$ sync_agent ztex1609523
# id
uid=0(root) gid=0(root)
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Sync Agent (II)
17
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Sync_Agent (III)
18
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Medre (I)
• Descripción: gusano AutoCAD escrito en AutoLISP, afectó principalmente a países latinoamericanos (Perú, Chile, Ecuador, etc.)
• Vector Ataque: ingeniería social, un usuario baja un proyecto AutoCAD malicioso y una vez infectado comienza el robo de ficheros.
• Impacto: responsable del robo de miles de proyectos AutoCAD que fueron enviados a cuentas de correo en servidores chinos.
• Origen: China
• Plataformas Afectadas: Windows
19
(2) ESET
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Medre (II)
20
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Medre (III)
21
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. Medre (IV)
22
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. FinSpy (I)
• Descripción: Troyano comercial desarrollo por Gamma International. Perímete monitorizar y recoger información de los sistemas comprometidos. El troyano disponible en varios idiomas y se ofrece formación.
• Vector Ataque: Ingeniería social, email con actualización falsa. Uso de vulnerabilidades conocidas (Apple iTunes). Evasión de Antivirus.
• Impacto: Utilizado por el gobierno Egipcio durante la revuelta para espiar a individuos sospechosos. Contrato por 287.000 EUR (Wikileaks)
• Origen: Reino Unido (UK)
• Plataformas Afectadas: Android 2.1 (Eclair) o superior, iOS, Windows y Mac OS
23
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. FinSpy (II)
24
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. FinSpy (III)
25
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. LuckyCat (I)
• Descripción: campaña APT contra sectores como gobiernos, compañías de defensa y grupos activistas.
• Vector Ataque: infección a través de web maliciosas. Uso de vulnerabilidades (Word - CVE-2009-0563, Java - CVE-2012-0507)
• Impacto: robo de información.
• Origen: China
• Plataformas Afectadas: Android 1.5 (Cupcake) o superior, Mac OS X (SabPub) y Windows
26
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. LuckyCat (II)
27
(3) TRENDMICRO
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. LuckyCat (III)
28
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. LuckyCat (IV)
29
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
2. LuckyCat (V)
30
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
31
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
3. Sumario (I)
• Pocas organizaciones preparadas para repeler o detectar APT
• Ineficaces productos y servicios de seguridad:
• “Productos milagros”: IDS, Antivirus, APT, etc.
• Auditorías / Hacking ético limitadas y capadas
• Necesidad en las organizaciones:
• Personal preparado y dedicado
• Concienciación
• Procedimientos
• Recursos adecuados
• Monitorización constante
32
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
3. Plan A y B • Plan A - Perfecto
1. Desconectar la red corporativa de Internet
2. Reconstruir el AD y cambiar todas las contraseñas
3. Reconstruir todos los sistemas desde cero (una imagen segura)
4. Restaurar aplicaciones y datos
5. Concienciar a los usuarios
6. Reconectar la red corporativa
• Plan B – “Sálvese quien pueda” o “apaga incendios”
1. Imposible desconectar red
2. Restaurar sistemas comprometidos identificados
3. Aplicar parches cuando se pueda
4. El plan de seguridad se define a años en vez de semanas o meses
33
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
3. PREGUNTAS DE EXAMEN 1. Los APT son peligrosos porque (marcar todas las respuestas que procedan):
a) Disponen de recursos
b) Son estudiantes con mucho tiempo libre
c) Operan desde lugares seguros
d) No lo son ya que las organizaciones están preparadas para combatirlos
2. El ciclo de APT es:
a) Sistema comprometido, escalada de privilegios, instalación de troyanos y robo de información
b) Sistema comprometido, instalación de troyanos, robo de información y escalada de privilegios
c) Instalación de troyanos, robo de información, escalada de privilegios y sistema comprometido
d) Sistema comprometido, escalada de privilegios, robo de información e instalación de troyanos
3. Describe en un máximo de 700 palabras como diseñarías defensas en una organización contra APT.
34
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
3. Referencias
1. Advanced Persistent Pentesting: Fighting Fire with Fire http://www.slideshare.net/jcran/advanced-persistent-pentesting-fighting-fire-with-fire
2. ACAD/Medre.A – 10000′s of AutoCAD files leaked in suspected industrial espionage http://blog.eset.com/2012/06/21/acadmedre-10000s-of-autocad-files-leaked-in-suspected-industrial-espionage
3. Luckycat Redux: Inside an APT Campaign http://blog.trendmicro.com/trendlabs-security-intelligence/luckycat-redux-inside-an-apt-campaign/
35
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
3. Lecturas Recomendadas
1. Mandiant Webinars http://www.mandiant.com/events/webinars/
2. Penetration Testing Considered Harmful http://blog.thinkst.com/2012/03/penetration-testing-considered-harmful.html
3. Threat Report Collection https://docs.google.com/spreadsheet/ccc?key=0Ah7s8feSLI-UdEowX3R5UWl3ekh1OC1RbG1hU21Jb3c#gid=0
4. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecomunications Companies Huawaei and ZTE http://intelligence.house.gov/press-release/investigative-report-us-national-security-issues-posed-chinese-telecommunications
36
Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)
X Jornadas de Seguridad de la Información en Defensa
SECRETARÍA DE ESTADO DE LA DEFENSA
DIRECCIÓN GENERAL DE INFRAESTRUCTURA
ESTADO MAYOR CONJUNTO
USO OFICIAL
4. Preguntas y Respuestas
• Gracias!
• Twitter: @simonroses / @vulnexsl
• www.vulnex.com
37