ArmasUtilizadasenelQuintoDominiodelaGuerra
AMENAZAS AVANZADAS PERSISTENTES - APT
ElCiberespacio
DavidPereira
David PereiraDavidPereira:(CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH) esunInvestigadorDigital,Consultorconmasde17añosdeexperienciaenelAreadelaSeguridadinformáticaylaComputaciónForense,quehadesarrolladolaboresdeEthicalHacking,PruebasdePenetraciónyAnálisisForenseparadiversasEntidadesNacionalescomoInternacionalesdemúltiplesambitoscomoelFinanciero,Energético,Militar,Diplomatico,Minero,entreotros.
AMENAZASAVANZADASPERSISTENTES- APT
Perspectiva:Content PageEl campo de batalla mundial está migrando de los 4 Dominios tradicionales al quinto Dominio:
Tierra Mar
Aire
Ciberespacio
TodalaInfraestructuraCríticadeunPaíspasaaserunObjetivomilitarparacualquieratacanteoenemigo;
LasentidadesquehacenpartedelaInfraestructuraCríticadeunpaísestánconectadasalCiberespacio.
AMENAZASAVANZADASPERSISTENTES- APT
OTAN: LOSHACKERSSONLOSGUERREROSDELSIGLOXXI
http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm
CIBERDEFENSASecreaelconceptodeC4ISR:• Comando• Control• Comunicaciones• Computadores• Inteligencia• Vigilancia• Reconocimiento
AMENAZASAVANZADASPERSISTENTES- APT
QUE ES UNA APT ? (Advanced Persistent Threat)
AmenazaAvanzadaPersistente• Malware orientado específicamente contra objetivos Corporativos,
Políticos, de Infraestructura o Militares• Este Malware, normalmente es Diseñado y Construido a la Medida
específica del Blanco (Caso Stuxnet)• Puede adaptarse de acuerdo a las condiciones que encuentre en el
Objetivo (Puertos Abiertos, Canales de Comunicación, Aplicaciones)
AMENAZASAVANZADASPERSISTENTES- APT
BuscaBeneficioEconómico;• RobodeIdentidad• DatosdeTarjetasdeCrédito• DatosBancarios• SecuestroInformación• DañoaunEnemigooCompetidor
Comparación APT vs. Malware Tradicional
MalwareTradicional APTControl,Información,Desestabilizar• RobodeSecretosCorporativos• ControldeInfraestructuraCríticaEnemiga• AltaLatencia• UltimaTecnología• BajaDetección
AMENAZASAVANZADASPERSISTENTES- APT
Objetivo: Infraestructura Crítica
RedesEléctricas
SistemaFinanciero
SoporteVital
SistemasInformación
GeneracióndePoder
RedesdeComunicación
Gobierno BancosBolsadeValores
AcueductoVías/Carreteras
BDRegistraduríaBDDIANBDEPS/IPSBDCentralesRiesgo
HidroeléctricasTermoeléctricasPetrolerasGasoductos
CablesInteroceánicosInternetSatélitesRadioRedCelulares
SuministrodeEnergía
EjecutivoAutoridadesCivilesAutoridadesMilitares
SistemasSCADA/AUTOMATIZACION
SecontrolanpormediodeSistemasdeinformación
quepuedenserVulnerablesanteAPT
AMENAZASAVANZADASPERSISTENTES- APT
¿Que Hace mas peligrosas a las APT ?Aprovechan casi siempre el eslabón mas débil; el usuario final, que en la mayoría de los casos no está preparado y no ha pasado por procesos de concientización suficientes para hacerlo desconfiar de ciertos indicadores;• Correo Electrónico de una persona familiar, pero con información fuera de lo común (Adjuntos)• Enlaces en Correos electrónicos que lo lleven a un sitio web fuera de los sitios pertenecientes a la
Empresa – Entidad• Correo electrónico que le indique la obligación de descargar determinado software o información.• Regalo de Dispositivos de Almacenamiento (USB)
AMENAZASAVANZADASPERSISTENTES- APT
RecoleccióndeInformación- OSINT
Fases de una APT
Lograr un Punto de Acceso
RecibirOrdenesdelComandoyControl(C&C)– (C2)
MovimientoLateral
Fase6
Fase1
Fase2
Fase3
Fase4
Fase5 DescubrimientodeActivos– Datos- Información
Exfiltración– RobarlosDatosencontradosAMENAZASAVANZADASPERSISTENTES- APT
• Ambiente e Infraestructura de IT• Estructura Organizacional• Empleados – Ex Empleados• Correos Electrónicos• Colaboradores• Clientes• Proveedores
Fase 1: Recolección de Información
AMENAZASAVANZADASPERSISTENTES- APT
• Correo Electrónico Malicioso• Mensajería Instantánea• Aplicaciones Maliciosas en Redes Sociales• Regalo de Dispositivos• Explotación de Fallas en Software• INSIDER87% de las Organizaciones Atacadas, caen por una URL maliciosa
Fase 2: Lograr un punto de acceso
AMENAZASAVANZADASPERSISTENTES- APT
Llamar a Casa para recibir instrucciones• Asegurar la Continuidad de la Comunicación entre la red
Comprometida y el o los Servidores de C&C o C2.• La mayor cantidad de tráfico de C&C se maneja a través de puertos
HTTP y HTTPS utilizados para navegación web común.• Se utilizan mecanismos Fast Flux para esconder los Servidores
C&C o C2
Fase 3: Comando y Control (C&C)
AMENAZASAVANZADASPERSISTENTES- APT
Fase 3: Comando y Control (C&C)
MaquinaInfectadacon
APTenAlinteriordelaEntidad
Firewallquepermiteelpasodetráficoporpuertosconocidos:
80- 443
SitioWebMaliciosoquehacelasvecesde
C&C/C2(ComandoyControl)
ReddeOcultamientoutilizadaporel
Atacante
Atacante
AMENAZASAVANZADASPERSISTENTES- APT
Fase 3: (C&C) – Fast Flux
SitioWebwww.maligno.com
DirecciónIP1
AMENAZASAVANZADASPERSISTENTES- APT
DirecciónIP2
DirecciónIP3
DirecciónIP4
DirecciónIP5
DireccionesMúltiplesque
rotanpermanentementeparaengañaralosmecanismosde
detecciónyfiltradoServidordeResolucióndeNombres- DNSResuelve
haciamúltiplesdireccionesipelDominio
www.maligno.com
Búsqueda de Computadores en la red comprometida que almacenen información sensible e importante de la Entidad o Empresa con valor para el o los atacantes.Las técnicas utilizadas incluyen:• Modificar claves de acceso de un Computador o Servidor• Creación de Nombres de Usuarios para tener acceso • Escalar Privilegios
Fase 4: Movimiento Lateral
AMENAZASAVANZADASPERSISTENTES- APT
• Identificar los Sistemas Principales de la Entidad Atacada• Servidores• Estaciones Clave
• Identificar información importante para su futura ex filtración.• Este proceso puede tomar mucho tiempo, pero esta es una de las
características de las APT; sus dueños no tienen prisa.
Fase 5: Descubrimiento de ACTIVOS / DATOS
AMENAZASAVANZADASPERSISTENTES- APT
• Transmisión de la Información de Valor a una ubicación bajo el control del atacante.
• Esto se realiza normalmente por puertos de salida autorizados en el Firewall de las Entidades Objetivo: http (80) https(443-SSL).
Fase 6: Exfiltración de los Datos
AMENAZASAVANZADASPERSISTENTES- APT
Caso Shady RAT
AMENAZASAVANZADASPERSISTENTES- APT
NO!!!¿Nuestras Defensas Normales son Efectivas ante una APT?
AMENAZASAVANZADASPERSISTENTES- APT
• La mayoría de las Arquitecturas de defensa se diseñan pensando que el enemigo está aún Afuera y tratamos de cerrar todas las Entradas, pero nos olvidamos de controlar las Salidas.
• Muchas APT han logrado éxito por que alguien interno colaboró (Insider).• Nuestras defensas tradicionales están diseñadas para permitir
puertos/servicios y/o denegar puertos/servicios; así que un servicio permitido puede ser explotado (Http/Https).
¿Porqué no es efectiva nuestra defensa?
AMENAZASAVANZADASPERSISTENTES- APT
• Nuestras defensas tradicionales no están preparadas para manejar vulnerabilidades dia cero.
• Contra el malware avanzado depositamos nuestra confianza en los Antivirus, los cuales detectan amenazas basados en firmas o comportamiento (Heurística Rudimentaria), con insuficiente profundización; si el Malware es lo suficientemente avanzado, la detección es nula.
¿Porqué no es efectiva nuestra defensa?
AMENAZASAVANZADASPERSISTENTES- APT
La respuesta es……… No Necesariamente!
• Existen mecanismos, políticas y tecnologías que nos permiten mejorar el nivel de detección del comportamiento de las APT;
• No necesariamente vamos a poder detectar la penetración o el ataque en si mismo, pero si podemos detectar sus consecuencias.
¿Estamos indefensos ante las APT?
AMENAZASAVANZADASPERSISTENTES- APT
¿Preguntas? [email protected]
Twitter:d4v1dp3r31r4