Analisis Del Modelo APT y Aproximación a Una Estrategia de Defensa

CONGRESO INTERNACIONAL EN TECNOLOGÍAS DE LA INFORMACIÓN Y CIBERSEGURIDAD

Cesar Augusto Zarate Camargo

Analista Seguridad Informática

Investigador Informática Forense Gerente y Gestor de SWAT SECURITY – IT

http://www.swatsecurityit.com

[email protected]

ANALISIS DEL MODELO DE UN ATAQUE APT Y APROXIMACION A UNA ESTRATEGIA DE DEFENSA

César Augusto Zárate ( c4m4l30n )

Un APT es como un adversario que posee niveles sofisticados de conocimientos y recursos importantes que le permiten crear oportunidades para lograr sus objetivos mediante múltiples vectores de ataque (por ejemplo, Informáticos, Físicos y Engaño). Estos objetivos suelen incluir el establecimiento de puntos de apoyo y que se extiende dentro de la infraestructura de TI de las organizaciones orientadas a los efectos de ex filtración de información, menoscabar o anular aspectos críticos de una misión, programa o la organización; o posicionándose para llevar a cabo estos objetivos en el futuro. La amenaza persistente avanzada APT: persigue sus objetivos en varias ocasiones durante un período prolongado de tiempo; se adapta a los esfuerzos de los defensores para resistirlo; y está decidido a mantener el nivel de la interacción necesaria para ejecutar sus objetivos.


El Atacante tiene la capacidad de evadir la detección y la capacidad de obtener y mantener el acceso a redes bien protegidas y la información confidencial contenida en ellos. El Atacante es en general se adapta y es muy recursivo.

La naturaleza Persistente de la amenaza hace que sea difícil de impedir el acceso a la red Objetivo del ataque y, una vez que Atacante ha obtenido éxito en el ataque, es muy difícil de eliminar, manteniendo control y monitoreo externo para la ex filtración de datos o el sabotaje de la infraestructura.

El Atacante no sólo tiene la intención sino también la capacidad para tener acceso a información sensible almacenada electrónicamente.

César Augusto Zárate ( c4m4l30n)

MOTIVACION:

•QUIEN:

•Agencias Estatales

•Crimen Organizado

•Terroristas

•Activistas

•Fuerzas Armadas

•POR QUE

•Intereses Políticos

•Intereses Económicos

•Intereses

Tecnológicos

RECONOCIMIENTO

Y ARMADO:

•BÚSQUEDA DE LA

ORGANIZACIÓN,

PERSONAL Y OBJETIVOS

•CREAR LAS ARMAS

ESPECIFICAS PARA EL

OBJETIVO

(PERSONALIZADAS)

•TROYANOS

•PDF

•DOC

ENTREGA:

•EL ARMA DISEÑADA ES

ENTREGADA AL

OBJETIVO EL VECTOR

VARIA SEGÚN SEA EL

CASO:

•CORREO

•USB

•SITIO WEB INFECTADO

EXPLOTACION:

•LAS ARMAS SON

ACTIVADAS, SE USAN

EXPLOITS EN

APLICACIONES O

SISTEMAS OPERATIVOS

VULNERABLES,

BUSCANDO PRIVILEGIOS

EN EL SISTEMA O

CUENTAS DE USUARIO

INSTALACION

•EL ARMA SE INSTALA

EN EL SISTEMA Y POR

MEDIO DE TROYANOS

DE ACCESOS REMOTO,

PUERTAS TRASERAS

(BACKDOOR) SE

CONVIERTEN EN

RESIDENTES EN EL

SISTEMA

COMANDO Y

CONTROL

•LAS ARMAS

ESTABLECEN CANALES

DE COMUNICACIÓN

BIDIRECCIONALES DE

COMANDO Y CONTROL

CON SERVIDORES

REMOTOS

ACCIONES EN EL

OBJETIVO

•MOVIMIENTO LATERAL

•RECOLECCION DE

DATOS

•ENCRIPCION

•EXFILTRACION

•DAÑO

•CUBRIR HUELLAS

•REPETIR EL CICLO

FASES DE UN APT


AMENAZA OBJETIVO IMPACTO

AGENCIAS DE INTELIGENCIA

GRUPOS CRIMINALES

GRUPOS TERRORISTAS

GRUPOS ACTIVISTAS

FUERZAS ARMADAS

Defensa De Secretos Industriales Comerciales

Pérdida de Secretos Comerciales o Ventaja Competitiva Comercial

Robo de Dinero, Extorsión, Datos Personales, Secretos Industriales o comerciales para vender

Pérdida Financiera, Violación de Datos de Clientes a Gran Escala o Pérdida de Secretos Comerciales

Producción de Terror Generalizado a través de la muerte, la destrucción o la interrupción de servicios

Pérdidas en la producción, servicios, Irregularidades del mercado de valores, Riesgo potencial de la vida humana

Información confidencial y la interrupción de servicios

Fugas Importantes de Datos y Perdida de servicio

inteligencia o posicionamiento de apoyo a futuros ataques contra infraestructura critica nacional

Graves daños a las instalaciones en el caso de un conflicto militar


Blanco de ataques APT Durante 2012


OBJETIVO: robar datos confidenciales, como credenciales bancarias online, contraseñas del navegador y configuraciones del sistema.


Gauss recoge datos sobre las víctimas con la intención de enviarlo a los atacantes, los datos que contienen también incluye información sobre las interfaces de red, características de BIOS y detalles de la unidad del computador. Es infecta dispositivos USB con el robo de datos de componentes que explotar el (CVE-2010-2568) la vulnerabilidad LNK, el mismo utilizado por Stuxnet y Flame.


Se asume que fue creado a medias por el gobierno de los USA e Israel, para conseguir acabar con el programa de enriquecimiento de Uranio de Irán El gusano Stuxnet se difundía utilizando varios 0days utilizando los pendrives como medio de infección, ya que los equipos de las centrales nucleares estaban aislados de Internet. Una vez infectado uno de los equipos de la red, STUXNET manipulaba valores en los sensores que alimentaban el sistema SCADA, haciendo creer a los ingenieros que algo iba mal en la central, de tal forma que al final lanzaron las medidas de protección, anulando su funcionamiento.


Con el nombre de "W32.Disttrack" o "W32.EraseMBR" dentro del sistema, el virus posee un archivo ejecutable que contiene la palabra "wiper" así como la palabra "ArabianGulf". Las palabras recuerdan al software malintencionado conocido como Wiper que llevó al descubrimiento de Flame, otro virus desarrollado por los gobiernos de Estados Unidos e Israel con el fin de atacar y terminar con el programa nuclear de Irán. "Este es un software malintencionado que corrompe los archivos de la computadora que ha sido infectada y sobrescribe el Registro Maestro de Inicio (MBR) con el fin de inutilizar la computadora infectada," explicó la firma de seguridad informática Symantec. El virus consiste en tres componentes: 1.- Dropper - el componente principal y fuente de la infección original. 2.-Wiper - este módulo es responsable por la funcionalidad de destrucción de la amenaza. 3.-Reporter - este módulo es responsable de reportar la información sobre la infección de vuelta al atacante.


Se estima que el Tercer Departamento tiene una plantilla de 130.000 personas Su misión principal dentro de una estrategia de ciberguerra es la de proteger todos los sistemas de información militares y gubernamentales, por lo que se les engloba dentro de la parte de activos dedicados a la CND (Computer Network Defense) [15]. también está realizando labores de recopilación de inteligencia (CNE, Computer Network Exploitation) y se le atribuyen algunas capacidades de CNA (Computer Network Attack).


La Unidad 61398, mantiene en su base de operaciones el grupo “Comment Crew” que es un grupo de Hackers mas grandes de china, según informe de la firma de seguridad privada Mandiant; según este Informe el código de la unidad de Hackers es APT-1

LA UNIDAD 61398


Operación Titan Rain (2003)

Operación Ghost Net (2008)

Operación Night Dragon (2009)

Operación Aurora (2010)

Operación Shadows in the cloud (2010)

Ataque a RSA (2011)

Ataque a Lockheed Martin (2011)

Operación Shady Rat (2011)

Operación Byzantine Hades (2011): se realizó entre 2003 y 2008


La unidad APT-1 es responsable de alrededor de 141 Ataques a entidades en todo el Mundo y según Mandiant la Unidad APT-1 cuenta con “apoyo directo del Gobierno” chino para perpetrar una “amplia campaña de espionaje cibernético a largo plazo”.


Ciberataque: se trata de campañas en las cuales se afecta la infraestructura TI de una empresa buscando aprovechar alguna vulnerabilidad y robar algún tipo de información sensible que le genere algún tipo de ganancia económica al atacante.

Las APT, si bien los objetivos finales pueden ser muy similares a los ataques tradicionales, empezamos a ver que son campañas con una duración mucho más amplia, más dirigidas y sigilosas que buscan recabar mayor cantidad de información, afectar sistemas de forma prolongada o incluso hacer monitoreo de lo que pasa al interior de los sistemas de las víctimas. Dadas estas diferencias, nos encontramos con campañas de Ingeniería Social más complejas y no solo limitadas al uso de Exploits y códigos maliciosos genéricos o adquiridos en el mercado negro.


REGIN ATP (2015) esta campaña dirige su ataque a operadores de telecomunicaciones, instituciones gubernamentales, cuerpo políticos multinacionales, e instituciones de investigación y financieros, así como a individuos involucrados en criptografía y matemáticas de avanzada. Los ciber-criminales están, al parecer, interesados en recolectar datos de inteligencia y facilitar otros tipos de ataques. Si bien gran parte de la información recopilada incluye el espionaje de correo electrónicos y documentos, los malhechores apuntan –y sin piedad- a las empresas de telecomunicaciones y proveedores de servicio GSM.


También en 2014 el equipo de investigación de ESET en Canadá informó de una campaña llamada “Operación Windigo” que en los últimos dos años llegó a afectar más de 25 mil servidores Linux y Unix, buscando redirigir a quienes visitan los sitios web infectados a contenido malicioso, además de enviar spam. En este caso, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México.


Todas las afirmaciones que dan responsabilidad a uno u otro país se basan en evidencias circunstanciales similares y ninguna prueba sólida se puede proporcionar (Figura 1). Sin embargo, una cosa es segura para estos APT-Atacantes están muy organizados y trabajaban como un equipo en lugar de actos unipersonales.

Atacantes sofisticados coordinados y determinados

Actores ¿Quién?

Hackers Clásicos

Script-Kiddies

Crimen Organizado

Crime-Ware Kit x ej. Zeus or Spyware

desde

USA – CIA??

WIKI-LEAKS ANONYMUS RUSIA??

CHINA??

ESPIONAJE

OBJETIVOS FINANCIEROS

FINANCIAMIENTO O PODER

INCLUIDOS

USAN

ATACANTES APT


Spear-Phishing es considerado como la forma más eficaz para que el malware o enlace malicioso al punto de entrada del modelo de ataque APT. Estos correos suelen contener contenidos altamente relacionados con los receptores específicos, como un minuto de una reunión celebrada el día anterior o una confirmación de una visita por la tarde del remitente falso.

Ataque oportuno y repetido

“PERSISTENTE”

Otros Medios Electrónicos

Espionaje Tradicional

Amenazas en al Punto de

Entrada

Otros Medios

Spear Phishing

USB “Abandonadas”u otros medios de

instalación

Trashing Escuchas

Telefónicas Ingeniería Social

Plantar un Topo


Con el fin de preparar un alto volumen de dichos correos electrónicos de phishing en el momento preciso y tema especifico, los Atacantes-APT requieren muchos esfuerzos no técnicos para llevar a cabo un extenso reconocimiento antes de la infección. Criminales organizados y hackers clásicos pueden ser buenos en la escritura de malware en aspecto técnico, pero no controlan muchos recursos y no tienen la paciencia en la preparación de este tipo de mensajes. Por lo tanto, se ha marcado como el primer atributo clave de un ataque APT

Ataque oportuno y repetido

“PERSISTENTE”

Victima u Organización

objetivo

Humano

Reconocimiento Intensivo

Spear Phishing

Ejecuta

Atacante

Por medio de Footprinting


Ejecuta

Punto de Entrada Punto de

Ataque Punto de Intrusión

Base de Datos no Analizado

Detectado por Antivirus

Exploits conocidos

Amenazas no Sofisticadas

Herramientas de amenaza a la

medida

Web Sites Maliciosos

Selecciona

Amenazas 0-Day Identificados

Exploit 0-Day Humano

Spear Phishing

APT No Identificada

Parcialmente Detectada

Shaddy, RAT

Shaddy, RAT

PDF, MS, x ej: GhostNet

Stuxnet, Aurora, Lockhead

Detectada por Antivirus

Punto de Intrusión

Revisar la Política de Seguridad

Infección Multi-etapa

Recolección de Inteligencia “PERSISTENTE”

Infección Inicial

C&C

Humano

Inyección de código API de enganche

TX - Encript

Infección Multi-etapa

Infección Detectada

C&C C&C

C&C

Humano

Forensia del Malware

Reinstalar el sistema

Respuesta de

Incidentes

Instrucciones Instrucciones

A0 A1-An

P1,P2,P3

11,12,13

Posee Posee

Analisis o toma de decision

P4…Pn TX - Encript

TX - Encript



MOTIVACION RECONOC. Y

ARMADO ENTREGA EXPLOTACION INSTALACION

COMANDO

Y CONTROL

ACCIONES EN

EL OBJETIVO

AT

AQ

UE

Búsqueda de Objetivos (Corp. Pers ) Crear Armas a la medida

El arma diseñada es entregada al objetivo el vector varia según sea el caso

Las armas son activadas, se usan exploits en app o S.O. vulnerables, buscando privilegios

Se instalan en el sistema y por medio de troyanos backdoor se convierten en residentes en el sistema

Se establecen canales de comunicación bidireccionales de comando y control con servidores remotos

Mvto. lateral Recolec. de datos Encripcion Exfiltracion Daño Cubrir huellas Repetir el ciclo

DEFEN

SA

LÍNEA BASE DE

SEGURIDAD

CYBER INTEL. OSINT

DETECCION Y DENEGACION ANALISIS

INVEST RESP.

RETALIACION

Defensa en Profundidad Buenas Practicas Gobierno Riesgo Cumplimiento Entrenamiento de Usuarios

Cyber Inteligencia Indicador de Tiempo Real Compartido Inteligencia de Código Abierto

Amenazas de Zero Day, conocer las vulnerabilidades, Virtualización, Sandboxing (Ambientes Estériles de Prueba) Detección de Malware y anomalías de Red

Análisis de seguridad del usuario Detección de anomalías de comportamiento Biométrico

CSIRT Virtualización Remediación Recuperación Retaliación

INCUMPLIMIENTOS TECNOLOGICOS

INCUMPLIMIENTOS MENORES INCUMPLIMIENTOS POR ENTRETENIMIENTO

CTRL FALLA

Estado y Motivación de los APT

FASE 1 Línea Base

de Seguridad

FASE 2 Cyber

Seguridad y OSINT

FASE3 Amenazas 0-

Day Analisis Vulns. Det. Anomalias

FASE 4 Analisis de Seguridad y

Big Data

FASE 5 Investigar Respuesta Retaliación

DESPLIEGUE Negocios y

Riesgos Basados en prioridades

FALLA Casos de Estudio

http://www.slideshare.net/ansanz/capacidades-de-china-para-la-ciberguerra

http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/kaspersky-lab-identifica-la-operaci%C3%B3n-%E2%80%9Coctubr

http://intelreport.mandiant.com/ http://www.isaca.org/Education/Conferences/Documents/Latin-CACS-

2013-Presentations/133.pdf http://espionageware.blogspot.com.co/2011/10/advanced-persistent-

threat-model.html http://www.secureworks.com/cyber-threat-intelligence/advanced-

persistent-threat/understand-the-threat/ http://lamiradadelreplicante.com/2014/03/19/operacion-windigo-

comprometida-la-seguridad-de-miles-de-servidores-linux/ https://blog.kaspersky.com.mx/regin-apt-una-campana-altamente-

sofisticada/4617/ http://www.viruslist.com/sp/analysis?pubid=207271277 http://www.ismgcorp.com/global-apt-defense-summit/los-angeles-12 https://www.linkedin.com/pulse/advanced-persistent-threat-tansel-

akyuz-cissp-pmp?trk=seokp_posts_primary_cluster_res_title http://unsecuritynow.blogspot.com.co/ http://espionageware.blogspot.com.co/2014/02/profiling-apt-

attackers.html?view=timeslide




































http://intelreport.mandiant.com/

http://intelreport.mandiant.com/

http://www.isaca.org/Education/Conferences/Documents/Latin-CACS-2013-Presentations/133.pdf









http://espionageware.blogspot.com.co/2011/10/advanced-persistent-threat-model.html








http://www.secureworks.com/cyber-threat-intelligence/advanced-persistent-threat/understand-the-threat/














http://lamiradadelreplicante.com/2014/03/19/operacion-windigo-comprometida-la-seguridad-de-miles-de-servidores-linux/




















https://blog.kaspersky.com.mx/regin-apt-una-campana-altamente-sofisticada/4617/












http://www.viruslist.com/sp/analysis?pubid=207271277

http://www.viruslist.com/sp/analysis?pubid=207271277

http://www.ismgcorp.com/global-apt-defense-summit/los-angeles-12












https://www.linkedin.com/pulse/advanced-persistent-threat-tansel-akyuz-cissp-pmp?trk=seokp_posts_primary_cluster_res_title














http://unsecuritynow.blogspot.com.co/

http://unsecuritynow.blogspot.com.co/

http://espionageware.blogspot.com.co/2014/02/profiling-apt-attackers.html?view=timeslide






César Augusto Zárate ( c4m4l30n ) Modulo 1

Analisis Del Modelo APT y Aproximación a Una Estrategia de Defensa

Documents

Transcript of Analisis Del Modelo APT y Aproximación a Una Estrategia de Defensa