1. 0FTS CONFIDENTIAL
Guerra contra los ciberataques dirigidos
Aproximación, táctica y herramientas
Copyright 2013 FUJITSU
Maria Gutierrez <maria.gutierrez@ts.fujitsu.com>
Luis Lopez <luis.lopez@ts.fujitsu.com>
HOMSEC 2013
2. 1FTS CONFIDENTIAL
Agenda
Copyright 2013 FUJITSU
Anatomía de un APT
Incidentes recientes por malware
dirigido
¿Quien está detrás de los APT?
Mitigación de APTs
Application Whitelisting
FireEye
Cazando botnets con FireEye
3. 2FTS CONFIDENTIAL
Anatomía de un APT
¿Que es un APT?
El termino APT (Advanced Persistent Threat) fue acuñado por la US Air Force
en 2006 para describir los ciberataques complejos (“Advanced’) contra
objetivos específicos durante largos periodos de tiempo ( “persistent”).
Su objetivo es obtener inteligencia sobre un grupo de individuos, una nación o
un gobierno
Hemos podido ver casos recientes de APTs, como el de RSA, las centrales
nucleares de Irán, la operación Aurora… ha han sido llevados a cabo con la
máxima eficacia y precisión.
Advanced: El adversario es poderoso y está organizado Persistent – Ataque
constante Threat – Uso de amenazas digitales para materializar los ataques
Copyright 2013 FUJITSU
4. 3FTS CONFIDENTIAL
Anatomía de un APT
Características de los APT
Están organizados (varias personas, tecnologías y técnicas)
Son eficientes (a veces tecnologías simples como RATs (Remote Access
Trojans), según los objetivos, a veces técnicas básicas o ingeniería social,
otras veces utilizarán exploits 0-day o spear phishing
Son tenaces (aunque todo este parcheado y ok, gastaran tiempo, harán
reuniones de seguimiento para ver la forma de obtener el objetivo)
Copyright 2013 FUJITSU
5. 4FTS CONFIDENTIAL
Anatomía de un APT
Son dirigidos (a organizaciones específicas, individuos, estados, naciones
etc.)
Son persistentes – No se hace una sola vez, sino durante un largo periodo
Son evasivos – pueden fácilemente camuflarse con los productos de
seguridad tradicionales.
Son complejos – los APT comprenden una mezcla de métodos de ataque
complejos dirigidos a múltiples vulnerabilidades.
Cuanto más tiempo permanezca sin detectar un atacante en la red del
objetivo, mas daño podrá realizar.
Copyright 2013 FUJITSU
6. 5FTS CONFIDENTIAL
Anatomía de un APT
Son Lentos y de Baja Intensidad
Los atacantes monitorizan constantemente las redes sociales para
obtener información ventajosa.
En un caso, los atacantes comprometieron los objetivos de un tercero
suministrador de software, insertando un troyano en un software de
actualización, y esperaron a que el objetivo real descargase el troyano
a través de la actualización en su red.
Los hackers chinos disfrutaron de acceso sin límites a la red
corporativa de Nortel durante una década, utilizando contraseñas
robadas a los altos ejecutivos para descargar material protegido por la
propiedad intelectual.
Copyright 2013 FUJITSU
7. 6FTS CONFIDENTIAL
Anatomía de un APT
OBJETIVOS de un APT
Políticos - Incluye ataques a la población para alcanzar los objetivos
Negocios / Económicos - El robo de propiedad intelectual, para obtener una
ventaja competitiva
Técnicos - Obtener el código fuente para el desarrollo
Militares - Identificar los puntos débiles que permitirían a fuerzas militares
inferiores derrotar a las fuerzas militares superiores
Copyright 2013 FUJITSU
9. 8FTS CONFIDENTIAL
Anatomía de un APT
¿QUIEN ESTA DETRAS?
Nacion, estado, cyberseguridad
El "problema de la atribución“
Se esconden por la facilidad digital
para hacerlo. Caso China.
Copyright 2013 FUJITSU
10. 9FTS CONFIDENTIAL
Anatomía de un APT
Hall of Fame
1. Flame
2. Aurora
3. Duqu
4. Stuxnet
5. PoisonIvy
Copyright 2013 FUJITSU
11. 10FTS CONFIDENTIAL
Anatomía de un APT
Ciclo de vida de un APT
Preparación
Definir Objetivo
Encontrar y organizar complices
Obtencción o construcción de
herramientas
Investigación de
objetivos/infraestructura/empleados
Test para detección
Copyright 2013 FUJITSU
Intrusión Inicial
Despliegue
Intrusión Inicial
Iniciar conexión saliente
12. 11FTS CONFIDENTIAL
Anatomía de un APT
Expansión
Esta fase incluye:
Ampliar acceso y obtener
credenciales
Fortalecer puntos de apoyo
Search and Exfiltration
Búsqueda y evasión de datos
Cleanup
Eliminar pistas y permanecer
indetectable
Copyright 2013 FUJITSU
13. 12FTS CONFIDENTIAL
Mitigación de APTs
Sistema clásico de “Seguridad en Profundidad”. Absolutamente
necesario para mitigar cualquier amenaza.
Utilización de técnicas avanzadas de mitigación.
Soluciones:
Herramientas de Whitelisting
Ejecución previa y observación de comportamiento: FireEye
Whitelisting no es una VERDADERA solución. Presenta varios
problemas.
Copyright 2013 FUJITSU
14. 13FTS CONFIDENTIAL
Application Whitelisting
No es una verdadera solución de amplio
espectro.
Si bien es cierto que es buena solución en ciertos
entornos , p.e. Cajeros automáticos, POS, en
definitiva entornos MONO-APP, está muy limitado
Choca frontalmente con las técnicas de BYOD y
movilidad actuales, explosión de “apps”, así como
en cualquier entorno multipropósito.
En el caso de firma con certificados digitales de
apps, PKI es el talón de Aquiles
Casos
Copyright 2013 FUJITSU
Word
Chrome
PowerPoint
Winzip
Mozilla
Acrobat Reader
Apps to run
16. 15FTS CONFIDENTIAL
FireEye
Nueva generación de soluciones para detección de ataques
dirigidos, y zerodays, y en general malware no firmado y
desconocido.
No es únicamente un set de algoritmos eurísticos y firmas
¿Como lo hace?
Idea sencilla: Ejecuta cualquier binario sospechos (.exe) o lo abre con su SO o
herramienta correspondiente: Word, Reader… en un entorno virtual.
Traza todo lo que hace incluso graba el entorno de runtime para análisis
posterior. Utiliza esta info para bloqueo y publica la info para uso común.
Multi-vector: Multi-protocol,Web, Email, File, Forense
Copyright 2013 FUJITSU
17. 16FTS CONFIDENTIAL
FireEye
Copyright 2013 FUJITSU
Fase 1: Captura agresiva con firmas y eurísticos
Despliegue pasivo/fuera de banda o en línea
Captura multi-protocolo de HTML, ficjeros (p.e. PDF) y
EXEs
Maximiza la captura de ataques potenciales zero-day
Phase 3
Tráfico de red InternoExterno
Fase 3: Bloqueo del Call Back
Para el robo de
datos/activos
Fase 2: Análisis con Máquinas Virtuales
Confirmación de ataques maliciosos
Eliminación de falsos positivos
18. 17FTS CONFIDENTIAL
FireEye
QUÉ NO ES FireEye:
No es un Firewall
No es un IPS
No es un NGFW
No es un Proxy
No es una gateway AV
Copyright 2013 FUJITSU
19. 18FTS CONFIDENTIAL
FireEye
Nuevo sistema de detección de , no sustituye a capas actuales
Copyright 2013 FUJITSU
Email
MPS
Web
MPS
Desktop
AV
IPS IDS
Secure
Web
Gateway
Port Scanning
Javascript Malicioso Conocido
URL Categorizadas Maliciosas
Patrones y actividad de malware conocido
Zero-Day Browser and/or Plugin Exploit
Well Known Web Exploit Modified Polymorphically
eMail SpearPhishing with URL to Malware or Malware Attached
Filtros de
Firmas/Heuristica/Reputación
Ataques Browser Zero-Day y/o Exploits de Plugins Web
Exploits Web Bien Conocidos Modificados Polimorficamente
Email con SpearPhishing con URL a Malware o Malware Adjunto
20. 19FTS CONFIDENTIAL
FireEye. Cómo el malware traspasa la
tecnología actual de seguridad
¿Por que la tecnología de seguridad que ya tenemos no es
suficiente?
Vulnerabilidades dirigidas a browser, ActiveX y plug-in
Exploits Zero-day
JavaScript ofuscado
Cargas polimorficas
Nombres de dominios dinámicos
Comunicaciones cifradas
Sitios web legítimos comprometidos
Ingeniería social…y más
Copyright 2013 FUJITSU
21. 20FTS CONFIDENTIAL
FireEye. Cómo el malware traspasa la
tecnología actual de seguridad
Ejemplo de porosidad
Copyright 2013 FUJITSU
22. 21FTS CONFIDENTIAL
FireEye
Perfil de FireEye
Fundado en 2004 por Ashar Aziz, destacado ingeniero de Sun y fundador
de la compañía de virtualización Terraspring, adquirida por Sun
Aziz es el inventor original del conjunto de funcionalidades core que
hay tras FireEye Malware Protection System.
La compañía tiene su sede en Milpitas, California.
El producto principal es su sistema de protección de Malware para web
security, email security, file security y malware analysis.
En noviembre de 2012, FireEye fué seleccionada como la cuarta compañía de
más rápido crecimiento en América del Norte en el Deloitte 2012 Technology
Fast 500. Copyright 2013 FUJITSU
23. 22FTS CONFIDENTIAL
Web Malware Protection System
Copyright 2013 FUJITSU
• Bloqueo en linea tanto
entrante como saliente
• Análisis de contenido
avanzado
(PDF, JavaScript, URLs)
• Modelos hasta 1 Gbps con
latencia de microseg.
FUNCIONALIDADES
En línea, en tiempo real, protección de malware sin firmas con casi-cero falsos positivos
Analiza todos los objetos web; páginas web, flash, PDF, docs de Office y ejecutables
Bloquea callbacks maliciosos que permiten evasión de datos con varios protocolos
Dinámicamente genera contenido de seguridad sobre malware zero-day URLs maliciosas y lo
comparte a través de la Malware Protection Cloud network
Integración con Email, File MPS y MAS para bloqueo de canales de callback en tiempo real
http://
24. 23FTS CONFIDENTIAL
Email Malware Protection System
Copyright 2013 FUJITSU
• Soporta muchos tipos de
ficheros (PDF, formatos
Office, ZIP, etc.)
• Análisis de Adjuntos
• Análisis de URL
• Correlación de URLs maliciosas
de emails al CMS
FUNCIONALIDADES
Protección contra spear phishing y ataques compuestos
Analiza todo el correo para adjuntos y URLs maliciosas
Seguridad activa como MTA In-line o SPAN/BCC para monitorización
Análisis de fuerza bruta de todos los adjuntos en el VX Engine
Integración con Web MPS para análisis/bloqueo de URL maliciosas
Y para bloqueo de nuevos canales de callback que se descubran
25. 24FTS CONFIDENTIAL
Protege servidores que comparten ficheros del malware latente
Controla el malware adquirido en la red vía web o email o compartiendo
ficheros u obtenido por procedimientos manuales
Detecta la difusión de malware a través de recursos compartidos de la red
Análisis continuo e incremental de los ficheros compartidos de la red
Integración con Web MPS para bloqueo de nuevos canales descubiertos de
callback.
File Malware Protection System
Copyright 2013 FUJITSU
• Soporta amplio rango de
tipos de ficheros
(PDF, Office, ZIP, etc.)
• Soporta CIFS
• Cuarentena de ficheros
maliciosos
FUNCIONALIDADES
26. 25FTS CONFIDENTIAL
Multi-Protocol, Real-Time VX Engine
Copyright 2013 FUJITSU
FASE 1
Multi-Protocol
Objecto de Captura
FASE 2
Ejecución en Entorno Virtual
FASE1: WEB MPS
• Captura Agresiva
• Filtrado de Objetos Web
ANÁLISIS DINÁMICO EN
TIEMPO REAL
• Detección de exploits
• Análisis de malware binario
• Matriz cruzada de OS/apps
• Origina conexión a URL
• Subsecuentes URLs
• Informe de modificación en OS
• Descriptores de proto C&C
Ajusta al Objetivo
SO y
Aplicaciones
FASE 1: E-MAIL MPS
• Adjuntos de Email
• Análisis de URL
FASE1: FILE MPS
• Ficheros Compartidos de
red
27. 26FTS CONFIDENTIAL
Cazando Botnets con FireEye
Copyright 2013 FUJITSU
Botnet Grum desarticulado por FireEye junto Spamhaus y el CERT-GIB (Rusia) y
esfuerzos individuales (Nova7) en jul 2012
Primeras versiones en Febrero 2008
La tercera red de botnets más activa del mundo tras Cutwail (2007 2M y 30 C&C)
y Lethic (2008, 310K)
En enero 2012 Grum fué responsable del 18% del spam mundial (en picos de
2012 hasta 33.3% )
Grum tenía 120.000 hosts infectados
4 (hasta 8) activos CnC Panamá, Federación Rusa y Holanda
Peligro de los botnets, utilizados normalmente para Spam pero pueden
utilizarse para cualquier cosa (caso Cutwail). Son zombies con CnC!!!
NOTAS:• Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well- known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.• Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level ofinteraction needed to execute their objectives.• Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.Source : Richard Bejtlich’s Blog
Perfil bajo, “belowthe radar”
http://www.elmundo.es/elmundo/2011/08/04/navegante/1312444272.html http://www.elmundo.es/elmundo/2011/08/05/navegante/1312533212.htmlEl diario oficial del gobierno chino ha rechazado las acusaciones contra China que aseguraban que era el 'actor estatal' que estaba detrás de los masivos 'ciberataques' contra gobiernos y empresas que la compañía de seguridadMcAfee aseguró haber descubierto.El Diario del Pueblo, principal portavoz del partido comunista en el país asiático, aseguró que las acusaciones estaban mal encaminadas. "La vinculación de China a los ataques de piratería en Internet es una irresponsabilidad", dijo.El Diario no cita ninguna reacción oficial a las acusaciones, pero su respuesta es lo más cercano a esa reacción gubernamental contra las acusaciones, pues el gobierno chino ha utilizado otras veces este periódico para dar respuesta a las acusaciones sobre piratería."El informe de McAfee asegura que hay un 'actor estatal' involucrado en la operación a gran escala de 'ciber-espionaje', pero es evidente que su análisis no resiste un análisis".La compañía McAfee informó esta semana que 72 organizaciones y gobiernos, entre las que estaban los gobiernos de Estados Unidos o Corea del Sur y organizaciones como Naciones Unidas o el Comité Olímpico Internacional, habían sido víctimas de una gran operación de 'ciber-espionaje' durante los últimos cinco años.El informe no señala que "actor estatal" estaba detrás de los ataques, sin embargo, varios expertos apuntaron con posterioridad a China como posible país responsable, ya que algunos de los objetivos tenían información de especial interés para Pekín.La respuesta del diario oficial chino acusa a McAfee de publicar el informe para alarmar a la gente para comprar sus productos de seguridad. "De hecho, como el número de ataques informáticos contra importantes empresas y organizaciones internacionales ha crecido este año, algunos medios internacionales han acusado varias veces a China como el 'villano' que está detrás de las escenas", añadió el periódico.El pasado mes de junio China ya fue acusada por Google de estar detrás delintento de robo de las contraseñas de cientos de usuarios de su correo Gmail. En aquella ocasión también fue el Diario del Pueblo el que respondió a Google acusándole de ser un "instrumento político" para difamar al gobierno chino.Este nuevo episodio dificulta un poco más las relaciones entre Occidente y China, enrarecidas desde hace tiempo por la falta de libertad en la red que existe en el país asiático.
Flame (28 Mayo 2012). por MAHER Center of IranianNational Computer Emergency Response Team (CERT),[5]Kaspersky Lab[6] and CrySyS Lab of the Budapest University of Technology and Economics.Afectó a IranianOilMinistry cyberespionage en paises de oriente medioEl ultimo estado en su informe (CrySySLab) es "es ciertamente el más sofisticado malware que hemos encontrado durante nuestra práctica; es, sin lugar a discusión, el malware más complejo jamás encontrado”Flame es un programa grande poco característico de 20 megabytes. Se ha escrito parcialmente en lenguaje de scripting Lua con código linkadocomplilado en C++, y permite a otros módulos de ataque que sean cargados después de la infección inicial. El malware utiliza cinco métodos de cifrado diferentes y una base de datos SQLite para almacenar información estructurada. Además incluye un certificado MS fraudulento de una ca intermediaAurora (12 de enero de 2010) Operation Aurora fué un cyber ataque producido por un APT (advancedpersistentthreats) según el ElderwoodGroup, basado en Beijing, China, con conexiones con el People'sLiberationArmy. Inicialmente su revelación la hizo Google el 12 de enero de 2010, parece ser que el ataque comenzó a mediados del 2009 y continuó hasta diciembre de 2009. Descubierto por McAfee, ha sido dirigido a docenas de organizaciones, entre otras Adobe Systems, Juniper Networks and Rackspace han confirmado públicamente que han sido objetivos. Según los medios, Yahoo, Symantec, NorthropGrumman, Morgan Stanley y Dow Chemical también fueron objetivos. Duqu (Septiembre 2011). Sistemas de control industriales. Cercano a Stuxnet aunque para propósitos distintos. Incluye Cripto, zero-day, c&c. Stuxnet. (Junio 2010). Se piensa que ha sido creado por UnitedStates e Israel para atacar instalaciones nucleares Iraníes con sistemas SCADA Siemens. Firma digital, 5 zero-days, PoisonIvy (2005) Ejemplo de RAT. Descubierto por Symantec en 2005. Es considerado una pesadilla en los sistemas y redes; permite al atacante de forma secreta controlar el ordenador de los usuarios infectados. El malware como PoisonIvy se conoce como “remoteaccesstrojan,” proporciona control remoto al atacante a través de una puerta trasera. Una vez instalado el virus, el atacante puede activar los controles del ordenador atacado pra grabar o manipular su contenido, incluso activar el micrófono y la webcam para grabar audio y video. Pensado incialmente como herramienta para hackers amaters, PoisonIvy ha sido utilizado en sofisticados ataques contra docenas de firmas occidentales, incluyendo aquellos involucrados en la defensa de la industrias químicas, según informes públicos disponibles de Symantec. Tras la investigación, las trazas de los ataques apuntaban a China.
Secureworks
Caso Bit9 -------------------------------------------------------------------Hispasec - una-al-día 13/02/2013 El ataque a Bit9, malware firmado con certificados y otras conclusiones ----------------------------------------------------------------------- A Bit9 se le han colado en los sistemas de forma que los atacantes han firmado malware con un certificado perteneciente a la compañía de seguridad. Bit9 no es como un antivirus "al uso": su principal característica es basarse, al contrario que el resto de los motores, en listas blancas. ¿Qué demuestra el ataque sobre este acercamiento contra el malware? Bit9 comercializa un producto basado en "whitelisting". Esto quiere decir que se basa en lo contrario a los antivirus convencionales: básicamente mantiene una enorme base de programas "confiables" y en las máquinas protegidas con él solo se pueden ejecutar esos programas. Como la propia Bit9 reconoce, se trata de un acercamiento que al menos rompe con la dinámica habitual. En principio y por definición, por muy nuevas que sean las amenazas no afectarán a los clientes que tienen instalada esta solución... Por ejemplo, ante TheFlame, los sistemas protegidos por Bit9 habrían sido los únicos capaces de no verse afectados por este fichero firmado por la mismísima Microsoft (y Bit9 se encargó de enorgullecerse públicamente de ello). Pero no todo son luces en los sistemas de "listas blancas", y este incidente sirve para recordarlos. Mantener una lista blanca, es tremendamente complejo, costoso e "incómodo". Tanto, que los propios de Bit9 reconocen que los atacantes fueron capaces de entrar en sus sistemas precisamente porque no instalaron su propia solución en un puñado de equipos de su red. Suficientes para que un atacante penetrara en ella y consiguiera entrar hasta la cocina: robarle las claves privadas para poder firmar software. Pero en ciertos entornos merece la pena sufrir esta incomodidad, y las soluciones de lista blanca seguro que son una capa de seguridad importante y robusta. ¿Cuánto? ¿Qué ocurre cuando un atacante tiene como objetivo una empresa protegida por lista blanca de software? ¿Es de verdad impenetrable? No, nunca. Pero el atacante sin duda se enfrenta ante un grave problema. Cuando se sabe que una compañía utiliza el antivirus X, simplemente se preparan las herramientas (el malware) que se va utilizar para evitar que esa compañía lo detecte, se modifica, se reprograma, se oculta hasta que pasa desapercibido para esa marca. ¿Pero y si la compañía solo permite ciertos programas, cómo hago pasar como legítimo mi malware? En este caso, y es ciertamente curioso, las listas blancas han cumplido su objetivo... a medias. El atacante se ha visto obligado a ir más allá y atacar a la compañía que protege a su verdadero objetivo, para poder penetrar en él. En resumen, muy probablemente el ataque a Bit9 para firmar malware, no es más que un medio para que ese malware pase desapercibido a la hora de atacar algún sistema protegido por Bit9 (el fin último del atacante), y poder así entrar en ellos. El hecho de que les haya resultado más sencillo atacar a la compañía que protege para, más tarde, atacar al protegido y tener éxito en ambos objetivos, puede hacernos una idea de lo desarrollado del ataque. Hay que tener en cuenta que, como todo, en los ataques también reina la economía del esfuerzo. Por muy motivados que estuvieran para entrar en un tercero protegido por Bit9, la alternativa de intentar romper ese sistema directamente les pareció más costosa que ir primero contra Bit9, firmar su código, y penetrar en ese tercero posteriormente. Las lecturas y conclusiones son varias. Los atacantes no temen entrar en ningún tipo de redes, por muy protegidas que puedan estar. Aunque la inversión sea alta, la recompensa debe cuadrarles con el beneficio. Esto es algo que ya sabemos desde que han aparecido los últimos "supertroyanos". Sobre el uso de las listas blancas, demuestra la fortaleza de la aproximación, pero también sus debilidades. Una es la que ya conocíamos. El mayor miedo de un antivirus es caer en los falsos positivos, y en el caso de las listas blancas el problema de base sigue siendo el mismo que para todos los sistemas antivirus: dictaminar si un fichero es benigno o no. Imaginemos ficheros programados para ser benignos durante un tiempo, o que en un momento dado descargue módulos indeseables. Esto requeriría una ingeniería inversa potente, manual, compleja y en constante mejora... como los antivirus tradicionales. Con este incidente se añade una pega en la que quizás no se había pensado demasiado... atacar a la compañía que cataloga un fichero como benigno o no, y marcar el malware como benigno. Aunque en realidad, no es, en esencia, muy diferente a lo que ocurrió con TheFlame. Sus creadores atacaron la estructura PKI de Microsoft, para poder entrar en un tercero cómodamente. Consiguieron firmar código y con ello el ataque más elaborado de la historia del malware. Opina sobre esta noticia: http://unaaldia.hispasec.com/2013/02/el-ataque-bit9-malware-firmado-con.html#comments Más información: Bit9 and OurCustomers’ Securityhttps://blog.bit9.com/2013/02/08/bit9-and-our-customers-security/ Sergio de los Santosssantos@hispasec.comTwitter: @ssantosv
KEY POINT: More in-depth with the FireEye Malware VM analysis * Proprietary VM technology * Ability to detect even VM aware malware * Runs the full OS and browser software stack
Ejemplo si estuviésemos en el Q1 de 2011. El ficherobinario editor de MS “edit.com” pasaría en perímetro, al no llevarcargamaliciosa, el fichero de Conficker no, al ser un virus y estarestarfirmadodesde 2008, pero el malware (APT) Stuxnetpasaría a través del perímetro al no darpositivopor firma y estarprobadopara no dartampocopositivo en los algoritmoseurísticos.
... http://www.sramanamitra.com/2008/10/27/opportunities-at-the-cusps-fireeye-ceo-ashar-aziz-part-7/ http://www.fireeye.com/company/leadership.htmlAshar Aziz, founded FireEye in 2004 and now serves as vice chairman of the board, CTO, and chief strategy officer. Since founding the company he has also served as CEO through November 2012 and has led the technical and business strategies for FireEye. He is the original inventor of the core set of technologies behind the groundbreaking FireEye Malware Protection System. This work has led to the filing of over 18 patents on various aspects of FireEye technologies. Ashar has received over 20 patents in the areas of networking, cryptography, network security, and data center virtualization for work done prior to FireEye. Before FireEye, Ashar founded Terraspring, a company focused on data center automation and virtualization. Terraspring was successfully acquired by Sun Microsystems in 2002, where Ashar then served as CTO of the company’s N1 program. Before Terraspring, Ashar spent twelve years at Sun as a distinguished engineer focused on networking and network security. Ashar holds an S.B in Electrical Engineering and Computer Science from the Massachusetts Institute of Technology and an M.S. in Computer Science from the University of California, Berkeley, where he received the UC Regents Fellowship.
The Cutwailbotnet, founded around 2007[1] is a botnet mostly involved in sending spam e-mails. The bot is typically installed on infected machines by a Trojan component calledPushdo.[2]HistoryIn June, 2009 it was estimated that the Cutwail botnet was the largest botnet in terms of the amount of infected hosts. Security provider MessageLabs estimated that the total size of the botnet was around 1.5 to 2 million individual computers, capable of sending 74 billion spam messages a day, or 51 million every minute, equal to 46.5% of the worldwide spam volume.[2][3]In February 2010 the botnet's activities were slightly altered when it started a DDoS attack against 300 major sites, including the CIA, FBI, Twitter and Paypal. The reasons for this attack weren't fully understood, and some experts described it as an "accident", mainly due to the lack of damage and disruption, along with the infrequency of the attacks.[4]In August 2010, researchers from University of California, Santa Barbara and Ruhr University Bochum attempted to take down the botnet, and managed to take offline 20 of the 30 Command and Control servers that the botnet was using.[2]