2. David Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH.
Investigador Digital, Consultor con mas de 15 años de experiencia en el Area de
la Seguridad Informática y la Computación Forense, ha desarrollado labores de
Ethical Hacking, Pruebas de Penetración, Análisis Forense y Capacitación para
diversas empresas y entidades tanto Nacionales como Internacionales de los
sectores Militar, Financiero, Energético, Diplomático, Minero.
3. PERSPECTIVA:
• El campo de batalla mundial está migrando de los 4 dominios
tradicionales al quinto Dominio:
Tierra Mar
Aire
C4ISR
4. Quinto Dominio: C4ISR
Comando, Control, Comunicaciones,
Computadores, Inteligencia, Vigilancia y
Reconocimiento (Command, Control,
Communications, Computers, Intelligence,
Surveillance and Reconnaissance)
5. LOS HACKERS SON LOS GUERREROS DEL SIGLO XXI: OTAN
http://www.nato.int/docu/review/2013/Cyber/Hackers-for-hire/EN/index.htm
6. QUE ES UNA AMENAZA AVANZADA PERSISTENTE - (APT) ?
• Malware orientado específicamente contra objetivos Corporativos,
Políticos, de Infraestructura o Militares.
• Este Malware, normalmente es Diseñado y Construido a la Medida
específica del Blanco.
• Se debe tener en cuenta que las APTs son adaptativas de acuerdo
a las medidas de seguridad que encuentran en el objetivo; esto
incluye el usar puertos abiertos en Firewall, hacer Bypass de
detección estándar de IDS e IPS, técnicas anti forenses, entre
otras.
7. CARACTERISTICAS DE LAS APT
• Mientras que las Amenazas "Tradicionales” explotan sus objetivos
buscando un beneficio económico (Datos de Tarjetas de Crédito,
Cuentas Bancarias, Secuestro de info), las APTs se orientan a
infiltrar una red objetivo, para extraer información sensible o
generar algún tipo de situación específica.
• Una APT puede permanecer “dormida” mucho tiempo y solo
activarse en situaciones específicas o a intervalos específicos,
esporádicos.
8. FUNCIONAMIENTO DE LAS APT
• Aprovechan casi siempre el eslabón mas débil; el usuario final,
que en la mayoría de los casos no está preparado y no ha pasado
por procesos de concientización (awareness) suficientes para
hacerlo desconfiar de ciertos indicadores;
• Correo Electrónico de una persona familiar, pero con
información fuera de lo común (Adjuntos)
• Enlaces en Correos electrónicos que lo lleven a un sitio web
fuera de los sitios pertenecientes a la Empresa – Entidad
• Correo electrónico que le indique la obligación de descargar
determinado software o información.
• Regalos de Dispositivos de Almacenamiento
9. ETAPAS DE LAS APT
1. Intelligence Gathering – Recolección de Información – OSINT
• Recolección de Información estratégica acerca del
Target; su Ambiente e Infraestructura de IT, su
Estructura Organizacional, sus Empleados,
Colaboradores o Clientes.
10. ETAPAS DE LAS APT
2. Lograr un Punto de Acceso
• Lograr entrar a la Red Interna por medio de un Correo Electrónico,
Mensajería Instantánea, Redes Sociales, o Explotación de Fallas en
Software. (Buscando el Error del Usuario Final)
• 87% de las Organizaciones Atacadas, caen por una URL maliciosa
11. ETAPAS DE LAS APT
3. Command and Control (C&C) Communication (C2)
• Asegurar la Continuidad de la Comunicación entre la
red Comprometida y el o los Servidores de C&C o C2.
• La mayor cantidad de tráfico de C&C se maneja a
través de puertos HTTP y HTTPS.
• Se utilizan mecanismos Fast Flux para esconder los
Servidores C&C o C2
14. USO DE LLAMADO REVERSO POR MEDIO DE RESOLUCION DNS
Servidor DNS
Computador
Infectado
con
Malware Servidor de C&C
(C2)
1. Usando el protocolo de resolución DNS (Domain Name System) el computador consulta a
un Servidor DNS la dirección del Dominio de llamada Inversa.
2. El Servidor DNS entrega a la victima la dirección IP x.x.x.x del Servidor de C&C (C2)
3. El Malware se comunica con el servidor C2 en la dirección IP entregada y recibe
instrucciones y/o envía una respuesta.
4. El Servidor C2 provee información adicional o instrucciones al Malware.
15. PUPPETNET COMO MECANISMO DE C&C – C2 PARA APT
Sitio Web Malicioso
Solicitudes Normales de
navegación/respuestas con
instrucciones de ataque
adjuntas (Piggybacked)
Trafico de Ataque/
Penetración/ Ex filtración
Clientes WEB
Sitio
Victima
16. ETAPAS DE LAS APT
4. Movimiento Lateral
• Búsqueda de Hosts que almacenen información
sensible e importante con valor para el o los
atacantes dentro de la red comprometida.
• Las técnicas utilizadas incluyen por ejemplo Pasan
the Hash; que le permite a un atacante alcanzar los
privilegios de una cuenta determinada y escalar hasta
lograr nivel administrativo.
17. ETAPAS DE LAS APT
5. Descubrimiento de ACTIVOS / DATOS
• Identificar información importante para su futura ex
filtración.
• Este proceso puede tomar mucho tiempo, pero esta
es una de las características de las APT; no tienen
prisa.
18. ETAPAS DE LAS APT
6. Ex filtración de los Datos:
• Transmisión de la Información de Valor a una
ubicación bajo el control del atacante.
• Esto se realiza normalmente por puertos autorizados
en el Firewall: http (80) https(443-SSL).
19. COSTO DE LOS EFECTOS DE LAS APT
http://www.washingtonpost.com/blo
gs/post-tech/post/cyber-attack-on-
rsa-cost-emc-66-million/2011/07/26/
gIQA1ceKbI_blog.html
20. COMO ESTA COLOMBIA FRENTE A LAS CIBER AMENAZAS?
http://www.elespectador.com/tecnol
ogia/articulo-374381-colombia-
lidera-el-ranking-de-inseguridad-
informatica-america-la
21. MAPA DE CIBER ATAQUES MUNDIALES
http://www.nchc.org.tw/en/research/index.php?RESEARCH_ID=69
22. INFORMACIÓN ENTIEMPO REAL
Real-time Web Monitor (Akamai)
http://www.akamai.com/html/technology/dataviz1.html
Sistema Global BotnetThreat Activity Map (Trend Micro)
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-
map/index.html?ClickID=az9k09lkonlssoostznpvz9pt09onnyy0lwk
Sistema de Información Atlas (Threat Level Analysis System) de Arbor
http://atlas.arbor.net/worldmap/index
Mapa Honeynet (honeynet.org)
http://map.honeynet.org/
23. COMO NOS DEFENDEMOS NORMALMENTE?
(ARQUITECTURA ESTANDAR)
IDS / IPS
Correlacionador
UTM
Switch DMZ
Switch
LAN
Antivirus en Estaciones
Vlan
NAC
25. POR QUE NO ES EFECTIVA NUESTRA ARQUITECTURA?
• Siempre diseñamos pensando que el enemigo está Afuera y
tratamos de cerrar todas las entradas, pero nos olvidamos de los
que están adentro. (Insider)
• Muchas APT han logrado éxito por que alguien interno colaboró.
• Nuestras defensas tradicionales están diseñadas para permitir
servicios o denegar servicios; así que un servicio permitido puede
ser explotado (Http/Https).
• Nuestras defensas tradicionales no están preparadas para
manejar vulnerabilidades día cero. (Heurística)
26. ENTONCES ESTAMOS INDEFENSOS ANTE LAS APT?
La respuesta es……… Depende!
Existen mecanismos, políticas y tecnologías que nos
permiten mejorar el nivel de detección del
comportamiento de las APT; no necesariamente la
penetración o el ataque en si mismo.
28. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Concientización - Capacitación
La primera línea de defensa contra las APT y el
malware en general, son las personas que componen
o interactúan con una Organización.
Deben generarse lineamientos que les permitan a las
personas ser mas proactivas y menos pasivas ante la
amenaza.
29. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Implementación de IDS e IPS con reglados fuertes y
actualizados.
Existen muchas herramientas de IDS que permiten
adicionar reglados ya creados con base en todo lo
que hasta ahora sabemos de las APT; es decir:
Comportamiento del tráfico, países de
origen/destino, tipo de tráfico, etc. de esta manera
dificultamos la labor del atacante principalmente a la
salida, no necesariamente a la entrada.
30. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Implementación de IDS e IPS con reglados fuertes y
actualizados.
• Herramientas Open Source:
• SNORT
• Suricata
• 2047 Reglados específicos contra APT(Snorby):
• https://github.com/packetstash/packetstash-rules
31. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Correlacionamiento y Métodos Estadísticos
El Correlacionamiento nos permite atar cabos acerca
de lo que ocurre en mi infraestructura, con base en
diversos orígenes de información (logs); el uso de
mecanismos que aprendan de nuestro tráfico y
conozcan su comportamiento normal, permite
detectar mas fácilmente el comportamiento
anómalo.
32. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Análisis en Caja de Arena (Sandbox) de Archivos Adjuntos
Cada vez que llega un archivo adjunto, se examina
desde la perspectiva del análisis de malware, en
busca de identificadores, comportamiento, acceso a
zonas de memoria específicas, conectividad de red,
creación de Archivos, entre otras.
33. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Forzar el tráfico http (80-81-8080) a través de Proxy.
El obligar a que mi tráfico http saliente pase por un
proxy me permite realizar filtrado de salida de los
datos, y además controlar hacia donde estoy
enviando esos datos; acá podemos aplicar filtrados
múltiples: MIME, DNS, País, etc.
34. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Forzar el tráfico SSL a través de Proxy deTerminación
Permite que en las redes que se confía se elimine el
certificado SSL (Encripción), pero adicionalmente
permite filtrar todo el tipo de tráfico SSL en el cual no
se confíe. Aun si se confía en el tráfico, va a ir
desencriptado, y de esta forma puede ser
inspeccionado en profundidad.
35. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Políticas Fuertes (Restrictivas) en Reglados y Filtros de
Salida del Firewall
Se debe tener el mismo control y preocupación tanto
por la información o datos que entran a nuestras
redes desde la internet, como por los Datos y la
información que salen de ella.
36. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Monitoreo de los Logs de DNS
Es indispensable saber hacia donde estamos
resolviendo las direcciones y que direcciones estamos
resolviendo. Al conocer esto, podemos manejar
estadísticas y determinar hacia que países se está
dirigiendo nuestro tráfico y de esta forma
implementar filtros para bloquear las resoluciones no
deseadas o desconocidas.
37. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Inspección deTodo el tráfico (principalmente http)
Necesitamos saber que estamos recibiendo y
enviando desde y hacia nuestras redes, para poder
actuar proactivamente ante cualquier tipo de tráfico
anómalo.
38. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Creación de Listas Blancas de Redes de Confianza
Si confiamos en una red, podemos dedicar todo
nuestro esfuerzo de filtrado y control hacia las redes
en las que no confiamos o no conocemos.
39. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Creación de Listas Blancas de Procesos de Confianza
Si confiamos en una aplicación ya sea por que nos
pertenece o por que pertenece a un asociado o
colaborador, podemos dedicar todo nuestro esfuerzo
de inspección y control hacia las aplicaciones que se
salgan de los parámetros de operación de las listas
blancas.
40. ELEMENTOS DE ARQUITECTURA DE CIBERDEFENSAVs. APT
Resumen
Las herramientas o mecanismos para defendernos o
mitigar APT, existen; No estamos totalmente
indefensos, pero el reto es enorme, por que la
sofisticación de los ataques cada día es mayor.
La concientización y la capacitación es nuestra mejor
arma para protegernos ante los potenciales
atacantes.