http://www.guadalajaracon.org/conferencias/apts-en-profundidad-disectando-y-analizando-ataques-persistentes/ En los últimos meses ha aparecido en escena un nuevo tipo de amenazas conocidas como APT’s o Amenazas Persistentes Avanzadas. La evolución de las amenazas informáticas ha llegado a niveles preocupantes y se han convertido en un riesgo a la seguridad de las Organizaciones. Estos ataques encubiertos van dirigidos a empresas y agencias de Gobierno, con la intención de ganancia económica o financiera mediante el acceso no autorizado a la información. Las consecuencias de estos ataques son cada vez más importantes provocando el robo de información sensible, pérdidas financieras y riesgos a la seguridad nacional de los países. ¿Cómo identificar y detener estas amenazas antes de que se conviertan en brechas de seguridad graves? El objetivo de esta charla es mostrar las características de este tipo de amenazas de alto nivel, analizar estrategias de detección, contención y respuesta del incidente de manera adecuada.

1. APT’s en profundidad
Disectando y analizando ataques
persistentes
Roberto Martínez
Malware Analyst & Threats Researcher for Mexico
Global Research and Analysis Team (GReAT) - Latam

2. Quien es?
Kaspersky Lab

9. Las amenazas en un nuevo
entorno

10. Malware
Botnets
Pedofilia
Crimeware
Hacking
Usuarios

11. APT’s
Ciber espionajeCiber guerra
Organizaciones - Gobiernos

12. Ataques a Infrastructuras Críticas

13. Los Estados-nación son motivados por algo
más. Espionaje, Sabotaje, Ciberguerra.
Cybercriminales Dinero

14. Ya no son solo virus

15. Video

16. 2009 – Operación Aurora
Víctimas: Google, Adobe, Juniper, Yahoo,
Morgan Stanley, Dow Chemical, etc…

17. 2010 – Stuxnet
Primer Ciber-arma conocida

18. Incidentes con Stuxnet : 150k (estadisticas KL)
Víctimas colaterales

19. 2011 – Duqu
Sofisticado. Sigiloso. Evasivo.
Ciber espionaje patrocinado por Estado-Nación.

20. 2012 – Flame

21. 2012 – Gauss
Propósito (payload): Desconocido.

22. 2013 – Octubre Rojo

24. La realidad?
Las amenazas estan en todas partes!

25. Todos tienen algo en común: exploits
Un entorno diverso

26. Vectores de un compromiso
Fuente - http://espionageware.blogspot.mx/

27. Qué es el CVE-2011-3402?
Respuesta: exploit utilizado por ‘Duqu’
13 Dec
14 Dec
Commercialización de Exploits

28. Fase 1
•OSINT –
Recolección
de
Información
de
Inteligencia
Fase 2
•Compromiso
de la red en
algún punto
vulnerable
Fase 3
•Mantener el
acceso
mediante
implantación
de un
backdoor
Fase 4
•Escalación de
privilegios
Fase 5
•Instalación de
herramientas
Fase 6
•Movimiento
lateral /
Exfiltración de
datos
Fase 7
•Mantener
Persistencia el
mayor tiempo
posible
Como funciona un ataque dirigido?
Focalización y ciclo de explotación

29. Un APT en acción

30. Estrategia de defense integral
• Consciencia situacional
 Las amenazas existen aquí y ahora
 Asuma que es un blanco de ataque
• Comprensión del entorno de negocio
• Enfoque proactivo para la gestión de amenazas
• Modelado de amenazas y análisis predictivo

31. Recursos
• http://www.kaspersky.com
• http://www.securelist.com
• http://threatpost.com/
• http://opensecuritytraining.info/
• Book - Advanced Persistent Threat, Dr. Eric Cole
Eugene Kaspersky @e_Kaspersky - Costin Raiu @craiu
Dmitry Bestuzhev @dimitribest

32. No puedes confiar en nadie

33. Gracias!
Roberto Martínez
roberto.martinez@kaspersky.com
Malware Analyst for Mexico | Latam Global Research and Analysis Team (GREAT)
@r0bertmart1nezhttp://about.me/r0bertmart1nez