Este documento describe las amenazas de malware y spam saliente y las estrategias para combatirlas. El malware se propaga a través de bots que se comunican con servidores de comando y control a través de DNS. Esto causa problemas como spam, robo de datos, y experiencias negativas para los usuarios. La solución de Nominum usa detección de dominios maliciosos, mitigación bloqueando consultas DNS, y visualización de informes para ayudar a los proveedores de servicios a lidiar con estas amenazas.

1. Estrategias de
Seguridad contra
Ataques de
Malware y
Outbound Spam
Telesemana
Abril 2013
David Contreras
VP, Marketing Corporativo

3. El impacto del malware

4. Los Bots y el Malware
• Una amenaza real que afecta a muchos ”En 2 años las amenazas
(personas, telcos, negocios, gobiernos) móviles van a hacer lo
que las amenazas de PC
• Representan la gran mayoría del ciber han hecho en 15 años”
crimen hoy en día - Lookout Mobile
• Infecciones de malware no se limitan a
mercados, dispositivos o sistemas
operativos especificos.
"Una PC infectada con
bots genera 600.000
• Ejemplos de actividad maliciosa
mensajes de spam al
! Correo spam
día”
! Click fraud
- Computerworld
! Robo de datos (por ejemplo,
contraseñas, tarjetas de crédito, etc)

5. Outbound Spam es la forma mas común
de distribuir Malware
"El spam es la forma de envío masivo de mensajes no solicitados. El
medio más común para el spam es el correo electrónico ... Esto
sucede cuando las computadoras que están infectadas con virus,
worms u otros códigos maliciosos se utilizan para distribuir mensajes
de spam que contienen más malware ".
- http://www.veracode.com/blog/2012/10/common-malware-types-cybersecurity-101/

6. El Rol del DNS en Outbound Spam
Botnet Centro de
Comando
Bot Master
3 – Bot recibe
instrucciones del
DNS
servidor del Centro de
Comandol (C&C).
1 – Spam (or “slgo”) atrae
usuario a badsite.com
DNS 2 – Usuario visita sitio
e infecta a través del
malware "drive by
download” y pasa a
formar parte de la red
de bots: botnets
4 – La maquina recién
infectada (bot) se une al
Usuario Botnet en enviar spam o
Inocente participa en otra forma de
actividad.
Nominum Confidential 6

7. No hay que perder de vista los ataques
simples
La mayoría de los ataques son relativamente simples*
! 92% de todas las violaciones de datos vinieron de fuera
o Malware instalado en las máquinas para ejecutar funciones
o 58% impulsado por el crimen organizado
o 65% vino de Europa del Este
"Los agentes externos han creado economías de escala mediante
el refinamiento de ataques estandarizados y automatizados y
altamente repetibles”
2012 Data Breach Investigations Report
Costo de defenderse < Valor del Target < Costo del Ataque
*Note: Information drawn from 2011 Data Breach
Investigations Report; Verizon, US Secret
Nominum Confidential 7
Service, and Dutch High Tech Crime Unit

9. Impact 1: Threat of Regulation
"Cerca del 40% de los operadores que encuestamos, nos reportaron
que sus direcciones IP fueron bloqueadas o incluidas en listas negras
en algún momento durante los últimos 12 meses”
– 2012 Commtouch Study
Botnets dañan la reputación de ISP en varios países han acordado
los operadores y generan un normas voluntarias para evitar
riesgo de acción regulatoria no legislación
deseado

10. Impacto 2: Mala Experiencia del
Subscriptor
“El 56% de los usuarios cuyos correos (outbound email) fueron
bloqueados debido a los problemas de spam que los operadores
que los sirven sufren, probablemente o definitivamente se
cambiarían a un proveedor que no bloquee usuarios inocentes”
Las botnets pueden causar correos
electrónicos legítimos que sean
bloqueados o que los suscriptores
experimenten conectividad lenta
Negocios han reportado no poder
entregar email legitimo a múltiples
clientes

11. Impacto 3: Mas altos costos de soporte
(OpEx)
“Dos tercios of de los proveedores de servicio de email
consideran que el problema de outbound spam es un
asunto importante o extremadamente importante.”
– Commtouch Study
• Botnets generan costos de soporte cuando los subscriptores se quejan
luego de una mala experiencia o cuando el ISP recibe quejas acerca de sus
clientes”
! Subscriptores infectados son 8x veces mas inclinados a llamar a servicio al
consumidor citando problemas con la PC”

12. Impacto 4: Impacto negativo en la
Reputación del Operador
"49% de los operadores encuestados reportaron que el impacto del
outbound spam dañando su reputación corporativa es un problema
importante.”
– Commtouch Study
UCE Protect List
! Mas de 300 ASNs listados
! http://www.uceprotect.net/en/l3charts.php

14. Reporte de Nominum: 2012 Ciberseguridad
Estudio en base a nuestro “feed” global de dominios de Botnets
(Comandos y Control – C&Cs),que dinámicamente y en tiempo real
cubren:
! Mas de 500 millones de usuarios de internet,
! 140 de los proveedores de servicios del mundo superior,
! 30% del tráfico de la red mundial,
! 1,5 billón DNS consultas diarias.
Mayor sofisticación
! La mayoría de estos ataques fueron realizados por bots maliciosos
que antes eran desconocidos y no tenían signatures de software
antivirus disponibles.
"Prevemos que en el 2013, tráfico a través de DNS relacionado con bots
seguirá siendo la principal fuente de actividad maliciosa como spam,
ataques DDoS, robo de identidad y datos y mucho más." - Craig Sprosts,
Vicepresidente de Aplicaciones y Plataformas.
Nominum Confidential 14

15. Reporte de Nominum: 2012 Ciberseguridad
La mayoría de los bots requieren del DNS para propagarse y
comunicarse con las redes criminales. Pero a la vez, el DNS es una
excelente manera de identificar las amenazas y proteger las
infraestructuras mas críticas.
Amenazas de Malware mas Los Malwares mas
importantes - notables del 2012
solo dispositivos móviles
Flamer
1 Notcompatible
2 Smspacem Shylock
3 Lena TDSS
4 Netisend
Ukash
5 Basebridge
Network World – The 5 worst mobile threats of 2012, November 1, 2012
http://www.networkworld.com/news/tech/2012/110112-mobile-threats-263904.html
Nominum Confidential 15

17. El rol del DNS en la diseminación del Malware y
Spam
Red Recipiente
X
Sends attack instructions (email Mail Routing
addresses, spam template, etc.) - Builds message (phishing, Directory
spam, recruitment, etc.)
Command
& Control SMTP Mailbox
Lookup
Submits
email out
Port 25
Inbound MTA
SMTP Port 25
- C&C Check
X - DNS MX/A query
for RCPT domain
DNSRBL
Lookup
Caching DNS
Auth DNS
(RBLDNSD)
Roles de Filtreo
Volume
X
Sieve Rules Blocking
X Content Filters Rate Limiting
Public WiFi

18. Una visión holística y estratégica de Seguridad
para operadores
Seguridad de la Red
1. Detección (Network Security)
6. Prevención 2. Mitigación
5. Eliminación 3. Visualización
Seguridad del Subcriptor 4. Notificación
(Subscriber Safety)
18
Nominum Confidential

19. Una visión holística y estratégica de Seguridad
para operadores
Seguridad de la Red
(Network Security)
1. Detección
Command
& Control
2. Mitigación
Command
& Control
Visibilidad de quien
3. Visualización esta infectado y con
que – viene de la
agregación de
datos de DNS
19
Nominum Confidential

20. Detección de Usuarios Infectados
• Estrategias a Considerar 1. Detección de usuarios
! Trabajar con una lista de detección infectados
altamente sofisticada que actualiza
regularmente los dominios de bots-
comando y control – de manera dinámica Command
& Control
! Proceso no debe requerir de esfuerzos
manuales y tiene que ser totalmente
automatizado
! En general, las listas de detección tienen
que incorporar múltiples fuentes de datos:
o Análisis de tráfico DNS Global
o Ingeniería reversa de Malware
o Reputación del servidor (name server)

21. Mitigación de la amenaza de Malware
• Estrategia a considerar: 2. Mitigación de las
! Implementación de Políticas (Policy amenazas
Enforcement) sobre las transacciones
DNS entrantes
! Permitir el bloqueo y la supervisión de las Command
& Control
consultas a dominios
! Gestión de políticas sobre individuos o a
través de toda la red
• Soluciones tienen que ser escalables y
robustas para ser capaces de adaptarse a
los cambios de la lista en tiempo real y a la
masiva cantidad de transacciones de DNS

22. Visualización del Malware (Reportes)
• Soluciones a considerar son las:
! Que provean reportes detallado del
Malware por tipo de Malware
! Que provean reportes de series de
tiempo (Time series) 3. Quien esta infectado y
con que
o Los usuarios mas monitoreados o
bloqueados
o Numero de IPs que intenten acceden
dominios bloqueados o monitoreados
! Reportes de usuarios infectados que
provean:
o Agrupación por IP único
o Dominios, numero de queries, QPS por
dominio, tipo de malware
o Reportes para un periodo especifico

24. Presentando la solución de Nominum
Network Security Solution
La lista: Network Protection Service
1. Detección
Command
& Control
El Enforcement de Politicas/
Reglas: Vantio Caching DNS
2. Mitigación
N2 Platform
Command
Plataforma N2: El cerebro & Control
que hace que todo esto
funcione bien – Gestión de La interface que provee Inteligencia:
Políticas y Manejo de Datos Security Intelligence Application
3. Visualización
24
Nominum Confidential

25. Arquitectura de la Solución de Nominum
Red de
Nominum
iView Security
Intelligence
Red del Operador N2 Platform
Network List Monitoring List Management
Protection
Service Data Policy
Aggregator Manager
Collection Enforcement
Vantio Caching DNS
Nominum Confidential 25

26. Detección: Network Protection Service
LISTAS
DNS Batch Feed
DNS
Logs
(Queries Network
DNS Stream Feed (E/C) Answers) Nominum Protection
Security Lab Service
IP Reputation List IP Feed
Extracción
Black List
Filtración
Actor Clustering Validación
Bad Actor List
Feed Asociación
Grey List
Edad
Correlación Evidencia
Malware Reputación
White List
Vida
Malware List
Feed Scoring Whitelisting
Unwanted List
gTLD
Newly Registered Domains
ccTLD
Domain/ NXR/L2 Honeypot Crawler
3rd Party List
IP Feed Feed Feed Feed
Nominum Confidential 26

27. Mitigacion: Vantio Caching DNS Engine &
Lightweight Policy Viewer
Servidor caching-only de alta performance
Overview:
! De alto rendimiento y baja latencia
! Gestión de políticas ligero
! Robusta validación y gestión de DNSSE
! Dual stack IPv4/IPv6 y soporte de DNS64
! Lightweight View
o Primera solución que permite ver por subscriptor el enforcement of políticas de DNS en la capa de DNS
caching
Beneficios:
! Visibilidad en tiempo real de las tendencias de la red y los problemas emergentes
! Ningún cambio en la arquitectura de red es necesaria
! Actualizaciones de configuración (sin reiniciar)
! Mejora de la eficiencia de la red
! Desarrollo rápido de aplicaciones
! Mayor agilidad empresarial
! Reducción del tiempo de salida al mercado de nuevos servicios
Nominum Confidential 27

28. Visualización
Security Intelligence Application
Resumen
• Visualiza el nivel de las infecciones relacionadas con bots
• Identifica los tipos específicos de actividad bot
• Usa detalles para decidir si se debe (y como) comunicar a los suscriptores
infectados
Beneficios
• Funciona sin problemas con solución completa de seguridad de red
• Elimina las conjeturas de entender las infecciones y la forma de abordarlos
Nominum Confidential 28

30. Caso de Exito– ISP lider en Europa
Problema Resultados
• Alcanzó el número 1 en el ranking • Volumen MX disminuyó de más de
mundial en el UCE-Protect "Nivel QPS 60K a menos de 1K en las
3" Lista Negra horas punta
• Más del 50% del tráfico de DNS • Lista negra las direcciones IP se
generado por las consultas de MX redujo en más de un 95% a ~ 5.5K
• Cliente sale del Top-25 en la UCE
Solution Proteja lista
! Implementación de Servidores • Disminución de quejas de y sobre
Vantio de DNS caching y Network usuarios infectados
Protection Service
Blacklisted IPs
Nominum Confidential 30

31. Caso de Exito– ISP en America Latina
Problema
• Spam excesivo de clientes residenciales infectados lo
llevó a ser listado en varias listas negras
(blacklistings) UCE Protect Spam Ranking
Después de implementar
• Los clientes residenciales y comerciales no pudieron NPS + + MX Blocking
0
enviar correos legítimos a empresas que utilizan Peor
estas listas negras
20
Spam Ranlking
Solución
• Implementación de servidores de Vantio Caching 40
DNS y la lista Network Protection Service
• Bloqueo de los queries a los dominios de los C&C de 60
los botnets y de los MX queries de subscriptores
residenciales infectados 80 Mejor
Resultados
! Numero direcciones IP en lista negra se redujo en un
89% y la clasificación en el UCE Protect Ranking cayó
del Top 20 al Top 100
! Menos quejas sobre el bloqueo de correo legítimo
! Reducción de costos gracias al spam reducido
31

33. La visión de seguridad de Nominum es
completa e incluye Seguridad del Subscriptor
Nominum ofrece el primer sistema completo de Seguridad de Red y del Subscriptor de
manera rápida y rentable generando servicios diferenciados a los consumidores y las
empresas
Seguridad de la Red
(Network Security Solution)
Prevención Detección
Seguridad del La lista: Network Protection Service
Subcriptor
(Subscriber
Safety)
Mitigación
Q2 2013 Eliminación N2 Platform Las políticas de acción: Vantio
(Proximo
Seminario)
Visualización
La Interface: Security Intelligence
Notificación Application
Proteccion completa contra bots y malware reportes detallados y funciones de analisis beneficios immediatos
33
Nominum Confidential

34. La solución de seguridad de Nominum
• Mejora dramáticamente la reputación del ISP
! Reduce direcciones de IP en la lista negra por mas del 90%.
! Ayuda a operadores a mejorar su ranking en la lista de UCE Protect List.
• Mejora la experiencia del cliente / reduce los costos de
soporte
! Reduce las "horas de llamada" asignadas para los casos de virus y
malware en los centros de soporte en un 40%
• Elimina el desperdicio de recursos de la red
! Reducción general del tráfico de DNS en un 25%
! Reducción de la carga de la CPU en los servidores DNS de
almacenamiento (caching) en más del 30%
! Reducción del trafico de Botnet C & C en un 58%
! Reducción del tráfico de spam por encima del 90%

35. Interesado en un piloto?
Email: sales@nominum.com
o envíame un correo a:
david.contreras@nominum.com
Twitter: @Nominum
YouTube: http://www.youtube.com/nominumwebinars
Facebook: http://www.facebook.com/nominum
LinkedIn: http://www.linkedin.com/company/nominum