APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]
33
APT’s en profundidad Disectando y analizando ataques persistentes Roberto Martínez Malware Analyst & Threats Researcher for Mexico Global Research and Analysis Team (GReAT) - Latam
-
Upload
websec-mexico-sc -
Category
Technology
-
view
1.760 -
download
2
description
http://www.guadalajaracon.org/conferencias/apts-en-profundidad-disectando-y-analizando-ataques-persistentes/ En los últimos meses ha aparecido en escena un nuevo tipo de amenazas conocidas como APT’s o Amenazas Persistentes Avanzadas. La evolución de las amenazas informáticas ha llegado a niveles preocupantes y se han convertido en un riesgo a la seguridad de las Organizaciones. Estos ataques encubiertos van dirigidos a empresas y agencias de Gobierno, con la intención de ganancia económica o financiera mediante el acceso no autorizado a la información. Las consecuencias de estos ataques son cada vez más importantes provocando el robo de información sensible, pérdidas financieras y riesgos a la seguridad nacional de los países. ¿Cómo identificar y detener estas amenazas antes de que se conviertan en brechas de seguridad graves? El objetivo de esta charla es mostrar las características de este tipo de amenazas de alto nivel, analizar estrategias de detección, contención y respuesta del incidente de manera adecuada.
Transcript of APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]
![Page 1: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/1.jpg)
APT’s en profundidadDisectando y analizando ataquespersistentes
Roberto MartínezMalware Analyst & Threats Researcher for Mexico
Global Research and Analysis Team (GReAT) - Latam
![Page 2: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/2.jpg)
Quien es?
Kaspersky Lab
![Page 3: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/3.jpg)
![Page 4: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/4.jpg)
![Page 5: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/5.jpg)
![Page 6: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/6.jpg)
![Page 7: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/7.jpg)
![Page 8: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/8.jpg)
![Page 9: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/9.jpg)
Las amenazas en un nuevo
entorno
![Page 10: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/10.jpg)
Malware
Botnets
Pedofilia
Crimeware
Hacking
Usuarios
![Page 11: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/11.jpg)
APT’s
Ciber espionajeCiber guerra
Organizaciones - Gobiernos
![Page 12: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/12.jpg)
Ataques a Infrastructuras Críticas
![Page 13: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/13.jpg)
Los Estados-nación son motivados por algo
más. Espionaje, Sabotaje, Ciberguerra.
Cybercriminales Dinero
![Page 14: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/14.jpg)
Ya no son solo virus
![Page 15: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/15.jpg)
Video
![Page 16: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/16.jpg)
2009 – Operación Aurora
Víctimas: Google, Adobe, Juniper, Yahoo,
Morgan Stanley, Dow Chemical, etc…
![Page 17: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/17.jpg)
2010 – Stuxnet
Primer Ciber-arma conocida
![Page 18: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/18.jpg)
Incidentes con Stuxnet : 150k (estadisticas KL)
Víctimas colaterales
![Page 19: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/19.jpg)
2011 – Duqu
Sofisticado. Sigiloso. Evasivo.
Ciber espionaje patrocinado por Estado-Nación.
![Page 20: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/20.jpg)
2012 – Flame
![Page 21: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/21.jpg)
2012 – Gauss
Propósito (payload): Desconocido.
![Page 22: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/22.jpg)
2013 – Octubre Rojo
![Page 23: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/23.jpg)
![Page 24: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/24.jpg)
La realidad?
Las amenazas estan en todas partes!
![Page 25: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/25.jpg)
Todos tienen algo en común: exploits
Un entorno diverso
![Page 26: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/26.jpg)
Vectores de un compromiso
Fuente - http://espionageware.blogspot.mx/
![Page 27: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/27.jpg)
Qué es el CVE-2011-3402?
Respuesta: exploit utilizado por ‘Duqu’
13 Dec
14 Dec
Commercialización de Exploits
![Page 28: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/28.jpg)
Fase 1
•OSINT –Recolecciónde Informaciónde Inteligencia
Fase 2
•Compromisode la red en algún puntovulnerable
Fase 3
•Mantener el accesomedianteimplantaciónde un backdoor
Fase 4
•Escalación de privilegios
Fase 5
•Instalación de herramientas
Fase 6
•Movimientolateral / Exfiltración de datos
Fase 7
•MantenerPersistencia el mayor tiempoposible
Como funciona un ataque dirigido?
Focalización y ciclo de explotación
![Page 29: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/29.jpg)
Un APT en acción
![Page 30: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/30.jpg)
Estrategia de defense integral
• Consciencia situacional
Las amenazas existen aquí y ahora
Asuma que es un blanco de ataque
• Comprensión del entorno de negocio
• Enfoque proactivo para la gestión de amenazas
• Modelado de amenazas y análisis predictivo
![Page 31: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/31.jpg)
Recursos
• http://www.kaspersky.com
• http://www.securelist.com
• http://threatpost.com/
• http://opensecuritytraining.info/
• Book - Advanced Persistent Threat, Dr. Eric Cole
Eugene Kaspersky @e_Kaspersky - Costin Raiu @craiu
Dmitry Bestuzhev @dimitribest
![Page 32: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/32.jpg)
No puedes confiar en nadie
![Page 33: APT’s en profundidad: Disectando y analizando ataques persistentes [GuadalajaraCON 2013]](https://reader035.fdocuments.us/reader035/viewer/2022081404/5595a2f61a28ab1b748b4635/html5/thumbnails/33.jpg)
Gracias!
Roberto Martí[email protected]
Malware Analyst for Mexico | Latam Global Research and Analysis Team (GREAT)
@r0bertmart1nezhttp://about.me/r0bertmart1nez
