cyber espionaje. ataques dirigidos

Cyber-espionaje Ataques dirigidos con motivaciones de espionaje

industrial y corporativo

Luis Ángel Fernández

eCrime Intelligence Barcelona Digital Junio de 2011

@LuisFer_Nandez

Who am I

- Luis Ángel Fernández

- Investigador eCrime en BDigital Tech Center

- Bio

- 12 + 1 años white-hatted en el sector de la seguridad IT

- Respuesta a incidentes para el sector financiero en Europa, EEUU y

Latinoamérica.

- Operaciones especiales Servicios de Inteligencia

- Últimos 5 años como responsable de operaciones del Anti-Fraud

Command Center de Telefónica: SOC como campo de batalla

- Definición servicios de seguridad desde SOCs

- Background técnico, pentesting y reversing

- No, no tengo Facebook, ni LinkedIn

Ataques dirigidos Who am I?

Ataques dirigidos Evolución de cyber-amenazas

Pleistoceno

- Juego Corewar, ideado en los laboratorios Bell en 1949


Prehistoria

Los 70:

- Primeras piezas de malware en mainframe

- Primer virus que se auto-propagaba por red

- Primeros gusanos, todos bienintencionados

- Motivación experimental y académica

Los 80:

- Popularización del PC y primeras epidemias

- Primeros casos de phishing en mainframe

- Primeros troyanos en BBS

- Motivación no sólo experimental


Edad Media (1990 – 1998)

- Arranca la carrera contra los antivirus

- Nace el polimorfismo

- Primeros virus toolkits: DIY!

- Windows 95 e Internet: primeras epidemias

mediante infección de documentos Office

- Motivación: retos técnicos y reputación


Edad Moderna (1998– 2001)

- Se consolida la Sociedad de la Información

- Primeras infecciones masivas por eMail

- Consolidación de estándares de seguridad IT

- SPAM: 1ª actividad profesional de la escena eCrime

- Motivación: de lo reputacional a lo económico


Revolución Industrial (>2001)

- BotNets: cimientos de la economía underground

- Gran sofisticación del malware

- Aplicación de modelos de negocio

- Profesionalización de actividades

- Motivación: exclusivamente económica


INDUSTRIALIZACIÓN DEL CRIMEN ELECTRÓNICO

Ataques dirigidos Escena eCrime

SPAM: la primera spin-off eCrime

BotNets: cimientos de economía eCrime



CORE

Keylogger

Updates

Code injection

DDoS

Proxy

Form grabber

Screenlogger

Acceso remoto

RING 3 API Functions

Hello malware, what do you want to do

today?

Déjame preguntar al

jefe…


Servicios profesionales (licencias, SLAs, mantenimiento…)

Dan pie a nuevas tecnologías

Envío de SPAM Anti-SPAM, servicios de reputación

Ataques DDoS IDS/IPS, elementos perimetrales

DIY crimeware (ZeuS, SpyEye, Carberp, etc)

Antivirus

Alojamiento distribuido (phishing/malware/etc) Servicios Anti-Phishing (SOCs / CERTs)

Exploit kits Mejora de protecciones en sistemas operativos (ASLR, DEP, /GS, /SAFESEH, SEHOP, protecciones

Heap..)

Inyecciones ad-hoc, suited malware Monitorización de los transaccionales + repositorios de inteligencia Robo y duplicación de tarjetas

Click-hijacking, traffic sale, rent-a-hacker, rent-a-coder, etc, etc, etc

eCrime as a service


Malware modular…

- BotNets polivalentes

- Catálogo de servicios ampliable,

dependiente del volumen y ubicación de los

zombies

- Multi-plataforma, módulos portables entre

diferentes familias


Malware modular… y multiplataforma

- Windows (XP, Vista, 7, 2008R2…)

- Android, iPhone, iPad, Java (!)

Weyland-Yutani, primer crimeware kit para Mac


Malware modular


Detección de antivirus

Junio: el 97,6% no lo detectan tras su generación

Toolkit popular SpyEye v1.3

(versión de marzo 2011)

24h más tarde el 54,75% siguen sin detectarlo


Samples ÚNICOS por año

Fuente: Panda Labs

~70.000 al día (!!)


What’s next??


Ataques dirigidos Spying as a Service

SaaS: Spying as a Service

CORE

Activación micrófono

Buscar documentos

Payload contra objetivo concreto

Acceso remoto

Activación cámara

Acceso a GPS

Captura de tráfico


Captura de SMS, eMail…

Clasificación por motivación

Financiera (ZeuS, SpyEye, Torpig,

Odjob…)

Recursos IT (DDoS, SPAM, hosting…)

Inteligencia

(Información)


A P T ersistent hreat dvanced

¿ Subersive Multi-Vector Thread ?

¿ Affiliate Based Attack ? ¿ Just Another Trojan ?


¿Diferencias?

Malware DIY

- Phishing / P2P / Drive-by / Gusanos

- Exploit packs

- Persistencia a cualquier precio: ruidoso

- Polivalentes, actualizables

- S, M, L, XL, XXL

Malware dirigido

- Phishing / Ingeniería social / Drive-by

- 0-day, vuln-hunters

- Persistencia, silencio

- Objetivo concreto

- Traje a medida


Ataques oportunistas (fuego a discreción)

- Buscan la mayor dispersión posible

- Aprovechan eventos sociales como anzuelo

- Se ofrecen como un servicio más del catálogo

- Alquiler de espías por tiempo

- $$$

Ataques dirigidos (francotirador)

- Compañías / perfiles / personas concretas

- Labor previa de investigación

- Operaciones planificadas y secretas

- Coste elevado

- Compañías y servicios de inteligencia

- $$$$$$


Alquiler de espías en compañías infectadas

Skills requeridos:


- Traspasar el perímetro

- Comprometer el objetivo

- Establecerse y esconderse

- Capturar la información

- Trasmisión de datos

Fases de una operación de cyber-espionaje


Fase 1: Ingeniería social


Fase 2: Dentro del perímetro

- Asentamiento y ocultación

- Information gathering

- Acceso remoto

- Escalado de privilegios

- Búsqueda de recursos


Fase 3: Extracción de información

- Documentación / credenciales / grabaciones

- Cifrado y uso de canales habituales

- Imitación del perfil de comportamiento

- Persistencia o autodestrucción



¿Quién demanda estos servicios?

- Tus competidores

- Caza-recompensas

- Gobiernos y Servicios de

Inteligencia


Vayamos de compras

Item Setup Mensual Anual

Remote Access Tool Free Free Free

Servicio de phishing dirigido • Garantía de entrega, soporte 24x7

$2.000 $2.000 $24.000

2 vulnerabilidades 0-day • Garantía de reemplazo si se solucionan

$40.000

Rent-a-hacker (10 días) • Escalado de privilegios, network

discovery, etc

$20.000

TOTAL. . . . . . . . . . . . . . . . . . . . . . . . . . $62.000 $2.000 $24.000

- Antivirus… KO

- DEP? ASLR? SEHOP?... KO

- Seguridad perimetral… KO

- DLP… KO

- 27001? ITIL? Of course, necesitamos la ISO

- Gestión centralizada? EPO?? HIDS? Sondas?

- SIEMs… OK, ¿qué fuentes? ¿qué logs?

¿Cómo podemos defendernos?



Antivirus

Protecciones SO

Seguridad perimetral

DLP

ISO, etc

Min

Gaps

- El hacking romántico ya no es rentable para la industria

eCrime: tranquilo, tus servidores están a salvo

- Objetivo ideal: eslabón débil + acceso a activos

- Drive-by (navegación, email, etc)

- USB devices

- Redes sociales

- Smartphones

¿Dónde enfocamos la defensa?


- Cumplamos con los requerimientos de

seguridad IT de nuestra actividad

- Implantemos mecanismos de detección y

Business Intelligence

- Acotemos al máximo los vectores de ataque

- Y asumamos que estamos o estaremos

infectados

Ok, seamos realistas



…

Cyber-espionaje Ataques dirigidos con motivaciones de espionaje

industrial y corporativo

Luis Ángel Fernández

eCrime Intelligence Barcelona Digital Junio de 2011

@LuisFer_Nandez

cyber espionaje. ataques dirigidos

Technology

ataques dirigidos evolucin

ataques dirigidos spying

ataques dirigidosspying

ataques dirigidosevolucin

espionajeataques dirigidos

escena ecrime motivacin

cyberamenazasprehistoria

spam antispam