Download - Cyber espionaje. ataques dirigidos
Cyber-espionaje Ataques dirigidos con motivaciones de espionaje
industrial y corporativo
Luis Ángel Fernández
eCrime Intelligence Barcelona Digital Junio de 2011
@LuisFer_Nandez
Who am I
- Luis Ángel Fernández
- Investigador eCrime en BDigital Tech Center
- Bio
- 12 + 1 años white-hatted en el sector de la seguridad IT
- Respuesta a incidentes para el sector financiero en Europa, EEUU y
Latinoamérica.
- Operaciones especiales Servicios de Inteligencia
- Últimos 5 años como responsable de operaciones del Anti-Fraud
Command Center de Telefónica: SOC como campo de batalla
- Definición servicios de seguridad desde SOCs
- Background técnico, pentesting y reversing
- No, no tengo Facebook, ni LinkedIn
Ataques dirigidos Who am I?
Ataques dirigidos Evolución de cyber-amenazas
Pleistoceno
- Juego Corewar, ideado en los laboratorios Bell en 1949
Ataques dirigidos Evolución de cyber-amenazas
Prehistoria
Los 70:
- Primeras piezas de malware en mainframe
- Primer virus que se auto-propagaba por red
- Primeros gusanos, todos bienintencionados
- Motivación experimental y académica
Los 80:
- Popularización del PC y primeras epidemias
- Primeros casos de phishing en mainframe
- Primeros troyanos en BBS
- Motivación no sólo experimental
Ataques dirigidos Evolución de cyber-amenazas
Edad Media (1990 – 1998)
- Arranca la carrera contra los antivirus
- Nace el polimorfismo
- Primeros virus toolkits: DIY!
- Windows 95 e Internet: primeras epidemias
mediante infección de documentos Office
- Motivación: retos técnicos y reputación
Ataques dirigidos Evolución de cyber-amenazas
Edad Moderna (1998– 2001)
- Se consolida la Sociedad de la Información
- Primeras infecciones masivas por eMail
- Consolidación de estándares de seguridad IT
- SPAM: 1ª actividad profesional de la escena eCrime
- Motivación: de lo reputacional a lo económico
Ataques dirigidos Evolución de cyber-amenazas
Revolución Industrial (>2001)
- BotNets: cimientos de la economía underground
- Gran sofisticación del malware
- Aplicación de modelos de negocio
- Profesionalización de actividades
- Motivación: exclusivamente económica
Ataques dirigidos Evolución de cyber-amenazas
INDUSTRIALIZACIÓN DEL CRIMEN ELECTRÓNICO
Ataques dirigidos Escena eCrime
SPAM: la primera spin-off eCrime
BotNets: cimientos de economía eCrime
Ataques dirigidos Escena eCrime
Ataques dirigidos Evolución de cyber-amenazas
CORE
Keylogger
Updates
Code injection
DDoS
Proxy
Form grabber
Screenlogger
Acceso remoto
RING 3 API Functions
Hello malware, what do you want to do
today?
Déjame preguntar al
jefe…
Ataques dirigidos Escena eCrime
Servicios profesionales (licencias, SLAs, mantenimiento…)
Dan pie a nuevas tecnologías
Envío de SPAM Anti-SPAM, servicios de reputación
Ataques DDoS IDS/IPS, elementos perimetrales
DIY crimeware (ZeuS, SpyEye, Carberp, etc)
Antivirus
Alojamiento distribuido (phishing/malware/etc) Servicios Anti-Phishing (SOCs / CERTs)
Exploit kits Mejora de protecciones en sistemas operativos (ASLR, DEP, /GS, /SAFESEH, SEHOP, protecciones
Heap..)
Inyecciones ad-hoc, suited malware Monitorización de los transaccionales + repositorios de inteligencia Robo y duplicación de tarjetas
Click-hijacking, traffic sale, rent-a-hacker, rent-a-coder, etc, etc, etc
eCrime as a service
Ataques dirigidos Escena eCrime
Malware modular…
- BotNets polivalentes
- Catálogo de servicios ampliable,
dependiente del volumen y ubicación de los
zombies
- Multi-plataforma, módulos portables entre
diferentes familias
Ataques dirigidos Escena eCrime
Malware modular… y multiplataforma
- Windows (XP, Vista, 7, 2008R2…)
- Android, iPhone, iPad, Java (!)
Weyland-Yutani, primer crimeware kit para Mac
Ataques dirigidos Escena eCrime
Malware modular
Ataques dirigidos Escena eCrime
Detección de antivirus
Junio: el 97,6% no lo detectan tras su generación
Toolkit popular SpyEye v1.3
(versión de marzo 2011)
24h más tarde el 54,75% siguen sin detectarlo
Ataques dirigidos Escena eCrime
Samples ÚNICOS por año
Fuente: Panda Labs
~70.000 al día (!!)
Ataques dirigidos Escena eCrime
Ataques dirigidos Escena eCrime
What’s next??
Ataques dirigidos Escena eCrime
Ataques dirigidos Spying as a Service
SaaS: Spying as a Service
CORE
Activación micrófono
Buscar documentos
Payload contra objetivo concreto
Acceso remoto
Activación cámara
Acceso a GPS
Captura de tráfico
Ataques dirigidos Spying as a Service
Captura de SMS, eMail…
Clasificación por motivación
Financiera (ZeuS, SpyEye, Torpig,
Odjob…)
Recursos IT (DDoS, SPAM, hosting…)
Inteligencia
(Información)
Ataques dirigidos Spying as a Service
A P T ersistent hreat dvanced
¿ Subersive Multi-Vector Thread ?
¿ Affiliate Based Attack ? ¿ Just Another Trojan ?
Ataques dirigidos Spying as a Service
¿Diferencias?
Malware DIY
- Phishing / P2P / Drive-by / Gusanos
- Exploit packs
- Persistencia a cualquier precio: ruidoso
- Polivalentes, actualizables
- S, M, L, XL, XXL
Malware dirigido
- Phishing / Ingeniería social / Drive-by
- 0-day, vuln-hunters
- Persistencia, silencio
- Objetivo concreto
- Traje a medida
Ataques dirigidos Spying as a Service
Ataques oportunistas (fuego a discreción)
- Buscan la mayor dispersión posible
- Aprovechan eventos sociales como anzuelo
- Se ofrecen como un servicio más del catálogo
- Alquiler de espías por tiempo
- $$$
Ataques dirigidos (francotirador)
- Compañías / perfiles / personas concretas
- Labor previa de investigación
- Operaciones planificadas y secretas
- Coste elevado
- Compañías y servicios de inteligencia
- $$$$$$
Ataques dirigidos Spying as a Service
Alquiler de espías en compañías infectadas
Skills requeridos:
Ataques dirigidos Spying as a Service
- Traspasar el perímetro
- Comprometer el objetivo
- Establecerse y esconderse
- Capturar la información
- Trasmisión de datos
Fases de una operación de cyber-espionaje
Ataques dirigidos Spying as a Service
Fase 1: Ingeniería social
Ataques dirigidos Spying as a Service
Fase 2: Dentro del perímetro
- Asentamiento y ocultación
- Information gathering
- Acceso remoto
- Escalado de privilegios
- Búsqueda de recursos
Ataques dirigidos Spying as a Service
Fase 3: Extracción de información
- Documentación / credenciales / grabaciones
- Cifrado y uso de canales habituales
- Imitación del perfil de comportamiento
- Persistencia o autodestrucción
Ataques dirigidos Spying as a Service
Ataques dirigidos Spying as a Service
¿Quién demanda estos servicios?
- Tus competidores
- Caza-recompensas
- Gobiernos y Servicios de
Inteligencia
Ataques dirigidos Spying as a Service
Vayamos de compras
Item Setup Mensual Anual
Remote Access Tool Free Free Free
Servicio de phishing dirigido • Garantía de entrega, soporte 24x7
$2.000 $2.000 $24.000
2 vulnerabilidades 0-day • Garantía de reemplazo si se solucionan
$40.000
Rent-a-hacker (10 días) • Escalado de privilegios, network
discovery, etc
$20.000
TOTAL. . . . . . . . . . . . . . . . . . . . . . . . . . $62.000 $2.000 $24.000
Ataques dirigidos Spying as a Service
- Antivirus… KO
- DEP? ASLR? SEHOP?... KO
- Seguridad perimetral… KO
- DLP… KO
- 27001? ITIL? Of course, necesitamos la ISO
- Gestión centralizada? EPO?? HIDS? Sondas?
- SIEMs… OK, ¿qué fuentes? ¿qué logs?
¿Cómo podemos defendernos?
Ataques dirigidos Spying as a Service
Ataques dirigidos Spying as a Service
Antivirus
Protecciones SO
Seguridad perimetral
DLP
ISO, etc
Min
Gaps
- El hacking romántico ya no es rentable para la industria
eCrime: tranquilo, tus servidores están a salvo
- Objetivo ideal: eslabón débil + acceso a activos
- Drive-by (navegación, email, etc)
- USB devices
- Redes sociales
- Smartphones
¿Dónde enfocamos la defensa?
Ataques dirigidos Spying as a Service
- Cumplamos con los requerimientos de
seguridad IT de nuestra actividad
- Implantemos mecanismos de detección y
Business Intelligence
- Acotemos al máximo los vectores de ataque
- Y asumamos que estamos o estaremos
infectados
Ok, seamos realistas
Ataques dirigidos Spying as a Service
Ataques dirigidos Spying as a Service
…
Ataques dirigidos Spying as a Service
Cyber-espionaje Ataques dirigidos con motivaciones de espionaje
industrial y corporativo
Luis Ángel Fernández
eCrime Intelligence Barcelona Digital Junio de 2011
@LuisFer_Nandez