protegiendo la internet

PROTEGIENDO LA INTERNETINFORME DEL ESTUDIO DE BOTNETS DE LEVEL 3JUNIO DE 2015

PROTEGIENDO LA INTERNET

INFORME DEL ESTUDIO DE BOTNETS DE LEVEL 3

ACTUALMENTE, NINGUNO DE NOSOTROS ESTÁ INMUNE AL IMPACTO DE BOTNETS EN ORGANIZACIONES CONECTADAS A INTERNET. Existe una amplia validación de que monitorear los estándares de comunicación entre servidores de comando y control y sus víctimas potenciales es fundamental. Creemos que adoptar un abordaje proactivo al rastrear el comportamiento de botnets puede generar una inteligencia en amenazas que es verdaderamente accionable. Las botnets que son usadas para ataques de DDoS están creciendo, así como los demás tipos. Este informe examina las causas potenciales del aumento de esos tipos de ataque, el perfil de las víctimas por sector y geografía, puertas y protocolos comúnmente enfocados y varias otras características de las botnets.

Analizamos más detalladamente las botnets que son usadas específicamente para implementar malware (tales como los recién descubiertos SSHPsychos y PoSeidon) para obtener insights sobre los modelos de amenazas complejos y opciones de protección. Esos casos de uso sirven para aumentar la concientización de lo que las organizaciones deben esperar de sus proveedores de servicios de red, y destacan la necesidad de mayores niveles de asociación y colaboración en toda la comunidad de seguridad para proteger la Internet de manera más eficaz.

Esperamos que usted considere esta encuesta como un recurso valioso en sus esfuerzos para proteger su organización, y el mundo conectado.

Chris Richter Vicepresidente Senior de Servicios de Seguridad Administrados Level 3 Communications



SUMARIO EJECUTIVO La inteligencia en amenazas sólo es útil si usted puede actuar rápidamente para proteger redes, sistemas y datos. Las organizaciones actuales enfrentan un alto volumen de eventos de seguridad generados por el ecosistema de sus soluciones de seguridad no colaborativas. No es una cuestión de recibir inteligencia sobre los ataques, sino sí: ¿Qué datos se deben usar para identificar indicadores de amenazas de seguridad críticas?

Como un proveedor de servicios de red global, Level 3 posee una visión amplia del tráfico mundial de Internet y una visión amplia de los riesgos. Nuestro equipo de Operaciones de Seguridad 24/7™, un grupo de profesionales de seguridad entrenados, monitorea cerca de 45 mil millones de sesiones de NetFlow por día para proteger nuestra red. Con un amplio espectro de comunicaciones bidireccionales vía Internet, el equipo ve cómo computadoras de las víctimas en todo el mundo se conectan con malhechores. Diariamente, nuestro equipo de seguridad monitorea cerca de 1.3 mil millones de eventos de seguridad y mitiga aproximadamente 22 ataques distribuidos de negación de servicio (DDoS). El equipo identifica, y remueve, en promedio una red de servidores de comando y control (C2) por día. El objetivo es compartir insights sobre el escenario de amenazas globales bajo la perspectiva de Level 3, y ofrecer las mejores prácticas para proteger efectivamente los activos de información.

En nuestro estudio, prestamos especial atención a las tendencias en el comportamiento de las botnet, ataques de DDoS y malware. Agentes maliciosos utilizan esas herramientas para adquirir el control de los activos de la empresa y transformarlos en terminales comprometidos. Ellos utilizan esas máquinas infectadas para distribuir malware, interrumpir negocios, establecer penetración de sistemas y robar propiedad intelectual de las empresas (exfiltración). De las cerca de 1.000 redes C2 que monitoreamos durante el primer trimestre de 2015, constatamos que más de 600 están siendo usadas para comunicaciones maliciosas focalizando los ambientes corporativos. Si nada fuere hecho, esas redes C2 tienen el potencial de afectar los negocios y destruir activos de información críticos.Obtuvimos datos sobre amenazas a partir de muestras de flujos de comunicación en toda nuestra red diariamente. Correlacionamos esos datos con el banco de datos de reputación de Level 3, que genera clasificaciones de riesgo con base en un esquema de puntuación de amenazas. Ese esquema de puntuación de amenazas es derivado de los sistemas de Servicios de Seguridad Administrados de Level 3SM, estudio algorítmico en el NetFlow y feeds de datos de reputación de terceros.

Esos datos de comunicaciones de amenazas en toda la Internet complementan otras fuentes de información, tales como honeypots, que ayudan a los profesionales de seguridad a proteger sus datos, sistemas y redes mundialmente.Con esos datos sobre amenazas, tomamos acciones en nuestro backbone, en las redes de nuestros clientes y en Internet, si necesario, para mitigar y prevenir diversos tipos de ataque. En este informe, vamos a discutir nuestros hallazgos y acciones con base en nuestro trabajo con esa inteligencia y análisis.



ÍNDICEEl peligro más extraño: la importancia de monitorear las comunicaciones bidireccionales .................................................................................................... 5

Nociones básicas sobre botnets ........................................................................ 5

Alerta de tendencias: Migración a la nube ....................................................... 6

El escenario de ataques de C2 ........................................................................... 6

Victimización generalizada................................................................................. 8

Cuál es el tamaño de una botnet? ................................................................... 11

Reducción del riesgo por medio del control de botnets ................................. 12

Malwares SSHPsychos .................................................................................... 13

Alerta de tendencias: Ataques de negación de servicio ................................. 15

Malware PoS: PoSeidon .................................................................................. 19

Palabras finales y recomendaciones ............................................................... 21

GRÁFICOS:

10 principales países de ataque mundialmente ............................................... 6

10 principales países de ataque en Europa ....................................................... 7

10 principales países de ataque en América Latina .......................................... 8

10 principales países víctimas mundialmente .................................................. 8

10 principales países víctimas en Europa ......................................................... 9

10 principales países víctimas en Asia .............................................................. 9

10 principales países víctimas en América Latina .......................................... 10

Tendencia de las víctimas de C2 ..................................................................... 11

Tráfico SSHPsychos SSH (Cisco Talos) ............................................................ 13

Tráfico Level 3 SSH (Cisco Talos) .................................................................... 13

Ataques de DDoS por región ........................................................................... 15

Ataques de DDoS por sector ............................................................................ 15

Tendencia de tráfico de DDoS ......................................................................... 16

Tendencia de tráfico de NTP ........................................................................... 17

Tendencia de tráfico de DNS ............................................................................ 17

Tendencia de tráfico de SSDP ......................................................................... 18

Tendencia de tráfico de CHARGEN .................................................................. 18



EL PELIGRO MÁS EXTRAÑO: LA IMPORTANCIA DE MONITOREAR LAS COMUNICACIONES BIDIRECCIONALES CON BOTNETS DE COMANDO Y CONTROL.Las comunicaciones de C2s son una indicación directa del potencial de riesgo o compromiso. Entre los métodos utilizados para generar nuestra inteligencia sobre amenazas están monitorear y analizar los estándares de comunicación bidireccional de C2s. Con clientes en más de 60 países abarcando seis continentes, Level 3 tiene una visión excepcional del mundo conectado y de los agentes maliciosos que intentan comprometer el flujo de informaciones de negocio críticas. Bajo nuestro punto de vista de la Internet global, el equipo tiene visibilidad sobre el ámbito del control de esos agentes maliciosos y del número de víctimas afectadas — o riesgos potenciales. Vemos el alcance y daño de las fuentes de amenazas y, al mismo tiempo, determinamos los impactos para los servidores o hosts individuales. En el primer trimestre, comunicaciones de C2s significativas provenientes de puntos en países como Ucrania, Rusia y Holanda enfocaron víctimas potenciales en los Estados Unidos. Nuestras técnicas de análisis nos permiten ver el movimiento de esos agentes y tomar medidas contra aquellos que representan una amenaza para nuestra red. Las botnets no quedan paradas. En el caso de uso del SSHPsychos, vamos a discutir cómo usamos datos de comunicaciones para monitorear esas amenazas sofisticadas en toda la Internet.

A los fines del presente informe, definimos una “víctima” como cualquier terminal que se comunica con el C2. La víctima puede ser el blanco con la intención de extraer datos de ella. La víctima también puede ser usada como una botnet, ayudando en las actividades del C2 para alcanzar otras víctimas. Muchas botnets están frecuentemente hospedadas en dominios legítimos para evitar la detección por investigadores y resistir el filtrado de blackhole. Dominios legítimos altamente traficados son, obviamente, mecanismos de distribución útiles para malware y phishing.

A LOS FINES DEL PRESENTE INFORME, DEFINIMOS UNA “VÍCTIMA” COMO CUALQUIER TERMINAL QUE SE COMUNICA CON EL C2. LA VÍCTIMA PUEDE SER EL BLANCO CON LA INTENCIÓN DE EXTRAER DATOS DE ELLA. LA VÍCTIMA TAMBIÉN PUEDE SER USADA COMO UNA BOTNET, AYUDANDO EN LAS ACTIVIDADES DEL C2 PARA ALCANZAR OTRAS VÍCTIMAS. MUCHAS BOTNETS SON FRECUENTEMENTE HOSPEDADAS EN DOMINIOS LEGÍTIMOS PARA EVITAR LA DETECCIÓN POR INVESTIGADORES Y RESISTIR AL FILTRADO DE BLACK HOLE. ARQUITECTURAS LEGÍTIMAS ALTAMENTE TRAFICADAS SON, OBVIAMENTE, MECANISMOS DE DISTRIBUCIÓN ÚTILES PARA MALWARE Y PHISHING.

NOCIONES BÁSICAS SOBRE BOTNETSLos botnets son grupos de programas conectados a Internet que quedan en varios dispositivos y que se comunican entre sí para realizar tareas. Esos dispositivos pueden ser servidores Web, computadoras personales o de trabajo, dispositivos móviles o cable módems.

Las funciones de las botnets incluyen identificar nuevos blancos, exfiltrar datos, distribuir software malicioso (malware, tales como virus, worms y keyloggers), robar informaciones personales o propiedad intelectual, o atacar otros blancos (por ejemplo, ataques de DDoS).

La mayoría de las máquinas que forman parte de la botnet también son máquinas infectadas. Ellas son infectados por medio de una serie de métodos, incluyendo e-mails de phishing, visitas a páginas comprometidas o instalación de softwares comprometidos.

Los servidores de comando y control (C2s) son los cerebros de las operaciones. Los C2s emiten instrucciones para que las máquinas infectadas ejecuten una tarea, como un ataque.

Las formaciones comunes para botnets son:

Servidor único: Un C2 gerencia todas las máquinas infectadas. Esa configuración simple proporciona comunicación confiable, de baja latencia. Una vez descubierta, es fácil derribarla.

Varios servidores: Diversos C2s son combinados para obtener redundancia.

Jerarquía: Diversos C2s en una configuración dividida posibilitan múltiples tareas y ayudan a ofuscar la escala de la botnet de los investigadores.

Peer to Peer: Las comunicaciones bot a bot son más difíciles de rastrear y derribar.

5



ALERTA DE TENDENCIAS: MIGRACIÓN A LA NUBE De la misma forma que empresas comerciales y otras organizaciones legítimas, los cibercriminales están percibiendo los beneficios de desarrollar instancias en máquinas virtuales. Los proveedores de nube, en algunos casos, exigen una validación de datos limitada para configurar una cuenta. Una cuenta simple en PayPal® o una tarjeta de crédito robada (pero aún válida) puede ser utilizada como medio de pago para esos servicios. Establecer máquinas virtuales (VMs) falsas en proveedores de servicios de nube del tipo infraestructura como servicio (IaaS) es, por tanto, un modelo atractivo para esos “clientes”. Por tanto, creemos que la proporción de malhechores que infectaron servidores legítimos versus aquellos que crearon bots en máquinas virtuales falsas está cambiando en favor de la implementación de máquinas virtuales (VMs). La flexibilidad para implementar y derribar instancias de VM, así como ampliar fácilmente una implementación, torna la computación en nube del tipo IaaS una solución perfecta para el comercio en negro

EL ESCENARIO DE ATAQUES DE C2S: PRINCIPALES AGENTES MALICIOSOSGeografías con infraestructuras de comunicaciones robustas continúan siendo un suelo fértil para los C2s. Esos lugares también están globalmente cerca de blancos ricos del sector industrial y público para cibercriminales y agentes deshonestos del estado-nación. Es importante observar: el instigador final del ataque puede no estar localizado en las mismas áreas geográficas de alto tráfico.

Los principales agresores abarcan el mundo entero. En el primer trimestre, en promedio, los Estados Unidos lideraron todas las naciones en la generación de tráfico de C2. Los Estados Unidos poseen una riqueza de infraestructura propicia para la realización de ataques. Su proximidad con blancos valiosos domésticamente e internacionalmente lo torna un lugar altamente deseable para que los criminales establezcan un punto de control bien conectado y estable.

10 PRINCIPALES

6

48

9

21071 3

5

1. Estados Unidos2. Ucrania3. Rusia4. Holanda5. Alemania6. Turquía7. Francia8. Reino Unido9. Vietnam10. Rumania

6

Fuente: Level 3SN Threat Research Labs, 1o trimestre de 2015

PAÍSESQUE GENERAN TRÁFICO DE C2 MUNDIALMENTE



Desde una perspectiva global, Holanda ocupó una posición más alta en relación con otros países de Europa continental. Esta posición en los “Top 10” se debe a un gran C2 y port scanner pesado que alega haber hecho diversas víctimas en la región nórdica. Holanda ofrece una infraestructura robusta, tornándola ideal para centralizar botnets para la región.

Aunque las naciones en todo el mundo estén representadas en la lista de los 10 principales infractores globales, las regiones que generan los mayores niveles de tráfico de C2 son Europa y los Estados Unidos. Un promedio de 20 por ciento de los C2s que monitoreamos estaban basados en América del Norte, con un número prácticamente igual operando en Ucrania y Rusia juntas. Europa Occidental1 y el Reino Unido contribuyeron con más de 12 por ciento del tráfico de C2. América Latina fue la fuente de solo 2 por ciento del tráfico total de C2.

Comunicaciones no comunes para esos países deben ser alertas automáticos para las organizaciones de TI y de seguridad. Un análisis sobre si los servidores deberían estar comunicándose, autenticando o transfiriendo datos con terminales en determinados países de alto riesgo puede ser un predictor de amenazas potenciales a su ambiente o un indicador de un compromiso potencial.

96

82

1073

1

5 4

1. Ucrania2. Rusia3. Holanda4. Alemania5. Francia6. Reino Unido7. Rumania8. España9. Suiza10. Italia

1 La composición macrogeográfica es definida de acuerdo con la División de Estadísticas de las Naciones Unidas de 2013

7


10 PRINCIPALES PAÍSESQUE GENERAN TRÁFICO DE C2 EN EUROPA



31

2

41. Panamá2. Argentina3. Brasil4. México

VICTIMIZACIÓN GENERALIZADAQuiénes son los blancos de estos C2S y dónde ellos están localizados? En el primer trimestre de 2015, Noruega recibió el mayor tráfico de víctimas en todo el mundo. Esto puede parecer sorprendente, tanto desde una perspectiva global como regional. El volumen de C2 en Noruega fue un reflejo de un C2 hospedado en un ambiente de hospedaje Web específico, lo que causó un aumento acentuado en el tráfico de C2 identificado. Identificamos un exceso de comunicaciones de botnets nórdicos con C2s — 22 por ciento del promedio global del tráfico de víctimas. En comparación, las víctimas británicas representaron 2 por ciento y el Sur de Europa2 representó 11 por ciento del promedio global. El alto volumen de tráfico de ataque en Holanda está relacionado con el tráfico de víctimas en Noruega y Suecia. La proximidad con el blanco desempeña un papel importante en la eficacia de esas campañas.

1. Noruega 3. España 2. Estados Unidos 5. Turquía4. Suecia

6. Ucrania 8. Paquistán 7. China 10. Egipto9. Polonia

2 La composición macrogeográfica es definida de acuerdo con la División de Estadísticas de las Naciones Unidas de 2013.

8



4 PRINCIPALES PAÍSESQUE GENERAN TRÁFICO DE C2 EN AMÉRICA LATINA

10 PRINCIPALES PAÍSESQUE SE COMUNICAN MUNDIALMENTE CON C2s



Los países del Este y Sudeste de Asia fueron los destinatarios de 7 por ciento del tráfico de víctimas mundial, mientras Asia Occidental, Central y el Sudeste Asiático representaron 18 por ciento de ese tráfico.

1. Noruega 2. España 3. Suecia

6. Rusia

4. Ucrania

8. Reino Unido 7. Alemania 10. Francia9. Grecia

5. Polonia

9

6. Arábia Saudita

4. Israel

8. Líbano 7. Palestina 10. Iémen9. Omã

5. Jordânia1. Turquia 2. Paquistão 3. Egito

10 PRINCIPALES

10 PRINCIPALES



PAÍSESEN EUROPA QUE SE COMUNICAN CON C2s

PAÍSESEN ÁSIA (OCCIDENTAL, CENTRAL, SUDESTE) QUE SE COMUNICAN CON C2s



Os mais atingidos. Durante el primer trimestre de 2015, los cinco principales países con mayor número absoluto de víctimas (direcciones de IP únicos) conversando con C2s en un determinado momento durante el trimestre incluyen:

� China - 532.000 direcciones de IP únicas de las víctimas

� Estados Unidos - 528.000 direcciones de IP únicas de las víctimas

� Noruega - 213.000 direcciones de IP únicas de las víctimas

� España -129.000 direcciones de IP únicas de las víctimas

� Ucrania - 124.000 direcciones de IP únicas de las víctimas

6. Colombia

4. Venezuela

8. Perú 7. Chile 10. Bolivia9. Costa Rica

5. Equador1. Brasil 2. Argentina 3. México

10

6. Indonesia

4. Corea del Sur

8. Filipinas 7. Tailandia 10. Singapur9. Malasia

5. Japón1. China 2. Vietnam 3. Taiwán



10 PRINCIPALES

10 PRINCIPALES

PAÍSESEN ÁSIA (ESTE, SUDESTE)QUE SE COMUNICAN CON C2s

PAÍSESEN AMÉRICA LATINAQUE SE COMUNICAN CON C2s



Considerando la gran población conectada a Internet en China y Estados Unidos, no es ninguna sorpresa que ellos sean los principales blancos. Los Estados Unidos tienen un número considerable de víctimas públicas y privadas de interés fuertemente enfocadas por los cibercriminales y agentes maliciosos del estado-nación. Los resultados de Noruega son consistentes con el gran evento de C2s en la región. Los blancos en América Latina abarcan 4 por ciento de la población media global de víctimas debido a su infraestructura de red subdesarrollada.

¿CUÁL ES EL TAMAÑO DE UNA BOTNET? De acuerdo con nuestro estudio, el número medio de hosts infectados por C2s es de 1.700. A lo largo del año, acompañamos más de 1.000 C2s, que controlan millones de hosts infectados. El elevado volumen de comunicaciones mensurables entre los C2s y sus víctimas sugiere que hay una oportunidad para la comunidad de seguridad colaborar y reducir agresivamente el número de C2s en Internet.

Aunque esos datos puedan parecer terribles, cuando analizados en relación a las medias del día a día, las medidas de control de botnets utilizadas por la comunidad de seguridad de Internet y otras organizaciones comerciales están funcionando de manera general. Como el gráfico temporal demuestra, el volumen de víctimas por C2 disminuyó durante el trimestre de un pico de 3.763 en enero a 338 en marzo, debido a la vigilancia en nombre de la comunidad de seguridad.

Número promedio de víctimas DE C2

1,700HOSTS INFECTADOS

“

“

11

Fuente: Level 3SN Threat Research Labs, 1o trimestre de 20153 Dell SecureWorks, Underground Hacker Markets, dezembro de 2014

Número medio de víctimas por C2



EL MERCADO DE BOTNETS Y TENDENCIAS DE DIVERSIFICACIÓN DE AMENAZAS Las botnets de alquiler son un gran negocio. En los Estados Unidos, el acceso a 1.000 servidores exclusivos cuesta USD 190 por mes3. El precio aumentó en relación a 2013, cuando el valor para el mismo servicio era de USD 20. Los compradores en Europa no enfrentaron los mismos aumentos acentuados, pero los precios continúan saludables. Mil botnets del Reino Unido cuestan cerca de USD 120 por mes4. La fuerte demanda por la botnet como un servicio indica que los malhechores la ven como un método eficaz de ataque. Esto también indica que una tendencia de comprar en vez de construir está surgiendo para el agresor menos sofisticado. Los Laboratorios de Estudios de Amenazas de Level 3 constataron que 22 por ciento de los servidores de C2 realizan más de una función. Más probablemente, muchas de esas botnets son de naturaleza comercial, y forman parte de un negocio diversificado. Por ejemplo, ellas pueden tener diversos fines de lucro, tales como distribución de malware, ataques de DDoS y servicios de phishing.

La buena noticia para la comunidad de seguridad es que plataformas comerciales multiuso son más frecuentemente construidas y en una estructura plana. Aunque esa configuración pueda ser altamente eficiente para el propietario de la botnet, ella facilita la identificación de esas operaciones por los investigadores, así como su cierre por los operadores de red. Sin embargo, sería ingenuo dejar de prever que esas operaciones de botnets no reinvertirían sus lucros en arquitecturas más robustas para resistir a las descubiertas. La operación de botnets es un negocio de lucro una configuración simple. Los costos operacionales para crear, mantener y mover una botnet, una vez desmovilizada, son bajos. Las botnets bloqueadas pueden volver a quedar on-line, muchas veces en algunas horas después de su cierre.

Monitorear la finalidad de la amenaza de una C2 es fundamental, pues esos datos pueden servir como un predictor del riesgo. Es importante conseguir determinar si los servidores están comunicándose con botnets que son operados para funcionar con fines específicos, para que uno pueda reaccionar para interrumpir la amenaza. La mitigación puede ser tan simple como bloquear los e-mails de esos terminales infectados para evitar el phishing, o puede significar algo mucho más complejo para evitar la infección.

REDUCCIÓN DEL RIESGO POR MEDIO DEL CONTROL DE BOTNETSEntender las características de los agentes de las amenazas ayuda a las organizaciones y la comunidad de seguridad a manejar los riesgos actuales, y establecer contramedidas. ¿Cómo estas tácticas están dándose en la guerra contra los C2s? Una de las metodologías que Level 3 utiliza para determinar el nivel de eficacia de las mitigaciones es monitorear la edad media de un C2. El objetivo es reducir el período de tiempo en el cual los C2s sobreviven en Internet, aumentando los costos y cargos de la explotación de una botnet. Nuestra investigación muestra que la edad media de un C2 para el primer trimestre de 2015 fue de 38 días, valor que se mantuvo constante en relación al trimestre anterior. La expiración de un C2 puede ser causada por cuenta propia, remoción por una primera parte o remoción por un tercero. Una remoción por la primera parte se refiere a la situación en la cual el propietario del host que actúa como un C2 descubre la infección y remueve el malware. En algunos casos, el propietario del servidor puede inadvertidamente quebrar la persistencia del malware actualizando el software o aplicando patches. Y en una remoción por terceros, un prestador de servicios impide la conectividad entre el C2 y la botnet al bloquear el DNS o direcciones de IP.

Edad media de un C2:

38 dias“

“

12

22% DE LOS

SERVIDORES C2 poseen más de

una FINALIDAD DE AMENAZA

“

“

3 Dell SecureWorks, Underground Hacker Markets, dezembro de 2014 4 Ibid



13

CASO DE USO

SSHPSYCHOS: UN ABORDAJE COLABORATIVO PARA EL CONTROL DE BOTNETS

Al final de marzo de 2015, Level 3 inició discusiones con el Grupo Cisco Talos sobre cómo trabajar en conjunto para mitigar un malware y rootkit Linux utilizado para ataques de DDoS. Esa amenaza específica fue documentada en el blog Malware Must Die! en septiembre de 2014, y persistió más de cuatro meses después, cuando FireEye, una empresa que ofrece análisis forense automatizado de amenazas, identificó un gran ataque de fuerza bruta de SSH que intentaba cargar el mismo malware. El Grupo Cisco Talos continuó monitoreando la amenaza y, a mediados del primer trimestre, los honeypots de Talos registraron nuevas tentativas de autenticación de fuerza bruta de un único agresor que de todos los otros hosts juntos.

Los datos de la red de Level 3 confirmaron la escala masiva que ese agresor individual, ahora conocido como SSHPsychos, alcanzó en comparación con el tráfico de Internet de SSH global. Algunas veces, ese agresor fue responsable por más de 35 por ciento del total de tráfico SSH en Internet.

A lo largo de un período de dos semanas en el final de marzo e inicio de abril, el Equipo de Estudio de Amenazas de Level 3 monitoreó un gran número de IPs barridos por los atacantes, identificando cuáles hosts en Internet eran participantes activos en la botnet. Después de validar la escala masiva, el impacto y la duración de esa amenaza, ellos decidieron que era necesario poner nuestra inteligencia en amenazas combinada en acción.

El 7 de abril, después de seguir los protocolos adecuados, Level 3 tomó medidas contra el SSHPsychos al realizar el blackholing de todo el tráfico del agresor dentro de nuestra red global. Esto aseguró que ningún tráfico para el agresor fuese enviado por medio de la red de Level 3. El alcance de otros operadores de red incluyó instruirlos sobre la amenaza y solicitar formalmente su participación en la remoción permanente de la botnet de la Internet global.

Por medio del monitoreo permanente de las acciones del agresor, el equipo del Threat Research Labs lo observó cambiando sus dominios de operación de barredura de SSH con el cambio de diversas direcciones de IP de C2s y malware. El equipo continúa monitoreando el comportamiento del SSHPsychos por medio de su análisis algorítmico de botnets, si la botnet intenta reaparecer.

Fuente: Grupo Cisco Talos. VERMEJO/ROSA/LARANJA - Agresor. VERDE - Restante de la Internet


Dom 22 de março2015

Sáb 28 de março Ter 31 de marçoQua 25 de março Sex 03 de abril

Agressor Internet



OBJETIVO FINALNuestro objetivo es establecer una asociación con la comunidad de seguridad para usar nuestro estudio de amenazas y otras fuentes de datos para prever y detectar malhechores en Internet. Level 3 cree que es importante adoptar un abordaje activo y agresivo para reducir la vida de los C2 en Intenet. Poniendo esa creencia en acción, el equipo colaboró con Cisco Talos para identificar y derribar la botnet SSHPsychos.

MEJORES PRÁCTICAS DE MITIGACIÓNPara un perfil técnico detallado del SSHPsychos, consulte el blog Level 3 Threat Research Labs. El análisis de los IPs o nombres de host mencionados en el artículo asegura que uno no tendrá ningún dispositivo comunicándose con el agresor o participando de la botnet. La publicación también incluye los contenidos actuales del archivo de malware decodificado que puede servir como una fuente útil para encontrar indicadores de compromiso de otros agresores.

De manera general, si uno tiene máquinas Linux que hacen funcionar SSHD en Internet abierta, no se olvide de seguir las mejores prácticas de deshabilitar el login root en su archivo de configuración. Sólo esa medida ya haría que ese agresor no tenga más éxito en su ambiente.

Considere también ajustes en la manera en la cual usted ejecuta su daemon SSH para evitar esos tipos de ataques. Usar un firewall localmente en la máquina Linux para protegerse contra tentativas de acceso desconocidas es una buena medida, cuando posible. Sin embargo, cuando ocurren tentativas no sofisticadas, usted puede hasta incluso ejecutar el SSH en una puerta no estándar como un método de prevención. La mayoría de los escáneres de commodity y clientes de malware no van a procurar servicios en puertas no estándar.

También es importante asegurar que las claves tengan una complejidad mínima y que ataques comunes de diccionario no sean eficaces contra la clave de cualquiera de los usuarios. Para ayudar en la protección contra ese problema, anexamos en el blog las claves que ese agresor intentó, conforme recogidas por honeypots de Cisco Talos. Usted puede criptografiar la lista y compararla con las claves del usuario para ayudar a protegerse contra ataques potenciales.

Como una medida final, siempre recomendamos monitorear el tráfico de DNS que pasa por sus redes para identificar anormalidades. Ese malware específico codificó IPs abiertos que podrían haber servido como indicativo para las víctimas infectadas de que había algo anormal en su ambiente.

ALERTA DE TENDENCIAS: ATAQUES DE NEGACIÓN DE SERVICIO Como vimos con el SSHPsychos, una vez que un ejército de botnets fuere establecido, uno de sus propósitos puede ser el ataque de DDoS. En los últimos dos años, tanto los ataques volumétricos como de capa de aplicación han aumentado en frecuencia. Los ataques combinados también están creciendo. Los ataques de DDoS son eficaces cuando utilizados con otras formas de ataques que buscan distraer a los empleados de TI en cuanto ingresan malware en los sistemas de back-end para exfiltrar datos.

14



El análisis del equipo de Level 3 Threat Research Labs demuestra que la mayoría de los ataques apuntan a blancos en los Estados Unidos. Sin embargo, los ataques de DDoS en Europa, especialmente entre aquellos dirigidos a empresas de hospedaje en la Web, presenta una tendencia de crecimiento.

.

Desde una perspectiva vertical, el sector de juegos, los proveedores de servicios de Internet, empresas de hospedaje Web, empresas de investigación y enseñanza y el sector financiero fueron los más afectados en el primer trimestre de 2015.

Durante el final de 2014 e inicio de 2015, los equipos de Level 3 Security Operations registraron un pico en el volumen de ataques de DDoS después que amenazas de alta visibilidad conquistaran la atención pública y promovieren un comportamiento mimético. El gran volumen de ataques aumentó en toda la Internet global. Ya considerando una de las amenazas más accesibles disponibles para compra en la darknet, la popularidad de los ataques de DDoS aumentó después de la temporada de vacaciones de 2014. Un booter, o IP estresor, es un servicio de ataque que alquila eficazmente el acceso a servidores por una tasa baja, y generalmente mensual. El servicio es muchas veces ofrecido por capas con base en la duración del ataque, de 100 segundos a 10.000 segundos. El ampliamente divulgado Lizard Scuad disfrutó de publicidad gratuita para su servicio de DDoS de alquiler de bajo costo Lizard Stressor, puesto que él fue muy divulgado en la prensa popular. Por solo USD 6 por mes en bitcoins, el usuario puede lanzar un ataque de hasta 125 Gbps por un período de 100 segundos. Una capacidad de ataque ilimitada cuesta USD 500 por mes.


EUA LATAM

REGIONAL EMEA


32%

12%56%

ISPS-EUA

JUEGOS

OTROS

FINANCIERO

PERFIL DE LA INDUSTRIA

ESCUELAS

HOSPEDAJE WEB-EMEA

15



Contramedidas de NTP estão dando resultados. En 2014, la Internet sufrió una serie de ataques de gran escala de negación de servicio de amplificación/reflexión basados en Network Time Protocol (NTP). Desde entonces, el equipo de Level 3 Security Operations viene monitoreando e informando sobre este vector de ataque. El NTP es el Protocolo de tiempo de red utilizado para sincronizar el tiempo con las máquinas conectadas a la red en la puerta UDP 123. En esa época, el principal método de ataque comprendía enviar un pedido de NTP válido (comando MONLIST) con la dirección de IP de origen falsificado para coincidir con la dirección de destino de servidores NTP y forzar una respuesta amplificada de vuelta a los servidores blanco. La mayoría de los usuarios válidos no utiliza el comando MONLIST empleado en este ataque específico de amplificación reflexiva. El comando retorna una lista de los últimos 600 hosts que accedieron al servidor NTP, resultando en una respuesta varias centenas de veces mayor que el pedido original. En su auge, este ataque resultó en ataques adicionales de amplificación con varias centenas de gigabytes de tamaño. Al final del primer trimestre de 2015, el período de referencia, los indicadores de monitoreo de NTP muestran que las mitigaciones globales implementadas contra ese tipo de ataque están dando resultado.

Aunque algunas de las operadoras estén observando un aumento en los ataques de reflexión y amplificación de NTP, Level 3 implementó contramedidas de DDoS de NTP constantes en su red. Consecuentemente, las tendencias de ataques de reflexión y amplificación de NTP en Level 3 no presentan un cambio significativo cuando comparadas con el volumen pasado de ataques basados en NTP para el período mostrado abajo.

16

Ataques de negación de servicio

DDOS total

Linear (SSOS total)


Actividad de las puertas NTP




Además del NTP, algunos de los métodos de ataque de amplificación reflexiva de DDoS incluyen DNS (puerta UDP 53), SSDP (puerta UDP 1900) y CHARJE (puerta UDP 19). Los gráficos abajo muestran el análisis del Level 3 Threat Research Labs de las tendencias para ese tráfico en toda la infraestructura de Level 3. Es razonable suponer que los picos anteriores, por sobre las líneas de tendencias medias, están relacionados con ataques de amplificación reflexiva.

17


Actividad en la Puerta UDP 53







MEJORES PRÁCTICAS DE MITIGACIÓN DE AMENAZAS DE DDOSUna estrategia eficaz de mitigación de DDoS requiere una defensa multicapa basada en la red con controles de red, capacidad de depuración robusta e inteligencia en amenazas. La implementación de controles con su proveedor de servicios, tales como Listas de Control de Acceso (ACL), limitación de velocidad y filtrado en su capacidad de Internet, puede ser un componente fundamental para bloquear amenazas. Estas contramedidas pueden solucionar una buena parte de los ataques volumétricos de Capa 3 y 4. Por ejemplo, si usted ofrece exclusivamente tráfico HTTP y HTTPS en su link de Internet, puede usar ACLs basados en la red para limitar el impacto de ataques volumétricos comunes usando NTP, SSDP, DNS, y otros para su superficie reflexiva.

La próxima capa de defensa exige la concentración del tráfico utilizando centros de depuración de DDoS basados en la red. Como controles de red, usted puede usar técnicas de depuración de DDoS para enfrentar los ataques volumétricos, y proporcionar una mayor granularidad en las contramedidas por medio de un abordaje de ACL.

Sin embargo, considerados en conjunto, los dos abordajes pueden ser una estrategia de mitigación potente. Antes de un ataque, establezca un punto de partida para las características de tráfico saludables. Durante un ataque, el tráfico es encaminado hacia los depuradores (scrubbers), el tráfico “malo” es filtrado, y solo el tráfico “bueno” recibe autorización para llegar a su destino. Idealmente, las implementaciones de depuradores de DDoS son distribuidas regionalmente para reducir la latencia que puede ocurrir debido a la derivación. Una implementación de ingest de alta disponibilidad y alta capacidad también es fundamental para enfrentar picos de tráfico imprevisibles. Los centros de depuración deben ser independientes de operadoras, lo que significa que su proveedor debe ser capaz de depurar el tráfico independientemente de la dirección de IP de la red.

La inteligencia en amenazas puede ser la clave para prever ataques de DDoS, conforme sus botnets comienzan a formarse en toda la Internet. Los controles de red de DDoS con alta capacidad de ingest, plataformas de depuración y CDNs pueden absorber los ataques de fuerza bruta volumétricos. Aunque los ataques volumétricos falsos aún sean comunes, los recursos de la plataforma de mitigación de DDoS deben incluir funciones para diferenciar entre botnets de DDoS avanzados y usuarios reales. La detección por medio de comunicaciones de desafío y respuesta puede identificar botnets sobre usuarios reales. Actualmente hay un límite para esa capacidad de detección, dado que las botnets están evolucionando para parecer más como computadoras “reales” en Internet, presentando un comportamiento de usuario legítimo de su navegador Web. Es por eso que identificar el perfil, monitorear y bloquear C2s es importante. El sólido conocimiento de los terminales globales infectados puede revelarse precioso para mitigar ataques sofisticados.

VULNERABILIDADES DE PUNTOS DE VENTA: ALTA DEMANDA DE DATOS DE TARJETAS DE CRÉDITOLa demanda del mercado negro por datos de usuarios y de tarjetas de crédito tornó el compromiso del sistema minorista un negocio lucrativo. Para ganar dinero con esa oportunidad, los fabricantes de malware desarrollaron un software especializado que busca comprometer el sistema de puntos de Venta (PDV) utilizado por tiendas minoristas. En marzo de este año, el Level 3 Threat Research Labs investigó un tipo de malware evolucionado y publicó sus conclusiones y acciones tomadas para proteger la Internet como un recurso para la comunidad de seguridad.

18



DERRIBO DEL POSEIDON: VISIÓN GENERAL DEL INCIDENTEA fines de marzo, Palo Alto y Cisco Talos divulgaron sus conclusiones sobre un nuevo malware de PDV, el FindPOS, con base en la inteligencia de honeypots. Este malware, conocido ahora como PoSeidon, explora los datos de tarjetas de crédito encontrados en sistemas de PDV Microsoft Windows, instala un keylogger y, luego, transmite los datos capturados a servidores de exfiltración. La ventaja de ese proceso es que cuando un cliente pasa su tarjeta de crédito en un sistema comprometido, los hackers pueden obtener acceso a los datos.

Hipótesis: poco tiempo después de la publicación de ese estudio, los dominios conocidos desaparecieron de la red. Los equipos creían que la amplia publicidad forzó el agente de la amenaza de cambiar de posición. El equipo de Level 3 monitoreó el tráfico de red hacia las direcciones de IP asociadas con los dominios de malware y los rastreó por medio de cambios en registros de DNS. Puesto que es práctica común que el malware sea preconfigurado con un conjunto de dominios y redes por medio de los cuales él pasa a evitar la detección.

Comportamiento: Después que la conexión haya sido restablecida con los C2s, el equipo observó que el sistema infectado descarga un nuevo archivo binario que instala y ejecuta un nuevo proceso en el host. Entre otras acciones, ese archivo FindPOS binario encuentra los datos de tarjetas de crédito para exfiltración y captura los datos de PIN con el logger. Ese malware flexible descarga y ejecuta actualizaciones de versión e instala nuevos paquetes de malware completamente.

Acción: Después de seguir los protocolos apropiados, el equipo del Level 3 Threat Research Labs derribó esos servidores de control en nuestra red.

Conclusión: el equipo continúa analizando ese tipo de malware con cuidado para ayudar a asegurar que, conforme la botnet cambia entre los dominios y configuraciones de red preprogramados, ella no resurja en la red. El equipo monitorea esos cambios en un esfuerzo para minimizar el impacto de la botnet en Internet, y pidió a otros prestadores de servicios de red que hagan lo mismo.

MEJORES PRÁCTICAS DE MALWARE DE PDV Para obtener un entendimiento técnico detallado de cómo el PoSeidon funciona, consulte nuestro blog del Level 3 Threat Research Labs: Pase la tarjeta por su cuenta y riesgo: qué usted precisa saber para combatir el malware de punto de venta PoSeidon. Esto puede ayudar a preparar sus equipos para la próxima variante del malware.

Los sistemas de PDV y soporte deben ser colocados atrás de un firewall configurado correctamente, con logs y alertas habilitadas, en la medida de lo posible, tanto para la entrada como para la salida de tráfico. Una revisión de los registros de firewall para la presencia de dominios y direcciones de IP mencionados en nuestro blog podrá permitir la localización y aislamiento de sistemas comprometidos por el PoSeidon. La inclusión de los registros de búsquedas de DNS en los dominios codificados identificados en el blog es recomendada como una capa adicional de protección.

En este caso específico, la exfiltración ocurre por medio de la puerta 80, que es generalmente usada para acceder a páginas de internet. Usted debe bloquear los firewalls de PDV para permitir solo el tráfico hacia páginas de soporte conocidas en puertas específicas y deshabilitar cualquier otro tipo de tráfico hacia la puerta 80 para esta parte de la red. Certifíquese de que el dispositivo de PDV y otros softwares de sistema estén actualizados con los últimos patches para cerrar todas las vulnerabilidades conocidas.

19

http://blog.level3.com/security/swipe-at-your-own-risk-what-you-need-to-know-to-combat-point-of-sale-malware-poseidon/

http://blog.level3.com/security/swipe-at-your-own-risk-what-you-need-to-know-to-combat-point-of-sale-malware-poseidon/



PALABRAS FINALES Y RECOMENDACIONESLos datos de inteligencia en amenazas de proveedores de servicios de red pueden ser eficaces contra agresores si son utilizados por las organizaciones para tomar medidas para proteger las redes, sistemas y datos. Para tal, los equipos de seguridad de TI deben considerar lo siguiente:

Investigar comunicaciones no comunes entre países que generan tráfico de C2 significativo. Un análisis sobre si los servidores deberían estar comunicándose, autenticando o transfiriendo datos con terminales en determinados países de alto riesgo puede ser un predictor de amenazas potenciales o de una afectación.

Las organizaciones en Noruega deben quedar en alerta máximo para afectaciones, dado que la región fue un blanco principal a fines de 2014 y principios de 2015.

Con 22 por ciento de los C2s utilizados para más de una finalidad de amenaza, evaluar si actividades como barredura de puertas pueden indicar un mayor riesgo para su organización.

Los perfiles, tendencias y mitigación de ataques de DDoS pueden ayudar a su organización a permanecer frente a ese vector de ataque en crecimiento. No permita que esos ataques se tornen distracciones para un objetivo de ataques más insidioso que puede estar en marcha.

Utilice los casos de uso de malware detallados en el blog del Level 3 Threat Research Labs para instruir a los equipos de TI y de seguridad sobre las amenazas complejas y prepararse para la evolución de los ataques.

Level 3 cree que es fundamental que los proveedores de servicios de red sean proactivos en su inteligencia en amenazas para removerlas, siempre que posible, de Internet. El equipo también cree que las organizaciones que se arman con la inteligencia en amenazas disponible, incluyendo datos de alianzas de la industria y organizaciones para compartir informaciones, más capaces de defenderse contra ataques cibernéticos. Compartir datos de amenazas, y tomar medidas como esa inteligencia, representa la nueva línea de defensa contra amenazas a nuestro ecosistema de informaciones y empresas que lo apoyan.

20

© 2015 Level 3 Communications, LLC. Todos los derechos reservados. Level 3, Level 3 Communications, el logo Level 3 Communications, el logo Level 3 y “Connecting and Protecting the Networked World” son marcas de servicio registradas o marcas de servicio de Level 3 Communications, LLC y/o una de sus filiales en los Estados Unidos y/u otros países. Los servicios de Level 3 son prestados por subsidiarias integrales de Level 3 Communications, Inc. Cualquier otro nombre de servicios, nombres de productos, nombres o logotipos de empresas incluidos en este documento son marcas comerciales o marcas de servicio de sus respectivos propietarios. #1578554 Rev 08/2015 SP

ACERCA DE LEVEL 3

Construimos, operamos y asumimos la responsabilidad punta a punta por las soluciones de redes que lo conectan al mundo. Ubicamos a los clientes en primer lugar y asumimos la responsabilidad por la confiabilidad y seguridad en toda nuestra amplia cartera.

+ 54 11 [email protected]