3 Análises de casos reais de muros de solo reforçados com ...
Casos Reais de Ameaças Avançadas no Brasil¡n... · 2015-05-04 · Casos Reais de Ameaças ......
Transcript of Casos Reais de Ameaças Avançadas no Brasil¡n... · 2015-05-04 · Casos Reais de Ameaças ......
Casos Reais de Ameaças Avançadas no Brasil
Casos Reais de Ameaças
Avançadas no Brasil
Hernán Armbruster Vice President, Trend Micro, Latin America Region
1
Malware Bancário
Confidential | Copyright 2013 TrendMicro Inc.
Malware Bancário - Man-in-the-browser (MiTB)
Confidential | Copyright 2013 TrendMicro Inc.
CPL Malware no Brasil
Confidential | Copyright 2013 TrendMicro Inc.
Phishing em dispositivos móveis
Confidential | Copyright 2013 TrendMicro Inc.
Mobile MitM Attacks
Confidential | Copyright 2013 TrendMicro Inc. 2
2
Ameaças dirigidas
Confidential | Copyright 2013 Trend Micro Inc. 5/6/2014
• Profundo conhecimento dos
seus funcionários.
• Malwares desenvolvidos e
testados para burlar suas
defesas de gateway, endpoint,
etc.
• A interação humana que adapta
o ataque conforme ele se move
em sua rede.
Ataques customizados
demandam uma defesa
personalizada!
Confidential | Copyright 2013 Trend Micro Inc.
11
91% destes ataques derivam de e-mails
Confidential | Copyright 2013 TrendMicro Inc.
Confidential | Copyright 2013 TrendMicro Inc. 2
Confidential | Copyright 2013 TrendMicro Inc. 2
Phishing de dirigido ao Richard
Confidential | Copyright 2013 TrendMicro Inc.
Paises mais afetados por ataques dirigidos
Confidential | Copyright 2013 TrendMicro Inc.
Botnets
Confidential | Copyright 2013 TrendMicro Inc.
Fonte: TrendLabs 2013 http://www.trendmicro.com/us/security-`intelligence/current-threat-activity/global-botnet-map/index.html
Botnets
Confidential | Copyright 2013 TrendMicro Inc.
0
5
10
15
20
25
30
35
40
45
Jul-12 Aug-12 Sep-12 Oct-12 Nov-12 Dec-12 Jan-13 Feb-13 Mar-13 Apr-13 May-13 Jun-13
Servidores C&C detectados por mês
Confidential | Copyright 2013 TrendMicro Inc. 2
Confidential | Copyright 2013 TrendMicro Inc.
• Botnet ativa detectada em 88%
• Malware conhecido detectado em 98% das análises
• Aplicações não autorizadas em 82%
• Malwares bancários em 72%
• Documentos maliciosos em 66%
• Malware não conhecido em 58%
• Ataques de rede em 68%
• Malware para Android em 30%
• Serviços de Cloud Storage 80%
Fonte: Últimos 50 serviços Deep Discovery executados em empresas de mais de 2000 computadores no Brasil
Caso #1 – Uso do OSSProxy
Confidential | Copyright 2013
TrendMicro Inc. 2
EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL
• OSSProxy instalado para capturar
informações e o tráfego web.
• O host era monitorado, os sites
visitados e outros dados eram
enviados para servidores em Missouri,
Ohio e West Virginia nos EUA.
Caso #2 – Ataque Servidor SQL
• Exposição da porta 1433 (SQL) do IP '186.xxx.xxx.218’. No período
compreendido entre 12h17 e 18h27 foram detectadas 123 tentativas de
autenticação utilizando credenciais de administrador.
• EVIDÊNCIAS
Quantidade de acessos: 123
Exemplo de acesso:
• Tue, 09 Jul 2013 15:26:50 -0300
ApplicationProtocol = SQL
SourceIP = 210.34.96.10
SourceCountry = China
SourceUserID = sa
DestinationHostName = 186.215.82.218
Confidential | Copyright 2013 TrendMicro Inc.
EMPRESA PÚBLICA FEDERAL
Caso #3 – Conexões com C&C
Confidential | Copyright 2013
TrendMicro Inc. 2
• Análise comportamental sob resolução DNS para rede de Botnet.
EMPRESA PÚBLICA ESTADUAL
Caso #4 – Botnet Android
• Detectamos um dispositivo Samsung Galaxy SIII com Android 4 fazendo parte da
botnet Plankton.
• Houve mais de 4.000 comunicações entre este dispositivo e o servidor de C&C
hospedado nos EUA nas duas semanas analisadas.
Confidential | Copyright 2013
TrendMicro Inc.
EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL
Caso #5 – Zero Day / Dropbox
Confidential | Copyright 2013
TrendMicro Inc.
EMPRESA PÚBLICA ESTADUAL
• O analisador virtual (sandbox) processou arquivos potencialmente maliciosos,
identificando um deles com a particularidade de coletar informação e submeter
com destino Dropbox.
• Após pesquisa por parte do cliente em sites públicos, tratava-se de um “zero
day”, ou seja, nenhum fabricante conhecia a amostra. Somente 15 dias após o
descobrimento desta ameaça ela foi classificada por outros fabricantes.
3
Websites hospedando malware no Brasil
Confidential | Copyright 2013 TrendMicro Inc.
Crescimento de malware para Android no mundo
Confidential | Copyright 2013 TrendMicro Inc.
Trojanized Flappy Bird
Confidential | Copyright 2013 TrendMicro Inc.
Malware para Android
Confidential | Copyright 2013 TrendMicro Inc.
Aplicações
maliciosas
Participação = 3,90%
Posição mundial = 14
1180
1077
774
639
608
450
394
367
331
286
0 200 400 600 800 1000 1200 1400
AndroidOS_Gen.VTD
AndroidOS_Leadblt.HRY
AndroidOS_Plankton.VTD
AndroidOS_MJFVICDX
AndroidOS_Arpush.HRXV
AndroidOS_Lootor.CTB
AndroidOS_Airpush.VTD
AndroidOS_ADWARE.Airpush.2
AndroidOS_Qdplugin.VTD
AndroidOS_MJVCTDZR
TOP 10 malware Android 2012 Q1 - 2013 Q1
Malware para Android - Plankton
Confidential | Copyright 2013 TrendMicro Inc. 2
Botnets para Android
Confidential | Copyright 2013 TrendMicro Inc.
Botnets para Android
Confidential | Copyright 2013 TrendMicro Inc.
5
Confidential | Copyright 2013 TrendMicro Inc.
Submundo do Crime Cibernético - Preços
Confidential | Copyright 2013 TrendMicro Inc.
Produto ou Serviço Preço (Em Reais)
Informação de cartão de crédito R$ 700 por informação de 10 cartões de crédito
Kit de roubo de informação de cartão de crédito R$ 5.000
Crypter R$ 100 por 30 dias
Pharming de DNS R$ 5.000
Hospedagem R$ 50
Miniaplicativo Java malicioso R$ 80
Malware para Facebook R$ 70
VPS para spam R$ 70
Verificador de cartão de crédito R$ 400
Serviço de codificação R$ 500
Preços de kits de criação de ameaças bancárias
Confidential | Copyright 2013 TrendMicro Inc.
6
Dispositivos não convencionais
ICS / SCADA - Vulnerabilidades
Confidential | Copyright 2013 TrendMicro Inc.
Fonte: ICS-CERT https://ics-cert.us-cert.gov/monitors/ICS-MM201210
ICS-CERT responded to 198
cyber incidents in 2012
ICS Honeypots
Confidential | Copyright 2013 TrendMicro Inc.
Ataques ICS (SCADA / VxWorks)
Confidential | Copyright 2013 TrendMicro Inc.
Fonte: Trend Micro: Brasil tem 589 dispositivos SCADA /
VxWorks voltados para a Internet
Previsoes de Seguranca para 2014
Confidential | Copyright 2013 TrendMicro Inc.
1. Operacoes bancarias moveis sofrerao
mais ataques “Man-in-the-Middle”; a
verificacao basica em duas etapas nao
sera mais suficiente.
2. Os criminosos ciberneticos usarao cada
vez mais ataques direcionados, tais
como pesquisas de codigo aberto e
“spear phishings” altamente
personalizados, juntamente com
multiplos exploits.
3. No contexto dos ataques direcionados,
veremos mais ataques de “clickjacking”
e “watering hole”, novos exploits e
ataques via dispositivos moveis.
4. Veremos um grande incidente de
violacao de dados a cada mes.
5. Ataques aproveitando vulnerabilidades em softwares
amplamente usados mas sem suporte, como o Java 6 e o
Windows XP, se intensificarao.
6. A Deep Web desafiara significativamente a aplicacao da lei,
conforme os orgaos responsaveis se esforcam para
aumentar sua capacidade para enfrentar o cibercrime em
larga escala.
7. A descrenca publica continuara , especialmente depois da
exposicao de atividades de monitoramento patrocinadas
pelos Estados, resultando em um periodo de esforcos
desencontrados para restaurar a privacidade.
8. Ainda nao veremos a disseminacao em larga escala de
ameacas para a Internet de Todas as Coisas (IoE). Isso
requer um “aplicativo matador”, que pode aparecer na area
da realidade aumentada em novas tecnologias como os
“heads-up displays”.
Conclusão
Confidential | Copyright 2013 TrendMicro Inc.
De…
Usuários
Admin TI
File/Folder & Removable Media
Email & Messaging
Web Access
Copyright 2014 Trend Micro Inc. 45
Hoje!
Email & Messaging
Web Access
File/Folder & Removable Media
Admin TI
Usuários
Device Hopping Cloud Sync & Sharing Collaboration
Social Networking
Copyright 2014 Trend Micro Inc. 46
Data Center
Físico
• Integridade de Servidores e VMs
• Políticas de segurança apropriadas
• Proteção de Dados, especialmente na nuvem
• Performance e gerenciamento
Copyright 2013 Trend Micro Inc.
Virtual Nuvem Privada Nuvem Pública
Segurança
Oper. Data Center
Cenário de Ameaças em Evolução
Tempo
Exploits Vulnerabilidade
s Malware
Tradicional
Malware Avançados
Fuga de Informações
Ataques
direcionados
Sofi
stic
ação
SANDBOXIN
G
SIG-BASED
Fuga de Informações
Malware Tradicional
Exploits Vulnerabilidades
Malware Avançado
Ataques Dirigidos
APPLICATION CONTROL
BEHAVIOR MONITORING
COMMAND&CONTROL
BLOCK
SANDBOXING
SIG-BASED
WEB REP
VULNERABILITY PROTECTION
BROWSER EXPLOIT PROTECTION
DLP
ENCRYPTION
DEVICE
POLICY
Confidential | Copyright 2013 TrendMicro Inc.
2020.trendmicro.com
#Trend2020
Confidential | Copyright 2013 TrendMicro Inc. 2