USO OFICIAL - VULNEXSync Agent (mayo, 2012) 3. Medre (junio, 2012) 4. FinSpy (agosto, 2012) 5....

Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa (COSDEF)

X Jornadas de Seguridad de la Información en Defensa

SECRETARÍA DE ESTADO DE LA DEFENSA

DIRECCIÓN GENERAL DE INFRAESTRUCTURA

ESTADO MAYOR CONJUNTO

USO OFICIAL

Simón Roses Femerling

•  Fundador y CEO de VULNEX: www.vulnex.com

•  Blog: www.simonroses.com

•  Twitter: @simonroses / @vulnexsl

Ex Microsoft, PwC & @Stake

CISSP, CEH & CSSLP

Ponente: Blackhat, RSA, OWASP, DeepSec, AppSec USA, Microsoft Technets, etc.

1






USO OFICIAL

OBJETIVOS

•  Un vistazo al panorama de ataques 2012

•  Casos reales de APT

•  Por qué falla la seguridad

•  Cuestión de tiempo

2






USO OFICIAL

AGENDA

1.  Cuando los APT atacan

2.  Casos reales

3.  Conclusiones

4.  Preguntas y respuestas

3






USO OFICIAL

4






USO OFICIAL

1. Perfil Atacantes

5

Atacante Casual

Empleados / Internos

Hacktivistas

Atacante Económico /

Crimen Atacante Estado-Nación

+

-

Seguridad






USO OFICIAL

1. Ataques 2011-2012 •  2011

•  Sony

•  Citigroup

•  Sega

•  BART






USO OFICIAL

1. Datos

•  Sólo un 6% de los incidentes en 2011 fueron detectados internamente

•  Los ataques pasaron desapercibidos una media de 416 días

•  En el 100% de los incidentes las credenciales fueron robadas

•  Atacantes profesionales roban el SAM

7

(1 ) Advanced Persistent Pentesting: Fighting Fire with Fire






USO OFICIAL

1. APT •  Los APT han conseguido comprometer la seguridad de muchas organizaciones (1000 Fortune)

•  Utilizan una amplia variedad de ataques y estrategias:

®  Ingeniería social

®  Exploits

®  Phishing

®  Troyanos

•  Su objetivo es mantener persistencia y anonimato con el fin de robar durante todo el máximo tiempo posible:

•  Correos electrónicos

•  Documentos

•  Atacan desde lugares seguros

8






USO OFICIAL

1. APT Características

•  Sofisticados

•  Organizados en equipos (programadores, testers, jefes de proyectos, pentesters, etc.)

•  Profesionales / Trabajo

•  Acceso a recursos

•  No tienen miedo a ser detectados

9






USO OFICIAL

1. Ciclo de Vida APT

10

(1 ) Advanced Persistent Pentesting: Fighting Fire with Fire






USO OFICIAL

11






USO OFICIAL

2. Ejemplos de sofisticación

•  Uso del sistema de actualizaciones para distribuir malware en la organización

•  Software de seguridad malicioso

•  Certificados y PKI comprometidos

•  Servicios que detectan cada nuevo fichero, carpeta y correo creado y lo envían al atacante

•  Sistemas VOIP comprometidos habilitando micrófonos en sala de reuniones

12






USO OFICIAL

2. Análisis de 5 APT

1.  XTreme RAT (febrero 2012 – CNN, mayo 2012)

2.  Sync Agent (mayo, 2012)

3.  Medre (junio, 2012)

4.  FinSpy (agosto, 2012)

5.  LuckyCat (agosto, 2012)

13






USO OFICIAL

2. Xtreme RAT (I) •  Descripción: Xtreme RAT es uno de los diversos troyanos

utilizados por el gobierno Sirio contra los disidentes. Se vende por 40 EUR versión completa y 350 EUR con código fuente vía Paypal.

•  Vector Ataque: ingeniería social, programa malicioso

•  Impacto: individuos posiblemente del gobierno mediante el ordenador de un detenido infectaron a diversos disidentes con el fin de su localización y detención.

•  Origen: ¿?

•  Plataformas Afectadas: Windows 14






USO OFICIAL

2. Xtreme RAT (II)

15






USO OFICIAL

2. Sync Agent (I)

•  Descripción: binario (setuid-root) por defecto en teléfonos ZTE Score M comercializados mercado americano

•  Vector Ataque: al ejecutar el binario con una contraseña se activa una shell de administrador (root).

•  Impacto: ZTE y HUAWEI en el punto de mira y vetados por el gobierno EE.UU. y Reino Unido (UK).

•  Origen: China

•  Plataformas Afectadas: Android 2.3 (Gingerbread)

16

$ sync_agent ztex1609523

# id

uid=0(root) gid=0(root)






USO OFICIAL

2. Sync Agent (II)

17






USO OFICIAL

2. Sync_Agent (III)

18






USO OFICIAL

2. Medre (I)

•  Descripción: gusano AutoCAD escrito en AutoLISP, afectó principalmente a países latinoamericanos (Perú, Chile, Ecuador, etc.)

•  Vector Ataque: ingeniería social, un usuario baja un proyecto AutoCAD malicioso y una vez infectado comienza el robo de ficheros.

•  Impacto: responsable del robo de miles de proyectos AutoCAD que fueron enviados a cuentas de correo en servidores chinos.


•  Plataformas Afectadas: Windows

19

(2) ESET






USO OFICIAL

2. Medre (II)

20






USO OFICIAL

2. Medre (III)

21






USO OFICIAL

2. Medre (IV)

22






USO OFICIAL

2. FinSpy (I)

•  Descripción: Troyano comercial desarrollo por Gamma International. Perímete monitorizar y recoger información de los sistemas comprometidos. El troyano disponible en varios idiomas y se ofrece formación.

•  Vector Ataque: Ingeniería social, email con actualización falsa. Uso de vulnerabilidades conocidas (Apple iTunes). Evasión de Antivirus.

•  Impacto: Utilizado por el gobierno Egipcio durante la revuelta para espiar a individuos sospechosos. Contrato por 287.000 EUR (Wikileaks)

•  Origen: Reino Unido (UK)

•  Plataformas Afectadas: Android 2.1 (Eclair) o superior, iOS, Windows y Mac OS

23






USO OFICIAL

2. FinSpy (II)

24






USO OFICIAL

2. FinSpy (III)

25






USO OFICIAL

2. LuckyCat (I)

•  Descripción: campaña APT contra sectores como gobiernos, compañías de defensa y grupos activistas.

•  Vector Ataque: infección a través de web maliciosas. Uso de vulnerabilidades (Word - CVE-2009-0563, Java - CVE-2012-0507)

•  Impacto: robo de información.


•  Plataformas Afectadas: Android 1.5 (Cupcake) o superior, Mac OS X (SabPub) y Windows

26






USO OFICIAL

2. LuckyCat (II)

27

(3) TRENDMICRO






USO OFICIAL

2. LuckyCat (III)

28






USO OFICIAL

2. LuckyCat (IV)

29






USO OFICIAL

2. LuckyCat (V)

30






USO OFICIAL

31






USO OFICIAL

3. Sumario (I)

•  Pocas organizaciones preparadas para repeler o detectar APT

•  Ineficaces productos y servicios de seguridad:

•  “Productos milagros”: IDS, Antivirus, APT, etc.

•  Auditorías / Hacking ético limitadas y capadas

•  Necesidad en las organizaciones:

•  Personal preparado y dedicado

•  Concienciación

•  Procedimientos

•  Recursos adecuados

•  Monitorización constante

32






USO OFICIAL

3. Plan A y B •  Plan A - Perfecto

1.  Desconectar la red corporativa de Internet

2.  Reconstruir el AD y cambiar todas las contraseñas

3.  Reconstruir todos los sistemas desde cero (una imagen segura)

4.  Restaurar aplicaciones y datos

5.  Concienciar a los usuarios

6.  Reconectar la red corporativa

•  Plan B – “Sálvese quien pueda” o “apaga incendios”

1.  Imposible desconectar red

2.  Restaurar sistemas comprometidos identificados

3.  Aplicar parches cuando se pueda

4.  El plan de seguridad se define a años en vez de semanas o meses

33






USO OFICIAL

3. PREGUNTAS DE EXAMEN 1.  Los APT son peligrosos porque (marcar todas las respuestas que procedan):

a)  Disponen de recursos

b)  Son estudiantes con mucho tiempo libre

c)  Operan desde lugares seguros

d)  No lo son ya que las organizaciones están preparadas para combatirlos

2.  El ciclo de APT es:

a)  Sistema comprometido, escalada de privilegios, instalación de troyanos y robo de información

b)  Sistema comprometido, instalación de troyanos, robo de información y escalada de privilegios

c)  Instalación de troyanos, robo de información, escalada de privilegios y sistema comprometido

d)  Sistema comprometido, escalada de privilegios, robo de información e instalación de troyanos

3.  Describe en un máximo de 700 palabras como diseñarías defensas en una organización contra APT.

34






USO OFICIAL

3. Referencias

1.  Advanced Persistent Pentesting: Fighting Fire with Fire http://www.slideshare.net/jcran/advanced-persistent-pentesting-fighting-fire-with-fire

2.  ACAD/Medre.A – 10000′s of AutoCAD files leaked in suspected industrial espionage http://blog.eset.com/2012/06/21/acadmedre-10000s-of-autocad-files-leaked-in-suspected-industrial-espionage

3.  Luckycat Redux: Inside an APT Campaign http://blog.trendmicro.com/trendlabs-security-intelligence/luckycat-redux-inside-an-apt-campaign/

35






USO OFICIAL

3. Lecturas Recomendadas

1.  Mandiant Webinars http://www.mandiant.com/events/webinars/

2.  Penetration Testing Considered Harmful http://blog.thinkst.com/2012/03/penetration-testing-considered-harmful.html

3.  Threat Report Collection https://docs.google.com/spreadsheet/ccc?key=0Ah7s8feSLI-UdEowX3R5UWl3ekh1OC1RbG1hU21Jb3c#gid=0

4.  Investigative Report on the U.S. National Security Issues Posed by Chinese Telecomunications Companies Huawaei and ZTE http://intelligence.house.gov/press-release/investigative-report-us-national-security-issues-posed-chinese-telecommunications

36






USO OFICIAL

4. Preguntas y Respuestas

•  Gracias!

•  Twitter: @simonroses / @vulnexsl

•  www.vulnex.com

37

USO OFICIAL - VULNEXSync Agent (mayo, 2012) 3. Medre (junio, 2012) 4. FinSpy (agosto, 2012) 5....

Documents

Transcript of USO OFICIAL - VULNEXSync Agent (mayo, 2012) 3. Medre (junio, 2012) 4. FinSpy (agosto, 2012) 5....