NSM: Network Security Monitoring. Ismael Valenzuela

Transcripción

1 NSM: Network Security Monitoring Ismael Valenzuela

2 > agenda Advanced Persistent Threats (APT) Por qué las medidas tradicionales no son suficientes NSM: monitorizando la seguridad en la red Herramientas NSM y demos

3 > whoami Global ICT Security Manager en isoft CISSP, CISM, SANS GCFA, GCIA, GPEN, GWAPT, IRCA LA, ITIL Certified Miembro del SANS Advisory Board Instructor de BSi, Community SANS Instructor

4 > estado del Cibercrimen 2010

5 > Advanced Persistent Threats Existen personas más inteligentes que tú, que tienen más recursos que tú, y que vienen a por tí. Buena suerte. - Matt Olney (SourceFire)

6 > Anatomía de un ataque Publicado en el US Today, el 14 Nov 2008

14 > Casos APT google y otros Un día de enero de este año, varios empleados de Google asentados en China y otros países, recibieron correos electrónicos extraños : los invitaba a acceder a una página de internet, a través de un link. Lo que siguió después ya se ha etiquetado como Uno de los ciberataques más sofisticados hasta ahora registrados McAfee le ha bautizado con el nombre de Operación Aurora, en el que además de Google, otras 34 empresas multinacionales sufrieron robo de información

15 > Advanced Persistent Threats Mandiant M-Trends: Un informe de primera mano de intrusiones reales que ilustran las técnicas, la tecnología y el tipo de datos robados. Destaca por qué APT debe preocupar a las organizaciones, cómo estas son atacadas y los principales desafíos que presenta.

16 > Definición de APT Avanzado, Persistente, Amenaza Un grupo de atacantes sofisticados, determinados y coordinados que han comprometido la seguridad gobiernos y empresas comerciales por años. Pueden permanecer ocultos en una red durante meses o incluso años, mientras que sus víctimas creen que han erradicado el problema La mayor parte de la actividad APT observada por Mandiant está relacionada con China.

17 > APT vs Hackers Denominados atacantes, no hackers. Son profesionales organizados. Su motivación, técnicas y tenacidad son diferentes. Aunque su motivación parezca familiar (robar datos), los ataques APT son diferentes... También establecen un medio para volver a la víctima, para robar datos adicionales y para permanecer ocultos en su red sin ser detectados por la víctima.

18 > Objetivos de APT Políticos Económicos Técnicos Militares El APT es capaz de comprometer la seguridad de cualquier objetivo que se fije. Las medidas de seguridad convencionales son inútiles frente a estos ataques.

19 > Ciclo de vida de APT!"#$%&%!"#$%/%!"#$%6%!"#$%8%!"#$%;%!"#$%>%!"#$%B% ' ()*$+$*,-,)+.$% ' 0+.12#,3+%,+,*,"4%)+%4"%1)5% ' 0-74"+."1%2+"%72)1."%.1"#)1"%)+%4"%1)5% ' 9:.)+)1%*1)5)+*,"4)#%5)%2#2"1,$% ' 0+#."4"1%<"1,"#%2=4,5"5)#% ' C"+.)+)1%7)1#,#.)+*,"%

20 > Paso 1 Durante la fase de reconocimiento los atacantes identifican a las personas de interés en la organización objetivo: desde altos cargos y directivos a secretarias de dirección. Muchos de estos datos pueden obtenerse directamente de las web públicas. En otros casos puede obtenerse de los metadatos incluídos en documentos Office y PDF disponibles online.

21 > Paso 2 Durante la fase de intrusión inicial a la red se utilizan diferentes métodos, pero el más común es el llamado spear phishing que combina ingeniería social y el . Los adjuntos suelen contener: Archivo CHM con malware Archivo Microsoft Office Otro exploit de software cliente, p.ej. Adobe Reader

22 > Paso 2

23 > Paso 3 Durante la fase de establecer una puerta trasera los atacantes intentan obtener las credenciales de administrador del dominio (o sus hashes para su descifrado offline) Estas se usan para elevar privilegios y moverse lateralmente en la red, instalando múltiples backdoors con diferentes configuraciones. El malware utilizado no suele ser detectado por los AV ni sistemas de detección de intrusos (IDS), y se instala con privilegios de nivel de sistema.

24 > Paso 4 Durante la fase de obtención de credenciales se ataca a los controladores de dominio para obtener cuentas de usuarios y sus correspondientes hashes en masa. También se obtienen credenciales locales de los sistemas comprometidos. Después se realizan sesiones NETBIOS con dichas credenciales para obtener acceso a las carpetas y ficheros de la red.

25 > Paso 5 En esta fase los atacantes instalan progaramas de utilidades para realizar diferentes tareas de administración: Instalar más backdoors, obtener contraseñas, extraer s de servidores, listar procesos en ejecución, etc. Habitualmente, se encuentran en sistemas que no tienen backdoors.

26 > Paso 6 En la fase de robo de datos el atacante extrae datos como s, archivos adjuntos y otros ficheros desde estaciones de trabajo y servidores de ficheros. La información se comprimen y se protege (p.ej. Archivos RAR protegidos con contraseña) en servidores intermedios antes de enviarla a un servidor que pertenece a la infrastructura de la red atacante (servidores C2 o Command and Control). Los archivos comprimidos se eliminan de los servidores intermedios para no dejar rastro.

27 > Paso 7 En la fase de mantener persistencia el atacante responde a los intentos de respuesta al incidente de la víctima: Estableciendo nuevos puntos de acceso a la red Mejorando la sofisticación del malware

28 > Metodología del APT

29 > Otras características de APT Las herramientas de seguridad estándares no suelen detectar APT. De todo el malware analizado por Mandiant, sólo el 24% fue detectado por software antivirus. Evita la detección mediante utilizar puertos TCP/IP comunes, injección en procesos, y persistencia mediante servicios de Windows. Sólo inician conexiones salientes, nunca se inician en modo escucha de conexiones entrantes.

30 > Otras características de APT A no ser que estés monitorizando las conexiones de salida que se originan en tu red interna, nunca serás capaz de detectar las señales enviadas por el malware APT.

31 > Otras características de APT A no ser que estés monitorizando las conexiones de salida que se originan en tu red interna, nunca serás capaz de detectar las señales enviadas por el malware APT.

32 > Caso de estudio

33 > Compañía mercantil en EEUU En 2009 inició conversaciones para adquirir una empresa China. Durante esta negociación, los atacantes APT comprometieron las máquinas de los directivos de la compañía americana. Cada semana, datos sensibles se exfiltraban de la red sin el conocimiento de la víctima, hasta que fue notificada por una agencia de seguridad del estado.

34 > Spear-phishing Inicialmente, el APT envió s dirigidos a 4 ejecutivos de la compañía, simulando que era enviado por un empleado conocido y confiable. El contenido del parecía legítimo pero incluía un enlace que permitía la descarga e instalación de malware. Tras pinchar en el enlace, el sistema de un ejecutivo quedó infectado por este malware y bajo el control de un servidor C2 de la red APT. Ahora tenían acceso total desde Internet a través de una puerta trasera.

35 > Movimientos laterales En este punto, el malware ejecutó utilidades de robo de contraseñas para acceder a otros sistemas en la red. Obtuvo acceso a múltiples cuentas de usuario con permisos de administrador local en la mayoría de máquinas del dominio Windows. La máquina de dicho ejecutivo se usó también para atacar un base de datos SQL, utilizando credenciales válidas.

36 > Manteniendo persistencia Este ataque dejaba mínima evidencia forense. El malware utilizaba conexiones HTTP salientes que permitían al atacante ejecutar comandos en la víctima dinámicamente. La evidencia de estos comandos sólo estaba presente en memoria y nunca en el disco del sistema. Sólo el análisis de la memoria virtual de dicho sistema y el de la conexiones salientes de la red podría detectar este ataque.

37 > Acceso mediante túnel SSL

38 > DEMO con Metasploit

39 > Conclusiones APT no es un problema exclusivo de estado, militar o de ciertas industrias. Es un problema de todos. No existe un objetivo demasiado peque;o, demasiado escondido ni demasiado defendido. El enemigo es capaz de evadir antivirus, IDS y equipos de respuesta a incidentes que no est an debidamente equipados. Cómo defenderse entonces de la amenaza APT?

40 > Mira más allá de lo obvio Debes ser capaz de monitorizar y buscar signos de intrusiones más allá del antivirus y del IDS, integrando: Información a nivel de RED Información a nivel de HOST Debes mirar examinar el contenido del tráfico de tu red (a nivel de paquetes TCP/IP), ficheros, e incluso la memoria RAM de los sistemas que están en ejecución.

41 > Dónde encontrar indicadores

42 > Por qué las medidas de seguridad tradicionales no son suficientes?

43 > Las medidas tradicionales Proxy Cortafuegos Sistema de Detección de Intrusos de Host (IDS) Sistema de Detección de Intrusos de Red (IDS) Sistema de Prevención de Intrusiones (IPS) etc.

44 > Cuando ocurre una intrusión Aunque hayas implantado todos estos dispositivos, en algún momento tendrás que enfrentarte a alguna intrusión. En ese momento podrás responder a: Cuándo ocurrió la intrusión? Cómo ocurrió? Cuál es la extensión del daño? Por qué?

45 > Cortafuegos Ineficaces para detener ataques contra servicios vulnerables publicados en Internet. P.ej. cualquier vulnerabilidad que afecte a aplicativos web publicados detrás de un cortafuegos que permite el acceso al puerto 80 y protocolo HTTP. Pueden registrar accesos autorizados y denegados, pero no tienen visibilidad del tráfico generado a sus espaldas.

46 > IDS Lejos de estar muertos, como anunció Gartner en 2003, los IDS siguen siendo una parte importante de la estrategia de seguridad en profundidad. Básicamente realizan comprobaciones a nivel de protocolo de la pila TCP/IP y de contenido. Para esto utilizan decodificadores de protocolo. Basados en firmas o en comportamiento, pueden detectar anomalías en la capa de aplicación, transporte, red e incluso en la de enlace en algunos casos.

47 > IDS Pero qué ocurre si el protocolo utilizado en el ataque no es estándar? Qué ocurre si la conexión está cifrada? Y si el ataque es un llamado 0-day exploit, para el que no hay ninguna firma disponible todavía? Sabes distinguir lo que es un falso positivo o un falso negativo?

48 > IPS El nuevo best-seller de los fabricantes de seguridad...no es más que un IDS+Firewall!! Muchos lo llamamos simplemente, un cortafuegos de aplicación, o de nivel 7. Lo demás es puro Marketing. Incapaz de detener ataques para los que no tiene creadas reglas o firmas. Suficientemente para eliminar amenazas comunes, no estructuradas y no dirigidas, pero no APT.

49 > La máquina vs El analista No luchamos contra máquinas, código o aplicaciones, sino contra inteligencia humana. Necesitamos metodología y herramientas que se integren con la forma de pensar, los métodos y las habilidades de los responsables de defender a las organizaciones, los analistas de seguridad. Qué información necesita el analista de seguridad para tomar decisiones acertadas durante las fases de respuesta y gestión del incidente y durante el análisis post-mortem (forense)?

50 > CSI: Assume Nothing Colectar evidencias COMPLETAS en la escena del crimen Identificar pistas que delimiten el proceso de investigación (quién conocía a la víctima, con quién habló...) Distinguir las pistas falsas dejadas por el criminal

51 > Network Security Monitoring

52 > NSM En 2002, Bamm Vischer y Richard Bejtlich definieron NSM como la regocida, análisis y escalado de indicadores y alertas de seguridad que permiten detectar y responder a intrusiones. Tráfico observado Eventos Indicadores y alertas Todo el tráfico!"#$%&'() *'"+,-#(#&.+) /(0&'(#&.+) 12#(0('$) Incidentes

53 > NSM NSM es una metodología, no un producto! NSM se centra en recoger datos en 4 formas diferentes: Datos estadísticos Datos de sesión Trazas completas de tráfico (full packet capture) Alertas

54 > Datos estadísticos Permiten analizar los protocolos y su distribución, obteniendo estadísticas de todo el tráfico generado: ancho de banda consumido número de paquetes envíados/recibidos tamaño medio de los paquetes, etc. Herramientas disponibles: wireshark, tcpdstat, capinfo, etc.

55 > Datos de sesión Permiten registrar los pares de conexiones y conversaciones entre dos hosts. Los elementos básicos registrados incluyen: IP de origen y destino Puerto de origen y destino Herramientas disponibles: argus, sancp, netflow

56 > Alertas Estos datos vienen originados por un IDS que genera pistas o indicaciones de intrusiones que pueden correlarse para su verificación con el resto de datos Herramientas disponibles: snort, bro-ids, prelude, and other IDS.

57 > Trazas completas de tráfico Permiten registrar cada bit del tráfico que pasa por un segmento de red. Tiene validez forense. Igual que un analista forense necesita de copias o imágenes exactas, bit a bit, de un disco duro para su posterior análisis, el análisis forense de red requiere que se registre y almacene cada bit que pasa por la red para su posterior análisis. Herramientas disponibles: tcpdump, windump, Wireshark, snort (en modo sniffer).

58 > Tcpdump tcpdump n i eth0 s0 w capture.pcap -n deshabilita la resolución de direciones IP y de número de puertos -i eth0 especifica el interfaz de red (recibe todos el tráfico en ese segmento de red) -w captura.pcap vuelca el salida de tcpdump a disco en formato binario (pcap

59 > Metodología NSM El analista ve la alerta en SGUIL y lanza una consulta SQL para consultar si la misma alerta ha saltado en otros sistemas. La consulta sólo devuelve una alerta. El analista lanza una consulta SQL para comprobar las sesiones relacionadas con la alerta. Ve sesiones FTP. El analista reconstruye las sesiones FTP a partir de las trazas completas capturadas en el sensor y ve que se ha instalado un backdoor. Se consultan otras sesiones relacionadas con dicha conexión, etc...

60 > NSM en práctica: SGUIL

61 > SGUIL Disponible en Recoge gran parte de la filosofía NSM en una única plataforma open source Arquitectura de 3 capas: cliente, servidor y sensores Todavía en fase beta, pero en desarrollo (v 0.7) GUI en Tcl/Tk para Unix/Linux/Windows y OS X Servidor sólo para Unix/Linux

62 > Componentes del sensor IDS (Snort) Barnyard para volcar el tráfico a disco Reglas de Sourcefire, bleeding threats o de usuario. Recomendado el uso de IDS Policy Manager para Windows Datos de sesión (SANCP) Registra quién habla con quién, a qué horas, el número de bytes y el núm de paquetes transferidos para TCP, UDP e ICMP.

63 > Componentes del sensor Trazas completas de tráfico (Snort) Formato binario pcap, pueden leerse con tcpdump, wireshark, etc. Necesitan MUCHO espacio Gestiona automáticamente el espacio disponible (rotación de logs) El período de retención de tráfico viene dado por el espacio disponible y el volumen de tráfico en la red

64 > Componentes del servidor Sguil daemon (sguild) Acepta las conexiones de los clientes y las relaciona con los datos del sensor y la base de datos MYSQL. BD MYSQL Alertas de IDS Información de sesión y otros datos misc.

65 > Componentes del servidor Las consultas SQL sobre el repositorio de tráfico de red es de gran utilidad para el analista: Acelera la investigación de incidentes Facilita la confirmación de eventos reportados por terceros. Útil para detección de anomalías basadas en estadísticas y análisis de tendencias Permite la generación de métricas e informes

66 > Flujo de datos Los sensores recogen datos del IDS (alertas) y SANCP (sesión) Se reenvían al servidor central donde se insertan en la BD MYSQL Las alertas IDS se pueden tb enviar por (si te atreves...) Una vez enviadas desparecen del sensor Las trazas completas de tráfico siempre están en el sensor. Sólo son enviadas al servidor bajo demanda.

67 > Otras características Whois, reverse DNS y búsqueda de puertos en Dshield Comunicación con equipo de analistas de seguridad Generación de transcripts Integración con Wireshark e informes de Nessus Escalado y categorización de eventos

68 > DEMO con SGUIL

69 > Arquitectura SGUIL

70 > Estrategias de implantación En una máquina o en un entorno distribuido Plataforma recomendada: Linux or Free/Open/NetBSD para servidores Hardware: Intel x86, un servidor de propósito general sirve 2 GB de RAM (+ imp para servidor) 1 TB de disco duro (+ imp para sensores) N tarjetas de red (1 x sensor) + 1 gestión

71 > Estrategias de implantación Wiretapping: Poner un HUB entre el router y el firewall (peor opción) TAP entre el router y el firewall (mejor opción, réplica exacta del tráfico, puede agregar o no el tráfico) Dispositivo en línea o bridge entre el router y el firewall Puerto SPAN o port mirroring en un switch gestionable (aceptable para poco volumen de tráfico)

72 > Estrategias de implantación

73 > Proyectos relacionados InstantNSM: instantnsm/ NSMNow: Security Onion Live CD: securityonion.blogspot.com/

74 > Network Forensics

75 > Qué es el forense de red La metodología NSM descrita anteriormente permite la realización de análisis forense en red, mediante la captura de trazas completas de tráfico. Esto permite: determinar las relaciones entre sistemas clientes y servidores, independientemente de la topología identificar riesgos analizando las tendencias del tráfico extraer documentos, adjuntos, imágenes y otros ficheros que han atravesado la red

76 > Qué es el forense de red Puede determinar cómo ha ocurrido una intrusión o qué le ha sucedido a un sistema analizando el tráfico de red. Este análisis post-mortem puede proporcionar: La vulnerabilidad explotada Qué sistemas han sido comprometidos Cómo el atacante burló los sistemas de seguridad Qué se tecleó Contenido del malware (rootkits, etc.)

77 > Extracción de ficheros Las técnicas de file carving o extracción de ficheros se basan en extraer ficheros conocidos de un conjunto de datos mayor. En este contexto, podemos extraer documentos y binarios a partir de ficheros pcap si: Identificamos la cabecera, tamaño del fichero u otra información pertinente. Identificamos y guardamos la sesión en la que se transfirió

78 > Wireshark & TCP Streams

79 > NetworkMiner

80 > Referencias Mandiant M-Trends: archives/720 Shadows in the Cloud: The Tao of Network Security Monitoring, Richard Bejtlich, Addison-Wesley; July Disponible en Amazon.

81 > NSM blogs

82 > My ERP Got Hacked! Parte 1 y Parte 2 publicadas en los números 4 y 5 de Hakin9 y disponibles en: blog.ismaelvalenzuela. com/paperspresentations/

83 > preguntas? Ismael Valenzuela