USO OFICIAL. Simón Roses Femerling. Blog: Ex Microsoft, PwC CISSP, CEH & CSSLP

Transcripción

1 Simón Roses Femerling Fundador y CEO de VULNEX: Blog: Ex Microsoft, PwC CISSP, CEH & CSSLP Ponente: Blackhat, RSA, OWASP, DeepSec, AppSec USA, Microsoft Technets, etc. 1

2 OBJETIVOS 2 Un vistazo al panorama de ataques 2012 Casos reales de APT Por qué falla la seguridad Cuestión de tiempo

3 AGENDA 3 1. Cuando los APT atacan 2. Casos reales 3. Conclusiones 4. Preguntas y respuestas

4 4

5 1. Perfil Atacantes Atacante Casual + Empleados / Internos 5 Hacktivistas Seguridad Atacante Económico / Crimen Atacante EstadoNación -

6 1. Ataques Sony Citigroup Sega BART <- Anonymous 2012 Verisign RSA Northrup Grumman Lockeed Martin 6

7 1. Datos Sólo un 6% de los incidentes en 2011 fueron detectados internamente Los ataques pasaron desapercibidos una media de 416 días En el 100% de los incidentes las credenciales fueron robadas Atacantes profesionales roban el SAM (1 ) Advanced Persistent Pentesting: Fighting Fire with Fire 7

8 1. APT Los APT han conseguido comprometer la seguridad de muchas organizaciones (1000 Fortune) Utilizan una amplia variedad de ataques y estrategias: Ingeniería social Exploits Phishing Troyanos 8 Su objetivo es mantener persistencia y anonimato con el fin de robar durante todo el máximo tiempo posible: Correos electrónicos Documentos Atacan desde lugares seguros

9 1. APT Características 9 Sofisticados Organizados en equipos (programadores, testers, jefes de proyectos, pentesters, etc.) Profesionales / Trabajo Acceso a recursos No tienen miedo a ser detectados

10 1. Ciclo de Vida APT (1 ) Advanced Persistent Pentesting: Fighting Fire with Fire 10

11 11

12 2. Ejemplos de sofisticación 12 Uso del sistema de actualizaciones para distribuir malware en la organización Software de seguridad malicioso Certificados y PKI comprometidos Servicios que detectan cada nuevo fichero, carpeta y correo creado y lo envían al atacante Sistemas VOIP comprometidos habilitando micrófonos en sala de reuniones

13 2. Análisis de 5 APT XTreme RAT (febrero 2012 CNN, mayo 2012) 2. Sync Agent (mayo, 2012) 3. Medre (junio, 2012) 4. FinSpy (agosto, 2012) 5. LuckyCat (agosto, 2012)

14 2. Xtreme RAT (I) 14 Descripción: Xtreme RAT es uno de los diversos troyanos utilizados por el gobierno Sirio contra los disidentes. Se vende por 40 EUR versión completa y 350 EUR con código fuente vía Paypal. Vector Ataque: ingeniería social, programa malicioso Impacto: individuos posiblemente del gobierno mediante el ordenador de un detenido infectaron a diversos disidentes con el fin de su localización y detención. Origen:? Plataformas Afectadas: Windows

15 2. Xtreme RAT (II) 15

16 2. Sync Agent (I) 16 Descripción: binario (setuid-root) por defecto en teléfonos ZTE Score M comercializados mercado americano Vector Ataque: al ejecutar el binario con una contraseña se activa una shell de administrador (root). Impacto: ZTE y HUAWEI en el punto de mira y vetados por el gobierno EE.UU. y Reino Unido (UK). Origen: China Plataformas Afectadas: Android 2.3 (Gingerbread) $ sync_agent ztex # id uid=0(root) gid=0(root)

17 2. Sync Agent (II) 17

18 2. Sync_Agent (III) 18

19 2. Medre (I) 19 Descripción: gusano AutoCAD escrito en AutoLISP, afectó principalmente a países latinoamericanos (Perú, Chile, Ecuador, etc.) Vector Ataque: ingeniería social, un usuario baja un proyecto AutoCAD malicioso y una vez infectado comienza el robo de ficheros. Impacto: responsable del robo de miles de proyectos AutoCAD que fueron enviados a cuentas de correo en servidores chinos. (2) ESET Origen: China Plataformas Afectadas: Windows

20 2. Medre (II) 20

21 2. Medre (III) 21

22 2. Medre (IV) 22

23 2. FinSpy (I) 23 Descripción: Troyano comercial desarrollo por Gamma International. Perímete monitorizar y recoger información de los sistemas comprometidos. El troyano disponible en varios idiomas y se ofrece formación. Vector Ataque: Ingeniería social, con actualización falsa. Uso de vulnerabilidades conocidas (Apple itunes). Evasión de Antivirus. Impacto: Utilizado por el gobierno Egipcio durante la revuelta para espiar a individuos sospechosos. Contrato por EUR (Wikileaks) Origen: Reino Unido (UK) Plataformas Afectadas: Android 2.1 (Eclair) o superior, ios, Windows y Mac OS

24 2. FinSpy (II) 24

25 2. FinSpy (III) 25

26 2. LuckyCat (I) 26 Descripción: campaña APT contra sectores como gobiernos, compañías de defensa y grupos activistas. Vector Ataque: infección a través de web maliciosas. Uso de vulnerabilidades (Word - CVE , Java - CVE ) Impacto: robo de información. Origen: China Plataformas Afectadas: Android 1.5 (Cupcake) o superior, Mac OS X (SabPub) y Windows

27 2. LuckyCat (II) (3) TRENDMICRO 27

28 2. LuckyCat (III) 28

29 2. LuckyCat (IV) 29

30 2. LuckyCat (V) 30

31 31

32 3. Sumario (I) Pocas organizaciones preparadas para repeler o detectar APT Ineficaces productos y servicios de seguridad: 32 Productos milagros : IDS, Antivirus, APT, etc. Auditorías / Hacking ético limitadas y capadas Necesidad en las organizaciones: Personal preparado y dedicado Concienciación Procedimientos Recursos adecuados Monitorización constante

33 3. Plan A y B 33 Plan A - Perfecto 1. Desconectar la red corporativa de Internet 2. Reconstruir el AD y cambiar todas las contraseñas 3. Reconstruir todos los sistemas desde cero (una imagen segura) 4. Restaurar aplicaciones y datos 5. Concienciar a los usuarios 6. Reconectar la red corporativa Plan B Sálvese quien pueda o apaga incendios 1. Imposible desconectar red 2. Restaurar sistemas comprometidos identificados 3. Aplicar parches cuando se pueda 4. El plan de seguridad se define a años en vez de semanas o meses

34 3. PREGUNTAS DE EXAMEN 1. Los APT son peligrosos porque (marcar todas las respuestas que procedan): a) Disponen de recursos b) Son estudiantes con mucho tiempo libre c) Operan desde lugares seguros d) No lo son ya que las organizaciones están preparadas para combatirlos 2. El ciclo de APT es: a) Sistema comprometido, escalada de privilegios, instalación de troyanos y robo de información b) Sistema comprometido, instalación de troyanos, robo de información y escalada de privilegios c) Instalación de troyanos, robo de información, escalada de privilegios y sistema comprometido d) Sistema comprometido, escalada de privilegios, robo de información e instalación de troyanos Describe en un máximo de 700 palabras como diseñarías defensas en una organización contra APT.

35 3. Referencias Advanced Persistent Pentesting: Fighting Fire with Fire 2. ACAD/Medre.A s of AutoCAD files leaked in suspected industrial espionage 3. Luckycat Redux: Inside an APT Campaign

36 3. Lecturas Recomendadas Mandiant Webinars 2. Penetration Testing Considered Harmful 3. Threat Report Collection 4. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecomunications Companies Huawaei and ZTE

37 4. Preguntas y Respuestas 37 Gracias!