Estudio de Medición de la Actividad de Botnets en la República de Panamá

Documentos relacionados
Realizado por: Daniel Sánchez Álvarez

Resolución 3523 de 2012

Detector de URLs y Honeypots HTTP, SMTP, IRC. Martínez Olivares Omar Daniel

BOLETÍN DE ALERTA. Descripción :

Seguridad Informática en las empresas: Cuáles son las tendencias para el 2016? Renato De

DISEÑO E IMPLANTACIÓN DE UN HONEYPOT

Operación Liberpy: Keyloggers y robo de información en Latinoamérica

Navegando al Día. Publicado en Revista.Seguridad ( Inicio > Navegando al Día. Por David Eduardo Bernal Michelena

Honeypots (parte II) GSI Fing

Reporte de Seguridad Web Eduardo Rico Systems Engineer Blue Coat Systems, Inc.

1. CONTENIDOS. CONTENIDOS MÍNIMOS 2. CRITERIOS DE EVALUACIÓN 3.CRITERIOS DE CALIFICACIÓN

AMENAZAS AVANZADAS Y PERSISTENTES

CAPÍTULO 2 2 DARKNETS Y TELESCOPIOS DE RED

Informe de Proyecto Redes de Computadores (ELO322): FreeVPN v/s VPN de Pago

Resumen. Palabras claves: ataques, honeypots, honeynets, dirección IP, MAC, arquitecturas, redes de datos. Abstract. 1.

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Los programas maliciosos móviles que se controlan mediante mensajes SMS, cada día más populares

Cuaderno de notas del OBSERVATORIO HONEYPOTS, MONITORIZANDO A LOS ATACANTES

Honeynet Virtual Híbrida en el entorno de red de la Universidad Técnica Del Norte de la ciudad de Ibarra

Certified Ethical Hacker (CEH) v8

Honeynets como herramienta de prevención e investigación de ciberataques

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

BotNet. Grupo de cordinación de Seguridad, IRIS-CERT 26 de Octubre de 2004

EXAMEN SEGUNDA EVALUACION

Fco. J. Rodríguez Montero

Lección 6: Malware. Bernardo Quintero Hispasec VirusTotal Founder

Delitos en Internet a gran escala Alcance global, amplios recursos y anonimato

Botnets: el lado oscuro del cloud computing

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Nueva aplicación para acceder a casilla electrónica en Internet

Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata.

Práctica B: Examinar la configuración de TCP/IP

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

SERVICIOS DE SEGURIDAD PROACTIVA. Planteamiento de un Sistema de Seguridad Proactivo Global. Área de Seguridad de Mnemo S.A.

Proyectos de Seguridad y Criptografía en el CLCERT

DESAFIOS DE SEGURIDAD ACTUALES- MALWARE AVANZADO-SHADOW IT- SEGURIDAD SINCRONIZADA SABEMOS DE SEGURIDAD

SYMANTEC ISTR XI Informe sobre Amenazas a la Seguridad en Internet América Latina

MUNICIPALIDAD DISTRITAL DE VICTOR LARCO HERRERA

Panorama del ciberdelito en Latinoamérica ( ) Patricia Prandini Marcia Maggiore

DIPLOMADO EN SEGURIDAD INFORMATICA

Aprendiendo del Enemigo Carlos M. Martínez Anteldata CSIRT ANTEL

Protección contra. Protección para su empresa frente a pérdidas financieras y de reputación con la protección contra DDoS de Kaspersky

HoneyNets, una desconocida en la seguridad informática

UD2 Documentación 5 Amenazas y Ataques a redes corporativas

EXAMEN FINAL SEGUNDA EVALUACION

Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II Materia: Sistemas Operativos de Redes Tema:

Lucio Adame / Henoch Barrera 4 de diciembre 2014

Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sesión 4: Supervisión, alerta y respuesta en caso de incidente.

Best Practices for controlling Advanced Threats and their Persistence. Matthew Ancelin Cybersecurity Analyst

La realidad actual de la BOTNETS León, 23 de octubre de 2012

Tema: Analizador de tráfico

Guía para comenzar de Bomgar B400

Utilizando Redes Sociales para propagar malware

Honeypots aplicados a IDSs: Un caso practico

DIPLOMADO. Administración Avanzada de Redes de Comunicaciones con base en las Mejores Prácticas de ITIL

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

100% Laboratorios en Vivo

Evitará que hackers maliciosos obtengan acceso a información sensible

EXAMEN FINAL SEGUNDA EVALUACION

BOTNETS. Inspector Jorge Martín García Jefe del Grupo de Seguridad Lógica

Fundamentos de Computadores y Redes

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N GR-LL/PECH-05-INF

Dirección n General de la Policía y de la Guardia Civil C.N.P. Noviembre 2010 MINISTERIO DEL INTERIOR

Desarrollo de Producto Sistemas de Seguridad basados en Cloud Computing. Jorge Peñalva Director Marketing

Seguridad en dispositivos móviles

POLICÍA NACIONAL DEL ECUADOR DIRECCIÓN NACIONAL DE COMUNICACIONES

Dorkbot: conquistando Latinoamérica

Universidad Salesiana de Bolivia Ingeniería de Sistemas PLAN DE DISCIPLINA GESTIÓN I

MCM SYSTEMS Profesionales en Computo e Infraestructura Correo Electrónico Compartido Índice

PRODUCTO 5.1- B PERFIL DEL PROYECTO DE UN SISTEMA DE SEGUIMIENTO A LOS INDICADORES DEL CONPES 3784 PARA FUTURAS MEDICIONES. Versión 1.

Los contenidos se valorarán en función de los conceptos adquiridos, los procedimientos aprendidos y las actitudes desarrolladas en las clases.

Práctica de laboratorio 3.4.3: Protocolos y servicios de correo electrónico

Rolando NGUBA EYONG 1º ASIR 2013/14

NOD32 Antivirus 5. Desde Georgia, con amor

Software que se apoya en anuncios como parte del propio programa. La publicidad generada es mostrada después de la instalación de dicho programa.

Pues nos adentramos de lleno y desde hoy, a las técnicas, tácticas y contramedidas utilizadas en el Ethical Hacking (Hacking Ético).

MÒDUL 1: Instal lació, administració, gestió i implementació del servidor web i la seva seguretat. Servidores FTP en Sistemas Windows

EL MERCADO NEGRO DE INTERNET

Sistemas distribuidos

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

Arania : Herramienta para colectar código malicioso en ataques a servidores web.

Servicio de Informática y Comunicaciones Universidad de Zaragoza. TrackUZ: Una propuesta para control de tráfico malicioso sobre Packeteer

Año 2012 CURSO ENHACKE ETHICAL HACKING NIVEL II. Curso Oficial ENHACKE CURSOS

Servicio de terminal remoto. Jesús Torres Cejudo

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

Proyecto ELO 322. Maria Gabriela Castro Almendra Nicholas Andreas Bernal Alvarez

Tema: Configuración de red AD-HOC

Observatorio Mexicano de Tabaco, Alcohol y Otras Drogas (OMEXTAD)

Manual Estadísticas Webalizer

Auditoría WatchGuard Equipo de Vigilancia de Tráfico Control de Aplicaciones, Filtrado web, Logs, Informes

DNS. Domain Name System

RESUMEN Qué es una Botnet?

UNIÓN TEMPORAL CONECTA COLOMBIA INFORME No. 4 ANÁLISIS E INTERPRETACIÓN DE DATOS PLATAFORMA DE GESTIÓN Y ADMINISTRACIÓN CENTRALIZADA JUNIO 2015

Línea de Especialización Equipos y Dispositivos Eléctricos

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA SYLLABUS PROYECTO CURRICULAR DE INGENIERÍA ELÉCTRICA

Cómo mitigar los ataques DDoS DNS DDoS

Fast Flux Service Networks. Carlos Martínez-Cagnazzo LACNIC XII Ciudad de Panamá Mayo de 2009

Transcripción:

Estudio de Medición de la Actividad de Botnets en la República de Panamá Mario Góngora Blandón, Gaspar Modelo Howard, Rubén Torres VII Congreso Iberoamericano de Seguridad Informática CIBSI+TIBETS Octubre 30, 2013 Laboratorio de Redes y Seguridad Informática ARGUS

Agenda Introducción Plataforma de Captura Métricos de Evaluación Resultados Conclusiones y Trabajo Futuro 2

Introducción Planteamiento del problema Continuo crecimiento de los servicios informáticos motiva actividades ilegales en el ciberespacio. Los botnets son utilizados para cometer delitos. Son los botnets un problema para Panamá? Hay una infección grande de botnets en Panamá? Si la hay, podemos detectarlos? 3

Introducción Justificación del Proyecto Fuente: http://blog.fireeye.com/research/2012/07/killing-the-beast-part-5.html 4

Marco Teórico Botnet Red de computadoras controladas remotamente por atacantes para lanzar ataques informáticos, usualmente sin el conocimiento de los dueños de las computadoras. Ciclo de Vida 5

Plataforma de Captura 1. Honeynet Universitario Honeywall Consta de dos capas Control de datos Captura de datos Bothunter 2 honeypots de baja interacción Honeypot #1: Dionaea Honeypot #2: Glastopf 2. Honeypot: Red Residencial 1 honeypot Dionaea 6

Métricos de Evaluación 1. Familias de botnets 1.1 Familias de botnets encontradas. 1.2 Número de casos registrados por familia de botnet en un espacio determinado. 1.3 Tipo de arquitectura del botnet. 2. Centros de distribución de malware 2.1 Distribución geográfica 2.2 Tipo de servicio que brindaban 2.3 Proveedor de servicio al que pertenecen 3. Centros de C&C 3.1 Distribución geográfica. 3. 2 Tipo de servicio que brindaban. 3.3 Proveedor de servicio al que pertenecen. 7

Resultados Mayo a Julio de 2012 capturamos la actividad maliciosa en el campus universitario utilizando Bothunter. En marzo de 2013 capturamos de igual forma la actividad maliciosa, esta vez utilizando un honeynet. De igual forma durante este tiempo se decidió colocar un honeypot conectada a una red residencial. 8 Estudio de Medición de la Actividad de Botnets en la República de Panamá

Resultados Bothunter Resultados generales obtenidos con Bothunter Analizador Pasivo de Tráfico (Bothunter) Período de Medición Mayo a Julio de 2012 Fase I: Exploración Entrante 16 Fase 2: Explotación de Vulnerabilidades Fases 3 y 5: Descarga de binario 15609 Fase 4: Comunicación del bot con C&C Fase 6: Ataque Saliente y Propagación Familias de bots identificados Arquitectura de los C&C 0 5640 1357 Zeus, Conficker, Grum Centralizada, Descentralizada 9

Resultados Bothunter Cantidad de direcciones IP infectadas por las familias de botnets encontradas por Bothunter. 10

Resultados Honeynet Universitario Principales Fuentes (Pais) de Ataques País Porcentaje España 46.32% Reservada 19.78% China 12.14% Estados Unidos 6.58% Egipto 4.69% Puertos más atacados incluyen aquellos de servicios Windows (139/TCP, 445/TCP, 3389/TCP) y bases de datos (1433/TCP, 3306/TCP) 11

Resultados Honeynet Universitario Malware capturado De las cinco muestras de binarios capturados, dos fueron reconocidas como binarios de bots. Virut Brambul El método más popular para la descarga del bot fue la explotación de vulnerabilidades en servicio SMB. URL de Descarga smb://190.254.16.50 smb://175.45.63.226 smb://80.171.153.215 smb://175.45.63.224 smb://82.224.120.125 Nombre Troj/Brambul-A PsExec Mal/Spy-Y Mal/HckPk-A Win32/Virut-Gen 12

Resultados Prueba Residencial En total se recibieron 42351 ataques (1400 intentos diarios) 95.75% de los ataques eran procedentes de máquinas en misma subred Puertos más populares: 445/TCP y 139/TCP 95% de binarios descargados eran Conficker.A Resto eran distintas versiones de Zeus (Zbot) País Porcentaje Panamá 95.75% China 2.50% Estados Unidos 0.96% Chile 0.23% Colombia 0.21% 13

Resultados Comparación Honeynet Universitario Honeypot Residencial Período de Medición Marzo 2013 Fases 1 y 2: Exploración Entrante y Explotación de Vulnerabilidades Fases 3 y 5: Descarga del binario Puertos más utilizados Cantidad de binarios únicos capturados Familias de bots encontrados Arquitectura de los C&C 2178 42351 5 7337 445/tcp, 139/tcp, 1433/tcp 445/tcp, 139/tcp 5 10 Brambul, Virut Centralizada Conficker, Zeus Centralizada, Descentralizada 14

Conclusiones A lo largo de un año de monitorización podemos concluir que la actividad de botnets en Panamá es real y dinámica Ocurre la regionalización de los botnets en Panamá 95% de eventos clasificados como exploración entrante en la red residencial fueron originados de la misma red Botnets como Zeus y Conficker utilizaban servidores de descarga ubicados en Panamá Grum tenía servidores de C&C ubicados en Panamá 15

Conclusiones La capacidad de evolucionar del malware utilizada por los atacantes se ve reflejada en nuestro estudio Al encontrar distintas versiones de Conficker operando en redes de distintos proveedores en diferentes períodos de tiempo ayudó a mostrar la resistencia que presentan ciertos botnets al mutar y utilizar nuevos vectores de infección La actividad persistente de Conficker sugieren el escenario sobre el alto número de máquinas que reciben poco o ningún mantenimiento 16

Conclusiones Luego que Grum fuera desmantelado en julio de 2012 los ataques salientes registrados disminuyeron en un 97% Método utilizado (sinkhole) para un caso como el de Panamá fue altamente efectivo El método de utilizar sinkholes para eliminar Conficker ha dejado bots sin C&C y todavía siguen apareciendo máquinas infectadas por este botnet 17

Muchas Gracias! Preguntas? Para mayor información: http://argus.utp.ac.pa Laboratorio de Redes y Seguridad Informática ARGUS 18

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback