¿quién necesita el - infosecurity vip · 2019-06-22 · el ransomware 24% contra 21%. el 78% de...
TRANSCRIPT
![Page 1: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/1.jpg)
![Page 2: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/2.jpg)
¿Quién Necesita el Malware?Entendiendo los Ataques de Fileless y ¿Cómo Pararlos?
![Page 3: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/3.jpg)
1 ¿Qué son los ataques fileless?
2 ¿Cómo funciona un ataque fileless?
3 Ejemplos del mundo real
4 ¿Por qué los enfoques tradicionales no funcionan?
![Page 4: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/4.jpg)
Pregunta a la audiencia
Como califica usted sus ataques de conocidos de Fileless del 1 a 5 (1= Sin conocimiento. 5= Experto)
![Page 5: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/5.jpg)
![Page 6: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/6.jpg)
¿QUÉ ES UN ATAQUE FILELESS?
Un ataque que no requiere que un archivo ejecutable malicioso que se escriba en el disco
![Page 7: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/7.jpg)
![Page 8: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/8.jpg)
LA REALIDAD DE LOS ATAQUES DEL TIPO FILELESS
Las técnicas de los ataques tipos Fileless no son nuevas.
Más prevalente que el ransomware 24% contra 21%.
El 78% de las organizaciones están preocupadas por los ataques Fileless.
Solo 51% de las brechas incluyen malware.
No todos los ataques son 100% Fileless.
El 80% de los ataques utilizan algunas técnicas Fileless.
![Page 9: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/9.jpg)
TÉCNICAS DE ATAQUE FILELESS
![Page 10: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/10.jpg)
GOAL
HERRAMIENTAS
TÉCNICA
¿CÓMO UN ATAQUE FILELESS TIENE LUGAR?
COMANDO Y CONTROL
2
Ejecuta los comandos del sistema para averiguar dónde
estamos.
RECONOCIMIENTO
Sysinfo, Whoami
ESCALA DE PRIVILEGIOS
3
Ejecución de un PowerShell script como Mimikatz para
hacer volcados de contraseñas
PowerShell
CREDENCIALES DE DUMP
PERSISTENCIA
4
Modifica el Registro para crear una puerta trasera.
P.ej. Teclado en pantalla o teclas adhesivas
Registry
MANTENER LA PERSISTENCIA
EXFILTRACIÓN
5
Utiliza herramientas del sistema para recopilar datos y China Chopper Webshell para filtrar
datos.
VSSAdmin, Copy, NET use, Webshell
DATOS DE EXFILTRADO
CO M P RO M I SO IN I C IA L
Acceso remoto a un sistema utilizando un
navegador web. Puede ser lenguaje de scripts
web. P.ej. Chopper China
ACCEDER
WebShell
1
![Page 11: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/11.jpg)
PUNTOS CLAVE
LA AMENAZA ES REAL AV TRADICIONAL NO SON SUFICIENTELAS DEFENSAS ACTUALES NO
FUNCIONAN
HAY QUE PENSAR MÁS ALLÁ DEL MALWARE Y CENTRARSE EN DETENER LA INFRACCIÓN.
![Page 12: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/12.jpg)
Ing. Mario Arriaza
Webshells
![Page 13: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/13.jpg)
![Page 14: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/14.jpg)
![Page 15: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/15.jpg)
1. ¿WEBSHELLS?
![Page 16: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/16.jpg)
Herramientas de post-explotación. Los atacantes las utilizan a menudo para controlar un sistema comprometido.
• Una webshell es un script subido a un servidor web: PHP, ASP, Perl, Python, Ruby, Cold Fusion, C.
• Los atacantes aprovechan vulnerabilidades como:
• Cross-Site Scripting (XSS)
• Inyección SQL (iSQL)
• Servicios vulnerables (WordPress y otros CMS)
• Vulnerabilidades Remote File Include (RFI) and Local File Include (LFI)
• Portales de administración inseguros
¿QUÉ SON?
![Page 17: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/17.jpg)
ATAQUES CLÁSICOS DE WEBSHELL
El atacante utiliza el
"web shell" para buscar archivos, cargar
herramientas y ejecutar comandos
El atacante escala los privilegios y gira
a objetivos adicionales según lo
permitido
abc.com
Network DMZ DCs
Employees
File Servers
Internal Network
DB Servers
HTTP
cmd.asp
InternetAttacker
El atacante carga una página web
dinámica maliciosa en un servidor web
vulnerable
![Page 18: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/18.jpg)
![Page 19: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/19.jpg)
![Page 20: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/20.jpg)
![Page 21: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/21.jpg)
![Page 22: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/22.jpg)
ATAQUES CLÁSICOS DE WEBSHELL
El atacante utiliza el
"web shell" para buscar archivos, cargar
herramientas y ejecutar comandos
El atacante escala los privilegios y gira
a objetivos adicionales según lo
permitido
abc.com
Network DMZ DCs
Employees
File Servers
Internal Network
DB Servers
HTTP
cmd.asp
InternetAttacker
El atacante carga una página web
dinámica maliciosa en un servidor web
vulnerable
![Page 23: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/23.jpg)
MITIGACIÓN: RED
Contener al Atacante
Aislamiento DMZ:¡Sigue siendo un problema
común!−Tráfico de DMZ a la Red
Interna−Tráfico de la Red Interna a
DMZ−La limitación de los
dominios unidos, confianzas entre bosques
−Cajas de "salto" para acceso de administrador
VPN Server
Corporate Network
Corporate DMZ
Attacker Client
Web Shell Access
![Page 24: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/24.jpg)
MITIGACIÓN: HOST
Application Whitelisting, HIDS− May detect what an attacker does with a web shell
− May not detect latent web shells
− Monitoring all file system changes within all web roots on all servers may generate a lot of noise
“Least-privilege” for web server & application user context
Host-based controls are likely to fail if the attacker already has admin privileges
![Page 25: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/25.jpg)
MITIGACIÓN EN EL PERIMETRO -- VIRTUAL PATCHING L7
Web Application Firewall Avanzado -- INDISPENSABLE
![Page 26: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/26.jpg)
• C99• B374K• WSO• China Chopper• Gamma Group
• php-reverse-shellhttp://pentestmonkey.net/tools/web-shells/php-reverse-shell
• Kali webshells/usr/share/webshells/
LOS VIPS
![Page 27: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/27.jpg)
MED
IA
Autenticación SI/NO
Ofuscación SI/NO
Manipulación Ficheros
ALT
A
Autenticación
Ofuscación
Ocultación
Manipulación Ficheros
Capacidades Ofensivas
Eliminación
Complejidad / Características
BA
JA
Una sola línea(s)
CLASIFICACIÓN
![Page 28: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/28.jpg)
2. HOY EN EL MENU TENEMOS…
![Page 29: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/29.jpg)
529 rootshell cybershell predator soldierofallah simple_cmd dmc
winX zaco NTDaddy myshell phantasma ngh kral
ironshell lamashell AK-74 bm shellroot shutdown57 B0s0k
jkt48 angelshell DKShell cpanel 1n73action SaudiShell fatal
lolipop matamu PHPSpy ru24 simattacker safe0ver sincap
ASpy reader remexp zehir aspcmdshell pouyashell kacak
list up browser jspbd jspshell up_win32 cmd
dc pws fx GS cgitelnet mst stres
MUCHAS OTRAS
![Page 30: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/30.jpg)
WEBSHELL: SIMPLES
![Page 31: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/31.jpg)
North Korean Cyber Warfare Group
http://gsec.hitb.org/materials/sg2016/D1%20-%20Moonbeom%20Park%20and%20Y oungjun%20Park%20-%20Understanding%20Your%20Oppon ent%20Attack%20Profiling.pdf
WEBSHELL: DMC
![Page 32: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/32.jpg)
• Multiplataforma• Listar ficheros• Información Sistema• Leer ficheros sensibles• Codificar / Decodificar
hashes• Mail bomber• Ejecutar comandos• Escaneador de puertos
WEBSHELL: LIFKA
![Page 33: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/33.jpg)
WEBSHELL: SOLDIER OF ALLAH
![Page 34: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/34.jpg)
WEBSHELL: SYRIAN SHELL
![Page 35: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/35.jpg)
WEBSHELL: BLOODSEC 2
WEBSHELL: BLOODSEC 1
![Page 36: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/36.jpg)
WEBSHELL: BLOODSEC 3
![Page 37: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/37.jpg)
eval() assert() base64() gzdeflate() str_rot13()
OFUSCACIÓN
![Page 38: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/38.jpg)
3. DETECCIÓN
![Page 39: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/39.jpg)
• Según el US CERT:
• Sistemas actualizados / parches
• Política de Privilegios Mínimos
• Hardening servidores
• Backup
• Validar datos en aplicaciones
• Auditorías de seguridad periódicas
• Implantar WAF, AV, auditorías código, etc.
• Adicionalmente• Análisis de Logs
• Integridad de ficheros
• Desarrollo seguro
• Malware Hunting
SIN FORMULAS MÁGICAS
![Page 40: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/40.jpg)
• La mayoría de las especies de nuestro zoo no son detectadas por los AV
DESDE ANTIVIRUS CON AMOR
![Page 41: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/41.jpg)
• Shell-Detector (Python)
https://github.com/emposha/Shell-Detector
• PHP-Shell-Detector
https://github.com/emposha/PHP-Shell-Detector
• NeoPI
https://github.com/Neohapsis/NeoPI
HERRAMIENTAS
![Page 42: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/42.jpg)
Hacking Time !!
![Page 43: ¿Quién Necesita el - INFOSECURITY VIP · 2019-06-22 · el ransomware 24% contra 21%. El 78% de las organizaciones están preocupadas por los ataques Fileless. Solo 51% de las brechas](https://reader036.vdocuments.site/reader036/viewer/2022062402/5f02238f7e708231d402c394/html5/thumbnails/43.jpg)