1. Cyber-espionaje
Ataques dirigidos con motivaciones de espionaje
industrial y corporativo
Luis Ángel Fernández
eCrime Intelligence
Barcelona Digital
Junio de 2011 @LuisFer_Nandez
2. Who am I Ataques dirigidos
Who am I?
- Luis Ángel Fernández
- Investigador eCrime en BDigital Tech Center
- Bio
- 12 + 1 años white-hatted en el sector de la seguridad IT
- Respuesta a incidentes para el sector financiero en Europa, EEUU y
Latinoamérica.
- Operaciones especiales Servicios de Inteligencia
- Últimos 5 años como responsable de operaciones del Anti-Fraud
Command Center de Telefónica: SOC como campo de batalla
- Definición servicios de seguridad desde SOCs
- Background técnico, pentesting y reversing
- No, no tengo Facebook, ni LinkedIn
3. Ataques dirigidos
Evolución de cyber-amenazas
Pleistoceno
- Juego Corewar, ideado en los laboratorios Bell en 1949
4. Ataques dirigidos
Evolución de cyber-amenazas
Prehistoria
Los 70:
- Primeras piezas de malware en mainframe
- Primer virus que se auto-propagaba por red
- Primeros gusanos, todos bienintencionados
- Motivación experimental y académica
Los 80:
- Popularización del PC y primeras epidemias
- Primeros casos de phishing en mainframe
- Primeros troyanos en BBS
- Motivación no sólo experimental
5. Ataques dirigidos
Evolución de cyber-amenazas
Edad Media (1990 – 1998)
- Arranca la carrera contra los antivirus
- Nace el polimorfismo
- Primeros virus toolkits: DIY!
- Windows 95 e Internet: primeras epidemias
mediante infección de documentos Office
- Motivación: retos técnicos y reputación
6. Ataques dirigidos
Evolución de cyber-amenazas
Edad Moderna (1998– 2001)
- Se consolida la Sociedad de la Información
- Primeras infecciones masivas por eMail
- Consolidación de estándares de seguridad IT
- SPAM: 1ª actividad profesional de la escena eCrime
- Motivación: de lo reputacional a lo económico
7. Ataques dirigidos
Evolución de cyber-amenazas
Revolución Industrial (>2001)
- BotNets: cimientos de la economía underground
- Gran sofisticación del malware
- Aplicación de modelos de negocio
- Profesionalización de actividades
- Motivación: exclusivamente económica
8. Ataques dirigidos
Evolución de cyber-amenazas
INDUSTRIALIZACIÓN DEL CRIMEN
ELECTRÓNICO
10. Ataques dirigidos
Escena eCrime
BotNets: cimientos de economía eCrime
11. Ataques dirigidos
Evolución de cyber-amenazas
Proxy Screenlogger
Updates
DDoS
Keylogger CORE
Code
injection
Acceso Form
remoto
grabber
12. Ataques dirigidos
Escena eCrime
Hello malware,
what do you
want to do Déjame
today? preguntar al
jefe…
RING 3
API Functions
13. Ataques dirigidos
Escena eCrime
eCrime as a service
Servicios profesionales
Dan pie a nuevas tecnologías
(licencias, SLAs, mantenimiento…)
Envío de SPAM Anti-SPAM, servicios de reputación
Ataques DDoS IDS/IPS, elementos perimetrales
DIY crimeware Antivirus
(ZeuS, SpyEye, Carberp, etc)
Alojamiento distribuido (phishing/malware/etc) Servicios Anti-Phishing (SOCs / CERTs)
Mejora de protecciones en sistemas operativos
Exploit kits (ASLR, DEP, /GS, /SAFESEH, SEHOP, protecciones
Heap..)
Inyecciones ad-hoc, suited malware Monitorización de los transaccionales +
Robo y duplicación de tarjetas repositorios de inteligencia
Click-hijacking, traffic sale, rent-a-hacker, rent-a-coder, etc, etc, etc
14. Ataques dirigidos
Escena eCrime
Malware modular…
- BotNets polivalentes
- Catálogo de servicios ampliable,
dependiente del volumen y ubicación de los
zombies
- Multi-plataforma, módulos portables entre
diferentes familias
15. Ataques dirigidos
Escena eCrime
Malware modular… y multiplataforma
- Windows (XP, Vista, 7, 2008R2…)
- Android, iPhone, iPad, Java (!)
Weyland-Yutani, primer crimeware kit para Mac
17. Ataques dirigidos
Escena eCrime
Detección de antivirus
Toolkit popular
SpyEye v1.3
(versión de marzo 2011)
Junio: el 97,6% no lo
detectan tras su generación
24h más tarde el 54,75%
siguen sin detectarlo
18. Ataques dirigidos
Escena eCrime
Fuente: Panda Labs
Samples ÚNICOS por año
~70.000 al día (!!)
22. Ataques dirigidos
Spying as a Service
Activación
Captura de SMS,
cámara
eMail…
Buscar
documentos Captura de
tráfico
Payload contra
CORE
objetivo concreto Activación
micrófono
Acceso
remoto Acceso a GPS
23. Ataques dirigidos
Spying as a Service
Clasificación por motivación
Financiera Recursos IT Inteligencia
(ZeuS, SpyEye, Torpig,
(DDoS, SPAM, hosting…) (Información)
Odjob…)
24. Ataques dirigidos
Spying as a Service
A P T dvanced
¿ Affiliate Based Attack ?
ersistent hreat
¿ Just Another Trojan ?
¿ Subersive Multi-Vector Thread ?
25. Ataques dirigidos
Spying as a Service
¿Diferencias?
Malware DIY
- Phishing / P2P / Drive-by / Gusanos
- Exploit packs
- Persistencia a cualquier precio: ruidoso
- Polivalentes, actualizables
- S, M, L, XL, XXL
Malware dirigido
- Phishing / Ingeniería social / Drive-by
- 0-day, vuln-hunters
- Persistencia, silencio
- Objetivo concreto
- Traje a medida
26. Ataques dirigidos
Spying as a Service
Ataques oportunistas (fuego a discreción)
- Buscan la mayor dispersión posible
- Aprovechan eventos sociales como anzuelo
- Se ofrecen como un servicio más del catálogo
- Alquiler de espías por tiempo
- $$$
Ataques dirigidos (francotirador)
- Compañías / perfiles / personas concretas
- Labor previa de investigación
- Operaciones planificadas y secretas
- Coste elevado
- Compañías y servicios de inteligencia
- $$$$$$
27. Ataques dirigidos
Spying as a Service
Alquiler de espías en compañías infectadas
Skills requeridos:
28. Ataques dirigidos
Spying as a Service
Fases de una operación de cyber-espionaje
- Traspasar el perímetro
- Comprometer el objetivo
- Establecerse y esconderse
- Capturar la información
- Trasmisión de datos
30. Ataques dirigidos
Spying as a Service
Fase 2: Dentro del perímetro
- Asentamiento y ocultación
- Information gathering
- Acceso remoto
- Escalado de privilegios
- Búsqueda de recursos
31. Ataques dirigidos
Spying as a Service
Fase 3: Extracción de información
- Documentación / credenciales / grabaciones
- Cifrado y uso de canales habituales
- Imitación del perfil de comportamiento
- Persistencia o autodestrucción
32. Ataques dirigidos
Spying as a Service
¿Quién demanda estos servicios?
- Tus competidores
- Caza-recompensas
- Gobiernos y Servicios de
Inteligencia
33. Ataques dirigidos
Spying as a Service
Vayamos de compras
Item Setup Mensual Anual
Remote Access Tool Free Free Free
Servicio de phishing dirigido $2.000 $2.000 $24.000
• Garantía de entrega, soporte 24x7
2 vulnerabilidades 0-day $40.000
• Garantía de reemplazo si se solucionan
Rent-a-hacker (10 días) $20.000
• Escalado de privilegios, network
discovery, etc
TOTAL. . . . . . . . . . . . . . . . . . . . . . . . . . $62.000 $2.000 $24.000
35. Ataques dirigidos
Spying as a Service
¿Cómo podemos defendernos?
- Antivirus… KO
- DEP? ASLR? SEHOP?... KO
- Seguridad perimetral… KO
- DLP… KO
- 27001? ITIL? Of course, necesitamos la ISO
- Gestión centralizada? EPO?? HIDS? Sondas?
- SIEMs… OK, ¿qué fuentes? ¿qué logs?
36. Ataques dirigidos
Spying as a Service
Gaps
Min
Antivirus Protecciones Seguridad DLP ISO, etc
SO perimetral
37. Ataques dirigidos
Spying as a Service
¿Dónde enfocamos la defensa?
- El hacking romántico ya no es rentable para la industria
eCrime: tranquilo, tus servidores están a salvo
- Objetivo ideal: eslabón débil + acceso a activos
- Drive-by (navegación, email, etc)
- USB devices
- Redes sociales
- Smartphones
38. Ataques dirigidos
Spying as a Service
Ok, seamos realistas
- Cumplamos con los requerimientos de
seguridad IT de nuestra actividad
- Implantemos mecanismos de detección y
Business Intelligence
- Acotemos al máximo los vectores de ataque
- Y asumamos que estamos o estaremos
infectados
41. Cyber-espionaje
Ataques dirigidos con motivaciones de espionaje
industrial y corporativo
Luis Ángel Fernández
eCrime Intelligence
Barcelona Digital
Junio de 2011 @LuisFer_Nandez