ecrime.- las nuevas amenazas modelos de negocio alfonso del castillo jurado s21sec mexico
TRANSCRIPT
eCrime .- Las nuevas amenazas
Modelos de negocio
Alfonso del Castillo JuradoS21sec
Mexico
Los 10 factores del e-crimeAlgunos númerosNuevas amenazasMotivosMaaS: Malware as a ServiceNuevos negociosNuestro equipoNuestros ServiciosPreguntas
Agenda
Ponente
Ingeniero Informático Sistemas (UPM), CISA.Experto en Seguridad, eCrimePonente en Securmática, Infosecurity, Techday, …
Director de Operaciones de S21sec últimos 4 añosDirector de Desarrollo Corporativo (Ahora … México)
Los 10 factores del e-crime
Los 10 factores
1. Cada vez somos más vulnerables al crimen en Internet
2. La frecuencia de los incidentes es mayor, así como su sofistificación
3. No existe una base legal bien definida4. El carácter distribuido de los incidentes genera
problemas de jurisdicción5. No existen estructuras funcionales de
cooperación6. Hoy en día, no está clara la responsabilidad de los
incidentes
Los 10 factores
7. La concienciación de los usuarios es mínima8. El crimen organizado cuenta con multitud de
recursos9. El anonimato y la facilidad de “operar” en
Internet10.Necesitamos nuevas herramientas, servicios y
capacitación para hacer frente
Algunos números
Uno de cada tres ordenadores está infectadoCada incidente global: media de 20.000 máquinas infectadasNúmero de incidentes globales: 3.000Google: 10% de las páginas son maliciosasAntivirus: reconocen que no pueden soportar el ritmo: miles de nuevos códigos dañinos al díaDurante 2007, se calcula que hubo miles de ataques de ciberespionaje
Cada incidente investigado por S21sec: media de 4Gb de datos capturados
Casos de fraude 2005-2008
Casos Phishing 2007
Casos de Troyanos 2006-2008
Nuevas Amenazas
¿Somos conscientes de la información presente en Internet?
Fugas de informaciónAbuso de marcaAtentados contra el honor e imagen
El Fraude no sólo está afectando a las entidades financieras
eCommerceRobo de identidades (y su conexión con el terrorismo)ISP: clientes infectados (SPAM, ataques, botnets)Gobiernos
Nuevas Amenazas (II)
Los casos de phishing son sólo la punta del icebergClick Fraud / Pay por installIframe business, SEOBotnets: SPAM, DDoS, proxyConexión con fraude ‘real’ e incluso terrorismo
Relacionado con el código malicioso: No existe la solución perfecta, las antiguas no sirven
Drive-by exploits combinados con SEOAtaques muy dirigidos usando vulnerabilidades no conocidas (Microsoft Office)Globalización: Europa del Este, China y Brasil (conexiones)Países emergentes con ataques focalizados pero ya se intuyen expansiones (Asia)
No es necesario tener conocimientos, fáciles de adquirir (webfile!!!)TDS, Agent, Barracuda, d1ez, DDOS Admin, ZeuS, FTP-Toolz, IcePack, Infector, Metaphiser, Mpack, Multiexploits, Neosploit, Apophis, Pinch, RDMaster, Snatch, Socks Proxy Panel, Traffic Pro, VisualB, WebStats, WW Loader, Zunker, Zupacha, …
Luchas internas debido a la no confianza (backdoored)
Motivos
Económicos (mass attacks)Phishing, pharming, vishing, SMSing, scamClick-fraudPump & DumpIframe and DDoS business
Religiosos (dirigidos)Dinamarca vs mundo islámico
Políticos (dirigidos/mass)USA, China, Corea, Israel, …Rusia vs Estonia
Industriales (dirigidos)Ciberespionaje: CEO, secretarias
Algunos titulares recientes que confirman la citada tendencia:
'Hackers' chinos atacan la red militar de Occidente
El País, 16 Septiembre de 2007 Los piratas informáticos consiguen introducirse en ordenadores de Estados Unidos, Reino Unido, Alemania y Francia. "Nuestra teoría es que el Gobierno chino está utilizando a grupos de hackers aficionados y que les pagan por sus trabajos".
La crisis entre Estonia y Rusia llega a Internet
El País, 15 de Marzo de 2007 El Gobierno del país báltico ha pedido ayuda a la OTAN para contener ataques informáticos que según asegura proceden de ordenadores rusos. Aaviksoo reconoce que "actualmente, la OTAN no define los ciber-ataques de forma expresa como una acción militar, por lo que las provisiones del Artículo V del Tratado", las relativas a la defensa mutua, "no se extenderían automáticamente" al caso de Estonia. Eso sí, el responsable de Defensa añade que esta es una cuestión "que tendrá que ser resuelta en el futuro".
Motivos
Los gobiernos se están tomando muy en serio el peligro de la seguridad informática y los ataques a empresas e instituciones oficiales.
Alemania en concreto, según el semanario "Der Spiegel" ha sufrido ataques chinos en los últimos meses que han afectado a numerosos ordenadores del gobierno alemán, en la forma de troyanos que supuestamente habrían enviado cientos de Gigabytes hacia el extremo oriente.
Desde que se descubrieron internamente en Mayo, los expertos IT del gobierno alemán supervisaron el tráfico generado por los troyanos e impidieron el envío de 160 Gigabytes hacia su destino final.
Motivos
Ya en el mes de febrero 2007 este mismo semanario publicaba una noticia advirtiendo del gran incremento de ataques chinos a medianas empresas alemanas, especialmente de medicamentos, piezas de automóvil,...
Según este mismo articulo, las empresas medianas son especialmente vulnerables por no disponer de las medidas de seguridad adecuadas. Se cita como factores de riesgo adicional la telefonía por Internet e incluso la información al alcance de becarios.
Para muestra las siguientes fotos en las que se puede apreciar el supuesto plagio de un autobús MAN Starliner completo.
Motivos
Motivos económicos
Phishing, pharming, vishing, SMSing, …Entidades financierasGobiernosPagos onlineJuegos onlineSubastas onlineRedes sociales
Se busca al eslabón más débil de la cadenaIngenieria Social
Motivos económicos
MaaS: Malware as a Service
Capas en el modelo MaaS
1.Capa de Red (3-4 OSI layer)2.Capa de Aplicación (7 OSI layer)3.Capa de la infección (client exploits): una posible capa 84.Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa 9
1 2 3 4
Cada capa necesita diferentes herramientas y procedimientosEs necesario correlar toda la información de cada capa para entender la amenaza
MaaS: Capa de Red
Capa de redBullet-proof hosting: RBN, HostFresh, Abdullah, …Fast-flux: bajo TTL. Single y DoubleRedes VPNProxies inversos (nginx)
MaaS: capa de Aplicación
Paneles de control donde se controla todoInformación robadaÓrdenes que se envían a las máquinasAtaques de DDoS
Generalmente, LAMP (Linux+Apache+Mysql+PHP)Alrededor de $1000 pero muchas veces accesibles en sitios públicos (backdoors)Evolución: IRC + HTTP+ P2P (Storm)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (I)
C&C Example (II)
C&C Example (II)
C&C Example (II)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
C&C Example (III)
MaaS: Capa infección
PropagaciónAds maliciososSEO maliciosoMass SQL InjectionVulnerabilidades en aplicaciones web (SQL Injection, XSS, …)Credenciales FTPARP Spoofing
ObjetivoClient side exploits: Office, Browsers, Acrobat, Quicktime, WinZip, …
MPack
Servidor Web legítimo (www.midominio.com)
Panel Control de Exploits
Panel Control de Botnets
Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas
El troyano se conecta con su master
Servidor Webde Exploits
El atacante compromete una web y le inyecta un iframe Atacante
iFRAME
El usuario se conecta a una página web normal (con el iframe) Usuario
El usuario es redirigido a una web que tiene un exploit para navegadores
MaaS: Capa infección
MPack
MPack
Exploit Patch Añadido a MPack ID
Firefox 1.5, Opera 7.x
14/02/2006 24/09/2006 MS06-006
IE 6 11/04/2006 24/09/2006 MS06-014
Windows 2000 MMC
08/08/2006 24/09/2006 MS06-044
WebViewFolderIcon
10/10/2006 13/03/2007 MS06-057
IE XML Overflow 11/11/2006 20/12/2006 MS06-071
WinZip ActiveX Overflow
14/11/2006 13/03/2007 CVE-2006-5198
QuickTime Overflow
02/01/2007 13/03/2007 CVE-2007-0015
ANI Overflow 04/04/2007 03/04/2007 MS07-017
AdPack
IcePack
MaaS: Capa código malicioso
ObjetivosRobo de informaciónControl de la computadora
TécnicasInyección procesosAnti-todo (sandbox)BHO + HTML InjectionUpdatesStealth
Información robada
Credenciales almacenadas:Mail (Outlook, Notes, Thunderbird, …)Certificados (claves privadas y públicas)Credenciales acceso VPN…
Información enviada por el browserLogins y passwordsWebmailsIntranetCookies…
Nuevos Negocios
Nuevos Negocios
Nuestro equipo
S21sec 24x7
Virtu
al T
eam
s
Fuentes externasListas privadas
BTF, DPN, APWG, NCFTA, ENISA, LE, iDefense, Microsoft, VeriSign…
Reuniones internacionales
Nuestros Servicios
Servicios de fraudeDeteccionRemediación
Servicios de WebMalwareDetecciónProtección
Servicios de Vigilancia DigitalProtección de marcaProtección de personas
Servicios de InteligenciaCapacitación
Resumen
La amenaza es real. Diversos motivosGlobalidad de los ataques. Carácter distribuidoEs necesario contar con herramientas, procedimientos y capacitación específicaLa Seguridad como la entendíamos hasta ahora ha cambiadoCortafuegos, AV, IDS, … son válidos, pero añadamos más capas
¿Preguntas?
eCrime .- Las nuevas amenazas Modelos de negocio
Pedro Sanciprian (Director General S21sec Mexico)[email protected] del Castillo(Director Desarrollo Corporativo)[email protected]