Las dimensiones de la Seguridad Física y Cibernética

¿Qué es "malware”

Software que causa daño intencionalmente (también conocido como software malicioso o código)

Dónde se encuentra "malware" ?

Por lo general, en un archivo del el cliente, pero también puede ser encontrado en la memoria un PC o tableta

¿Qué contiene "malware" ?

• Algo malicioso ( por lo general creado para robar $$$) • Un capturador de teclado • La capacidad de enviar SPAM • Un medio para localizar archivos financieros o personales de los

víctimas • La capacidad para generar clics del el mouse (Click fraud) • Un método para propagarse a otros PC’s • Método para recibir instrucción, actualizaciones y / o malware

adicional (un protocolo o lenguaje de programa) • Método para cargar los datos recolectados por el malware

Términos asociados con malware

• Botnet • Worm • Trojan • Dropper • Ransomware • Rogue • Adware • Exploit • Keygen

Piratería = Malware

Estudios de la Industria :

• 40-60% probabilidad de malware en un PC con software pirata • Almacenes, distribuidores y mercados de computadoras con mala

reputación

• Intercambios ilícitos entre individuos

• 43% de los consumidores & 22% de los CIO/IT gerentes no instalar las actualizaciones de seguridad (esto es los antibióticos del el malware) • MALWARE es dinámico y requiere atención constante

% PC’s Purchased @ Non-reputable Markets (IDC Study 2014)

31%

85%

58%63%

47%

84%

47%

100%

56%

65%

35%

Percent of PCs Purchased Through the Channel that Were Infected with Malware

% of employees install unauthorized software

3%

11%

38%

32%

22%

27%

North America Western Europe

Latin America Asia/Pacific Central and Eastern Europe

Total

Percent of Employees Installing Their Own Software Without the Enterprise’s Knowledge

on Work Computers Within the Last Two Years

Agenda

Operación de “MALWARE” "

What does malware look like?

¿Qué es una BOTNET?

BOTNET: un grupo de computadoras conectados por el Internet que , sin el conocimiento propietarios , se han configurado para transmitir datos a otras computadoras. Se ejecutan en grupos de computadoras zombie controladas remotamente . Estas computadoras son un "robot " o " bot " que sirven a los deseos de un originador maestro.

Robot network

BOTNET TAKEDOWN

• A través de asociaciones privadas / públicas un BOTNET es identificado y seleccionado.

• Utilizando tecnología se crea una sinkhole (una máquina que se utiliza para recopilar datos de el BOTNET).

• Acción legal se presenta contra los dominios sospechosos.

• Ejecución – la policía toma posesión de los servidores y la industria privada los casos civil.

• Microsoft toma posesión de los dominios y dirige los datos al sinkhole.

• La información se recopila para CTIP y remediación

Arc of an Operation Overview

Identification of a Botnet

Disruption

Understanding New Data

Using Data

Innovation

Who identifies potential targets?

Microsoft Business

Private Sector

Public Sector

Partners - Públicos y Privados

Partners - privados:

• otras empresas de tecnologia • socios silenciosos

Partners - públicos:

• Agencias de policia • Fiscales • Otros departamentos gubernamentales • Los países con los CERT

Look Back on Past Operations

OPERATION

b49 Waledac

February 2010

Proving the

model of

industry-led

efforts

Severed

70,000-90,000

infected

devices from

the botnet

Spam

OPERATION

b107 Rustock

March

2011

Supported by

stakeholders

across industry

sectors

Involved US

and Dutch law

enforcement,

and CN-CERT

Spam

OPERATION

b79 Kelihos

September

2011

Partnership

between

Microsoft and

security

software

vendors

First operation

with named

defendant

Spam, Bitcoin

Mining,

Distributed

Denial of Service

Attacks

OPERATION

b71 Zeus

March

2012

Cross-sector

partnership with

financial services

Focused on

disruption

because of

technical

complexity

Identity Theft /

Financial Fraud

OPERATION

b70 Nitol

OPERATION

b58 Bamital

September

2012

Nitol was

introduced in the

supply chain

relied on by

Chinese

consumers

Settled with

operator of

malicious

domain

Malware

Spreading

Botnet,

Distributed

Denial of Service

Attacks

February 2013

Bamital hijacked

people’s search

results, took

victims to

dangerous sites

Takedown in

collaboration

with Symantec,

proactive

notification and

cleanup process

Advertising

Click Fraud

OPERATION

Conficker

February 2010

Microsoft-lead

model of

industry-wide

efforts

Botnet Worm

• Harm • Public/Private

Partner • Industry Impact • Impact to Microsoft

Eco System

Look Back on Past Operations

OPERATION

b54 Citadel

June

2013

Citadel

committed

online financial

fraud

responsible

for more than

$500Min losses

Coordinated

disruption with

public-private

sector

partnerships to

combat

cybercrime

Identity Theft /

Financial Fraud

OPERATION

b68 ZeroAccess

December

2013

ZeroAccess

hijacked search

results, taking

victims

to dangerous

sites

It cost online

advertisers

upwards of $2.7

million each

month

Advertising

Click Fraud

OPERATION

b157 Game over

Zeus

June

2014

Malware using

Dynamic DNS

for command.

It involved

password and

identity theft,

webcam and

other privacy

invasions.

Over 200

different types

of malware

impacted.

Identity Theft /

Financial Fraud

/ Privacy

Invasion

OPERATION

b106 Bladabindi & Jenxcus

June

2014

GameoverZeus

(GOZ) was a

banking Trojan

Worked in

partnership with

LE providing

Technical

Remediation

Identity Theft /

Financial Fraud

OPERATION

b93 Caphaw

July

2014

Caphaw was

focused on

online financial

fraud

responsible

for more than

$250M in losses

Coordinated

disruption with

public-private

sector

partnerships

Identity

Theft /

Financial

Fraud

OPERATION

b75 Ramnit

OPERATION

b46 Simda

Feb

2015

Ramnit is a

module-based

malware which

concentrates on

stealing

credential

information

from banking

websites.

Identity Theft /

Financial Fraud

April

2015 Simda was used

by cyber

criminals to

gain remote

access to

computers

enabling the

theft of

personal details,

including

banking

passwords, as

well as to install

and spread

other malicious

malware.

• Harm • Public/Private

Partner • Industry Impact • Impact to Microsoft

Eco System

Target assessment flow chart Problem set/ Target selection

Can we remove it?

Can we take control?

Find another target

Can we ID Victim IPs?

Is it a good target?

Feed CTIP Let’s Go!

N

N

N N

Y

Y

Y Y

Target Assessment Common Criteria?

• Cuando fue la primera actividad? • ¿Qué problema estamos tratando de solucionar ? • De que tamaño es el problema? • ¿Dónde estan las víctimas ? • Que empresas estan afectados por el malware (financieros ,

medios de comunicación social , etc.) • ¿Cómo se propaga este malware ? • ¿Qué es el daño a los víctimas ? • ¿Sabemos quién es responsable por escribir el código para el

malware? • ¿Sabemos quién es responsable por distribuir el malware?

Target assessment - technical

Evaluaciones Técnicas Comunes • Hay una o varias BOTNETS? • Qué cambios tiene el sistema al ser infectado? • Si el malware cifra los datos? • Si el malware desactivar culaquier caraterística de seguridad al sistema? • Existe malware en los procesos legítimos? • Método de infección – (email, USB, drive by, etc.)

Target selection overview

1.Evaluación del el target 2.Análisis técnico 3.Planificación (técnica y juridical) 4.Análisis de riesgo 5.Coordinación (Pública y Privada) 6.Ejecución 7.Communicación y Remediaciónion

Pruebas y Preparación del el Sinkhole

Objetivos • Manténgase al día con el volumen de

tráfico del BOTNET • Identificar las direcciones IP de víctima

para la remediación • Minimizar las falsas detecciones • Minimizar los datos redundantes

Operations in three phases

Phase 3 Execute and Evaluate

Microsoft seizes domain

Papers served

unseal civil case

LE physical takedown of C2

servers

Observe malware for

countermeasures Communications\PR CTIP reporting

Phase 2 Process and Preparation

Legal action for domains CTIP and DNS sinkhole prep Coordinate with partners Communications\PR

Phase 1 Coordinate and Risk Assessment

Coordinate with Law Enforcement Communications\PR Risk assessment

Ejecución

Cada operación es única Normalmente implica la incautación de dominios o IP además de registro de los dominios Sincronización es esencial para el éxito de un BOTNET takedown

¿Cómo medimos el éxito?

• El daño detuvo • Sistemas de los víctimas rescató • El éxito de las acciones de la policía • Reputación de Microsoft y la industria • Familia de malware eliminada • Impacto a los consumidores