La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

eCrime .- Las nuevas amenazas

Presentaciones similares


Presentación del tema: "eCrime .- Las nuevas amenazas"— Transcripción de la presentación:

1 eCrime .- Las nuevas amenazas
Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico

2 Agenda Los 10 factores del e-crime Algunos números Nuevas amenazas Motivos MaaS: Malware as a Service Nuevos negocios Nuestro equipo Nuestros Servicios Preguntas

3 Ponente Ingeniero Informático Sistemas (UPM), CISA. Experto en Seguridad, eCrime Ponente en Securmática, Infosecurity, Techday, … Director de Operaciones de S21sec últimos 4 años Director de Desarrollo Corporativo (Ahora … México)

4 Los 10 factores del e-crime

5 Los 10 factores Cada vez somos más vulnerables al crimen en Internet La frecuencia de los incidentes es mayor, así como su sofistificación No existe una base legal bien definida El carácter distribuido de los incidentes genera problemas de jurisdicción No existen estructuras funcionales de cooperación Hoy en día, no está clara la responsabilidad de los incidentes

6 Los 10 factores La concienciación de los usuarios es mínima El crimen organizado cuenta con multitud de recursos El anonimato y la facilidad de “operar” en Internet Necesitamos nuevas herramientas, servicios y capacitación para hacer frente

7 Algunos números Uno de cada tres ordenadores está infectado Cada incidente global: media de máquinas infectadas Número de incidentes globales: 3.000 Google: 10% de las páginas son maliciosas Antivirus: reconocen que no pueden soportar el ritmo: miles de nuevos códigos dañinos al día Durante 2007, se calcula que hubo miles de ataques de ciberespionaje Cada incidente investigado por S21sec: media de 4Gb de datos capturados

8 Casos de fraude

9 Casos Phishing 2007

10 Casos de Troyanos

11 Nuevas Amenazas ¿Somos conscientes de la información presente en Internet? Fugas de información Abuso de marca Atentados contra el honor e imagen El Fraude no sólo está afectando a las entidades financieras eCommerce Robo de identidades (y su conexión con el terrorismo) ISP: clientes infectados (SPAM, ataques, botnets) Gobiernos Estas bandas tienen una gran cantidad de recursos, técnicas cada vez más avanzadas, los incidentes cada vez más difíciles de manejar: saben muy bien lo que están haciendo

12 Nuevas Amenazas (II) Los casos de phishing son sólo la punta del iceberg Click Fraud / Pay por install Iframe business, SEO Botnets: SPAM, DDoS, proxy Conexión con fraude ‘real’ e incluso terrorismo Relacionado con el código malicioso: No existe la solución perfecta, las antiguas no sirven Drive-by exploits combinados con SEO Ataques muy dirigidos usando vulnerabilidades no conocidas (Microsoft Office) Globalización: Europa del Este, China y Brasil (conexiones) Países emergentes con ataques focalizados pero ya se intuyen expansiones (Asia) No es necesario tener conocimientos, fáciles de adquirir (webfile!!!) TDS, Agent, Barracuda, d1ez, DDOS Admin, ZeuS, FTP-Toolz, IcePack, Infector, Metaphiser, Mpack, Multiexploits, Neosploit, Apophis, Pinch, RDMaster, Snatch, Socks Proxy Panel, Traffic Pro, VisualB, WebStats, WW Loader, Zunker, Zupacha, … Luchas internas debido a la no confianza (backdoored)

13 Económicos (mass attacks)
Motivos Económicos (mass attacks) Phishing, pharming, vishing, SMSing, scam Click-fraud Pump & Dump Iframe and DDoS business Religiosos (dirigidos) Dinamarca vs mundo islámico Políticos (dirigidos/mass) USA, China, Corea, Israel, … Rusia vs Estonia Industriales (dirigidos) Ciberespionaje: CEO, secretarias

14 Motivos

15 Motivos Los gobiernos se están tomando muy en serio el peligro de la seguridad informática y los ataques a empresas e instituciones oficiales. Alemania en concreto, según el semanario "Der Spiegel" ha sufrido ataques chinos en los últimos meses que han afectado a numerosos ordenadores del gobierno alemán, en la forma de troyanos que supuestamente habrían enviado cientos de Gigabytes hacia el extremo oriente. Desde que se descubrieron internamente en Mayo, los expertos IT del gobierno alemán supervisaron el tráfico generado por los troyanos e impidieron el envío de 160 Gigabytes hacia su destino final.

16 Motivos Ya en el mes de febrero 2007 este mismo semanario publicaba una noticia advirtiendo del gran incremento de ataques chinos a medianas empresas alemanas, especialmente de medicamentos, piezas de automóvil,... Según este mismo articulo, las empresas medianas son especialmente vulnerables por no disponer de las medidas de seguridad adecuadas. Se cita como factores de riesgo adicional la telefonía por Internet e incluso la información al alcance de becarios. Para muestra las siguientes fotos en las que se puede apreciar el supuesto plagio de un autobús MAN Starliner completo.

17 Motivos económicos

18 Phishing, pharming, vishing, SMSing, …
Motivos económicos Phishing, pharming, vishing, SMSing, … Entidades financieras Gobiernos Pagos online Juegos online Subastas online Redes sociales Se busca al eslabón más débil de la cadena Ingenieria Social

19 MaaS: Malware as a Service
Capas en el modelo MaaS Capa de Red (3-4 OSI layer) Capa de Aplicación (7 OSI layer) Capa de la infección (client exploits): una posible capa 8 Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa 9 1 2 3 4 Cada capa necesita diferentes herramientas y procedimientos Es necesario correlar toda la información de cada capa para entender la amenaza

20 MaaS: Capa de Red Capa de red
Bullet-proof hosting: RBN, HostFresh, Abdullah, … Fast-flux: bajo TTL. Single y Double Redes VPN Proxies inversos (nginx)

21 MaaS: capa de Aplicación
Paneles de control donde se controla todo Información robada Órdenes que se envían a las máquinas Ataques de DDoS Generalmente, LAMP (Linux+Apache+Mysql+PHP) Alrededor de $1000 pero muchas veces accesibles en sitios públicos (backdoors) Evolución: IRC + HTTP+ P2P (Storm)

22 C&C Example (I)

23 C&C Example (I)

24 C&C Example (I)

25 C&C Example (I)

26 C&C Example (I)

27 C&C Example (I)

28 C&C Example (I)

29 C&C Example (I)

30 C&C Example (I)

31 C&C Example (II)

32 C&C Example (II)

33 C&C Example (II)

34 C&C Example (III)

35 C&C Example (III)

36 C&C Example (III)

37 C&C Example (III)

38 C&C Example (III)

39 C&C Example (III)

40 C&C Example (III)

41 C&C Example (III)

42 C&C Example (III)

43 MaaS: Capa infección Propagación Objetivo Ads maliciosos SEO malicioso
Mass SQL Injection Vulnerabilidades en aplicaciones web (SQL Injection, XSS, …) Credenciales FTP ARP Spoofing Objetivo Client side exploits: Office, Browsers, Acrobat, Quicktime, WinZip, …

44 MaaS: Capa infección MPack Atacante Panel Control de Botnets
Servidor Web de Exploits El atacante compromete una web y le inyecta un iframe Atacante iFRAME Panel Control de Exploits Panel Control de Botnets Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El troyano se conecta con su master Servidor Web legítimo (www.midominio.com) El usuario es redirigido a una web que tiene un exploit para navegadores El usuario se conecta a una página web normal (con el iframe) Usuario

45 MPack

46 MPack Exploit Patch Añadido a MPack ID Firefox 1.5, Opera 7.x
14/02/2006 24/09/2006 MS06-006 IE 6 11/04/2006 MS06-014 Windows 2000 MMC 08/08/2006 MS06-044 WebViewFolderIcon 10/10/2006 13/03/2007 MS06-057 IE XML Overflow 11/11/2006 20/12/2006 MS06-071 WinZip ActiveX Overflow 14/11/2006 CVE QuickTime Overflow 02/01/2007 CVE ANI Overflow 04/04/2007 03/04/2007 MS07-017

47 AdPack

48 IcePack

49 MaaS: Capa código malicioso
Objetivos Robo de información Control de la computadora Técnicas Inyección procesos Anti-todo (sandbox) BHO + HTML Injection Updates Stealth

50 Credenciales almacenadas:
Información robada Credenciales almacenadas: Mail (Outlook, Notes, Thunderbird, …) Certificados (claves privadas y públicas) Credenciales acceso VPN Información enviada por el browser Logins y passwords Webmails Intranet Cookies

51 Nuevos Negocios

52 Nuevos Negocios

53 Virtual Teams Nuestro equipo Fuentes externas S21sec 24x7 Core Lab
Nivel 3 Análisis experto Nivel 2 Análisis Nivel 1 Operación y soporte S21sec 24x7 Fuentes externas Listas privadas BTF, DPN, APWG, NCFTA, ENISA, LE, iDefense, Microsoft, VeriSign… Reuniones internacionales Core Lab Malware, low-level, exploits, botnets VD Lab Semántica, análisis de multimedia, buscadores CIP Lab SCADA, CIP Virtual Teams

54 Servicios de WebMalware
Nuestros Servicios Servicios de fraude Deteccion Remediación Servicios de WebMalware Detección Protección Servicios de Vigilancia Digital Protección de marca Protección de personas Servicios de Inteligencia Capacitación

55 Resumen La amenaza es real. Diversos motivos Globalidad de los ataques. Carácter distribuido Es necesario contar con herramientas, procedimientos y capacitación específica La Seguridad como la entendíamos hasta ahora ha cambiado Cortafuegos, AV, IDS, … son válidos, pero añadamos más capas

56 ¿Preguntas?

57 eCrime .- Las nuevas amenazas
Pedro Sanciprian (Director General S21sec Mexico) Alfonso del Castillo (Director Desarrollo Corporativo) eCrime .- Las nuevas amenazas Modelos de negocio


Descargar ppt "eCrime .- Las nuevas amenazas"

Presentaciones similares


Anuncios Google