M O D E L O S C O L A B O R AT I V O S Ciberamenazas emergentes: a qué nos enfrentamos y cómo las combatimos En los últimos años las bandas del cibercrimen han evolucionado en la forma de robar información. Cada vez más, estas organizaciones se están industrializando y profesionalizando, evolucionando junto con el mundo real, y del mismo modo que las organizaciones y sus mecanismos de protección cambian, también lo hacen las ciberamenazas que afectan a los usuarios de Internet. A causa del dinamismo que estas amenazas están adoptando, las herramientas de protección clásicas pierden, día a día, la capacidad de proteger al completo a las organizaciones frente a ataques producidos desde Internet. Por este motivo, es necesario evolucionar, una vez más, los mecanismos de seguridad hacia modelos colaborativos que permitan compartir información de inteligencia. Víctor Acin Sanz / Ramón Vicens Lillo Las bandas organizadas de cibercrimen están formadas por criminales que siguen las leyes de la oferta y la demanda, como cualquier industria. Así, por la misma razón por la que se pueden encontrar mercados negros y formas ilícitas de ganar o gestionar dinero en el mundo real, se puede encontrar lo mismo en el ciberespacio. Estos mercados negros operan utilizando técnicas parecidas a las que se encuentran en el mundo real, teniendo como objetivos el rendimiento y el beneficio, alimentando toda una cadena de cibercriminalidad y explotando las ventajas que proporciona Internet en cuanto a anonimato y comunicaciones. Dentro de las muchas posibilidades que ofrecen estos mercados negros, es posible comprar exploits, software malicioso (malware) y ran somware, kits de phishing que únicamente hay que instalar en un servidor, sin necesidad de llevar a cabo configuraciones complicadas, y software en general que permiten o facilitan a un atacante llevar a cabo sus acciones sin la necesidad de tener conocimientos extensos de seguridad, facilitando la tarea a los criminales de engañar y robar a los usuarios de Internet, llegando a lucrarse enormemente, vendiendo los datos robados a través de foros, tiendas en línea, y servicios de transacciones como bitcoins u otros servicios. Proceso de ataque: Kill Chain Una de las amenazas más peligrosas que se pueden encontrar hoy en día en Internet son las botnets, las cuales se construyen a través de un proceso comúnmente conocido como Kill Chain (ver Figura 1). Las primeras fases de este proceso se puede agrupar en pre-ataque (Reconnaissance y Weaponi zation), durante el cual los atacantes obtienen la información y software necesarios (exploit kits, phi shing kits, cuentas de correo-e...) para llevar a cabo el ataque. Seguidamente, se produce dicho ataque (Lure, Redirection and Exploitation e Infection) en el cual el usuario es víctima de una campaña de distribución 90 de correos con el objetivo de infectarlo mediante un software malicioso que será el encargado de recibir las órdenes del centro de control (C&C – Command and Control). Desde este mismo instante, el equipo afectado forma parte de una red de ordenadores infectados (o bots ) por el mismo software malicioso. En la arquitectura clásica de dichas redes, cada bot puede recibir instrucciones operativas, disponiendo así de una red de ordenadores con un control centralizado y operado por las redes del cibercrimen para llevar a cabo multitud de ataques como robo de información, ejecución de transacciones bancarias, ataques distri- principales afectados son las empresas del sector financiero. Algunas de las funcionalidades más típicas que se pueden encontrar en cualquiera de los bots de estas botnets son el robo de cookies, certificados, y combinaciones de usuario y contraseña utilizando mecanismos como: keyloggers, capturas de pantalla, capturas de peticiones HTTP/HTTPS mediante ataques de Man-in-the-Middle, o ataques de Manin-the-Browser. Esta última técnica se caracteriza por realizar el ataque directamente al navegador del usuario mediante WebInjects o proxies HTTP/Socks interceptando de este modo las comunicaciones entre cliente y servidor. Una característica notable de este tipo de malware es el uso de una técnica conocida como DGA o Domain Generation Algorithm, basada en cambiar el dominio del servidor C&C de forma dinámica, utilizando dominios generados de forma pseudoaleatoria, para evitar que los bloqueos de las compañías y los ISP impidan las comunicaciones entre los bots y el servidor de C&C. Comprender estos algoritmos se ha convertido en una pieza clave para poder contener este tipo de botnets más avanzadas como Zeus P2P, Dyre u otros. Otro tipo de botnets especialmente peligrosas por el tipo de datos que recopilan son las llamadas PoS, las cuales tienen como objetivo infectar este tipo de sistemas y buscar software instalado típicamente en ellos, como los drivers de comunicación con un TPV (Terminal Punto de Venta), pudiendo de esta forma buscar los datos de las tarjetas de crédito de clientes y usuarios del host infectado. Una vez recuperados dichos datos, se mandan a un servidor en el cual se almacenan principalmente tarjetas de crédito para venderlas posteriormente. Las empresas de venta directa a clientes, como las Figura 1 buidos de denegación de servicio, minería de bitcoins o incluso la carga de otro software malicioso. Para llevar a cabo cada uno de los ataques anteriormente enumerados, se utilizan, según objetivo, diferentes tipos de software malicioso, comúnmente conocidos como caballos de Troya bancarios, malware de terminal de punto de venta (PoS – Point of Sale), malware de robo de credenciales, RATs (Remote Access Toolkits), DDoS, etc. Los tipos de botnets más comunes de robo de información Las botnets basadas en caballos de Troya bancarios son aquellas que se especializan en robar las credenciales bancarias de los usuarios o incluso llegar a realizar transacciones bancarias de forma transparente para el usuario, por lo que los grandes superficies, suelen ser las más afectadas por este tipo de botnet, ya que, tras observar el modus operandi de las bandas del cibercrimen, se ha visto que en la actualidad aprovechan vulnerabilidades sencillas como contraseñas por defecto y vulnerabilidades de actualización de software, las cuales permiten a los atacantes, penetrar en redes de TPVs y poder de este modo infectarlos. Uno de los tipos de botnets más extendidos en la actualidad son las que se caracterizan por robar credenciales de los hosts infectados, utilizando técnicas como keylogging, capturas de pantalla e interceptación de comunicaciones, pero además, también roban información de las contraseñas guardadas en los distintos exploradores del equipo (Chrome, Firefox, IExplorer...) y de software en particular, como clientes FTP, SSH o Telnet. Este tipo de botnets son, con diferencia, de las más ABRIL 2015 / Nº114 / SiC M O D E L O S C O L A B O R AT I V O S donde los expertos en seguridad de las distintas compañías y CERTs pueden compartir inteligencia de los diferentes tipos de ataques, campañas activas, reputación de IP/Dominio y recursos afectados que afecten a sus respectivas organizaciones. Utilizando toda esta información, dichos expertos podrán evitar ataques que se encuentren en las primeras fases de la kill chain y prevenir fugas de información de los que se encuentren en los últimos estados. Debido a la mejora e incremento de ataques que sufren las organizaciones hoy en día, la seguridad tradicional ya no puede proteger de forma efectiva a una organización, por lo que existe una necesidad cada vez mayor de poder llevar a cabo correlaciones entre los datos de la propia com- peligrosas para la mayoría de organizaciones del sector financiero, consumo, infraestructuras, energéticas, etc., ya que roban credenciales de manera indiscriminada sin aplicar ninguna clase de filtrado o selección de datos a robar. Un host infectado en una compañía puede permitir a un atacante acceder a la red interna o a aplicaciones de la misma, comprometiendo información confidencial, pudiendo realizar ataques de denegación de servicio contra la organización desde su interior, o dañando la imagen corporativa. Del mismo modo que con los dos casos anteriores, todas las credenciales robadas se mandan a un servidor remoto, donde se almacenan para posteriormente venderlas en foros, chats y mercados negros. ¿Cómo combatir estos ataques? El mejor modo de combatir este tipo de amenazas o ataques es mediante herramientas de inteligencia, Threat Intelligence Platforms (TIP) [2], las cuales permiten a las organizaciones agrupar información de estas actividades ilícitas, para permitir que éstas puedan prevenir ataques y, en el caso de que este se haya llegado a producir, mitigar los daños sufridos y prevenir que vuelva a ocurrir. A diferencia de otras herramientas TIP, la desarollada por Blueliv genera su propia inteligencia para prevenir y correlacionar datos relacionados con ataques, ya que, tal y como se ha explicado anteriormente, todas las clases de botnets tienen un factor clave en común: deben comunicarse con un servidor C&C para recibir órdenes y almacenar los datos robados, ya sean datos bancarios, tarjetas de crédito o credenciales, y éste es su punto débil. Toda esta información de servidores C&C y de almacenamiento de datos se encuentra dentro de los propios bots o, en su defecto, en la configuraciones que reciben. Dichas configuraciones pueden ser extraídas utilizando una sandbox de análisis automatizado con un post-procesado inteligente de cada una de las muestras y sus respectivas configuraciones, pudiendo de este modo proporcionar información dirigida a cada organización para que pueda tomar medidas respecto a estas posibles amenazas como, por ejemplo, evitando cualquier tipo de comunicación hacia estas IPs. El proceso de extracción de las mismas se efectúa tal y como se muestra en la Figura 2. En primer lugar, una muestra de cualquiera de nuestras múltiples fuentes de información llega al sistema de análisis. Utilizando la sandbox para análisis de malware, se lleva a cabo un análisis estático y dinámico de la muestra. Con la ayuda de un sistema de clasificación de malware basado en YARA [2], la muestra se clasifica automáticamente y pasa a manos del software de extracción de información. Este software utiliza la información generada por el informe para extraer la información que posteriormente se sirve a los usuarios del servicio; como las distintas IPs de los servidores a los que se conecta la muestra de malware, los archivos modificados o creados por la muestra u otra información relevante que depende del tipo de muestra analizada. Una vez se ha obtenido esta información, se proporciona un formato con el que los usuarios puedan tratar con facilidad, para poder 92 Figura 2 Figura 3 integrarlo en el SIEM empelado (Splunk, ArcSight, Alien Vault...). Modelos colaborativos en la lucha contra el cibercrimen Desde Blueliv se ha decidido liberar la información de forma gratuita, sobre estos servidores a los que se conectan las muestras de malware, que puede ser recogida mediante el uso de la API pública gratuita y representada en el mapa de la Figura 3 [3]. Esta API proporciona información sobre los servidores maliciosos, como por ejemplo la IP, la localización geográfica del servidor, cuándo se vio el servidor por primera vez, el tipo ataque, o el nombre del host en el que se encuentra. Toda esta información puede ser utilizada por las organizaciones para mejorar sus políticas de seguridad, prevenir ataques o para proporcionar información adicional a sus equipos de respuesta ante incidentes, pudiendo de esta manera obtener inteligencia relacionada con ataques externos y correlacionarla con la propia información y registros internos. El objetivo principal es proporcionar un modelo colaborativo para la lucha contra el cibercrimen, pañía y los datos proporcionados por plataformas de inteligencia sobre ciberamenazas. Y, cada vez con más frecuencia, será necesaria la colaboración entre dichos expertos, ya que solo a través de entornos colaborativos de inteligencia, se puede combatir el dinamismo los ataques cometidos a través de Internet. Víctor Acin Sanz Analista de Threat Intelligence [email protected] Ramón Vicens Lillo VP de Threat Intelligence [email protected] BLUELIV Referencias [1] Gartner Technology Overview for Threat Intelligence Platforms, diciembre 2014. Gartner Market Guide for Security Threat Intelligence Services, octubre 2014. [2] YARA project. http://plusvic.github.io/yara/ [3] Blueliv Cyber Threat Map. https://map.blueliv.com ABRIL 2015 / Nº114 / SiC
© Copyright 2024