Post on 11-Feb-2017
Tendências, Técnicas e Soluções no Combate aos Ataques de APTs e AVTs
Mauro Risonho de Paula AssumpçãoMarço/2016
Agenda (continuação 1/4)Agenda (continuação 1/4)
• Quem sou eu• Quem é a Agility Networks• APTs/AVTs• Análise passo a passo de ataques APT/AVT• 10 Passos de APTs/AVTs• Cenário• Passo 1 – Seleção de Alvos• Passo 2 – Recolhendo Informações dos Ambientes Alvos• Passo 3 – Pontos de Entradas para Ataques
Agenda (continuação 2/4)Agenda (continuação 2/4)
• Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s)• Passo 5 – Escalada de Privilégios• Passo 6 – C&C – Command and Control Communication• Passo 7 – Movimento de Ataque Lateral• Passo 8 – Descoberta de Ativos e Persistência• Passo 9 – Extração de Dados• Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
Agenda (continuação 3/4)Agenda (continuação 3/4)
• Projetos Open Source para detecção, pesquisa e bloqueios de APTs/AVTs (DIY DO IT YOURSELF)
• APT - Open Source Tools• SP-025: Advanced Monitoring and Detection• IOC - Open Source Tools• Falando rapidamente sobre o APT Linux.DDoS.XoR
Malware/Droper/Rootkit• DEMO• Em algum próximo Evento, por ai ...
Agenda (continuação 4/4)Agenda (continuação 4/4)
• Referências• Dúvidas
Quem sou euQuem sou eu
Mauro “Risonho” de Paula Assumpção aka firebits
Nerd/Autodidata/Entusiasta/Pentester/Security Researcher/Instrutor/Palestrante e Eterno Aprendiz
Senior Security Analyst (R&D) - Agility Networks, SIS (Reverse Eng. Malwares, Deep Web, VA/VM e Pentest)
Quem é a Agility NetworksQuem é a Agility Networks
A AGILITY NETWORKS é um “Trusted Advisor” em serviços e soluções sofisticadas para infraestrutura de TI, reconhecida e admirada pelos resultados obtidos ao longo de mais de 20 anos de atuação junto a grandes empresas e instituições públicas. Fundada em 1991, atua em 3 competências-chave: Data Center & Cloud, Application Delivery e Segurança e é integradora de vários Vendors reconhecidos de mercado nacional e mundial.
APT (Advanced Persistent Threat)APT (Advanced Persistent Threat)
"Avançado" significa técnicas sofisticadas usando malwares e vulnerabilidades conhecidas para explorar os sistemas internos.
"Persistente" sugere que um sistema de comando e controle externo é continuamente monitorando e extraem dados de um alvo específico.
"Ameaça" indica o envolvimento humano em orquestrar o(s) ataque(s).
AVT (Advanced Volatile Threat)AVT (Advanced Volatile Threat)
"Avançado" significa técnicas sofisticadas usando malwares e vulnerabilidades conhecidas para explorar os sistemas internos.
“Volátil" sugere que um sistema de comando e controle externo é continuamente monitorando e extraem dados de um alvo específico, mas usando processos em memória (RAM, GPURAM e outros relativos à memória volátil).
"Ameaça" indica o envolvimento humano em orquestrar o(s) ataque(s).
O que os APTs/AVTs tem em comum?O que os APTs/AVTs tem em comum?
Basicamente, o foco é um ataque à rede.
As redes alvo são geralmente, instituições financeiras à inteligência militar.
O objetivo de um ataque direcionado é roubar propriedade intelectual valiosa, dinheiro e/ou outras informações pessoalmente identificáveis.
O que muda é abordagem da técnica final (APTs geralmente em disco e AVTs geralmente em memória), podendo existir híbridos (APTVTs talvez?)
Análise passo a passo de
ataques de APT/AVT
CenárioCenário
10 passos estratégicos e táticos via AVTs/APTs 10 passos estratégicos e táticos via AVTs/APTs
Passo 1 – Seleção de Alvos Passo 2 – Recolhendo Informações dos Ambientes Alvos Passo 3 – Pontos de Entradas para Ataques Passo 4 – Plantando Malware(s) na(s) Máquina(s) Comprometida(s) Passo 5 – Escalada de Privilégios Passo 6 – C&C – Command and Control Communication Passo 7 – Movimento de Ataque Lateral Passo 8 – Descoberta de Ativos e Persistência Passo 9 – Extração de Dados Passo 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
Passo 1 - Seleção de Alvos (via redes sociais)Passo 1 - Seleção de Alvos (via redes sociais)
Passo 2 - Recolhendo Informações dos AmbientesPasso 2 - Recolhendo Informações dos Ambientes
Passo 3 – Pontos de Entradas para AtaquesPasso 3 – Pontos de Entradas para Ataques
Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)Passo 4 - Plantando Malware(s) na(s) máquina(s) comprometida(s)
Passo 5 – Escalada de PrivilégiosPasso 5 – Escalada de Privilégios
Passo 6 – C&C – Command and Control CommunicationPasso 6 – C&C – Command and Control Communication
Desktop de Usuário comum
infectado
Passo 7 – Movimento de Ataque LateralPasso 7 – Movimento de Ataque Lateral
Passo 8 – Descoberta de Ativos e PersistênciaPasso 8 – Descoberta de Ativos e Persistência
Passo 9 – Extração de DadosPasso 9 – Extração de Dados
Passo 10 – Encobrindo Pistas, Rastros e Evidências do AtaquePasso 10 – Encobrindo Pistas, Rastros e Evidências do Ataque
Projetos Open Source para detecção, pesquisa e
bloqueios de APTs/AVTs (DIY DO IT YOURSELF)
APT - Open Source ToolsAPT - Open Source Tools
Aptdetector•https://github.com/abzcoding/aptdetector
Ludumdare32 (APT Game Fake)•http://www.tobypinder.com/ld32
XCOM•https://github.com/Tryan18/XCOM
Aptdetector-go (projeto inicial ainda)•https://github.com/abzcoding/aptdetector-go
APTnotes•https://github.com/kbandla/APTnotes
SP-025: Advanced Monitoring and DetectionSP-025: Advanced Monitoring and Detection
• http://www.opensecurityarchitecture.org/cms/library/patternlandscape/314-sp-025-advanced-monitoring-and-detection
IOC - Open Source ToolsIOC - Open Source Tools
Intel•https://github.com/JohnnyWachter/intel
iocminion•https://github.com/pun1sh3r/iocminion
IOCextractor•https://github.com/stephenbrannon/IOCextractor
pyioc•https://github.com/jeffbryner/pyioc
AVT - Open Source ToolsAVT - Open Source Tools
Anti-Meterpreter•http://www.mertsarica.com/codes/antimeter2.zip
DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
É hora de “uma DEMO”
LIKE A
BOSS!!!
DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
Fonte: https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
DEMO – APT Chinês – Linux.XOR.DDOSDEMO – APT Chinês – Linux.XOR.DDOS
IOC Domains
•wangzongfacai.com•dsaj2a.com•dsaj2a.org•dsaj2a1.org•...
IP addresses (hard-coded into binary)•103.25.9.228•103.25.9.229
Malware Binary MD5 Hashes•0b7630ead879da12b74b2ed7566da2fe (variant 1)•85ecdf50a92e76cdb3f5e98d54d014d4 (variant 2)
(IOC Completo em https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html)
Em algum próximo evento...Em algum próximo evento...
● Pentest Clássico (estilo décadas de 80 e 90) usando Artificial Intelligence + Machine Learning
Dúvidas?
Obrigado!Obrigado!
Mauro “Risonho” de Paula Assumpção aka firebits
www.agilitynetworks.com.br
https://www.linkedin.com/in/firebitsbr
http://pt.slideshare.net/firebits
mauro.risonho@gmail.com
mauro.assumpcao@agilitynetworks.com.br
https://twitter.com/firebitsbr