miércoles, 5 de diciembre de 2012

APTS: Una ¿Nueva? Amenaza

04 / 12 / 2012
Leonardo Nve, Project Manager, Advanced Cyber security Services S21sec.
Un APT (Advanced Persistent Threat) es un término militar que se acuñó por primera vez en 2006 por un general Norteamericano, con APT se refería a una amenaza cibernética de un grupo organizado. Normalmente suele tratarse de un gobierno, pero también pueden ser entidades privadas o mafias, que dedican mucho tiempo y recursos a la consecución de un objetivo muy específico.
Los ataques APT más famosos han sido los casos de Stuxnet, un virus diseñado para la destrucción de las centrifugadoras de uranio de Irán, así como los ataques a RSA que se realizaron para robar el diseño de su token de seguridad SecurID. Posteriormente hubo un ataque a Lockheed Martin, fabricante de armas norteamericano, donde se usó la información extraída de RSA para lograr saltarse la seguridad de los sistemas y convertirse así, en un claro ejemplo de APT.
Un APT (Advanced Persistent Threat) es un término militar que se acuñó por primera vez en 2006 por un general Norteamericano, con APT se refería a una amenaza cibernética de un grupo organizado. Normalmente suele tratarse de un gobierno, pero también pueden ser entidades privadas o mafias, que dedican mucho tiempo y recursos a la consecución de un objetivo muy específico.Los principales objetivos de un APT suelen ser económicos (espionaje industrial e inteligencia económica) y de defensa (espionaje industrial, inteligencia convencional o ciberguerra). El origen de los casos más sonados suele ser China, considerado como el país más activo en temas de espionaje industrial en este momento.

Anatomía del ataque
Todo el mundo conoce la frase “la seguridad es tan fuerte como el más débil de sus eslabones”, cuando la actividad tradicional es la defensa perimetral, usando métodos de protección que aíslan los sistemas de la compañía frente a ataques externos, durante un APT el objetivo de los ataques suelen ser los usuarios, que en las topologías actuales son el eslabón más débil.
En la fase de reconocimiento no sólo se reconocen los sistemas del objetivo, sino también a los usuarios (empleados en caso de que el objetivo sea una compañía), extrayendo la información de buscadores, redes sociales o foros para trazar su perfil electrónico.
Desde hace un tiempo las vulnerabilidades se buscan sobre todo en programas cliente, como navegadores o paquetes de ofimática como Adobe Acrobat Reader o MS Office. Estos son los vectores de ataque que más se usan actualmente, con la información obtenida en la fase de reconocimiento se diseña una serie de ataques que permitirían infectar a estos usuarios, normalmente mediante el envío de correos electrónicos de forma masiva.
La idea tras estos ataques es pasar desapercibido, ya que recibir correos SPAM o correos directamente con malware es común hoy en día. Además, el hacerlo masivo aumenta la posibilidad de que un usuario abra el documento que no debe o vaya a la página web donde presuntamente hay algo de su interés. Ésta es la fase de ingeniería social y explotación de vulnerabilidades.
Una vez dentro, el procedimiento es asegurar el acceso posterior mediante la instalación de una herramienta de administración remota (RAT son sus siglas en inglés) y la metástasis de la intrusión por la red interna.
En los casos investigados por S21sec, hemos podido detectar que los RAT usados no poseen grandes técnicas de ocultación o de infección de más sistemas, son programas muy simples que no son detectados por los antivirus.
Los atacantes suelen utilizar técnicas consideradas “old school” para su expandirse por la red interna, tales como, el uso de herramientas mediante línea de comandos, el uso de recursos compartidos, keyloggers, bouncers (programas para conectar con un sistema a través de otro), etc.

Detección de un APT
Como hemos visto anteriormente, estos ataques pasan desapercibidos para el usuario, por lo que las detecciones se producen normalmente por:
  • El departamento de seguridad detecta conexiones regulares a un sitio web. Esta detección se produce al examinar los registros de los sistemas de seguridad perimetrales (Firewall e IPS). Estas conexiones regulares suelen proceder de un RAT que intenta comunicarse con su centro de control.
  • El departamento de IT detecta transmisiones de grandes cantidades de datos hacia el exterior. En este caso puede que ya sea tarde.
  • Información de terceros. Según nuestra experiencia, éste suele ser el caso más común. La entidad es informada por un agente externo, ya sean fuerzas del orden u otra entidad, de que ha detectado el ataque, o ha encontrado datos extraídos de sus usuarios.
Como habréis podido comprobar, lo habitual es detectar el ataque cuando ya ha tenido éxito.

¿Cómo podemos defendernos de un ataque APT?
Existen varias formas:
  • El uso de sistemas de reputación IP para asegurar las conexiones de los sistemas de nuestros empleados al exterior.
  • El filtrado de contenido web mediante sistemas instalados en los ordenadores de los usuarios de nuestra red.
  • Actualización continua de los sistemas.
  • Uso de sistemas SIEM (Security Information and Event Management) que faciliten la revisión constante de eventos de seguridad, incluso dejar esta tarea a SOCs (Security Operation Center) especializados en la misma.
  • Es muy importante, formar a los usuarios
  • Sistemas firewall para usuario.
  • De nuevo incluyo el uso de sistemas SIEM pero en este caso para facilitar la reacción frente a un incidente, ya que muchas veces nos encontramos con el problema del acceso a la información relevante cuando tenemos que investigar un caso de este tipo.
Fuente original:  www.s21sec.com