04 / 12 / 2012
Leonardo Nve, Project Manager, Advanced Cyber security Services S21sec.
Un
APT (Advanced Persistent Threat) es un término militar que se acuñó por
primera vez en 2006 por un general Norteamericano, con APT se refería a
una amenaza cibernética de un grupo organizado. Normalmente suele
tratarse de un gobierno, pero también pueden ser entidades privadas o
mafias, que dedican mucho tiempo y recursos a la consecución de un
objetivo muy específico.
Los ataques APT más famosos han sido los
casos de Stuxnet, un virus diseñado para la destrucción de las
centrifugadoras de uranio de Irán, así como los ataques a RSA que se
realizaron para robar el diseño de su token de seguridad SecurID.
Posteriormente hubo un ataque a Lockheed Martin, fabricante de armas
norteamericano, donde se usó la información extraída de RSA para lograr
saltarse la seguridad de los sistemas y convertirse así, en un claro
ejemplo de APT.
Un APT (Advanced Persistent Threat) es un término
militar que se acuñó por primera vez en 2006 por un general
Norteamericano, con APT se refería a una amenaza cibernética de un grupo
organizado. Normalmente suele tratarse de un gobierno, pero también
pueden ser entidades privadas o mafias, que dedican mucho tiempo y
recursos a la consecución de un objetivo muy específico.Los principales
objetivos de un APT suelen ser económicos (espionaje industrial e
inteligencia económica) y de defensa (espionaje industrial, inteligencia
convencional o ciberguerra). El origen de los casos más sonados suele
ser China, considerado como el país más activo en temas de espionaje
industrial en este momento.
Anatomía del ataque
Todo el mundo conoce la frase “la seguridad es tan fuerte como el más débil de sus eslabones”, cuando la actividad tradicional es la defensa perimetral, usando métodos de protección que aíslan los sistemas de la compañía frente a ataques externos, durante un APT el objetivo de los ataques suelen ser los usuarios, que en las topologías actuales son el eslabón más débil.
Todo el mundo conoce la frase “la seguridad es tan fuerte como el más débil de sus eslabones”, cuando la actividad tradicional es la defensa perimetral, usando métodos de protección que aíslan los sistemas de la compañía frente a ataques externos, durante un APT el objetivo de los ataques suelen ser los usuarios, que en las topologías actuales son el eslabón más débil.
En la fase de reconocimiento no sólo se
reconocen los sistemas del objetivo, sino también a los usuarios
(empleados en caso de que el objetivo sea una compañía), extrayendo la
información de buscadores, redes sociales o foros para trazar su perfil
electrónico.
Desde hace un tiempo las vulnerabilidades se buscan
sobre todo en programas cliente, como navegadores o paquetes de
ofimática como Adobe Acrobat Reader o MS Office. Estos son los vectores
de ataque que más se usan actualmente, con la información obtenida en la
fase de reconocimiento se diseña una serie de ataques que permitirían
infectar a estos usuarios, normalmente mediante el envío de correos
electrónicos de forma masiva.
La idea tras estos ataques es pasar
desapercibido, ya que recibir correos SPAM o correos directamente con
malware es común hoy en día. Además, el hacerlo masivo aumenta la
posibilidad de que un usuario abra el documento que no debe o vaya a la
página web donde presuntamente hay algo de su interés. Ésta es la fase de ingeniería social y explotación de vulnerabilidades.
Una vez dentro, el procedimiento es asegurar el acceso posterior mediante la instalación de una herramienta de administración remota (RAT son sus siglas en inglés) y la metástasis de la intrusión por la red interna.
En
los casos investigados por S21sec, hemos podido detectar que los RAT
usados no poseen grandes técnicas de ocultación o de infección de más
sistemas, son programas muy simples que no son detectados por los
antivirus.
Los atacantes suelen utilizar técnicas consideradas
“old school” para su expandirse por la red interna, tales como, el uso
de herramientas mediante línea de comandos, el uso de recursos
compartidos, keyloggers, bouncers (programas para conectar con un
sistema a través de otro), etc.
Detección de un APT
Como hemos visto anteriormente, estos ataques pasan desapercibidos para el usuario, por lo que las detecciones se producen normalmente por:
Como hemos visto anteriormente, estos ataques pasan desapercibidos para el usuario, por lo que las detecciones se producen normalmente por:
- El departamento de seguridad detecta conexiones regulares a un sitio web. Esta detección se produce al examinar los registros de los sistemas de seguridad perimetrales (Firewall e IPS). Estas conexiones regulares suelen proceder de un RAT que intenta comunicarse con su centro de control.
- El departamento de IT detecta transmisiones de grandes cantidades de datos hacia el exterior. En este caso puede que ya sea tarde.
- Información de terceros. Según nuestra experiencia, éste suele ser el caso más común. La entidad es informada por un agente externo, ya sean fuerzas del orden u otra entidad, de que ha detectado el ataque, o ha encontrado datos extraídos de sus usuarios.
Como habréis podido comprobar, lo habitual es detectar el ataque cuando ya ha tenido éxito.
¿Cómo podemos defendernos de un ataque APT?
Existen varias formas:
- El uso de sistemas de reputación IP para asegurar las conexiones de los sistemas de nuestros empleados al exterior.
- El filtrado de contenido web mediante sistemas instalados en los ordenadores de los usuarios de nuestra red.
- Actualización continua de los sistemas.
- Uso de sistemas SIEM (Security Information and Event Management) que faciliten la revisión constante de eventos de seguridad, incluso dejar esta tarea a SOCs (Security Operation Center) especializados en la misma.
- Es muy importante, formar a los usuarios
- Sistemas firewall para usuario.
- De nuevo incluyo el uso de sistemas SIEM pero en este caso para facilitar la reacción frente a un incidente, ya que muchas veces nos encontramos con el problema del acceso a la información relevante cuando tenemos que investigar un caso de este tipo.
No hay comentarios:
Publicar un comentario