PDF de programación - Detección de APTs

Detección
de
APTs



1

Detección
de
APTs


Autores



Borja Merino
(INTECO-CERT)



José Miguel Holguín
(CSIRT-CV)

Maite Moreno
(CSIRT-CV)

Coordinación



Javier Morant
(CSIRT-CV)

Alberto López
(INTECO-CERT)

Fecha de publicación

Mayo 2013



El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) reconoce y agradece
al Instituto Nacional de Tecnologías de la Comunicación (INTECO) la colaboración
conjunta llevaba a cabo en la realización del informe.



**Foto de portada cortesía de la empresa Boraltec (www.boraltec.com)





Índice

1.

Introducción

2. Objetivos del Informe

3.

Implicación en la Seguridad Nacional

3.1.



Seguridad Nacional. Infraestructuras críticas

3.2.



Seguridad Nacional. Ciberespionaje gubernamental y daño al sistema financiero

3.3.



Seguridad Nacional. Ciberespionaje industrial

3.4.



Lecciones aprendidas

4. Casos de estudio

4.1.



Diseño y ataque de una APT

4.2. Operación Shady-RAT

5. Vías de Infección

5.1.



Ingeniería Social

5.1.1.

Infección por malware procedente de Internet

5.1.1.1.

Infección a través de sitios Web

5.1.1.2.

Spear-Phishing Attacks

5.1.1.3.

Archivos compartidos o redes P2P

5.1.1.4.

Software pirata, uso de keygen y cracks

5.1.2. Medios físicos

5.2.

WebKits/Exploits

6. Recomendaciones en la detección de un ataque dirigido

6.1.



Firewalls Corporativos

6.2.



Análisis Forense del tráfico

6.2.1.

Detección de anomalías/ataques de Red

6.2.1.1.

Capa de enlace de datos

6.2.1.1.1. Capa de enlace de datos. ARP

6.2.1.1.2. Capa de enlace de datos. DHCP

6.2.1.2.

Capa de Red

6.2.1.2.1. Capa de Red. Geolocalización

6.2.1.2.2. Capa de Red. IPV6

6.2.1.2.3. Capa de Red. Darknets

6.2.1.3.

Capa de Transporte

6.2.1.3.1. Capa de Transporte. Detección de Servicios Sospechosos



2

Índice

2

4

11

14

15

17

18

20

22

22

31

44

46

50

51

53

61

63

65

68

76

76

92

92

92

92

98

102

102

117

118

122

122



6.2.1.3.2. Capa de Transporte. Indicadores estadísticos

6.2.1.4.

Capa de Aplicación

6.2.1.4.1. Capa de Aplicación. DNS

6.2.1.4.2. Capa de Aplicación. HTTP

6.2.2.

Covert Channels

6.3.

HIDS y otros mecanismos de detección

6.3.1.

EMET(Enhanced Mitigation Experience Toolkit)

6.3.2.

Indicadores de compromiso (IOC)

6.3.3.

HoneyTokens

6.4.

Métodos de Correlación

7. Conclusiones

3

133

145

145

154

156

177

179

183

186

189

192





4



1. Introducción

En la actualidad, los ciberataques y los fallos en los sistemas de las

infraestructuras críticas se encuentran en el Top 5 de riesgos globales según el

reciente informe ‘Global Risk 2012’1 que publica cada año el World Economic

Forum (WEF)2, en el que refleja la interconexión actual entre riesgos geopolíticos,

ambientales, sociales, económicos y tecnológicos.

Dentro de los riesgos tecnológicos, los ciberataques ocupan un lugar preeminente

como principal preocupación, ya que poseen un elevado impacto y grado de

probabilidad de ocurrencia.

En los últimos 4 años el número de amenazas cibernéticas se ha multiplicado de

manera exponencial3 produciéndose además un cambio en la naturaleza de las
mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas

de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una

nueva categoría de amenazas en el mundo del cibercrimen, las Advanced

Persistent Threats (Amenazas Persistentes y Avanzadas), en adelante APT o APTs.

Las APT se caracterizan por ser amenazas reales sofisticadas (aunque no en todos

los casos tienen por qué ser técnicamente complejas), y contar de tal

premeditación y persistencia como para ser completamente eficaces contra las

contramedidas establecidas en el/los sistema/s objetivo/s.

Sus pretensiones son altas; los afectados, raramente saben que son objetivos y

desconocen el origen, alcance o autoría de dicho ataque. Una vez definido un

único objetivo, los cibercriminales iniciarán una campaña ofensiva en la que no

importa el tiempo que se invierta.


1 Global Risk Report 2012
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2012.PDF
2 World Economic Forum
http://www.weforum.org/
3 FireEye
http://www.FireEye.com/


5



Los atacantes no esperan conseguir un beneficio a corto plazo (como pudieran

buscar otros tipos de ataques masivos), sino que prefieren permanecer

desapercibidos y constantes hasta alcanzar su objetivo. Entre estos objetivos se

encuentran: económicos (espionaje), militares (búsqueda de debilidades,

revelación de información), técnicos (credenciales, código fuente) o políticos

(provocar desestabilización o desorganización, debilitar misiones diplomáticas)

afectando a sectores tan diversos y críticos como el gubernamental, financiero,
tecnológico, centros de investigación, etc.

Con la publicación del informe4 sobre APT1 por la empresa Mandiant, se da a

conocer al gran público la existencia de este tipo de ataques que están siendo

patrocinados por distintos gobiernos para obtener información ventajosa sobre

actividades y tecnologías de terceros. Esto resalta la existencia de esta actividad

en Internet que está siendo utilizada en los últimos años como parte de una

ciberguerra entre distintos Estados.

En el ámbito nacional, en 2010 a través de una entrevista a los medios de

comunicación, un alto cargo del Centro Criptológico Nacional5 en España (centro

adscrito al Centro Nacional de Inteligencia) informaba que se habían registrado

en 2009 más de 40 ataques cibernéticos categorizados como ‘graves’ contra

instituciones, organizaciones, e incluso el mismo centro, mencionando además

el caso de ciberespionaje al que fue sometido el, por entonces, Alto

Representante del Consejo para la Política Exterior y de Seguridad Común de la

Unión Europea y comandante en Jefe de la EUFOR, Javier Solana6. En todos los

casos se detectó malware sofisticado y creado para tal propósito, es decir,

ataques dirigidos.7

A continuación se mostrarán algunas de las campañas más conocidas de ataques

APT que se han llevado a cabo en los últimos años:



4 Informe de Mandiant
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
5 Centro Criptológico Nacional
https://www.ccn.cni.es/
6 Solana revela que ha sido víctima del espionaje cibernético de una potencia
http://elpais.com/diario/2009/06/10/internacional/1244584801_850215.html
7 España, blanco de más de cuarenta ciberataques
http://elpais.com/diario/2010/01/24/domingo/1264308753_850215.html


6



2009



2010



Operación Aurora8, en la que más de una treintena de multinacionales

(incluidas Google, Adobe Systems o Juniper Networks) sufrieron un robo

de información confidencial.

Operación GhostNet9, red de espionaje por la que se vieron afectados unos

1295 equipos en unos 103 países. Aparentemente el objetivo central era

espiar al Dalai Lama y a países del sur/sureste de Asia.

Stuxnet10, primer malware avanzado detectado que afecta a sistemas



SCADA de control y monitorización de procesos pudiendo afectar a

infraestructuras críticas. Originalmente

fue diseñado para atacar

infraestructuras iraníes pero la infección fue expandiéndose llegando a

países como Indonesia, India o Estados Unidos.

Operación Night Dragon11, diseñada para

robar

informaciones

confidenciales dirigidas a multinacionales relacionadas con el petróleo, la

química y el sector energético.

2011

Operación Shady RAT12, orientada al robo de información, por la que se

vieron afectadas más de 70 organizaciones entre las que se incluían

Naciones Unidas, gobiernos y diversas empresas en todo el mundo.

Nitro13 , orientada al ciberespionaje industrial y enfocada al robo de

información (patentes, fórmulas, procesos de manufactura) de grandes

empresas químicas y del sector defensa.



2012

Flame14, malware avanzado diseñado para llevar a cabo ataques de

ciberespionaje en países de oriente medio, viéndose principalmente

afectados países como Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí o

Egipto.



Operación Medre15 , red de espionaje industrial cuyo objetivo es robar

ficheros de tipo AutoCAD (diseños y planos). Se centra en países de habla

hispana, España incluida.

7

Duqu16 , malware orientado a sistemas industriales encontrado en centros

europeos y enfocado a la recolección de información.

Gauss17 ,malware detectado en oriente medio (sobre todo en Líbano, Israel

y territorios palestinos) dirigido al robo de credenciales y espionaje de

transacciones bancarias viéndose afectadas grandes entidades bancarias.

APT118 , unidad militar del ejército chino encargada de ciber-inteligencia a