Las dimensiones de la Seguridad Física y Cibernética - Derribando Botnets... · de computadoras...
Transcript of Las dimensiones de la Seguridad Física y Cibernética - Derribando Botnets... · de computadoras...
¿Qué es "malware”
Software que causa daño intencionalmente (también conocido como software malicioso o código)
Dónde se encuentra "malware" ?
Por lo general, en un archivo del el cliente, pero también puede ser encontrado en la memoria un PC o tableta
¿Qué contiene "malware" ?
• Algo malicioso ( por lo general creado para robar $$$) • Un capturador de teclado • La capacidad de enviar SPAM • Un medio para localizar archivos financieros o personales de los
víctimas • La capacidad para generar clics del el mouse (Click fraud) • Un método para propagarse a otros PC’s • Método para recibir instrucción, actualizaciones y / o malware
adicional (un protocolo o lenguaje de programa) • Método para cargar los datos recolectados por el malware
Términos asociados con malware
• Botnet • Worm • Trojan • Dropper • Ransomware • Rogue • Adware • Exploit • Keygen
Piratería = Malware
Estudios de la Industria :
• 40-60% probabilidad de malware en un PC con software pirata • Almacenes, distribuidores y mercados de computadoras con mala
reputación
• Intercambios ilícitos entre individuos
• 43% de los consumidores & 22% de los CIO/IT gerentes no instalar las actualizaciones de seguridad (esto es los antibióticos del el malware) • MALWARE es dinámico y requiere atención constante
% PC’s Purchased @ Non-reputable Markets (IDC Study 2014)
31%
85%
58%63%
47%
84%
47%
100%
56%
65%
35%
Percent of PCs Purchased Through the Channel that Were Infected with Malware
% of employees install unauthorized software
3%
11%
38%
32%
22%
27%
North America Western Europe
Latin America Asia/Pacific Central and Eastern Europe
Total
Percent of Employees Installing Their Own Software Without the Enterprise’s Knowledge
on Work Computers Within the Last Two Years
¿Qué es una BOTNET?
BOTNET: un grupo de computadoras conectados por el Internet que , sin el conocimiento propietarios , se han configurado para transmitir datos a otras computadoras. Se ejecutan en grupos de computadoras zombie controladas remotamente . Estas computadoras son un "robot " o " bot " que sirven a los deseos de un originador maestro.
BOTNET TAKEDOWN
• A través de asociaciones privadas / públicas un BOTNET es identificado y seleccionado.
• Utilizando tecnología se crea una sinkhole (una máquina que se utiliza para recopilar datos de el BOTNET).
• Acción legal se presenta contra los dominios sospechosos.
• Ejecución – la policía toma posesión de los servidores y la industria privada los casos civil.
• Microsoft toma posesión de los dominios y dirige los datos al sinkhole.
• La información se recopila para CTIP y remediación
Arc of an Operation Overview
Identification of a Botnet
Disruption
Understanding New Data
Using Data
Innovation
Partners - Públicos y Privados
Partners - privados:
• otras empresas de tecnologia • socios silenciosos
Partners - públicos:
• Agencias de policia • Fiscales • Otros departamentos gubernamentales • Los países con los CERT
Look Back on Past Operations
OPERATION
b49 Waledac
February 2010
Proving the
model of
industry-led
efforts
Severed
70,000-90,000
infected
devices from
the botnet
Spam
OPERATION
b107 Rustock
March
2011
Supported by
stakeholders
across industry
sectors
Involved US
and Dutch law
enforcement,
and CN-CERT
Spam
OPERATION
b79 Kelihos
September
2011
Partnership
between
Microsoft and
security
software
vendors
First operation
with named
defendant
Spam, Bitcoin
Mining,
Distributed
Denial of Service
Attacks
OPERATION
b71 Zeus
March
2012
Cross-sector
partnership with
financial services
Focused on
disruption
because of
technical
complexity
Identity Theft /
Financial Fraud
OPERATION
b70 Nitol
OPERATION
b58 Bamital
September
2012
Nitol was
introduced in the
supply chain
relied on by
Chinese
consumers
Settled with
operator of
malicious
domain
Malware
Spreading
Botnet,
Distributed
Denial of Service
Attacks
February 2013
Bamital hijacked
people’s search
results, took
victims to
dangerous sites
Takedown in
collaboration
with Symantec,
proactive
notification and
cleanup process
Advertising
Click Fraud
OPERATION
Conficker
February 2010
Microsoft-lead
model of
industry-wide
efforts
Botnet Worm
• Harm • Public/Private
Partner • Industry Impact • Impact to Microsoft
Eco System
Look Back on Past Operations
OPERATION
b54 Citadel
June
2013
Citadel
committed
online financial
fraud
responsible
for more than
$500Min losses
Coordinated
disruption with
public-private
sector
partnerships to
combat
cybercrime
Identity Theft /
Financial Fraud
OPERATION
b68 ZeroAccess
December
2013
ZeroAccess
hijacked search
results, taking
victims
to dangerous
sites
It cost online
advertisers
upwards of $2.7
million each
month
Advertising
Click Fraud
OPERATION
b157 Game over
Zeus
June
2014
Malware using
Dynamic DNS
for command.
It involved
password and
identity theft,
webcam and
other privacy
invasions.
Over 200
different types
of malware
impacted.
Identity Theft /
Financial Fraud
/ Privacy
Invasion
OPERATION
b106 Bladabindi & Jenxcus
June
2014
GameoverZeus
(GOZ) was a
banking Trojan
Worked in
partnership with
LE providing
Technical
Remediation
Identity Theft /
Financial Fraud
OPERATION
b93 Caphaw
July
2014
Caphaw was
focused on
online financial
fraud
responsible
for more than
$250M in losses
Coordinated
disruption with
public-private
sector
partnerships
Identity
Theft /
Financial
Fraud
OPERATION
b75 Ramnit
OPERATION
b46 Simda
Feb
2015
Ramnit is a
module-based
malware which
concentrates on
stealing
credential
information
from banking
websites.
Identity Theft /
Financial Fraud
April
2015 Simda was used
by cyber
criminals to
gain remote
access to
computers
enabling the
theft of
personal details,
including
banking
passwords, as
well as to install
and spread
other malicious
malware.
• Harm • Public/Private
Partner • Industry Impact • Impact to Microsoft
Eco System
Target assessment flow chart Problem set/ Target selection
Can we remove it?
Can we take control?
Find another target
Can we ID Victim IPs?
Is it a good target?
Feed CTIP Let’s Go!
N
N
N N
Y
Y
Y Y
Target Assessment Common Criteria?
• Cuando fue la primera actividad? • ¿Qué problema estamos tratando de solucionar ? • De que tamaño es el problema? • ¿Dónde estan las víctimas ? • Que empresas estan afectados por el malware (financieros ,
medios de comunicación social , etc.) • ¿Cómo se propaga este malware ? • ¿Qué es el daño a los víctimas ? • ¿Sabemos quién es responsable por escribir el código para el
malware? • ¿Sabemos quién es responsable por distribuir el malware?
Target assessment - technical
Evaluaciones Técnicas Comunes • Hay una o varias BOTNETS? • Qué cambios tiene el sistema al ser infectado? • Si el malware cifra los datos? • Si el malware desactivar culaquier caraterística de seguridad al sistema? • Existe malware en los procesos legítimos? • Método de infección – (email, USB, drive by, etc.)
Target selection overview
1.Evaluación del el target 2.Análisis técnico 3.Planificación (técnica y juridical) 4.Análisis de riesgo 5.Coordinación (Pública y Privada) 6.Ejecución 7.Communicación y Remediaciónion
Pruebas y Preparación del el Sinkhole
Objetivos • Manténgase al día con el volumen de
tráfico del BOTNET • Identificar las direcciones IP de víctima
para la remediación • Minimizar las falsas detecciones • Minimizar los datos redundantes
Operations in three phases
Phase 3 Execute and Evaluate
Microsoft seizes domain
Papers served
unseal civil case
LE physical takedown of C2
servers
Observe malware for
countermeasures Communications\PR CTIP reporting
Phase 2 Process and Preparation
Legal action for domains CTIP and DNS sinkhole prep Coordinate with partners Communications\PR
Phase 1 Coordinate and Risk Assessment
Coordinate with Law Enforcement Communications\PR Risk assessment
Ejecución
Cada operación es única Normalmente implica la incautación de dominios o IP además de registro de los dominios Sincronización es esencial para el éxito de un BOTNET takedown