Detección de APTs

(Publicamos hoy un informe sobre detección de APTs elaborado por el CSIRT-CV e INTECO-CERT cuyos autores son dos de nuestros compañeros: Jose Miguel Holguín y Maite Moreno (S2 Grupo) por parte de CSIRT-CV y Borja Merino por parte de INTECO-CERT. Todos ellos son coautores habituales de este blog).

Cuando se habla de ataques de APT se habla de organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están lo suficientemente bien financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

Su detección por tanto es de una extrema dificultad (Véase este enlace sobre amenazas persistentes avanzadas). Algunas fuentes (Véase este enlace sobre Foros DINTEL de AA.PP. Seguridad vs Ciberdelincuencia) hablan de un nivel de detección no superior al 25%:

  • Usan firmas de ataque único, novedosas y de gran creatividad, difíciles de correlacionar con las de los ataques conocidos. Este tipo de ataques están diseñados para evadir las soluciones antimalware e IPS existentes en el mercado (Véase The Undetectables: How ‘Flame’ highlights the failure of antivirus), ya que no suelen comportarse como el malware tradicional y además son creados específicamente para la organización objetivo, previo estudio de sus posibles debilidades.
  • El hecho de que el malware pueda mantenerse oculto, ya esté activo o latente, y que la campaña de ataques APT sea habitualmente distribuida en largos periodos de tiempo y no sea periódica, hace que sea complicado correlacionar alertas basándonos en los datos de fechas/horas.
  • El tráfico de datos que se establece suele ser encubierto a través de cifrado, esteganografía, compresión, técnicas de CovertChannels o cualquier otro tipo de métodos que permitan ocultar la ilegitimidad de ese tráfico (incluso es posible que utilicen servicios públicos y dominios comunes como Twitter, Facebook, Google Translator, etc.); las conexiones no lícitas de los servidores son muy difíciles de detectar y es muy complicada la identificación de la red atacante.

En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de la seguridad, y son prácticamente inevitables para la mayoría de las organizaciones, y es por ello que la cuestión principal que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de la seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Es por ello que, con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV e INTECO-CERT han colaborado para la elaboración de un informe titulado “Detección de APTs”.

Los objetivos que pretende alcanzar este informe son los siguientes:

  • Constatar la importancia e implicación que tienen las APT en la seguridad nacional, tanto a nivel gubernamental, militar como en los sectores de defensa, empresarial o financiero, y el alto riesgo que conlleva que puedan verse afectadas infraestructuras críticas como centrales nucleares o de telecomunicaciones, redes eléctricas, suministros de agua, puertos, comunicaciones ferroviarias o aéreas, etc.
  • Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques. Mostrar a nivel técnico y en profundidad como es el ‘modus operandi’ de algunos ejemplos de campañas de APT.
  • Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características; se mostrarán los distintos tipos de infecciones existentes a través de malware, las técnicas de ingeniería social más usadas, los medios físicos como una importante vía de infección, el creciente mercado de exploits o los Web basedAttacks.
  • Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características. Se destacará la importancia de un elemento de red tan crítico como es el Firewall corporativo y como proceder para llevar a cabo un adecuado análisis de tráfico con el objetivo de detectar patrones de comportamiento que puedan hacer saltar nuestras señales de alarma frente a una intrusión (detección de anomalías en la red y en capturas de tráfico, métodos de correlación/estadísticos, técnicas de CovertChannels, etc).

El informe “Detección de APTs” puede ser descargado bien del portal Web de CSIRT-cv o desde el portal de INTECO-CERT.

Comments

  1. Buenas tardes;

    Antes de nada, felicidades por el informe, un gran trabajo, como siempre. Al final he tardado dos días en leerlo y ahora, que quiero comentar algunas cosillas, me sorprendo ser el primero en hacerlo.

    Por una parte, me pregunto si este informe tiene que ver con el que ‘supuestamente’ publicó el CCN-CERT sobre ‘Recomendaciones generales ante un APT’ ( ¿¿ pique entre CERTS ?? jejeje :-p )

    Sin ánimo de ‘flamear’ y aunque sobre detección de APT se puede escribir mucho y yo no soy un entendido, creo que se deja en el tintero otros ataques simples como icmp-redirect, wpad, etc. tecnologías como voip o incluso procesos que deberían existir en cualquier organización medianamente concienciada como puede ser detección de vulnerabilidades ( bueno, se toca Nessus pero se me viene a la mente una serie de artículos de Carnal0wnage, from low to pwned -Cómo desde cosas aparentemente inocuas se puede llegar a más- ) o revisión de configuraciones ( ese compañero sysadmin que o bien por las prisas o bien por exigencias de la dirección para cumplir objetivos, deja una pobre configuración o credenciales por defecto ).

    Como digo, no pretendo desprestigiar el gran trabajo hecho, únicamente comentar que hay más cosas que se pueden hacer para que el compañero iniciado en estos temas no se centre únicamente en las indicadas.

    Nosotros desplegamos la mayoría de las medidas citadas ( como por ejemplo dionaea, kippo, arpwatch, centralización de logs, ntop, snorts, ossec, honeytokens, dhcpsnooping, etc), implantamos procesos como análisis de vulnerabilidades, revisión de configuraciones; contratamos servicios de pentest y desplegamos otras medidas como filtrado de aplicaciones, filtrado http/https, filtrado por geolocalización (cortar accesos a .ru por ejemplo ),monitorización DNS ( Gracias Jvila !!, a ver cuando la tercera parte :-p ) manteniéndo la mayoría de ellas pero teniendo que abandonar algunas por falta de recursos, personal y tiempo.

    ¿ A dónde pretendo llegar con el párrafo anterior ?. Pues que se podría incluir algún apartado específico para la dirección o bien, escribir algún informe del tipo “Guia dummy para concienciar verdaderamente a la dirección en temas de seguridad TIC”. Lo reconozco, soy incapaz de hacer ver a la dirección que tienen que mantener estas medidas y tener personal dedicado al 100% en temas de seguridad, me falta esa ‘palabrería’ de comercial (sin ofender) con el que hacer cambiar de actitud a la dirección; total, si en 20 años no ha pasado nada por qué montar tanto tinglao, además, eso les pasa a los otros :-(

    En fin, gran trabajo!

    PD: Os voy a tener que pasar la cuota del terapeuta, últimamente me desahogo más con ustedes que con él !!

  2. Maite Moreno says

    Hola Javi,

    Muchas gracias por las felicitaciones, por leerte el informe y por tu opinión.

    Respecto a lo que comentas de otras publicaciones que otros CERTS hayan realizado relacionadas con este tema solo comentar que es un tema de actualidad y que es normal que en estos momentos empresas de seguridad (como la nuestra S2 Grupo) y CERTS investiguen, elaboren y realicen guías/informes/recomendaciones para abordarlo desde diferentes perspectivas; sea la prevención, concienciación o detección. En nuestro caso concreto llevamos trabajando INTECO/CSIRT-CV bastante tiempo en este informe, pero la carga de trabajo y la falta de personal hacen que se prioricen otras tareas y a veces este tipo de informes tardan en ver la luz con la rapidez que nos gustaría. Queríamos darle un enfoque basado eminentemente en la detección, no en la prevención ni en la concienciación.

    Por supuesto que sobre APTs hay mucho que escribir y quizá se nos haya quedado algo en el tintero, pero la idea no era “abarcar TODOS los ataques existentes”, sino centrarse en los que habitualmente han utilizado APTs conocidas (comentamos por ejemplo que todas las APTs estudiadas a día de hoy -salvo en el caso Stuxnet que fue vía USB – la vía de entrada fue por un Spear-Phishing Attack, con lo cual intentamos hacer más hincapié en mencionar esa vía de entrada y no otra), o podrían utilizar. También indicamos que se tratan de recomendaciones básicas a añadir a las que ya pudiéramos utilizar que pueden ayudarnos para descubrir anomalías; a veces simplemente sacándole partido a un Firewall bien configurado, con un Passive DNS, una Darknet o instalando un simple NTOP para estudiar las estadísticas del tráfico podemos sacar mucha información sobre lo que está sucediendo en nuestra red y sin embargo, son carencias con las que nos encontramos cada día en las empresas/organismos y por eso nos hemos centrado en citar ese tipo de herramientas/técnicas y no otras. Eso no quita que, como también indicamos, aparezcan nuevos métodos de ataque o se aprovechen otros ya existentes y que no hayamos citado. Todo lo que se puede hacer en temas de detección es tan amplio que había que ACOTAR por algún lado :)

    Respecto a concienciar a “la Dirección”, estoy completamente de acuerdo contigo en lo que dices y en lo recurrente que es el pensamiento de “…esto le pasa a otros…”. Como he comentado, aunque el objetivo principal del informe no era concienciar, en mi opinión creo que en el punto 3 del informe (Implicación en la Seguridad Nacional) hablamos de que en la nueva Estrategia de Española de Seguridad ya se habla de que el ciberespacio se forja como un “nuevo campo de batalla” en el que las amenazas que surgen del mismo son capaces de ocasionar daños tan graves como para paralizar la actividad de un país. Se contextualiza históricamente además algunos de los ataques dirigidos más conocidos desde los años 80 hasta la actualidad (es decir, EXISTEN PRECEDENTES), en los que se cita que entre los afectados aparecen sitios gubernamentales, bancos, empresas o centrales nucleares… no solo se habla de una implicación directa de los ciberataques dirigidos en la Seguridad Nacional por el daño a infraestructuras críticas, sino también se habla de daño al sistema financiero o el ciberespionaje industrial como consecuencia de este tipo de ataques que repercuten directamente no solo en la Seguridad Nacional, sino también en una pérdida muy IMPORTANTE de dinero por parte de los afectados (costes de remediación, pérdida de confianza, coste reputacional, pérdida de oportunidades de negocio…etc.) … a mi modo de ver, hacer llegar toda esta información a “Dirección” de una empresa/organismo es una forma de CONCIENCIARLA y que apuesten por la prevención/detección a priori; saber que ya existen precedentes de empresas/organismos atacados, que éstos además han salido seriamente perjudicados a nivel económico y reputacional y que el número de ataques dirigidos cada año que pasa aumenta y se sofistica – por no hablar de tendencias emergentes y ‘polémicas’ como BYOD, BYOT,BYOD, “Internet de las cosas”…- puede ser una buena base de partida para que “Dirección” estime estas amenazas de manera seria y sean capaces de invertir en seguridad.

    De nuevo te doy las gracias por leerte el informe y por tu opinión, por seguirnos en Security Art Work y no te olvides por supuesto de pasarnos la cuota del terapeuta o en su defecto un jamón por Navidad ;D

    Un saludo,

    PD: Si te apetece seguir “desahogándote” siempre puedes escribirnos un post sobre alguna inquietud que te ronde la cabeza. Por cierto, ahora le presiono a JVila -que lo tengo aquí a mi lado- para que saque ya la tercera parte del Passive DNS :)

  3. Detección de APTs | Security Art Work , es interesante, desde que os recibo no puedo parar de mirar todas vuestras sugerencias y me alegra cuando recibo uno más, sois lo mejor en español, me encata vuestra presentación y el curre que hay detrás. Un beso y abrazo,GRACIAS POR VUESTRO TRABAJO, nos alegrais la vida.

Trackbacks

  1. […] (Publicamos hoy un informe sobre detección de APTs elaborado por el CSIRT-CV e INTECO-CERT cuyos autores son dos de nuestros compañeros: Jose Miguel Holguín y Maite Moreno (S2 Grupo) por parte de C…  […]

  2. […] ya se publicó en el informe “Detección de APTs” (páginas 122 y siguientes), existen diferentes técnicas que una organización puede utilizar […]