docRoberto Martínez - b:Secure Conference
download 
Demanda Transcripción
Roberto Martínez - b:Secure Conference
APT's en Profundidad Diseñando Estrategias de Defensa Roberto Martínez Security Researcher for La?n America | Global Research and Analysis Team (GReAT) "Internet es lo primero que la humanidad ha construido y no en?ende, el experimento más grande de anarquía que hemos tenido." Eric Schmidt AMENAZAS GLOBALES Present Threats to the Global Supply Chain LAS CIBER-‐AMENAZAS SE REINVENTAN Ploutus Give me the Money! Imagen SpiderLabs NUEVAS REGLAS ESTADISTICAS ANUALES INCIDENTES .GOV, .COM ATAQUES DIRIGIDOS, BLANCOS ESPECIFICOS Backdoor.OSX.Morcut -‐ Backdoor.Win32.Korablin AMENAZAS DESCUBIERTAS POR KASPERSKY EN 2013 AMENAZAS DESCUBIERTAS POR KASPERSKY EN 2013 ICEFOG – LOS CIBER-‐MERCENARIOS Pequeños equipos asignados por Projecto Tac?cas de contratacion por evento Obje?vos claramente perfilados y definidos THREAT INTELLIGENCE – DETECTANDO LO INDETECTABLE EL PODER DEL ANONIMATO ANALISIS PREDICTIVO, SER PROACTIVOS Nuestra postura en Seguridad es solamente Reaccionar Fuente: hhp://www.recordedfuture.com ANTECEDENTES, COMPORTAMIENTOS, CONSECUENCIAS OSINT Inteligencia de Fuente Abierta (OSINT) Es información que se obtiene de fuentes de disponibles de manera publica. • Medios • Redes Sociales • Sitios web • Contenidos Generados por usuarios • Sitios corporativos • Sitios Academicos RESPUESTA A INCIDENTES • Iden?ficación de patrones anormales • Monitorear no solo lo que entra, sino muy importante lo que sale de la red DEMO THREAT INTELLIGENCE FRAMEWORKS MISP -‐ Malware Informa5on Sharing Pla9orm IOC FILE SAMPLE <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/ XMLSchema" xmlns="http://schemas.mandiant.com/2010/ioc" id="72669174dd77-4a4e-82ed-99a96784f36e" last-modified="2012-01-05T02:49:14"> <short_description>DUQU (METHODOLOGY)</short_description> <description> Indicator for the duqu trojan. The initial duqu driver will decode and inject a dll (marked as .pnf) into a system process (usually services.exe). The injected dll contains another dll encoded within it's resource section which it will inject into other processes as identified within its encoded configuruation file (another .pnf file). This second injected dll is responsible for all backdoor/C2 communication. </description> <authored_by>MANDIANT</authored_by> <authored_date>2011-10-21T16:13:31</authored_date> <links> <link rel="caveat">Methodology</link> </links> <definition> <Indicator operator="OR" id="9fd46693-ee1c-4d31-b732-35bf952651e3"> <Indicator operator="AND" id="e4deb0af-7558-498e-b953-6e70ec694767"> <IndicatorItem id="d5b29cfe-8599-498a-b805-326273fe10c5" condition="contains"> <Context document="FileItem" search="FileItem/PEInfo/DigitalSignature/ CertificateSubject" type="mir"/> <Content type="string">C-Media Electronics Incorporation</Content> </IndicatorItem> <IndicatorItem id="1ca2947c-0b26-409c-93d2-28f6b364bc0b" condition="contains"> <Context document="FileItem" search="FileItem/FileName" type="mir"/> <Content type="string">cmi4432.sys</Content> </IndicatorItem> Source: hhp://openioc.org MODELO DE INTELIGENCIA DE AMENAZAS VIVIMOS UNA NUEVA REALIDAD VIVIMOS UNA NUEVA REALIDAD VIVIMOS UNA NUEVA REALIDAD RECURSOS • hhp://www.kaspersky.com • hhp://www.securelist.com • hhp://threatpost.com • hhp://www.openioc.org/ • hhp://taxii.mitre.org/ • hhp://s?x.mitre.org/index.html • hhp://hackmageddon.com/ • hhps://www.recordedfuture.com • hhps://github.com/MISP/MISP • • • • Eugene Kaspersky -‐ @e_Kaspersky Cos?n Raiu -‐ @craiu Dmitry Bestuzhev -‐ @dimitribest Kaspersky Mexico -‐ @kasperskyLabMex MUCHAS GRACIAS! Roberto Martínez [email protected] Twiher: @r0bertmart1nez About me: hhp://r0bertmart1nez.mx Security Researcher for La?n America Global Research and Analysis Team (GReAT)
