la internet - Level 3 Communications

Transcripción

PROTEGIENDO
LA INTERNET
INFORME DEL ESTUDIO DE BOTNETS DE LEVEL 3
JUNIO DE 2015
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
ACTUALMENTE, NINGUNO DE NOSOTROS ESTÁ INMUNE AL IMPACTO DE BOTNETS
EN ORGANIZACIONES CONECTADAS A INTERNET.
Existe una amplia validación de que monitorear los estándares de comunicación entre servidores de comando y
control y sus víctimas potenciales es fundamental. Creemos que adoptar un abordaje proactivo al rastrear el
comportamiento de botnets puede generar una inteligencia en amenazas que es verdaderamente accionable. Las
botnets que son usadas para ataques de DDoS están creciendo, así como los demás tipos. Este informe examina las
causas potenciales del aumento de esos tipos de ataque, el perfil de las víctimas por sector y geografía, puertas y
protocolos comúnmente enfocados y varias otras características de las botnets.
Analizamos más detalladamente las botnets que son usadas específicamente para implementar malware (tales como
los recién descubiertos SSHPsychos y PoSeidon) para obtener insights sobre los modelos de amenazas complejos
y opciones de protección. Esos casos de uso sirven para aumentar la concientización de lo que las organizaciones
deben esperar de sus proveedores de servicios de red, y destacan la necesidad de mayores niveles de asociación y
colaboración en toda la comunidad de seguridad para proteger la Internet de manera más eficaz.
Esperamos que usted considere esta encuesta como un recurso valioso en sus esfuerzos para proteger su organización, y
el mundo conectado.
Chris Richter
Vicepresidente Senior de Servicios de Seguridad Administrados
Level 3 Communications
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
SUMARIO EJECUTIVO
La inteligencia en amenazas sólo es útil si usted puede actuar rápidamente para proteger redes, sistemas
y datos. Las organizaciones actuales enfrentan un alto volumen de eventos de seguridad generados por el
ecosistema de sus soluciones de seguridad no colaborativas. No es una cuestión de recibir inteligencia sobre
los ataques, sino sí: ¿Qué datos se deben usar para identificar indicadores de amenazas de seguridad críticas?
Como un proveedor de servicios de red global, Level 3 posee una visión amplia del tráfico mundial de
Internet y una visión amplia de los riesgos. Nuestro equipo de Operaciones de Seguridad 24/7™, un grupo de
profesionales de seguridad entrenados, monitorea cerca de 45 mil millones de sesiones de NetFlow por día
para proteger nuestra red. Con un amplio espectro de comunicaciones bidireccionales vía Internet, el equipo
ve cómo computadoras de las víctimas en todo el mundo se conectan con malhechores. Diariamente, nuestro
equipo de seguridad monitorea cerca de 1.3 mil millones de eventos de seguridad y mitiga aproximadamente
22 ataques distribuidos de negación de servicio (DDoS). El equipo identifica, y remueve, en promedio una
red de servidores de comando y control (C2) por día. El objetivo es compartir insights sobre el escenario de
amenazas globales bajo la perspectiva de Level 3, y ofrecer las mejores prácticas para proteger efectivamente
los activos de información.
En nuestro estudio, prestamos especial atención a las tendencias en el comportamiento de las botnet, ataques de
DDoS y malware. Agentes maliciosos utilizan esas herramientas para adquirir el control de los activos de la empresa
y transformarlos en terminales comprometidos. Ellos utilizan esas máquinas infectadas para distribuir malware,
interrumpir negocios, establecer penetración de sistemas y robar propiedad intelectual de las empresas (exfiltración).
De las cerca de 1.000 redes C2 que monitoreamos durante el primer trimestre de 2015, constatamos que más de 600
están siendo usadas para comunicaciones maliciosas focalizando los ambientes corporativos. Si nada fuere hecho, esas
redes C2 tienen el potencial de afectar los negocios y destruir activos de información críticos.
Obtuvimos datos sobre amenazas a partir de muestras de flujos de comunicación en toda nuestra red
diariamente. Correlacionamos esos datos con el banco de datos de reputación de Level 3, que genera
clasificaciones de riesgo con base en un esquema de puntuación de amenazas. Ese esquema de puntuación
de amenazas es derivado de los sistemas de Servicios de Seguridad Administrados de Level 3SM, estudio
algorítmico en el NetFlow y feeds de datos de reputación de terceros.
Esos datos de comunicaciones de amenazas en toda la Internet complementan otras fuentes de información, tales
como honeypots, que ayudan a los profesionales de seguridad a proteger sus datos, sistemas y redes mundialmente.
Con esos datos sobre amenazas, tomamos acciones en nuestro backbone, en las redes de nuestros
clientes y en Internet, si necesario, para mitigar y prevenir diversos tipos de ataque. En este informe,
vamos a discutir nuestros hallazgos y acciones con base en nuestro trabajo con esa inteligencia
y análisis.
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
ÍNDICE
El peligro más extraño: la importancia de monitorear las comunicaciones
bidireccionales..................................................................................................... 5
Nociones básicas sobre botnets......................................................................... 5
Alerta de tendencias: Migración a la nube ........................................................ 6
El escenario de ataques de C2............................................................................ 6
Victimización generalizada................................................................................. 8
Cuál es el tamaño de una botnet? ................................................................... 11
Reducción del riesgo por medio del control de botnets .................................. 12
Malwares SSHPsychos ..................................................................................... 13
Alerta de tendencias: Ataques de negación de servicio .................................. 15
Malware PoS: PoSeidon ................................................................................... 19
Palabras finales y recomendaciones................................................................ 21
GRÁFICOS:
10 principales países de ataque mundialmente ................................................ 6
10 principales países de ataque en Europa........................................................ 7
10 principales países de ataque en América Latina........................................... 8
10 principales países víctimas mundialmente .................................................. 8
10 principales países víctimas en Europa . ........................................................ 9
10 principales países víctimas en Asia............................................................... 9
10 principales países víctimas en América Latina .......................................... 10
Tendencia de las víctimas de C2 ...................................................................... 11
Tráfico SSHPsychos SSH (Cisco Talos) . ........................................................... 13
Tráfico Level 3 SSH (Cisco Talos) ..................................................................... 13
Ataques de DDoS por región ............................................................................ 15
Ataques de DDoS por sector............................................................................. 15
Tendencia de tráfico de DDoS .......................................................................... 16
Tendencia de tráfico de NTP ............................................................................ 17
Tendencia de tráfico de DNS............................................................................. 17
Tendencia de tráfico de SSDP .......................................................................... 18
Tendencia de tráfico de CHARGEN................................................................... 18
PROTEGIENDO
LA INTERNET
NOCIONES BÁSICAS
SOBRE BOTNETS
Los botnets son grupos de programas
conectados a Internet que quedan en
varios dispositivos y que se comunican
entre sí para realizar tareas. Esos
dispositivos pueden ser servidores Web,
computadoras personales o de trabajo,
dispositivos móviles o cable módems.
Las funciones de las botnets incluyen
identificar nuevos blancos, exfiltrar datos,
distribuir software malicioso (malware,
tales como virus, worms y keyloggers),
robar informaciones personales o
propiedad intelectual, o atacar otros
blancos (por ejemplo, ataques de DDoS).
La mayoría de las máquinas que forman
parte de la botnet también son máquinas
infectadas. Ellas son infectados por medio
de una serie de métodos, incluyendo
e-mails de phishing, visitas a páginas
comprometidas o instalación de softwares
comprometidos.
Los servidores de comando y control (C2s)
son los cerebros de las operaciones. Los
C2s emiten instrucciones para que las
máquinas infectadas ejecuten una tarea,
como un ataque.
Las formaciones comunes para
botnets son:
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
EL PELIGRO MÁS EXTRAÑO: LA IMPORTANCIA DE
MONITOREAR LAS COMUNICACIONES BIDIRECCIONALES
CON BOTNETS DE COMANDO Y CONTROL.
Las comunicaciones de C2s son una indicación directa del potencial de riesgo
o compromiso. Entre los métodos utilizados para generar nuestra inteligencia
sobre amenazas están monitorear y analizar los estándares de comunicación
bidireccional de C2s. Con clientes en más de 60 países abarcando seis
continentes, Level 3 tiene una visión excepcional del mundo conectado y de
los agentes maliciosos que intentan comprometer el flujo de informaciones
de negocio críticas. Bajo nuestro punto de vista de la Internet global, el equipo
tiene visibilidad sobre el ámbito del control de esos agentes maliciosos y del
número de víctimas afectadas — o riesgos potenciales. Vemos el alcance
y daño de las fuentes de amenazas y, al mismo tiempo, determinamos los
impactos para los servidores o hosts individuales. En el primer trimestre,
comunicaciones de C2s significativas provenientes de puntos en países como
Ucrania, Rusia y Holanda enfocaron víctimas potenciales en los Estados
Unidos. Nuestras técnicas de análisis nos permiten ver el movimiento de
esos agentes y tomar medidas contra aquellos que representan una amenaza
para nuestra red. Las botnets no quedan paradas. En el caso de uso del
SSHPsychos, vamos a discutir cómo usamos datos de comunicaciones para
monitorear esas amenazas sofisticadas en toda la Internet.
A los fines del presente informe, definimos una “víctima” como cualquier terminal
que se comunica con el C2. La víctima puede ser el blanco con la intención de
extraer datos de ella. La víctima también puede ser usada como una botnet,
ayudando en las actividades del C2 para alcanzar otras víctimas. Muchas botnets
están frecuentemente hospedadas en dominios legítimos para evitar la detección
por investigadores y resistir el filtrado de blackhole. Dominios legítimos altamente
traficados son, obviamente, mecanismos de distribución útiles para malware
y phishing.
Servidor único: Un C2 gerencia
todas las máquinas infectadas. Esa
configuración simple proporciona
comunicación confiable, de baja latencia.
Una vez descubierta, es fácil derribarla.
Varios servidores: Diversos C2s son
combinados para obtener redundancia.
Jerarquía: Diversos C2s en una
configuración dividida posibilitan múltiples
tareas y ayudan a ofuscar la escala de la
botnet de los investigadores.
Peer to Peer: Las comunicaciones bot a
bot son más difíciles de rastrear
y derribar.
A LOS FINES DEL PRESENTE INFORME, DEFINIMOS UNA “VÍCTIMA”
COMO CUALQUIER TERMINAL QUE SE COMUNICA CON EL C2. LA
VÍCTIMA PUEDE SER EL BLANCO CON LA INTENCIÓN DE EXTRAER
DATOS DE ELLA. LA VÍCTIMA TAMBIÉN PUEDE SER USADA COMO UNA
BOTNET, AYUDANDO EN LAS ACTIVIDADES DEL C2 PARA ALCANZAR
OTRAS VÍCTIMAS. MUCHAS BOTNETS SON FRECUENTEMENTE
HOSPEDADAS EN DOMINIOS LEGÍTIMOS PARA EVITAR LA DETECCIÓN
POR INVESTIGADORES Y RESISTIR AL FILTRADO DE BLACK HOLE.
ARQUITECTURAS LEGÍTIMAS ALTAMENTE TRAFICADAS SON,
OBVIAMENTE, MECANISMOS DE DISTRIBUCIÓN ÚTILES PARA MALWARE
Y PHISHING.
5
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
ALERTA DE TENDENCIAS: MIGRACIÓN A LA NUBE
De la misma forma que empresas comerciales y otras organizaciones legítimas, los cibercriminales
están percibiendo los beneficios de desarrollar instancias en máquinas virtuales. Los proveedores
de nube, en algunos casos, exigen una validación de datos limitada para configurar una cuenta. Una
cuenta simple en PayPal® o una tarjeta de crédito robada (pero aún válida) puede ser utilizada como
medio de pago para esos servicios. Establecer máquinas virtuales (VMs) falsas en proveedores de
servicios de nube del tipo infraestructura como servicio (IaaS) es, por tanto, un modelo atractivo
para esos “clientes”. Por tanto, creemos que la proporción de malhechores que infectaron servidores
legítimos versus aquellos que crearon bots en máquinas virtuales falsas está cambiando en favor
de la implementación de máquinas virtuales (VMs). La flexibilidad para implementar y derribar
instancias de VM, así como ampliar fácilmente una implementación, torna la computación en nube
del tipo IaaS una solución perfecta para el comercio en negro
EL ESCENARIO DE ATAQUES DE C2S: PRINCIPALES AGENTES MALICIOSOS
Geografías con infraestructuras de comunicaciones robustas continúan siendo un suelo fértil para
los C2s. Esos lugares también están globalmente cerca de blancos ricos del sector industrial y
público para cibercriminales y agentes deshonestos del estado-nación. Es importante observar: el
instigador final del ataque puede no estar localizado en las mismas áreas geográficas de alto tráfico.
Los principales agresores abarcan el mundo entero. En el primer trimestre, en promedio, los
Estados Unidos lideraron todas las naciones en la generación de tráfico de C2. Los Estados Unidos
poseen una riqueza de infraestructura propicia para la realización de ataques. Su proximidad con
blancos valiosos domésticamente e internacionalmente lo torna un lugar altamente deseable para
que los criminales establezcan un punto de control bien conectado y estable.
10 PRINCIPALES PAÍSES
QUE GENERAN TRÁFICO DE C2 MUNDIALMENTE
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Estados Unidos
Ucrania
Rusia
Holanda
Alemania
Turquía
Francia
Reino Unido
Vietnam
Rumania
8 4
1
7 10
5 2 6
3
9
Fuente: Level 3SN Threat Research Labs, 1o trimestre de 2015
6
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
Desde una perspectiva global, Holanda ocupó una posición más alta en relación con otros países
de Europa continental. Esta posición en los “Top 10” se debe a un gran C2 y port scanner pesado
que alega haber hecho diversas víctimas en la región nórdica. Holanda ofrece una infraestructura
robusta, tornándola ideal para centralizar botnets para la región.
Aunque las naciones en todo el mundo estén representadas en la lista de los 10 principales infractores
globales, las regiones que generan los mayores niveles de tráfico de C2 son Europa y los Estados
Unidos. Un promedio de 20 por ciento de los C2s que monitoreamos estaban basados en América del
Norte, con un número prácticamente igual operando en Ucrania y Rusia juntas. Europa Occidental1 y
el Reino Unido contribuyeron con más de 12 por ciento del tráfico de C2. América Latina fue la fuente
de solo 2 por ciento del tráfico total de C2.
Comunicaciones no comunes para esos países deben ser alertas automáticos para las organizaciones
de TI y de seguridad. Un análisis sobre si los servidores deberían estar comunicándose, autenticando
o transfiriendo datos con terminales en determinados países de alto riesgo puede ser un predictor de
amenazas potenciales a su ambiente o un indicador de un compromiso potencial.
QUE GENERAN TRÁFICO DE C2 EN EUROPA
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
1
Ucrania
Rusia
Holanda
Alemania
Francia
Reino Unido
Rumania
España
Suiza
Italia
6
8
9
10
3
7
4
5
1
2
La composición macrogeográfica es definida de acuerdo con la División de Estadísticas de las Naciones Unidas de 2013
7
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
QUE GENERAN TRÁFICO DE C2
EN AMÉRICA LATINA
1.
2.
3.
4.
Panamá
Argentina
Brasil
México
4
1
3
2
VICTIMIZACIÓN GENERALIZADA
Quiénes son los blancos de estos C2S y dónde ellos están localizados? En el primer trimestre de 2015,
Noruega recibió el mayor tráfico de víctimas en todo el mundo. Esto puede parecer sorprendente,
tanto desde una perspectiva global como regional. El volumen de C2 en Noruega fue un reflejo de
un C2 hospedado en un ambiente de hospedaje Web específico, lo que causó un aumento acentuado
en el tráfico de C2 identificado. Identificamos un exceso de comunicaciones de botnets nórdicos
con C2s — 22 por ciento del promedio global del tráfico de víctimas. En comparación, las víctimas
británicas representaron 2 por ciento y el Sur de Europa2 representó 11 por ciento del promedio
global. El alto volumen de tráfico de ataque en Holanda está relacionado con el tráfico de víctimas
en Noruega y Suecia. La proximidad con el blanco desempeña un papel importante en la eficacia de
esas campañas.
QUE SE COMUNICAN MUNDIALMENTE CON C2
s
2
1. Noruega
2. Estados Unidos
3. España
6. Ucrania
7. China
8. Paquistán
4. Suecia
5. Turquía
9. Polonia
10. Egipto
La composición macrogeográfica es definida de acuerdo con la División de Estadísticas de las Naciones Unidas de 2013.
8
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
EN EUROPA QUE SE COMUNICAN CON C2s
1. Noruega
6. Rusia
2. España
7. Alemania
3. Suecia
8. Reino Unido
4. Ucrania
9. Grecia
5. Polonia
10. Francia
Los países del Este y Sudeste de Asia fueron los destinatarios de 7 por ciento del tráfico de víctimas
mundial, mientras Asia Occidental, Central y el Sudeste Asiático representaron 18 por ciento de ese
tráfico.
ÁSIA (OCCIDENTAL, CENTRAL,
SUDESTE)
EN
1. Turquia
6. Arábia Saudita
2. Paquistão
7. Palestina
3. Egito
8. Líbano
QUE SE COMUNICAN CON C2s
4. Israel
9. Omã
5. Jordânia
10. Iémen
9
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
Os mais atingidos. Durante el primer trimestre de 2015, los cinco principales países con mayor número
absoluto de víctimas (direcciones de IP únicos) conversando con C2s en un determinado momento durante el
trimestre incluyen:
China - 532.000 direcciones de IP únicas de las víctimas
Estados Unidos - 528.000 direcciones de IP únicas de las víctimas
Noruega - 213.000 direcciones de IP únicas de las víctimas
España -129.000 direcciones de IP únicas de las víctimas
Ucrania - 124.000 direcciones de IP únicas de las víctimas
ÁSIA (ESTE, SUDESTE)
EN
1. China
2. Vietnam
6. Indonesia
7. Tailandia
3. Taiwán
8. Filipinas
5. Japón
4. Corea del Sur
9. Malasia
10. Singapur
AMÉRICA LATINA
EN
1. Brasil
6. Colombia
2. Argentina
7. Chile
3. México
8. Perú
Fuente: Level 3
5. Equador
4. Venezuela
9. Costa Rica
SN
10. Bolivia
Threat Research Labs, 1 trimestre de 2015
o
10
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
Considerando la gran población conectada a Internet en China y Estados Unidos, no es ninguna
sorpresa que ellos sean los principales blancos. Los Estados Unidos tienen un número considerable
de víctimas públicas y privadas de interés fuertemente enfocadas por los cibercriminales y agentes
maliciosos del estado-nación. Los resultados de Noruega son consistentes con el gran evento de C2s
en la región. Los blancos en América Latina abarcan 4 por ciento de la población media global de
víctimas debido a su infraestructura de red subdesarrollada.
¿CUÁL ES EL TAMAÑO DE UNA BOTNET?
“
Número promedio
de víctimas DE C2
1,700
HOSTS INFECTADOS
“
De acuerdo con nuestro estudio, el número medio de hosts infectados por C2s es de 1.700. A lo
largo del año, acompañamos más de 1.000 C2s, que controlan millones de hosts infectados. El
elevado volumen de comunicaciones mensurables entre los C2s y sus víctimas sugiere que hay una
oportunidad para la comunidad de seguridad colaborar y reducir agresivamente el número de C2s
en Internet.
Aunque esos datos puedan parecer terribles, cuando analizados en relación a las medias del día
a día, las medidas de control de botnets utilizadas por la comunidad de seguridad de Internet y
otras organizaciones comerciales están funcionando de manera general. Como el gráfico temporal
demuestra, el volumen de víctimas por C2 disminuyó durante el trimestre de un pico de 3.763 en
enero a 338 en marzo, debido a la vigilancia en nombre de la comunidad de seguridad.
Número medio de víctimas por C2
3
Dell SecureWorks, Underground Hacker Markets, dezembro de 2014
11
PROTEGIENDO
LA INTERNET
“22%
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
EL MERCADO DE BOTNETS Y TENDENCIAS DE DIVERSIFICACIÓN
DE AMENAZAS
DE LOS
SERVIDORES C2
poseen más de
una FINALIDAD DE
AMENAZA
“
Las botnets de alquiler son un gran negocio. En los Estados Unidos, el acceso a 1.000 servidores
exclusivos cuesta USD 190 por mes3. El precio aumentó en relación a 2013, cuando el valor para el
mismo servicio era de USD 20. Los compradores en Europa no enfrentaron los mismos aumentos
acentuados, pero los precios continúan saludables. Mil botnets del Reino Unido cuestan cerca de
USD 120 por mes4. La fuerte demanda por la botnet como un servicio indica que los malhechores
la ven como un método eficaz de ataque. Esto también indica que una tendencia de comprar en
vez de construir está surgiendo para el agresor menos sofisticado. Los Laboratorios de Estudios
de Amenazas de Level 3 constataron que 22 por ciento de los servidores de C2 realizan más de una
función. Más probablemente, muchas de esas botnets son de naturaleza comercial, y forman parte
de un negocio diversificado. Por ejemplo, ellas pueden tener diversos fines de lucro, tales como
distribución de malware, ataques de DDoS y servicios de phishing.
La buena noticia para la comunidad de seguridad es que plataformas comerciales multiuso son
más frecuentemente construidas y en una estructura plana. Aunque esa configuración pueda ser
altamente eficiente para el propietario de la botnet, ella facilita la identificación de esas operaciones
por los investigadores, así como su cierre por los operadores de red. Sin embargo, sería ingenuo dejar
de prever que esas operaciones de botnets no reinvertirían sus lucros en arquitecturas más robustas
para resistir a las descubiertas. La operación de botnets es un negocio de lucro una configuración
simple. Los costos operacionales para crear, mantener y mover una botnet, una vez desmovilizada,
son bajos. Las botnets bloqueadas pueden volver a quedar on-line, muchas veces en algunas horas
después de su cierre.
Monitorear la finalidad de la amenaza de una C2 es fundamental, pues esos datos pueden
servir como un predictor del riesgo. Es importante conseguir determinar si los servidores están
comunicándose con botnets que son operados para funcionar con fines específicos, para que
uno pueda reaccionar para interrumpir la amenaza. La mitigación puede ser tan simple como
bloquear los e-mails de esos terminales infectados para evitar el phishing, o puede significar
algo mucho más complejo para evitar la infección.
“
Edad media de
un C2:
38 dias
“
REDUCCIÓN DEL RIESGO POR MEDIO DEL CONTROL DE BOTNETS
Entender las características de los agentes de las amenazas ayuda a las organizaciones y la
comunidad de seguridad a manejar los riesgos actuales, y establecer contramedidas. ¿Cómo estas
tácticas están dándose en la guerra contra los C2s? Una de las metodologías que Level 3 utiliza para
determinar el nivel de eficacia de las mitigaciones es monitorear la edad media de un C2. El objetivo
es reducir el período de tiempo en el cual los C2s sobreviven en Internet, aumentando los costos
y cargos de la explotación de una botnet. Nuestra investigación muestra que la edad media de un
C2 para el primer trimestre de 2015 fue de 38 días, valor que se mantuvo constante en relación al
trimestre anterior. La expiración de un C2 puede ser causada por cuenta propia, remoción por una
primera parte o remoción por un tercero. Una remoción por la primera parte se refiere a la situación
en la cual el propietario del host que actúa como un C2 descubre la infección y remueve el malware.
En algunos casos, el propietario del servidor puede inadvertidamente quebrar la persistencia del
malware actualizando el software o aplicando patches. Y en una remoción por terceros, un prestador
de servicios impide la conectividad entre el C2 y la botnet al bloquear el DNS o direcciones de IP.
3
Dell SecureWorks, Underground Hacker Markets, dezembro de 2014
4
Ibid
12
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
CASO DE USO
SSHPSYCHOS: UN ABORDAJE COLABORATIVO
PARA EL CONTROL DE BOTNETS
Al final de marzo de 2015, Level 3 inició discusiones con el
Grupo Cisco Talos sobre cómo trabajar en conjunto para
mitigar un malware y rootkit Linux utilizado para ataques de
DDoS. Esa amenaza específica fue documentada en el blog
Malware Must Die! en septiembre de 2014, y persistió más
de cuatro meses después, cuando FireEye, una empresa que
ofrece análisis forense automatizado de amenazas, identificó
un gran ataque de fuerza bruta de SSH que intentaba cargar el
mismo malware. El Grupo Cisco Talos continuó monitoreando
la amenaza y, a mediados del primer trimestre, los honeypots
de Talos registraron nuevas tentativas de autenticación de
fuerza bruta de un único agresor que de todos los otros hosts
juntos.
Los datos de la red de Level 3 confirmaron la escala masiva
que ese agresor individual, ahora conocido como SSHPsychos,
alcanzó en comparación con el tráfico de Internet de SSH
global. Algunas veces, ese agresor fue responsable por más
de 35 por ciento del total de tráfico SSH en Internet.
A lo largo de un período de dos semanas en el final de marzo
e inicio de abril, el Equipo de Estudio de Amenazas de Level 3
monitoreó un gran número de IPs barridos por los atacantes,
identificando cuáles hosts en Internet eran participantes
activos en la botnet. Después de validar la escala masiva,
el impacto y la duración de esa amenaza, ellos decidieron
que era necesario poner nuestra inteligencia en amenazas
combinada en acción.
Dom 22 de março
2015
Qua 25 de março
Fuente: Grupo Cisco Talos. VERMEJO/ROSA/LARANJA - Agresor.
VERDE - Restante de la Internet
El 7 de abril, después de seguir los protocolos adecuados,
Level 3 tomó medidas contra el SSHPsychos al realizar el
blackholing de todo el tráfico del agresor dentro de nuestra
red global. Esto aseguró que ningún tráfico para el agresor
fuese enviado por medio de la red de Level 3. El alcance de
otros operadores de red incluyó instruirlos sobre la amenaza
y solicitar formalmente su participación en la remoción
permanente de la botnet de la Internet global.
Por medio del monitoreo permanente de las acciones del
agresor, el equipo del Threat Research Labs lo observó
cambiando sus dominios de operación de barredura de SSH
con el cambio de diversas direcciones de IP de C2s y malware.
El equipo continúa monitoreando el comportamiento del
SSHPsychos por medio de su análisis algorítmico de botnets,
si la botnet intenta reaparecer.
Sáb 28 de março
Agressor
Ter 31 de março
Sex 03 de abril
Internet
13
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
OBJETIVO FINAL
Nuestro objetivo es establecer una asociación con la comunidad de seguridad para usar nuestro
estudio de amenazas y otras fuentes de datos para prever y detectar malhechores en Internet. Level 3
cree que es importante adoptar un abordaje activo y agresivo para reducir la vida de los C2 en Intenet.
Poniendo esa creencia en acción, el equipo colaboró con Cisco Talos para identificar y derribar la
botnet SSHPsychos.
MEJORES PRÁCTICAS DE MITIGACIÓN
Para un perfil técnico detallado del SSHPsychos, consulte el blog Level 3 Threat Research Labs. El
análisis de los IPs o nombres de host mencionados en el artículo asegura que uno no tendrá ningún
dispositivo comunicándose con el agresor o participando de la botnet. La publicación también incluye
los contenidos actuales del archivo de malware decodificado que puede servir como una fuente útil
para encontrar indicadores de compromiso de otros agresores.
De manera general, si uno tiene máquinas Linux que hacen funcionar SSHD en Internet abierta, no
se olvide de seguir las mejores prácticas de deshabilitar el login root en su archivo de configuración.
Sólo esa medida ya haría que ese agresor no tenga más éxito en su ambiente.
Considere también ajustes en la manera en la cual usted ejecuta su daemon SSH para evitar esos
tipos de ataques. Usar un firewall localmente en la máquina Linux para protegerse contra tentativas
de acceso desconocidas es una buena medida, cuando posible. Sin embargo, cuando ocurren
tentativas no sofisticadas, usted puede hasta incluso ejecutar el SSH en una puerta no estándar
como un método de prevención. La mayoría de los escáneres de commodity y clientes de malware no
van a procurar servicios en puertas no estándar.
También es importante asegurar que las claves tengan una complejidad mínima y que ataques
comunes de diccionario no sean eficaces contra la clave de cualquiera de los usuarios. Para ayudar
en la protección contra ese problema, anexamos en el blog las claves que ese agresor intentó,
conforme recogidas por honeypots de Cisco Talos. Usted puede criptografiar la lista y compararla
con las claves del usuario para ayudar a protegerse contra ataques potenciales.
Como una medida final, siempre recomendamos monitorear el tráfico de DNS que pasa por sus
redes para identificar anormalidades. Ese malware específico codificó IPs abiertos que podrían haber
servido como indicativo para las víctimas infectadas de que había algo anormal en su ambiente.
ALERTA DE TENDENCIAS: ATAQUES DE NEGACIÓN DE SERVICIO
Como vimos con el SSHPsychos, una vez que un ejército de botnets fuere establecido, uno de sus
propósitos puede ser el ataque de DDoS. En los últimos dos años, tanto los ataques volumétricos
como de capa de aplicación han aumentado en frecuencia. Los ataques combinados también están
creciendo. Los ataques de DDoS son eficaces cuando utilizados con otras formas de ataques que
buscan distraer a los empleados de TI en cuanto ingresan malware en los sistemas de back-end para
exfiltrar datos.
14
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
El análisis del equipo de Level 3 Threat Research Labs demuestra que la mayoría de los ataques apuntan a
blancos en los Estados Unidos. Sin embargo, los ataques de DDoS en Europa, especialmente entre aquellos
dirigidos a empresas de hospedaje en la Web, presenta una tendencia de crecimiento.
.
EMEA
REGIONAL
32%
56%
12%
EUA
LATAM
Fuente: Level 3
SN
Threat Research Labs, 1o trimestre de 2015
Desde una perspectiva vertical, el sector de juegos, los proveedores de servicios de Internet, empresas de
hospedaje Web, empresas de investigación y enseñanza y el sector financiero fueron los más afectados en el
primer trimestre de 2015.
ESCUELAS
JUEGOS
HOSPEDAJE
WEB-EMEA
PERFIL DE LA
INDUSTRIA
FINANCIERO
ISPS-EUA
OTROS
Fuente: Level 3
SN
Threat Research Labs, 1o trimestre de 2015
Durante el final de 2014 e inicio de 2015, los equipos de Level 3 Security Operations registraron un
pico en el volumen de ataques de DDoS después que amenazas de alta visibilidad conquistaran la
atención pública y promovieren un comportamiento mimético. El gran volumen de ataques aumentó
en toda la Internet global. Ya considerando una de las amenazas más accesibles disponibles para
compra en la darknet, la popularidad de los ataques de DDoS aumentó después de la temporada
de vacaciones de 2014. Un booter, o IP estresor, es un servicio de ataque que alquila eficazmente el
acceso a servidores por una tasa baja, y generalmente mensual. El servicio es muchas veces ofrecido
por capas con base en la duración del ataque, de 100 segundos a 10.000 segundos. El ampliamente
divulgado Lizard Scuad disfrutó de publicidad gratuita para su servicio de DDoS de alquiler de bajo
costo Lizard Stressor, puesto que él fue muy divulgado en la prensa popular. Por solo USD 6 por mes
en bitcoins, el usuario puede lanzar un ataque de hasta 125 Gbps por un período de 100 segundos.
Una capacidad de ataque ilimitada cuesta USD 500 por mes.
15
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
Ataques de negación de servicio
DDOS total
Linear
(SSOS total)
Contramedidas de NTP estão dando resultados. En 2014, la Internet sufrió una serie de ataques de
gran escala de negación de servicio de amplificación/reflexión basados en Network Time Protocol
(NTP). Desde entonces, el equipo de Level 3 Security Operations viene monitoreando e informando
sobre este vector de ataque. El NTP es el Protocolo de tiempo de red utilizado para sincronizar
el tiempo con las máquinas conectadas a la red en la puerta UDP 123. En esa época, el principal
método de ataque comprendía enviar un pedido de NTP válido (comando MONLIST) con la dirección
de IP de origen falsificado para coincidir con la dirección de destino de servidores NTP y forzar una
respuesta amplificada de vuelta a los servidores blanco. La mayoría de los usuarios válidos no utiliza
el comando MONLIST empleado en este ataque específico de amplificación reflexiva. El comando
retorna una lista de los últimos 600 hosts que accedieron al servidor NTP, resultando en una
respuesta varias centenas de veces mayor que el pedido original. En su auge, este ataque resultó en
ataques adicionales de amplificación con varias centenas de gigabytes de tamaño. Al final del primer
trimestre de 2015, el período de referencia, los indicadores de monitoreo de NTP muestran que las
mitigaciones globales implementadas contra ese tipo de ataque están dando resultado.
Aunque algunas de las operadoras estén observando un aumento en los ataques de reflexión y
amplificación de NTP, Level 3 implementó contramedidas de DDoS de NTP constantes en su red.
Consecuentemente, las tendencias de ataques de reflexión y amplificación de NTP en Level 3 no
presentan un cambio significativo cuando comparadas con el volumen pasado de ataques basados
en NTP para el período mostrado abajo.
Actividad de las puertas NTP
16
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
Además del NTP, algunos de los métodos de ataque de amplificación reflexiva de
DDoS incluyen DNS (puerta UDP 53), SSDP (puerta UDP 1900) y CHARJE (puerta
UDP 19). Los gráficos abajo muestran el análisis del Level 3 Threat Research
Labs de las tendencias para ese tráfico en toda la infraestructura de Level 3.
Es razonable suponer que los picos anteriores, por sobre las líneas de tendencias medias, están
relacionados con ataques de amplificación reflexiva.
Actividad en la Puerta UDP 53
17
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
MEJORES PRÁCTICAS DE MITIGACIÓN DE AMENAZAS DE DDOS
Una estrategia eficaz de mitigación de DDoS requiere una defensa multicapa basada en la red con
controles de red, capacidad de depuración robusta e inteligencia en amenazas. La implementación
de controles con su proveedor de servicios, tales como Listas de Control de Acceso (ACL), limitación
de velocidad y filtrado en su capacidad de Internet, puede ser un componente fundamental para
bloquear amenazas. Estas contramedidas pueden solucionar una buena parte de los ataques
volumétricos de Capa 3 y 4. Por ejemplo, si usted ofrece exclusivamente tráfico HTTP y HTTPS en su
link de Internet, puede usar ACLs basados en la red para limitar el impacto de ataques volumétricos
comunes usando NTP, SSDP, DNS, y otros para su superficie reflexiva.
La próxima capa de defensa exige la concentración del tráfico utilizando centros de depuración
de DDoS basados en la red. Como controles de red, usted puede usar técnicas de depuración de
DDoS para enfrentar los ataques volumétricos, y proporcionar una mayor granularidad en las
contramedidas por medio de un abordaje de ACL.
Sin embargo, considerados en conjunto, los dos abordajes pueden ser una estrategia de mitigación
potente. Antes de un ataque, establezca un punto de partida para las características de tráfico
saludables. Durante un ataque, el tráfico es encaminado hacia los depuradores (scrubbers), el tráfico
“malo” es filtrado, y solo el tráfico “bueno” recibe autorización para llegar a su destino. Idealmente,
las implementaciones de depuradores de DDoS son distribuidas regionalmente para reducir la
latencia que puede ocurrir debido a la derivación. Una implementación de ingest de alta disponibilidad
y alta capacidad también es fundamental para enfrentar picos de tráfico imprevisibles. Los centros
de depuración deben ser independientes de operadoras, lo que significa que su proveedor debe ser
capaz de depurar el tráfico independientemente de la dirección de IP de la red.
La inteligencia en amenazas puede ser la clave para prever ataques de DDoS, conforme sus botnets
comienzan a formarse en toda la Internet. Los controles de red de DDoS con alta capacidad de ingest,
plataformas de depuración y CDNs pueden absorber los ataques de fuerza bruta volumétricos.
Aunque los ataques volumétricos falsos aún sean comunes, los recursos de la plataforma de
mitigación de DDoS deben incluir funciones para diferenciar entre botnets de DDoS avanzados y
usuarios reales. La detección por medio de comunicaciones de desafío y respuesta puede identificar
botnets sobre usuarios reales. Actualmente hay un límite para esa capacidad de detección, dado
que las botnets están evolucionando para parecer más como computadoras “reales” en Internet,
presentando un comportamiento de usuario legítimo de su navegador Web. Es por eso que identificar
el perfil, monitorear y bloquear C2s es importante. El sólido conocimiento de los terminales globales
infectados puede revelarse precioso para mitigar ataques sofisticados.
VULNERABILIDADES DE PUNTOS DE VENTA: ALTA DEMANDA DE DATOS
DE TARJETAS DE CRÉDITO
La demanda del mercado negro por datos de usuarios y de tarjetas de crédito tornó el compromiso
del sistema minorista un negocio lucrativo. Para ganar dinero con esa oportunidad, los fabricantes
de malware desarrollaron un software especializado que busca comprometer el sistema de puntos
de Venta (PDV) utilizado por tiendas minoristas. En marzo de este año, el Level 3 Threat Research
Labs investigó un tipo de malware evolucionado y publicó sus conclusiones y acciones tomadas
para proteger la Internet como un recurso para la comunidad de seguridad.
18
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
DERRIBO DEL POSEIDON: VISIÓN GENERAL DEL INCIDENTE
A fines de marzo, Palo Alto y Cisco Talos divulgaron sus conclusiones sobre un nuevo malware de PDV,
el FindPOS, con base en la inteligencia de honeypots. Este malware, conocido ahora como PoSeidon,
explora los datos de tarjetas de crédito encontrados en sistemas de PDV Microsoft Windows, instala
un keylogger y, luego, transmite los datos capturados a servidores de exfiltración. La ventaja de ese
proceso es que cuando un cliente pasa su tarjeta de crédito en un sistema comprometido, los hackers
pueden obtener acceso a los datos.
Hipótesis: poco tiempo después de la publicación de ese estudio, los dominios conocidos
desaparecieron de la red. Los equipos creían que la amplia publicidad forzó el agente de la amenaza
de cambiar de posición. El equipo de Level 3 monitoreó el tráfico de red hacia las direcciones de IP
asociadas con los dominios de malware y los rastreó por medio de cambios en registros de DNS.
Puesto que es práctica común que el malware sea preconfigurado con un conjunto de dominios y
redes por medio de los cuales él pasa a evitar la detección.
Comportamiento: Después que la conexión haya sido restablecida con los C2s, el equipo observó
que el sistema infectado descarga un nuevo archivo binario que instala y ejecuta un nuevo proceso en
el host. Entre otras acciones, ese archivo FindPOS binario encuentra los datos de tarjetas de crédito
para exfiltración y captura los datos de PIN con el logger. Ese malware flexible descarga y ejecuta
actualizaciones de versión e instala nuevos paquetes de malware completamente.
Acción: Después de seguir los protocolos apropiados, el equipo del Level 3 Threat Research Labs
derribó esos servidores de control en nuestra red.
Conclusión: el equipo continúa analizando ese tipo de malware con cuidado para ayudar a asegurar
que, conforme la botnet cambia entre los dominios y configuraciones de red preprogramados, ella no
resurja en la red. El equipo monitorea esos cambios en un esfuerzo para minimizar el impacto de la
botnet en Internet, y pidió a otros prestadores de servicios de red que hagan lo mismo.
MEJORES PRÁCTICAS DE MALWARE DE PDV
Para obtener un entendimiento técnico detallado de cómo el PoSeidon funciona, consulte nuestro blog
del Level 3 Threat Research Labs: Pase la tarjeta por su cuenta y riesgo: qué usted precisa saber para
combatir el malware de punto de venta PoSeidon. Esto puede ayudar a preparar sus equipos para la
próxima variante del malware.
Los sistemas de PDV y soporte deben ser colocados atrás de un firewall configurado correctamente,
con logs y alertas habilitadas, en la medida de lo posible, tanto para la entrada como para la salida
de tráfico. Una revisión de los registros de firewall para la presencia de dominios y direcciones de IP
mencionados en nuestro blog podrá permitir la localización y aislamiento de sistemas comprometidos
por el PoSeidon. La inclusión de los registros de búsquedas de DNS en los dominios codificados
identificados en el blog es recomendada como una capa adicional de protección.
En este caso específico, la exfiltración ocurre por medio de la puerta 80, que es generalmente usada
para acceder a páginas de internet. Usted debe bloquear los firewalls de PDV para permitir solo
el tráfico hacia páginas de soporte conocidas en puertas específicas y deshabilitar cualquier otro
tipo de tráfico hacia la puerta 80 para esta parte de la red. Certifíquese de que el dispositivo de
PDV y otros softwares de sistema estén actualizados con los últimos patches para cerrar todas las
vulnerabilidades conocidas.
19
PROTEGIENDO
LA INTERNET
INFORME DEL
ESTUDIO DE BOTNETS
DE LEVEL 3
PALABRAS FINALES Y RECOMENDACIONES
Los datos de inteligencia en amenazas de proveedores de servicios de red pueden ser eficaces contra
agresores si son utilizados por las organizaciones para tomar medidas para proteger las redes,
sistemas y datos. Para tal, los equipos de seguridad de TI deben considerar lo siguiente:
Investigar comunicaciones no comunes entre países que generan tráfico de C2 significativo. Un análisis
sobre si los servidores deberían estar comunicándose, autenticando o transfiriendo datos con terminales
en determinados países de alto riesgo puede ser un predictor de amenazas potenciales o de una afectación.
Las organizaciones en Noruega deben quedar en alerta máximo para afectaciones, dado que la región fue un
blanco principal a fines de 2014 y principios de 2015.
Con 22 por ciento de los C2s utilizados para más de una finalidad de amenaza, evaluar si actividades como
barredura de puertas pueden indicar un mayor riesgo para su organización.
Los perfiles, tendencias y mitigación de ataques de DDoS pueden ayudar a su organización a permanecer
frente a ese vector de ataque en crecimiento. No permita que esos ataques se tornen distracciones para un
objetivo de ataques más insidioso que puede estar en marcha.
Utilice los casos de uso de malware detallados en el blog del Level 3 Threat Research Labs para instruir a los
equipos de TI y de seguridad sobre las amenazas complejas y prepararse para la evolución de los ataques.
Level 3 cree que es fundamental que los proveedores de servicios de red sean proactivos en su
inteligencia en amenazas para removerlas, siempre que posible, de Internet. El equipo también cree
que las organizaciones que se arman con la inteligencia en amenazas disponible, incluyendo datos de
alianzas de la industria y organizaciones para compartir informaciones, más capaces de defenderse
contra ataques cibernéticos. Compartir datos de amenazas, y tomar medidas como esa inteligencia,
representa la nueva línea de defensa contra amenazas a nuestro ecosistema de informaciones y
empresas que lo apoyan.
ACERCA DE LEVEL 3
Construimos, operamos y asumimos la responsabilidad
punta a punta por las soluciones de redes que lo
conectan al mundo. Ubicamos a los clientes en primer
lugar y asumimos la responsabilidad por la confiabilidad
y seguridad en toda nuestra amplia cartera.
+ 54 11 5170-1444
[email protected]
WWW.LEVEL3.COM
© 2015 Level 3 Communications, LLC. Todos los derechos reservados. Level 3, Level 3 Communications, el logo Level 3 Communications, el logo Level 3 y “Connecting and Protecting the
Networked World” son marcas de servicio registradas o marcas de servicio de Level 3 Communications, LLC y/o una de sus filiales en los Estados Unidos y/u otros países. Los servicios de
Level 3 son prestados por subsidiarias integrales de Level 3 Communications, Inc. Cualquier otro nombre de servicios, nombres de productos, nombres o logotipos de empresas incluidos
en este documento son marcas comerciales o marcas de servicio de sus respectivos propietarios. #1578554 Rev 08/2015 SP
20

la internet - Level 3 Communications

Transcripción

Documentos relacionados

1 - Orlando International Airport