Spear Phishing e Ameaças Direcionadas:

Spear Phishing e Ameaças Direcionadas: novo cenário de ataques via e-­‐mail Felipe Guitel Marke.ng Manager Trend Micro Brasil Fortalecer o negócio… …e garan?r a segurança da informação! Ciber Ameaças Atacantes Consumerização Usuários Cloud & Virtualização TI 91% dos ataques
direcionados começam
com o spearphishing Copyright 2015 Trend Micro Inc. 6 Quão complexo é o atual cenário?
99
80
% dos
Malware Atuais Infectam
% dos
Malware Atuais Infectam
< 10
= 1
Empresas
Empresa
Sofis>cação Cenário de Ameaças Employee Data Leaks Malware Tradicional Exploração de Vulnerabilidades Tempo Ameaças Avançadas Ataques Direcionados Advanced Persistent Threats •  Nem sempre os componentes são maliciosos; •  O foco é ser evasivo, não detectável; •  Controlado por um humano; •  Múl?plos vetores de ataque; •  Ataque conbnuo, repe??vo; •  Atacantes são pacientes; •  Exploram brechas do sistema; •  Exploram brechas de segurança; •  Com recursos suficientes para ter êxito no ataque. Perfil das Ameaças
Ameaças dirigidas Bot Malware Distribuição Com planejamento Distribuição em massa Distribuição em massa Interrompe Serviços? Não Não Sim Padrão do Ataque Direcionado (pequenos grupos e organizações) Não direcionado (abrangência global) Não direcionado (abrangência global) Alvo Organizações/Empresas Individual , informação bancária on line Randômico Frequência do Ataque Muitas vezes Única Única Múl?plos “Exploits”, tudo em um Dependentes do desenvolvimento do Malware Aproximadamente 86%, se a amostra for descoberta em menos de 1 mês Aproximadamente 99%, se a amostra for descoberta em menos de 1 mês Armas Taxa de detecção -­‐ Exploit “Zero-­‐day” -­‐  Baixa RAT integrado -­‐  Dropper ou Backdoor Menos que 10%, se a amostra for descoberta em menos de 1 mês 2014 Annual Trend Micro Security Roundup 11 THE INVISIBLE
BECOMES VISIBLE
Previsões da Trend Micro para 2015
Previsões 2015
1|
2|
3|
4|
Os ciber criminosos utilizarão darknets/
deepweeb e foruns exclusivos para
compartilhar e vender crimeware
5|
O aumento de ciber atividades produzirá
mais e melhores ferramentas e métodos
de ataque com sucesso.
Novos métodos de pagamento através de
dispositivos móveis, vão introduzir
novas ameaças.
6|
Nós veremos mais tentativas de
exploração de vulnerabilidades em
aplicativos de código aberto.
7|
A diversidade tecnológica dos
dispositivos IoE/IoT, vai suavizar os
ataques em massa, mas o mesmo não
será verdade para os dados
processados.
8|
Mais ameaças bancárias e com
motivação financeira, surgirão.
Graças às vulnerabilidades mobile que
deixam brechas para a infecção dos
dispositivos móveis, os kits de
exploração possuem como alvo o
Android.
Ataques direcionados se tornarão tão
comuns como o cyber crime.
2|
O aumento de ciber atividades maliciosas
produzirá mais e melhores ferramentas e
métodos de ataque com mais sucesso.
•  Malware Conhecido 95,7%
•  Malware Desconhecido 61,7%
•  Botnets Ativas 87,2%
•  Ataques na Rede 76,6%
•  Aplicações Disruptivas 82,9%
•  Malware Android 31,9%
•  Malware Bancário 77%
•  Malware Mac OS 10,6%
•  Documentos Maliciosos 82,9%
•  Serviços Cloud Storage 72,3%
•  Atividades de Fuga de Dados 36,1%
Fonte: Úl?mas 100 análises realizadas com o Deep Discovery no Brasil entre 2013 e 2014 Trend Micro •  26 anos de exper?se, + 1,2 Bilhão de US$, “Pure-­‐play” de segurança; •  Headquarter no Japão •  Tokyo Exchange Nikkei Index (4704) •  Maior empresa de segurança no mundo com foco em segurança •  Mais de 5200 funcionários, 38 unidades de negócio •  48 das top 50 corporações globais •  8 anos consecu?vos à Global Threat Intelligence +1,200
especialistas no mundo
+500,000 clientes enterprise +155 Milhões de estações de trabalho RTL FTR Regional TrendLabs Forward-­‐Looking Threats Research O Submundo do Crime Digital Brasileiro 19 Ataques Direcionados e Ameaças Desconhecidas Como você pode proteger se não detecta? Por que Breach Detec?on System? Ganhe visibilidade para corrigir… •  Para descobrir se você está sendo atacado ou já foi comprome?do • 
• 
• 
• 
• 
• 
•  Para entender o nível do ataque •  Para definir quão sofis?cado foi o ataque –  Ataque oportunista ou direcionado –  O ataque foi criado para evadir a detecção? Quem está atacando? Quão profundo é o ataque? Que informação eles ob?veram? Quanto tempo o ataque está ocorrendo? Sou o único sofrendo esse ataque? Como impeço que aconteça novamente? Defesa Customizada DETECTA ANALISA ADAPTA RESPONDE Tecnologia avançada para analisar pequenos sinals Perfil da ameaça Origem? Risco? Canal? Proteção Instantânea com assinatura dinâmica Threat infec?on containement •  Completa visibilidade com as tecnologias Deep Discovery •  Monitoramento avançado com sensores na Rede, Canais e Host •  Proteção contra ameaças customizadas & ataques direcionados Sandbox Inspeção Protocolos Reputação de rede Análise arquivo Análise de Comportamento Iden?ficação de C&C Monitoramento Sistema Sandbox Customizada Poder da Sandbox Customizada • 
• 
• 
• 
• 
Imagem SO customizada Acelera a execução Detecção An?-­‐Análise 32 & 64 bits Executa binários, documentos, URL Isolated Network Win7
Win7
LoadLibraryA ARGs: ) Return value: 73e50000 WinXP
SP3 ( NETAPI32.dll Base
Hardened
LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000 LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000 key: HKEY_CURRENT_USER\Local Se…ngs\MuiCache\48\52C64B7E\LanguageList Modifies file with infec.ble type : eqawoc.exe value: Inject processus : 2604 taskhost.exe key: HKEY_CURRENT_USER\So†ware\Microso†\Onheem\20bi1d4f Write: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32 Access suspicious host : mmlzntponzkfuik.biz APIID: 2604 Inject Fake
Fake
Injec?ng process API: CreateRemoteThread Target process ID: Fake AV
Target Hooks
Explorer
Server
1540 image path: taskhost.exe socket ARGs: ( 2, 2, 0 ) Return value: 28bfe socket ARGs: ( 23, 1, 6 ) Return value: 28c02 window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2 internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008 Filesystem
Registry
Process
Rootkit
Network ....... monitor
monitor
monitor
scanner
driver
!
Core Threat Simulator
Poder da Sandbox Customizada vs. Técnicas An?-­‐Security • 
O exemplo abaixo demonstra a análise de um artefato em 3 perfis de sandbox – 
– 
Na primeira sandbox (1) – o artefato malicioso não apresentou nenhum risco pois para que sua ro?na de execução exis?sse, a máquina deveria possuir sistema operacional em português; Nas outras sandbox (2 e 3) – o artefato foi executado pois as sandbox possuiam Windows em português, caracterís?ca presente no ambiente corpora?vo do cliente deste exemplo. 1 2 3 Deep Discovery Email Inspector Proteção contra Ataques Direcionados por Email Um appliance de email dedicado que detecta e bloqueia emails contendo conteúdo malicioso ou referências a URLs •  Sandbox personalizada e engines de detecção analizam os anexos dos emails •  Analisa completamente o des?no das URLs embu?das no email •  Deriva senhas de arquivos protegidos •  Co-­‐existe com outros produtos de segurança de email Ø  Bloqueia emails direcionados que causam fuga de dados Deep Discovery Email Inspector Email GW X Deep Discovery Email Server • 
• 
• 
• 
• 
• 
Anexos: Analisados com detecção de engines & sandboxes Senhas: Derivadas inteligentemente usando listas e heurís?ca URLs: Reputação, rastreamento & sandbox para malware & exploits Sandbox Personalizada: Configurada para reproduzir seus sistemas Controles de Polí?cas: Torna fácil personalizar polí?cas de segurança Análise de Ameaças: Ferramentas & inteligência para analisar a natureza do ataque Proteção de Ameaças Avançadas bloqueia ataques direcionados de email Defesa Customizada e Integrada Deep Discovery Analyzer !
Blacklist dinâmica proxy Web IWSva SMTP IMSva relay Storage Analyzer Mail Server ScanMail OfficeScan Deep Security App Server Infec?on & payload Endpoint !
C&C callback !
3c4çba176915c3ee3df87b9
c127ca1a1bcçba17
Custom Signature af12e45b49cd23... 48.67.234.25:443 68.57.149.56:80 d4.mydns.cc b1.mydns.cc ... NSS Labs Breach Detec?on Tests Melhor detecção & 360°proteção Convite: Trend Micro Security Assessment [email protected] Copyright 2015 Trend Micro Inc. hŠp://blog.trendmicro.com.br Obrigado! Confidential | Copyright 2014 Trend Micro Inc.