Casos Reais de Ameaças
Avançadas no Brasil
Hernán Armbruster
Ameaças dirigidas
•
Profundo conhecimento dos
seus
funcionários.
•
Malwares desenvolvidos e
testados para
burlar
suas
defesas de gateway, endpoint,
etc.
•
A interação
humana
que adapta
o ataque conforme ele se move
em sua rede.
Ataques customizados
demandam uma defesa
Botnets
Fonte: TrendLabs 2013
Botnets
0
5
10
15
20
25
30
35
40
45
Jul-12
Aug-12 Sep-12 Oct-12 Nov-12 Dec-12 Jan-13 Feb-13 Mar-13 Apr-13 May-13 Jun-13
• Botnet ativa detectada em
88%
• Malware conhecido detectado em
98%
das análises
• Aplicações não autorizadas em
82%
• Malwares bancários em
72%
• Documentos maliciosos em
66%
• Malware não conhecido em
58%
• Ataques de rede em
68%
• Malware para Android em
30%
Caso #1 – Uso do OSSProxy
EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL
•
OSSProxy instalado para capturar
informações e o tráfego web.
•
O host era monitorado, os sites
visitados e outros dados eram
enviados para servidores em Missouri,
Ohio e West Virginia nos EUA.
Caso #2 – Ataque Servidor SQL
•
Exposição da porta 1433 (SQL) do IP '186.xxx.xxx.218’. No período
compreendido entre 12h17 e 18h27 foram detectadas 123 tentativas de
autenticação utilizando credenciais de administrador.
•
EVIDÊNCIAS
Quantidade de acessos: 123
Exemplo de acesso:
•
Tue, 09 Jul 2013 15:26:50 -0300
ApplicationProtocol = SQL
SourceIP = 210.34.96.10
SourceCountry = China
SourceUserID = sa
DestinationHostName = 186.215.82.218
Caso #3 – Conexões com C&C
•
Análise comportamental sob resolução DNS para rede de Botnet.
Caso #4 – Botnet Android
•
Detectamos um dispositivo Samsung Galaxy SIII com Android 4 fazendo parte da
botnet
Plankton
.
•
Houve mais de
4.000 comunicações
entre este dispositivo e o servidor de C&C
hospedado nos EUA nas duas semanas analisadas.
Caso #5 – Zero Day / Dropbox
EMPRESA PÚBLICA ESTADUAL
• O analisador virtual (sandbox) processou arquivos potencialmente maliciosos,
identificando um deles com a particularidade de coletar informação e submeter
com destino Dropbox.
• Após pesquisa por parte do cliente em sites públicos, tratava-se de um “zero
day”, ou seja, nenhum fabricante conhecia a amostra. Somente 15 dias após o
descobrimento desta ameaça ela foi classificada por outros fabricantes.
Malware para Android
Aplicações
maliciosas
Participação = 3,90% Posição mundial = 141180
1077
774
639
608
450
394
367
331
286
0
200
400
600
800
1000
1200
1400
AndroidOS_Gen.VTD
AndroidOS_Leadblt.HRY
AndroidOS_Plankton.VTD
AndroidOS_MJFVICDX
AndroidOS_Arpush.HRXV
AndroidOS_Lootor.CTB
AndroidOS_Airpush.VTD
AndroidOS_ADWARE.Airpush.2
AndroidOS_Qdplugin.VTD
AndroidOS_MJVCTDZR
TOP 10 malware Android
Submundo do Crime Cibernético - Preços
Produto ou Serviço
Preço (Em Reais)
Informação de cartão de crédito
R$ 700 por informação de 10 cartões de crédito
Kit de roubo de informação de cartão de crédito
R$ 5.000
Crypter
R$ 100 por 30 dias
Pharming de DNS
R$ 5.000
Hospedagem
R$ 50
Miniaplicativo Java malicioso
R$ 80
Malware para Facebook
R$ 70
VPS para spam
R$ 70
Verificador de cartão de crédito
R$ 400
Serviço de codificação
R$ 500
ICS / SCADA - Vulnerabilidades
Fonte: ICS-CERT
https://ics-cert.us-cert.gov/monitors/ICS-MM201210
ICS-CERT responded to 198 cyber incidents in 2012
Ataques ICS (SCADA / VxWorks)
Fonte: Trend Micro: Brasil tem 589 dispositivos SCADA / VxWorks voltados para a Internet