Casos Reais de Ameaças Avançadas no Brasil

Casos Reais de Ameaças

Avançadas no Brasil

Hernán Armbruster

Ameaças dirigidas

•

Profundo conhecimento dos

seus

funcionários.

•

Malwares desenvolvidos e

testados para

burlar

suas

defesas de gateway, endpoint,

etc.

•

A interação

humana

que adapta

o ataque conforme ele se move

em sua rede.

Ataques customizados

demandam uma defesa

Botnets

Fonte: TrendLabs 2013

Botnets

0

5

10

15

20

25

30

35

40

45

Jul-12

Aug-12 Sep-12 Oct-12 Nov-12 Dec-12 Jan-13 Feb-13 Mar-13 Apr-13 May-13 Jun-13

• Botnet ativa detectada em

88%

• Malware conhecido detectado em

98%

das análises

• Aplicações não autorizadas em

82%

• Malwares bancários em

72%

• Documentos maliciosos em

66%

• Malware não conhecido em

58%

• Ataques de rede em

68%

• Malware para Android em

30%

Caso #1 – Uso do OSSProxy

EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL

•

OSSProxy instalado para capturar

informações e o tráfego web.

•

O host era monitorado, os sites

visitados e outros dados eram

enviados para servidores em Missouri,

Ohio e West Virginia nos EUA.

Caso #2 – Ataque Servidor SQL

•

Exposição da porta 1433 (SQL) do IP '186.xxx.xxx.218’. No período

compreendido entre 12h17 e 18h27 foram detectadas 123 tentativas de

autenticação utilizando credenciais de administrador.

•

EVIDÊNCIAS



Quantidade de acessos: 123



Exemplo de acesso:

•

Tue, 09 Jul 2013 15:26:50 -0300

ApplicationProtocol = SQL

SourceIP = 210.34.96.10

SourceCountry = China

SourceUserID = sa

DestinationHostName = 186.215.82.218

Caso #3 – Conexões com C&C

•

Análise comportamental sob resolução DNS para rede de Botnet.

Caso #4 – Botnet Android

•

Detectamos um dispositivo Samsung Galaxy SIII com Android 4 fazendo parte da

botnet

Plankton

.

•

Houve mais de

4.000 comunicações

entre este dispositivo e o servidor de C&C

hospedado nos EUA nas duas semanas analisadas.

Caso #5 – Zero Day / Dropbox

EMPRESA PÚBLICA ESTADUAL

• O analisador virtual (sandbox) processou arquivos potencialmente maliciosos,

identificando um deles com a particularidade de coletar informação e submeter

com destino Dropbox.

• Após pesquisa por parte do cliente em sites públicos, tratava-se de um “zero

day”, ou seja, nenhum fabricante conhecia a amostra. Somente 15 dias após o

descobrimento desta ameaça ela foi classificada por outros fabricantes.

Malware para Android

Aplicações

maliciosas

1180

1077

774

639

608

450

394

367

331

286

0

200

400

600

800

1000

1200

1400

AndroidOS_Gen.VTD

AndroidOS_Leadblt.HRY

AndroidOS_Plankton.VTD

AndroidOS_MJFVICDX

AndroidOS_Arpush.HRXV

AndroidOS_Lootor.CTB

AndroidOS_Airpush.VTD

AndroidOS_ADWARE.Airpush.2

AndroidOS_Qdplugin.VTD

AndroidOS_MJVCTDZR

TOP 10 malware Android

Submundo do Crime Cibernético - Preços

Produto ou Serviço

Preço (Em Reais)

Informação de cartão de crédito

R$ 700 por informação de 10 cartões de crédito

Kit de roubo de informação de cartão de crédito

R$ 5.000

Crypter

R$ 100 por 30 dias

Pharming de DNS

R$ 5.000

Hospedagem

R$ 50

Miniaplicativo Java malicioso

R$ 80

Malware para Facebook

R$ 70

VPS para spam

R$ 70

Verificador de cartão de crédito

R$ 400

Serviço de codificação

R$ 500

ICS / SCADA - Vulnerabilidades

Fonte: ICS-CERT

https://ics-cert.us-cert.gov/monitors/ICS-MM201210

ICS-CERT responded to 198 cyber incidents in 2012

Ataques ICS (SCADA / VxWorks)

Fonte: Trend Micro: Brasil tem 589 dispositivos SCADA / VxWorks voltados para a Internet

Previsões de Segurança para 2014

1.

Operações

bancárias

móveis sofrerão

mais ataques “

Man-in-the-Middle

”; a

verificação básica em duas etapas não

será mais suficiente.

2.

Os criminosos cibernéticos usarão cada

vez mais

ataques direcionados

, tais

como pesquisas de código aberto e

“

spear phishings

” altamente

personalizados, juntamente com

múltiplos

exploits

.

3.

No contexto dos ataques direcionados,

veremos mais ataques de “clickjacking”

e “

watering hole

”, novos exploits e

ataques via

dispositivos móveis

.

4.

Veremos um grande incidente de

violação de dados

a cada mês.

5.

Ataques aproveitando

vulnerabilidades

em softwares

amplamente usados mas sem suporte, como o Java 6 e o

Windows XP, se intensificarão.

6.

A

Deep Web

desafiará significativamente a aplicação da lei,

conforme os órgãos responsáveis se esforçam para

aumentar sua capacidade para enfrentar o cibercrime em

larga escala.

7.

A descrença pública continuará, especialmente depois da

exposição de atividades de

monitoramento

patrocinadas

pelos Estados, resultando em um período de esforços

desencontrados para restaurar a

privacidade

.

8.

Ainda não veremos a disseminação em larga escala de

ameaças para a

Internet de Todas as Coisas (IoE)

. Isso

requer um “aplicativo matador”, que pode aparecer na área

da realidade aumentada em novas tecnologias como os

“heads-up displays”.

De…

Usuários

Admin TI

File/Folder &

Removable Media

Email &

Messaging

Web

Access

Hoje!

Email &

Messaging

Web

Access

File/Folder &

Removable Media

Admin TI

Usuários

Device Hopping

_{Cloud Sync}

& Sharing

Collaboration

Social

Networking

Data Center

Físico

• Integridade de Servidores e VMs

• Políticas de segurança apropriadas

• Proteção de Dados, especialmente na nuvem

• Performance e gerenciamento

Virtual

_{Nuvem Privada}

_{Nuvem Pública}

Segurança

Oper.

Data Center

Cenário de Ameaças em Evolução

Exploits

Vulnerabilidade

s

Malware

Tradicional

Malware

Avançados

Fuga de

Informações

Ataques

direcionados

Sofis

tic

aç

ão

SANDBOXIN

G

SIG-BASED

Fuga de

Informações

Malware

Tradicional

Vulnerabilidades

Exploits

Malware

Avançado

Ataques

Dirigidos

APPLICATION CONTROL

BEHAVIOR MONITORING

COMMAND&CONTROL

BLOCK

SANDBOXING

SIG-BASED

WEB REP

VULNERABILITY PROTECTION

BROWSER EXPLOIT PROTECTION

DLP

ENCRYPTION

DEVICE

POLICY

2020.trendmicro.com

#Trend2020

Muito Obrigado!

Hernan_Armbruster@trendmicro.com

@H_Armbruster