Detecci%C3%B3n_APT

Recommendations

Info

117 6.2.1.2.2. Capa de Red. IPV6 Un posible indicador de que algo extraño puede estar ocurriendo en mi red es la detección de tráfico IPv6 en la misma si en principio solo debiera tener conexiones IPv4. En muchas ocasiones, no se monitoriza el tráfico IPv6 porque no se disponen de los IDS/IPS, firewalls u otro tipo de herramientas de gestión de tráfico de red específicas para este tipo de tráfico. Debido a su baja adopción en las redes finales, muchas aplicaciones y sistemas aún no se encuentran preparadas adecuadamente para soportar este protocolo, lo que, en algunas redes, puede derivar en un comportamiento inseguro y puede ser una puerta de entrada ante nuevos ataques. Los primeros ataques al protocolo IPv6 no se han hecho esperar y entre ellos se pueden encontrar entre otros el ataque Neighbor Spoofing 185 , similar al ataque de ARP Spoofing en IPv4 y SLAAC Attack 186 187 que se corresponde con el ataque Man in the middle en IPv6. En la actualidad, los equipos Windows, Linux y Mac OS X vienen preparados con IPv6 e incluso es la configuración por defecto en algunas versiones Windows, en la mayoría de las distribuciones de Linux o en Mac OS X Lion. De esta forma los equipos pueden cambiar a trabajar en modo IPv6 en cualquier momento convirtiéndose así en víctimas potenciales de algún ataque de red que afecte a IPv6. 188 Utilizando herramientas de monitorización de tráfico como Wireshark o Tshark podemos inspeccionarlo y detectar la presencia de IPv6 en nuestra red y verificar si es o no anómalo. Wireshark nos proporciona diversos filtros de visualización para IPv6 que podemos utilizar para dicha detección. 189 185 Neighbor Spoofing http://www.elladodelmal.com/2012/11/hacking-en-redes-de-datos-ipv6-neighbor.html 186 Slaac attack http://unaaldia.hispasec.com/2011/04/slaac-attack-el-en-el-medio-de-ipv6.html 187 Configuración silenciosa en IPv6 – Ataque al protocolo SLAAC de autoconfiguración de direcciones http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/ipv6_Ataque_SLAAC 188 Desactivar Ipv6 y evitar ataques de red http://www.elladodelmal.com/2012/02/desactivar-ipv6-y-evitar-ataques-de-red.html 189 Display Filter Reference: Internet Protocol Version 6 http://www.wireshark.org/docs/dfref/i/ipv6.html
El IDS Snort, soporta IPv6 desde la versión 2.8.4 de 2007 y en versiones recientes (actualmente 2.9.4) este soporte está consolidado 190 . Las firmas existentes para IPv4 se pueden utilizar para IPv6, por tanto es importante tenerlo actualizado si estamos trabajando con IPv6. Nmap v6 también ofrece un soporte completo para IPv6 191 , lo que nos puede ser útil para la detección de IPv6 en nuestros sistemas. 118 6.2.1.2.3. Capa de Red. Darknets Una Darknet 192 193 194 195 es una porción de mi red, un determinado espacio de direcciones IP enrutado pero en el cual no hay servidores ni servicios activos, es decir, de manera externa ningún paquete debería estar dirigido contra esa red. Cualquier paquete que entre en una Darknet no debería ser legítimo, podría llegar por errores, políticas pobres de seguridad o una deficiente configuración (como por ejemplo mensajes de broadcast enviados a un segmento al cual no pertenece el emisor) pero la mayoría de estos paquetes llegarían enviados por algún tipo de acción sospechosa como algún malware 196 que estuviera buscando de manera activa dispositivos vulnerables, de ahí que envíe paquetes a la Darknet. Integrar en nuestra Darknet un servidor recolector que recoja todo lo que en ella entra nos ayudaría a recopilar más información sobre tráfico anómalo/malicioso que pudiera estar circulando por la misma, ayudándonos además a reducir el número de falsos positivos para cualquier dispositivo o tecnología y también en la detección de ataques en tiempo real, o en el análisis forense de tráfico. Antes de 190 Snort 2.9.4.0 has been released http://blog.snort.org/2012/12/snort-2940-has-been-released.html 191 Nmap- Changes IPv6 http://nmap.org/6/#changes-ipv6 192 Introducción a las Darknets http://www.securityartwork.es/2013/02/11/introduccion-a-las-darknets/ 193 Darknets http://www.team-cymru.org/Services/darknets.html 194 The Internet Motion Sensor: A distributed global scoped Internet threat monitoring system http://www.eecs.umich.edu/techreports/cse/04/CSE-TR-491-04.pdf 195 The UCSD Network Telescope http://www.caida.org/projects/network_telescope/ 196 Responding to Zero Day Threats http://www.sans.org/reading_room/whitepapers/incident/responding-zero-day-threats_33709
Page 1 and 2:
Detección de APTs
Page 3 and 4:
2 Índice Índice 2 1. Introducció
Page 5 and 6:
1. Introducción En la actualidad,
Page 7 and 8:
2009 2010 2011 2012 Operación Auro
Page 9 and 10:
Las fases que atraviesa una campañ
Page 11 and 12:
A modo de ejemplo y obviando los si
Page 13 and 14:
cualquier otro tipo de métodos que
Page 15 and 16:
3. Implicación en la Seguridad Nac
Page 17 and 18:
información. 38 A partir del año
Page 19 and 20:
solidez y el progreso económico de
Page 21 and 22:
una APT por la que fue robado un gr
Page 23 and 24:
4. Casos de estudio Tal como se vie
Page 25 and 26:
Ilustración 3. Imagen extraída de
Page 27 and 28:
el mismo 59 con el objetivo de difi
Page 29 and 30:
Ilustración 8. Comunicación entre
Page 31 and 32:
El uso de vulnerabilidades reciente
Page 33 and 34:
organización, asegurando la persis
Page 35 and 36:
0 1 2 3 frtHeader ... ... 4 5 6 7 8
Page 37 and 38:
Ilustración 12. Correo malicioso c
Page 39 and 40:
Ilustración 14. Modificación del
Page 41 and 42:
La dirección de IP a la que intent
Page 43 and 44:
Se han podido identificar los sigui
Page 45 and 46:
5. Vías de Infección Las APT suel
Page 47 and 48:
la red. A ese tipo de amenazas se l
Page 49 and 50:
enlace malicioso no dudaran en abri
Page 51 and 52:
instalar software malicioso en su e
Page 53 and 54:
Ilustración 23. Drive-by-Download.
Page 55 and 56:
participe, o utilizando los dorks 9
Page 57 and 58:
Ilustración 25. Correo dirigido Al
Page 59 and 60:
Ilustración 27. Correo dirigido ut
Page 61 and 62:
social aprovechando el factor human
Page 63 and 64:
normalmente no suele estar permitid
Page 65 and 66:
consecuencia de esta mala práctica
Page 67 and 68: DVDs, smartphones, tablets, portát
Page 69 and 70: Añadir para finalizar, que el emer
Page 71 and 72: denominado Traffic Directing Server
Page 73 and 74: Los Webkits se aprovecharán de dic
Page 75 and 76: CVE-2010-1423 Java Java Deployment
Page 77 and 78: 6. Recomendaciones en la detección
Page 79 and 80: como punto de apoyo a otras medidas
Page 81 and 82: tráfico al servidor Web, evitando
Page 83 and 84: CASO 2: Como se observa en la image
Page 85 and 86: En la imagen anterior, a pesar de h
Page 87 and 88: Ilustración 40. Firewalls. Caso 4
Page 89 and 90: Las acciones definidas implican por
Page 91 and 92: Fíjese que el tráfico LAN DMZ no
Page 93 and 94: 6.2. Análisis Forense del tráfico
Page 95 and 96: En un ataque dirigido tras la intru
Page 97 and 98: eth0 -a -n 192.168.1.0/24 -m admin@
Page 99 and 100: 6.2.1.1.2. Capa de enlace de datos.
Page 101 and 102: Ilustración 49. Filtro DHCP De est
Page 103 and 104: Como se puede observar en la ilustr
Page 105 and 106: Preprocesador de Snort para geoloca
Page 107 and 108: Geolocalización de las alertas de
Page 109 and 110: Defaultlocation= donde situar los e
Page 111 and 112: Si ampliamos la imagen sobre el map
Page 113 and 114: En la carpeta geoip que acabamos de
Page 115 and 116: Ilustración 57. Geolocalización c
Page 117: Ilustración 60. Filtros geolocaliz
Page 121 and 122: Otro ejemplo práctico, que tambié
Page 123 and 124: Red administrativa: red especialmen
Page 125 and 126: Alert_host [Bool]: este parámetro
Page 127 and 128: Cada uno de estos pasos es parametr
Page 129 and 130: Ilustración 63. Configuración pla
Page 131 and 132: Como se ve en la imagen anterior, s
Page 133 and 134: partir de los ficheros de salida de
Page 135 and 136: Relación TCP SYN, TCP SYN/ACK y RS
Page 137 and 138: Ilustración 68. NTOP. Tamaño de l
Page 139 and 140: Número de paquetes por puerto TCP
Page 141 and 142: TCP de manera considerable debe est
Page 143 and 144: Se observa cómo, en la imagen ante
Page 145 and 146: Distribución del tráfico por serv
Page 147 and 148: comunicándose con dominiomalicioso
Page 149 and 150: Ilustración 78. Listado de host Ze
Page 151 and 152: Comentar que herramientas como Pass
Page 153 and 154: Para todo analista resulta muy impo
Page 155 and 156: ealmente al menos el 95% del tiempo
Page 157 and 158: Introducción a los Covert Channels
Page 159 and 160: La diferencia entre ambos mensajes
Page 161 and 162: Ilustración 87. Como encapsular un
Page 163 and 164: Ilustración 89. Cabecera IP Una de
Page 165 and 166: En esta segunda imagen el trozo env
Page 167 and 168: está sacando información a travé
Page 169 and 170:
investigaciones 249 han demostrado
Page 171 and 172:
Utilizando el protocolo HTTP como t
Page 173 and 174:
eference:url,doc.emergingthreats.ne
Page 175 and 176:
Para detectar anomalías en el trá
Page 177 and 178:
sistema operativo está generando l
Page 179 and 180:
función de los eventos y logs reci
Page 181 and 182:
desarrollada por Microsoft con la q
Page 183 and 184:
ficheros xml donde se define la rut
Page 185 and 186:
de una amenaza por medio de las evi
Page 187 and 188:
Ilustración 101. Mandiant IOC Find
Page 189 and 190:
inotifywait -m -e access DESPIDOS.D
Page 191 and 192:
maliciosa. Permite entender mejor l
Page 193 and 194:
192 7. Conclusiones La introducció
Page 195:
194
show all

Detecci%C3%B3n_APT

Create successful ePaper yourself

Delete template?

Save as template?