Documente Academic
Documente Profesional
Documente Cultură
NE T SCOU T THRE en
I NT ELLI GENCE MEMORIA
Desarrollado por ATLAS
1
NetScout Inteligencia de amenaza
INTRODUCCIÓN 4
DD o SATTACKTRENDS 7
Visión de conjunto 7
Destacados DDoS 13
SSDP 13
memcached 14
Mirai dieciséis
Visión de conjunto 17
Fantasía oso 20
Cobra oculta 22
océano Lotus 23
donot equipo 24
Trickbot 26
Kardon cargador 27
Panda banquero 28
CONCLUSIÓN 29
2
NetScout Inteligencia de amenaza
CARTA DE AMENAZA
NetScout INTELL IGENCE
hardik MODI Director Senior de Inteligencia de amenaza NetScout
Hoy en día, los atacantes pueden liberar enormes terabits por segundo a escala visibilidad a escala de Internet ATLAS' se ve reforzada por el análisis de nuestra
ataques DDoS Rutinariamente aprovechar cientos de miles de Internet de los objetos ASERT (el Atlas de la Seguridad y el Equipo de Investigación de Ingeniería) Desde
(IO) dispositivos para lanzar ataques contra objetivos específicos que pueden ser los hace más de una década, los investigadores y analistas de seguridad de clase
océanos y los continentes de distancia Además, patrocinados por el estado avanzado mundial de ASERT han sido la construcción de las herramientas y bases de datos de
amenaza persistente (APT grupos) que representan una amplia gama de primera línea para analizar el malware a escala de Internet. Los profesionales de
estados-nación son vistos como impactante, mientras que la actividad crimeware inteligencia de seguridad dentro de ASERT son parte de un grupo de expertos que se
tradicional sigue proliferando. conoce como 'super' remediadores y representan el mejor en las prácticas de
NetScout Arbor ha seguido de manera activa este espacio desde 2007, cuando
cual recoge, analiza, da prioridad, y distribuye datos sobre las amenazas Mediante el uso de internet escala ATLAS' visibilidad conjunción con las explotaciones más
emergentes para permitir la generación de inteligencia procesable para el tácticas tales como tuberías de análisis de software malicioso automatizados, sumideros,
consumo de personas y sistemas por igual escáneres, honeypots, y complementado por los conjuntos de datos de inteligencia de
código abierto y análisis ASERT, podemos proporcionar una vista única en el paisaje
ATLAS' permite compartir colaboración con casi el 70 por ciento de los equipos del
3
NetScout Inteligencia de amenaza
RESUMEN EJECUTIVO
2,8 MILL ION
ATAQUES EN LA PRIMERA
La naturaleza simbiótica del mundo transformado digitalmente también
MEDIA DE 2018
añade vulnerabilidad como actores maliciosos, los estados-nación, las
organizaciones criminales, o incluso los individuos pueden sacar
DESDE MemCached aparecieron,
PROMEDIO DE ATAQUE
provecho de las interdependencias que serpentean a través de nuestro
HA AUMENTADO
mundo conectado penetrante.
37%
Denegación de Servicio Distribuida (DDoS)-donde los atacantes tratan de acabar con un sitio web, aplicación
Aumento de los ataques de más o infraestructura inundándolo con peticiones- son un elemento fundamental de gran parte de esta actividad, y
de 300 Gbps vimos unos 2 8 millones de ataques en la primera mitad de 2018 por otra parte, los tamaños máximos de
ataque se han disparado, ya que los ataques basados en Memcached que se inició en febrero de 2018 marcó
7 47
el comienzo de la era de terabits de ataques el tamaño de los ataques ha aumentado a 47 ataques más de
300 Gbps en la primera mitad de 2018, en comparación con 7 en el mismo período de 2017 ataques DDoS
EN 1H 2017 EN 1H 2018 nunca han sido más innovadora, dinámica, o consecuente, y podría haber incluso más peligrosos ataques
DDoS en el horizonte.
SO, WhatChanged?
Los ataques DDoS nunca Ha habido una mayor innovación en herramientas y técnicas de ataque DDoS. La disponibilidad de este tipo de
herramientas mejoradas ha bajado la barrera de entrada, por lo que es más fácil para un espectro más amplio de los
han sido más, innovador, atacantes para lanzar un ataque DDoS ataque de objetivos también se han diversificado Solía ser que ciertos mercados
dinámico o consecuente. verticales eran posibles objetivos para un ataque DDoS, con las finanzas, juegos de azar, y el comercio electrónico lo alto de
la lista Hoy en día, cualquier organización, por cualquier delito o afiliación real o percibida, puede convertirse en un blanco
de un ataque DDoS
4
NetScout Inteligencia de amenaza
LOTES de ataques
Nuevos ingresos CRIMINAL
opportuni TI ES
MI SCREANT I + D
SOBREVIVIR
RESUELVE EL
PROBLEMA
La escala de las amenazas DDoS también ha crecido En lugar de intrusiones dirigidas a base de
marcos personalizados y malware diseñado, la actividad DDoS ahora a menudo involucra a cientos de
miles, o incluso millones- de víctimas que en gran medida sirven para amplificar el ataque o terminar
como daño colateral, como indicado por los ataques de difracción de SSDP que se originaron en 2015 y
NetScout Inteligencia de
volvió a nacer este año.
amenaza ha creado una visión
representativa del panorama de las
Mientras DDoS amenazas tienen un enorme tamaño y la escala, la actividad de los delincuentes cibernéticos y
amenazas
Estado-nación grupos de espionaje plantean amenazas, así lo largo de los últimos 18 meses, gusanos de
sobre la base de todas nuestras
Internet, ataques de la cadena de suministro, y las instalaciones del cliente de equipo (CPE) / compromisos de
IO han abierto internetscale grupos APT actividad de las amenazas por el estado nación continúan
posesiones e impulsado por una amplia
desarrollándose a nivel mundial, que se utiliza como otro medio de estado-oficio y a menudo dirigidas a los investigación
gobiernos e instituciones de geo-estratégica relevancia de particular interés para nosotros son las y análisis.
observaciones de la actividad de Internet a gran escala en el ámbito estratégico, donde campañas como
NotPetya, CCleaner, VPNFilter, etc., implicados amplia proliferación a través de Internet, así como los objetivos
finales son muy selectivos Estas son diferentes a los ataques dirigidos empresas se han acostumbrado a tratar
con el paso del tiempo,que a menudo implican la lanza-phishing directa y alcance limitado para evitar la
detección y mantener la presencia A este respecto, campañas dirigidas ahora pueden ser respaldados por
intrusiones internetscale.
A medida que las amenazas crecen a través del paisaje, la posición única de NetScout Arbor proteger
las redes empresariales e Internet a través de nuestros clientes proveedores de servicios nos da una
gran visibilidad en este entorno dinámico y cambiante Haciendo uso de ese punto de vista integral
conjuntamente con el análisis de NetScout Inteligencia de amenaza, nos han creado una visión
representativa del panorama de amenazas basado en todas nuestras participaciones y conducido por
5
NetScout Inteligencia de amenaza
TENDENCIAS ataque D
El paisaje DDoS es impulsado por una serie de actores, desde los creadores de malware a
entidades oportunistas que ofrecen servicios de alquiler. Son un grupo ocupado, en constante
desarrollo de nuevas tecnologías y permitir nuevos servicios mientras que la utilización
vulnerabilidades conocidas, botnets preexistentes, y técnicas de ataque bien entendidos.
Esto conduce a una tasa algo cíclico de incidencia, pero eso no significa que la dinámica subyacente no están
cambiando. atacantes DDoS son persistentes e innovadora, y que evolucionan constantemente su tecnología.
A veces se añaden nuevos módulos de software malicioso en la tecnología existente, como en el caso de
Mirai. Otras veces, una nueva vulnerabilidad presenta puntos o rápidamente utilizado que se abre una nueva
línea de ataque, como en los ataques masivos de Memcached este año. Inclusión de 0 días y el uso después
Todo esto se suma a una línea ascendente global del riesgo en el tiempo. Así, mientras que en la actualidad existe
una relativa calma cuando se trata de la utilización de nuevos vectores de ataque, de ataque están en desarrollo,
ya que nuestros monitores del equipo ASERT e identifica estos grupos que llevan a cabo pruebas de campo en
vivo de malware en fase de desarrollo. La campaña de la IO Reaper que estaba en vivo durante dos semanas en
octubre de 2017 es un ejemplo. 1 Mientras tanto, los atacantes seguir evolucionando el malware existente. Por
ejemplo, Mirai continúa engendrar variantes, muchos con nuevas capacidades, incluyendo la exposición de las
capacidades de intrusión. Esto se basa en nuestros resultados anteriores presentados en DEF CON 25 en las
variantes de Windows de Mirai, lo que podría extender la red de bots dentro de la empresa a ser utilizados para la
propagación interna y la interrupción o DDoS internos, que ninguno de nosotros está preparado. 2,3
6
NetScout Inteligencia de amenaza
DDoS
Como cualquier sector de la seguridad cibernética, que trata de DDoS es como tratar de luchar contra la hidra de
muchas cabezas de la mitología griega, como la adición de un nuevo módulo o pieza de malware es similar a la
adición de otra cabeza de la bestia. Peor aún, las viejas cabezas van nunca más plenamente de distancia. Mira SSDP,
por ejemplo: Este es un protocolo muy usado como abuso reflexión / amplificación que no le pertenece en el Internet.
Y, sin embargo, seguimos viendo despliegues. despliegues de SSDP vulnerables están siendo explotados para lanzar
ataques que engañan técnicas de defensa ingenuos. Además, hemos demostrado que hay una amplia clase de
dispositivos cuyas implementaciones pueden ser explotadas para lograr una intrusión.
Luego está Memcached, que fue utilizado para poner en marcha el mayor ataque DDoS hasta la fecha, fue en
armas un ataque de 1,7 Tbps DDoS divulgada por NetScout Arbor en Marzo de 2018. Este tipo de ataque por la
comunidad Booter / Stresser pocos días después de su aparición en el dominio público y es un factor importante en
7
NetScout Inteligencia de amenaza
FR OM FIRSTHALF 2 0 1 7
TOFIRSTHALF 2 0 1 8. . . PRIMER SEMESTRE
ataque DDoS
aumento de tamaño
2018 TENDENCIAS ataque DDoS
174% Comparando primera mitad (enero a junio) 2017-2018, se observó una disminución en la frecuencia de ataques acompañado
de un aumento dramático en el tamaño y la escala de ataque. Sin embargo, mientras que la primera mitad de 2018 vio un
menor número de ataques que el mismo período de 2017, esto no significa que los ataques DDoS están disminuyendo. El
Frecuencia global REHUSÓ GLOBAL MAX
tamaño máximo de ataque ha saltado con una pequeña caída en la frecuencia de los ataques. Mientras que los tamaños más
pequeños de ataque DDoS siguen predominando, tiene un aumento significativo en el tamaño de los ataques de más de 300
Fecha
2017 2018
600K
500K
400K
Frecuencia
300K
200K
100K
0K
enero Febrero Marzo abril Mayo junio enero Febrero Marzo abril Mayo junio
Suma de frecuencia para cada mes Fecha desglosado por fecha de año. Color muestra detalles acerca de Region.
8
NetScout Inteligencia de amenaza
REGIONALATTACKS GLOBAL
Esa misma tendencia, lo cual es un aumento en el tamaño de los ataques con un baño en la frecuencia jugado a cabo Aumento de los ataques de más
de 300 Gbps
de manera consistente en todas las regiones, como América Latina fue la única región reportar una mayor frecuencia
de los ataques, e incluso que el ascenso era relativamente pequeño (ver figura 2 ) Todas las demás regiones mostraron
una disminución en la frecuencia de ataques acompañado de un aumento en el tamaño máximo de ataque. Por
ejemplo, la región de Asia Pacífico experimentó una manera desproporcionada gran número de ataques en
7 47
ATENTADOS ATENTADOS
comparación con otras regiones buscando específicamente en China, hemos visto que los ataques de más de 500
EN 1H 2017 EN 1H 2018
Gbps aumentó de cero en el 1S 2017 a 17 en 1H 2018-una tasa de crecimiento particularmente grande Sin embargo,
América del Norte fue el lugar del ataque 1 Tbps 7, las más grandes ataque DDoS registrados hasta la fecha
Asia y el Pacífico
Aumento de los ataques de más de
300 Gbps
De 1H 1H 2017 a 2018,
5 35
50
CHINA
Aumento de los ataques de más de
500 Gbps
40
30
0 17
ATAQUES ATAQUES
25 EN 2017 EN 2018
19
20
7
2 2
0
2017 2018
9
NetScout Inteligencia de amenaza
Para ambos años, los cuatro sectores sub-verticales superiores sigue siendo el mismo, y todos
VERTICAL
procedían de la categoría de información:
INDUSTRYATTACKS
inherente a su función de proveedores de conectividad ataques en los que dichos proveedores son vistos como el
objetivo están centradas en sus suscriptores, tanto residencial y de negocios, así como la infraestructura
Lo que hizo el cambio son el tamaño y la frecuencia de los ataques. portadores de telecomunicaciones por cable
encabezan la lista de los dos años cuando se trataba de frecuencia de los ataques. En 2017, el grupo sufrió
aproximadamente 996.000 ataques, con un tamaño máximo de ataque de 339 5 Gbps Sin embargo, 2018 contó
una historia diferente: la frecuencia de los ataques se redujo a aproximadamente 793.000, mientras que el ataque
máxima se disparó a un récord de 1 7 Tbps Lo mismo es verdadera a través de todo los cuatro primeros, con la
excepción de Procesamiento de datos, alojamiento y servicios relacionados, que experimentó un ligero descenso
en ambas áreas.
La lista también muestra algunos cambios en los objetivos populares Las sector sub-verticales de programación
WIRED
computacional personalizada Servicios, que incluye integradores de sistemas y consultoría casas cayeron del sexto al
TELEC OMMU caciones
décimo año a cabo más de año y en 2017, los servicios de carácter educativo categoría NAIC que contiene los colegios y
PORTADOR
universidades aparecieron en el octavo lugar, mientras incidencia cuatro puntos a 11 en 2018 mientras tanto, 2018
Tamaño máximo ATAQUE
mostraron una mayor atención al comercio electrónico, como Compras electrónicas y el pedido por correo Casas tomaron
posesión en el octavo lugar Este ensanchamiento y desplazamiento de objetivos puede ser visto como evidencia de que
339,5 1.7 el espectro objetivo se está expandiendo más allá de los sectores seleccionados tradicionales
Gbps TBPS
EN 1H 2017 EN 1H 2018
Lo más interesante de todo, sin embargo, fue la aparición de los Asuntos sub-verticales Internacionales en el
séptimo lugar de la parte de la categoría de la Administración Pública, este sector contiene información para los
ataques contra objetivos tales como consulados, embajadas, el Fondo Monetario Internacional, el Departamento de
Estado , y las Naciones Unidas Esto se alinea con el uso de DDoS contra objetivos por parte del gobierno, así
como los que ideológicamente opuestos a los intereses representados por estas instituciones.
10
NetScout Inteligencia de amenaza
2017 2018
TELECOMUNICACIONES TELECOMUNICACIONES
SERVICIOS DE PROCESAMIENTO DE DATOS, alojamiento y relacionados SERVICIOS DE PROCESAMIENTO DE DATOS, alojamiento y relacionados
58604 28.3 Gbps Servicios educativos 39493? 170,6 Gbps Comercio al por menor
56754 93,5 Gbps Comercio al por menor 39004? 600,0 Gbps Información
11
NetScout Inteligencia de amenaza
DDoS
SSDP
Simple Service Discovery Protocol (SSDP) se ha utilizado para los ataques de reflexión / amplificación para muchos
REFLEJOS
años (En 2015, Arbor identificó ataques que utilizan el tráfico SSDP de puertos de origen efímeras.) Sin embargo,
ganó renovada atención en 2018 en medio de acusaciones de que esta herramienta existente representaba una
nuevo tipo de campaña con DDoS potencialmente millones de dispositivos vulnerables. Como NetScout Inteligencia
de amenaza demostró, esto es incorrecto 4 De la población total internet de aproximadamente 2 millones de SSDP
reflectores / amplificadores abusables, sólo hay aproximadamente 33,000-o 1 65 por ciento-que potencialmente
MASSTARGETEDINTRUSION podrían ser manipulados de esta manera, la carta del país SSDP muestra cómo los dispositivos con
2 MILLONES
Dispositivos en Internet que responden a Sin embargo, nuestro equipo descubrió una nueva clase de abuso SSDP donde los dispositivos ingenuos
SSDP
responderán a los ataques de reflexión de SSDP / amplificación con un puerto no estándar 5 La inundación resultante
de paquetes UDP tiene puertos de origen y de destino efímeras, hacer de la mitigación más difíciles de un ataque
de difracción SSDP Este comportamiento parece derivarse de la reutilización amplia en dispositivos CPE de la
1. 2 MILL ION biblioteca de código abierto libupnp La evidencia de eventos DDoS anteriores sugieren que los atacantes son
consciente de este comportamiento y puede elegir una piscina de estas víctimas mal comportamiento en base a la
Aplicación abusiva para SSDP eficacia de su ataque mitigar estos ataques requiere la inspección de paquetes de contenido para filtrar la avalancha
ATAQUES DIFRACCIÓN de respuestas SSDP y fragmentos no iniciales.
33000
PUEDE SER aprovecha para uso en
interior INTRUSIONES
2 7515
1 133 128
613
147 139 543
7
11
y cinco 1156 27
1
1250 2000 6 15
84 500
1
sesenta 105 207
1 143
2 3
1 2 4 4
36 6 111 19 dieciséis
1110
121 2
8 1 62
1 1
132225
1 7
sesenta y cinco 1 13 2970
365
30 1
11 1 1 5 3
50
160 2 186
527
Mapas basados en Longitud (genera) y latitud (generada). Colores muestra suma de recuento. Los detalles se muestran para el País. Mapa de calor sólo con fines
12
representativos; No se muestra todos los datos de país.
NetScout Inteligencia de amenaza
MEMC dolía
La campaña de ataque Memcached utiliza vulnerabilidades en los servidores de Memcached mal configurados para poner en marcha DDoS enormes ataques, un proceso que
tuvo muy poco tiempo de los informes iniciales a la primera herramienta de ataque de ponerse a disposición De hecho, NetScout Arbor confirmó un ataque de 1,7 Tbps
reflexión / amplificación el 5 de marzo, un evento de registro 6 De 17.000 servidores citados en una lista pública tan vulnerable a este tipo de ataque el 5 de marzo, sólo 550
servidores permanecieron en riesgo por el final de junio de 2 018 (ver las figuras 5 y 6 más adelante) Esto muestra que la comunidad de Internet tiene ya sea fijo 96 8 por ciento
de estos servidores o los bloqueó a través de Internet, lo cual es encomiable por otro lado, 3 2 por ciento de los que siguen siendo vulnerables y se puede utilizar para lanzar
ataques, según la lista pública de los datos utilizados en este análisis por otra parte, los atacantes pueden utilizar fácilmente empresas de alojamiento flexible para desplegar
sus propios servidores vulnerables en todo el mundo y los utilizan para lanzar un ataque contra La realidad es que, una vez que se inventó un tipo DDoS, que nunca
desaparece
768
4 559
12
246 12
dieciséis
306 160
201 32
LARGESTDD o
4
SATTACKRECORDEDTODATE
120 25
3972 558 9 3 1 5
66 1
7 3 4029 119
1 47
1 14 2
6 1 13 Grabado por NetScout ARBOR
40 233 46 121
3 195
31 1 1
1
118 1 1 4
37 42 5
1.7 TBPS
3
87 30 229 14
160 1
121 2
2
36 555 3
2
11 2
59 8 27
Figura 5: 4 El 5 de marzo 2018
50 3 92
De marzo de 2018 Lista pública
Memcached
VULNERABLESERVERS
Memecache Mapa - Junio
Contar 1 4029
17000 550
Mapa basado en Longitud (genera) y latitud (generada). Color muestra suma de Conde. Los detalles se muestran para el País.
EN RIESGO EN EN RIESGO EN
19 14 10
30 3
92
99 3 4 1 1
5
1 1 6 3 15
2
1 1 1
5 19 1
8 10 3
1
1 1
1 1
10 3 32
2 2 4
dieciséis 25 3
2 19
1
1 7
31 61
Figura 6:
De junio de 2018 Lista pública
Memcached
13
Contar 1 99
NetScout Inteligencia de amenaza
yo O TBOTNETS
IO cubre una amplia gama de dispositivos, incluyendo (pero no limitados a):
Cualquier dispositivo integrado que ejecuta un sistema operativo y tiene la capacidad de red (envío / recepción de
DISPOSITIVOS CONECTADOS
datos a través de una red) puede considerarse un dispositivo IO. dispositivos IO ir rápidamente al mercado y
VULNERABLES A BOTNETS IOT tienen bajos costos. Estos factores tienden a aumentar la posibilidad de que tales dispositivos exhibirán los tipos
27 BILL ION
buffer, y la inyección de comandos.
EN 2017
La mayoría de los dispositivos IO del consumidor contienen estos tipos de vulnerabilidades, que se agrava aún más
por el hecho de que los consumidores rara vez contemplan el aspecto de seguridad, o tal vez no entienden la
necesidad de aplicar las actualizaciones de seguridad regulares y parches Con casi 27 mil millones de dispositivos
A medida que la explosión de los dispositivos IO no ha disminuido, esperamos ver incrementos en las redes de
automatizada, lo que aumenta rápidamente el tamaño botnet a través de gusano difusión, la funcionalidad de
importante que las organizaciones aplican parches adecuados, actualizaciones, y las estrategias de mitigación de
14
NetScout Inteligencia de amenaza
Mirai
Mirai, visto como revolucionario en busca de malware que se dirige a los dispositivos IO, ha causado la destrucción de
todo el mundo y popularizado el malware basado en la IO Mirai fue utilizado por primera vez por los atacantes para
Mirai
lanzar múltiples de alto nivel, de alto impacto ataques DDoS contra diversas propiedades y servicios de Internet en CÓDIGO FUENTE DE PUBLICACIÓN
2016
El 30 de septiembre de 2016, el código fuente de Mirai fue publicada Desde entonces, los autores de la IO botnet 9.30. 2016
lo han utilizado como un marco para construir Mirai variantes como Satori, JENX, OMG, Wicked, y IoTrojan. 8 Satori
aprovechar vulnerabilidades de inyección de código remoto para mejorar el código Mirai, mientras JENX retira
varias características del código y en su lugar se basa en herramientas externas para la exploración y
explotación.
CINCO VA RIANTS
Elaboración propia botnet
IO
OMG también se añadió a la OMG legado Mirai añade una nueva característica en forma de un HTTP y proxy
SOCKS Esta característica de proxy permite que el dispositivo IO infectada para actuar como un punto de giro,
lo que da el autor bot la flexibilidad para lanzar exploraciones adicionales para nuevo vulnerabilidades o
ataques adicionales sin tener que actualizar la binarios originales Dependiendo del tipo de dispositivo IO y cómo
está conectado, el autor bot puede pivotar a redes privadas que están conectados al dispositivo IO infectada.
Malvados se unieron a la legión de esbirros en Mayo de 2018. toque de traviesa es la capacidad de dirigirse a los
routers Netgear y dispositivos CCTV-DVR que son vulnerables a fallas de ejecución remota de código (RCE).
Dentro de la RCE explotar, traviesa incluye instrucciones para descargar y ejecutar una copia del bot Owari
La última subordinado a golpear la escena es IoTrojan. El autor de IoTrojan parece haber estado involucrado con
las redes de bots inicuos y de Owari. IoTrojan explota CVE-2017 a 17.215, una vulnerabilidad de ejecución remota
de código en los routers de Huawei HG532. IoTrojan incluye la misma funcionalidad DDoS como sus hermanos de
peón. A menudo, la exploración y explotación de los dispositivos pueden ser automatizados, lo que resulta en los
15
NetScout Inteligencia de amenaza
TENDENCIAS avanzada de
El espionaje y la actividad crimeware sigue creciendo, como actores en este espacio se desarrollan y
desatar ataques cada vez más sofisticados en todo el mundo, causando mil millones de dólares en
daños e impactando grandes marcas y los gobiernos.
Como se predijo por muchos, actividad patrocinada por el Estado ha desarrollado hasta el punto donde las
campañas y los marcos se descubren regularmente por un amplio nivel de las naciones. Nuestros
hallazgos incluyen campañas atribuidos a Irán, Corea del Norte, Vietnam y la India, más allá de los actores
Las campañas se dirigen a una amplia variedad de fuentes, de los gobiernos y las industrias a las
instituciones académicas. Objetivos van desde el aumento de la agitación geopolítica para el robo
de propiedad intelectual. A menudo utilizan las cadenas de suministro como un conducto, una
táctica que les permite atacar a su objetivo principal a través de las relaciones entrelazadas de
socios y proveedores. Entre agosto y septiembre de 2017, por ejemplo, agentes de espionaje
comprometidas CCleaner es una herramienta popular utilizado para limpiar los ordenadores y
aumentar el rendimiento. La investigación sobre seguridad descubrió el malware software incluido
distribuido a más de dos millones de usuarios. ataque “NotPetya” último mes de junio utilizó una
estrategia similar, ya que los actores (ampliamente atribuidos a militares rusos) plantaron una puerta
trasera en un paquete de software de contabilidad de Ucrania popular. El software malicioso dirigido
principalmente Ucrania, donde se vieron afectadas más de 80 empresas,
Otra vía actores espionaje uso implica pasar por software legítimo, sin el conocimiento del usuario final.
Podría decirse que esta técnica podría caer bajo los ataques de la cadena de suministro, pero los atacantes
proliferación. Tal fue el caso con el reciente descubrimiento de que el malware doubleagent en el software
de recuperación de Absolute LoJack para portátiles ataque asociado con Fancy oso. Los atacantes
reemplazado el dominio de mando y control a uno de los suyos. El software, que a menudo viene
preinstalado en los ordenadores portátiles, entonces la baliza nuevo a los servidores controlado por el
atacante en lugar de los servidores destinados a permitir la recuperación remota de ordenadores portátiles
robados. Esto efectivamente dio a los actores el acceso remoto a las computadoras comprometidas.
dieciséis
NetScout Inteligencia de amenaza
Mientras tanto, la arena crimeware sigue creciendo y en armas, como malware tradicional añade módulos
de gusano, permitiendo que el software malicioso se propague más rápidamente y con mayor facilidad.
también han añadido módulos o descargas secundarias que permiten a los actores de la mina
criptomoneda como Bitcoin o Moneo. El paso de ransomware a la minería criptomoneda reduce el umbral
para la detección y la atención aplicación de la ley, los atacantes aislante contra los esfuerzos
rápidamente los sistemas, muchas campañas pueden afectar más fácil y directamente a millones de
mundial.
Dicha actividad se encuentra a menudo a través de la investigación y el seguimiento de los equipos de seguridad
tales como ASERT, que descubrieron el secuestro de software de recuperación de robo de Absolute LoJack y el
conflictos geopolíticos
al robo de propiedad
intelectual.
17
NetScout Inteligencia de amenaza
Perfil
Corrí
Oilrig es un grupo APT amenaza iraní activa y organizada que ha
apuntado específico del gobierno, la industria, académicos y las
Los objetivos principales
instituciones financieras con fines estratégicos, al menos desde 2015.
Gobierno de la
Industria
Financiera
Académica
Al parecer, el grupo lleva a cabo ataques de la cadena de suministro, aprovechando la relación de confianza entre las
organizaciones para atacar a sus objetivos primarios Si bien este grupo rápidamente pueden utilizar recién descubierto
vulnerabilidades (como CVE-2.017-0199 y CVE-2.017 hasta 11882), que principalmente se basan en la ingeniería social Las técnicas conocidas
para comprometer las víctimas que son conocidos por una extensa investigación, el desarrollo continuo y pruebas de Evasión antivirus, Webshells,
evasión por su conjunto de herramientas personalizadas Además, emplean protocolos personalizados de túnel de DNS puertas traseras, de túneles DNS,
para el mando y control (C2) y exfiltración de credenciales y archivos Credencial de Dumping,
Aplicaciones del sistema nativos,
FTP datos exfiltración, la cadena de
suministro
• los investigadores observaron ASERT este grupo de orientación financiera, la alta tecnología
y verticales del gobierno
• Oilrig este año fue visto por primera vez el uso de un filtro ISAPI de IIS, 9 De vínculos
dinámicos-bibliotecas utilizan a menudo para modificar y mejorar la funcionalidad
proporcionada por IIS tal como URLs, para un C2, que es una técnica poco común para este
grupo.
18
NetScout Inteligencia de amenaza
OSO DE LUJO
También conocido como APT28, Fantasía Bear es un grupo APT
trabajando fuera de Rusia. operativo probablemente desde mediados
de la década de 2000, este grupo es el más conocido y el más visible
de los grupos APT rusos y se ha atribuido al gobierno ruso.
Sus ataques cibernéticos por lo general se centran en temas de actualidad geopolíticos y Sistema de Control
Industrial (ICS) / infraestructura crítica, que se dirigen con malware destructivo Son ampliamente sospechosos
de interferir en las elecciones en varios países, entre ellos Estados Unidos y Francia, y se cree que son
responsable de los ataques cibernéticos contra objetivos como el Comité Olímpico Internacional, la OTAN, y el
Comité Nacional Demócrata Este año, el equipo asociado ASERT Fantasía oso con malware en el software de
recuperación de Absolute LoJack para portátiles 10 Absolute LoJack, anteriormente conocido como Computrace,
es una solución de recuperación legítima portátil utilizado por una serie de empresas para proteger sus activos
en caso de que sean robados El software hace un doble agente excelente debido a que aparece como software
legítimo, mientras que de forma nativa que permite la ejecución remota de código
19
NetScout Inteligencia de amenaza
Perfil Aunque el vector de la intrusión inicial para esta actividad sigue siendo desconocida, Fancy oso menudo utiliza correo
PAÍS DE ORIGEN • ASERT investigadores identificaron agentes que contienen dominios C2 probablemente asociados con las
Rusia operaciones de lujo del oso de pruebas de concepto en el uso de este software como una puerta trasera o
vector de intrusiones datan de 2014, y su uso continuado sugieren atacantes podrían haber utilizado en
Comité Olímpico • Inicialmente, los agentes de software que contienen rogue C2 tenían detección de baja anti-virus
Internacional Elecciones (AV), que aumentó la probabilidad de infección y la comunicación C2 éxito subsiguiente
de la OTAN
• Se desconoce el mecanismo de distribución de software malicioso Sin embargo, Fancy oso comúnmente utiliza
Democrático suplantación de identidad para entregar las cargas útiles de malware, como se ha visto con Sedupload a finales de
Comité nacional 2017
• A lo largo del año anterior, ASERT observó actividad Fantasía oso de orientación
verticales de finanzas y gobierno
Las técnicas conocidas
Bootkit, Credencial Dumping, capturas la actividad de fantasía oso también incluyó el uso de VPNFilter malware basado en los resultados de otra
de pantalla, COM secuestro, investigación pública. analistas ASERT verificados independientemente muchas de las afirmaciones acerca
escalamiento de privilegios, Movimiento de las capacidades de malware.
lateral vulnerabilidades, timestomping,
medios extraíbles Propagación, • VPNFilter malware es un multi-etapa, la plataforma modular con capacidades versátiles para apoyar tanto la
Keylogging, Token de acceso recogida de información y la capacidad de destrucción, identificados por la investigación en seguridad pública 11 Sobre
manipulación, software legal Secuestro la base de la investigación a disposición del público, algunas cargas útiles secundarias también proporcionan
• Detectado por primera vez en mayo, se estima VPNFilter haber secuestrado a medio millón de dispositivos IO tales
• Los dispositivos conocidos afectados por VPNFilter incluyen Linksys, Mikrotik, Netgear, TP-Link,
ASUS, D-Link, Huawei, Ubiquiti, UPVEL, y ZTE equipos de red en la pequeña oficina en casa y
20
COBRA OCULTO Perfil
PAÍS DE ORIGEN
Oculto Cobra es un grupo APT de Corea del Norte que se dirige
Corea del Norte
activamente a las empresas, con un fuerte énfasis en las finanzas.
Ellos no son muy exigentes con el país, sino que se centrará en
Los objetivos principales
También se les ha visto definición de los intercambios criptomoneda Corea del Sur y los EE.UU. son sus
objetivos principales cuando no se centra en el sector financiero Por ejemplo, muchos investigadores
Las técnicas conocidas
atribuyen el Sony hackear a este grupo que son conocidos por ser destructiva para cubrir sus huellas
DDoS Botnet, desactivando
herramientas y capacidades utilizado por Hidden Cobra incluyen DDoS botnets, keyloggers, troyanos de
Productos de Seguridad, el
acceso remoto (RAT), y malware limpiaparabrisas. Actividad reciente incluye:
movimiento lateral de la fuerza bruta,
SMTP datos exfiltración, Bootkit,
• Orientación de los organismos financieros en Turquía con una variante de software malicioso Bankshot Token de acceso manipulación,
implante del grupo 12 Las entidades financieras que participan ataque controlados por el gobierno turco, acceso remoto troyano, keylogger,
así como otros tres grandes instituciones financieras turcas destructiva malware, Protocolo C2
personalizada, Timestomping,
accesos directos persistentes
• Los ataques de phishing que se dirigen a la tecnología financiera y cryptocurrencies, junto con su
sistema de intercambio se cree que rodea Ocultos Cobra se han infiltrado con éxito y los fondos
robados de numerosos intercambios 13
21
LOTUS MAR
También conocido como APT32, Océano Lotus es un sofisticado grupo de
Vietnam que históricamente se dirige a los gobiernos extranjeros - especialmente
nearabroad, China, y cualquier persona con intereses comerciales o estratégicos
en Vietnam; la Asociación de Naciones del Sudeste Asiático (ASEAN); medios
de comunicación; y organizaciones de la sociedad civil, los derechos humanos,
incluso los que están dentro de su propio país.
Perfil
PAÍS DE ORIGEN
Vietnam
Activo desde al menos 2012, Océano Lotus utiliza un paquete completo de software malicioso a medida menudo en combinación
con productos comerciales y tiene explota tanto para sistemas Windows y Macintosh. Focalización también parece ser muy
Los objetivos principales
quirúrgica en lugar de generalizada. El robo ha incluido la propiedad intelectual, información comercial confidencial estratégica, y
Gobierno extranjero
la información de inteligencia. Los recientes descubrimientos de la actividad de amenazas incluyen:
• muestra reciente visto utilizando el panel de control de archivos (CPL), siguiendo una tendencia aparente de
Las técnicas conocidas
algunos en la comunidad APT lejos de ejecutables. archivos CPL lanzan de manera similar como ejecutables.
Marco Huelga cobalto, Powershell
scripting, Timestomping, escalada de
privilegios, la cadena de suministro, • El grupo actualiza con frecuencia sus puertas traseras, la infraestructura y los vectores de
Webshells infección.
• El equipo observó actividad ASERT Océano Lotus focalización sectores del gobierno y de las
finanzas en el último año.
22
EQUIPO DONOT
NetScout Inteligencia de amenaza ' s investigación en el conjunto de herramientas de Perfil
software malicioso EHDevel llevó al descubrimiento de un nuevo marco de programas
maliciosos modulares atribuido al equipo Donot. 14 PAÍS DE ORIGEN
Desconocido
Evaluamos que este nuevo marco recoge donde EHDlevel dejó, centrándose en objetivos en el sur de Asia El Los objetivos principales
marco descubierto por el equipo de ASERT utiliza un nuevo software malicioso modular apodado el marco “yty” Si Gobierno al por
bien la infraestructura es similar a la utilizada por existir conocido públicamente APT grupos, hay suficientes menor
diferencias que no podemos decir definitivamente si esta actividad se ajusta a los métodos de esos grupos.
Tecnología
Finanzas
• ASERT descubrió un nuevo marco de malware modular denominado 'yty' que se centra en la colección de
archivos, capturas de pantalla y keylogging Aunque creemos que este marco y sus componentes son nuevos,
que comparte muchas tácticas, técnicas, procedimientos e indicadores de compromiso con el marco de malware Las técnicas conocidas
• Creemos que el equipo Donot, los actores de amenaza que crearon EHDevel, también crearon el marco yty
Keylogging, exfiltración de archivos,
detección de recinto de seguridad,
Sistema de Perfiles
• En un esfuerzo para disimular probable que el malware y sus operaciones, los autores codificaron
varias referencias en el malware para el fútbol-no está claro si se refieren al fútbol americano o fútbol El
tema puede permitir que el tráfico de red a volar bajo el radar.
• ASERT también identificó la actividad asociada con el equipo de gobierno Donot la orientación, el comercio minorista,
23
NetScout Inteligencia de amenaza
DESTACADOS crimeware
El sector de software de actividades ilegales sigue siendo robusto y
ataque.
De acuerdo a la Brecha 2018 Datos de Verizon Informe Mientras tanto, las nuevas plataformas como Kardon
sobre investigaciones, campañas de correo electrónico cargador están surgiendo, y conocidos como los
impulsado dirigidos valores financieros, como Emotet y Panda banquero están siendo dirigidos a nuevas
Trickbot, siguen sosteniendo la parte del león de la dianas. Incluso en la cara de los derribos y la
actividad (alrededor del 90 por ciento.) Ataques web detención de las personas clave, como botnets
comprenden alrededor del seis por ciento del pastel, Dridex siguen siendo relevantes. Todo ello se suma
mientras que los ataques directos hacen el resto. Sin a revelar un sector que está en constante
embargo, hay algunos cambios notables en los métodos reinvención de la tecnología y los métodos para
diseñados para acelerar la proliferación. Inspirado por ampliar su presencia y mejorar la eficacia de ataque.
24
NetScout Inteligencia de amenaza
de tornillo sin fin para la auto-propagación Esta • Tras la comunicación pública de exploits
continua expansión de las capacidades permite eterno azul, Emotet añadió un módulo de
Emotet a prosperar y ser más peligrosa, como se “gusano” para la propagación automática
importantes.
y más) docenas
25
NetScout Inteligencia de amenaza
PALA
• Kardon cargador cuenta con una funcionalidad
el acceso a los demás Presentado por un actor con el
que permite a los clientes abrir su propio
nombre de usuario Yattaze, este producto ha estado
KARDON
botshop, que concede al comprador la
disponible desde finales de abril el actor ofrece la venta
posibilidad de reconstruir el bot y vender el
del software malicioso como un stand-alone construir
acceso a otros.
con cargos para cada uno adicional reconstruir, o la
redes de distribución de malware redes de distribución subterránea informó que el actor de interés
de malware son comúnmente utilizados por los investigador en Kardon cargador, el actor dejó de
publicidad activa el malware y dejó de publicar en
ciberdelincuentes para crear botnets para distribuir
temas relacionados con ella Sin embargo, el
cargas adicionales tales como malware credencial de
actor todavía está activo en los foros
robo, ransomware, troyanos bancarios, entre otros.
subterráneos, por lo que es probable que él o se
Estas redes de distribución están a menudo dirigidas
publicará el malware en el futuro
por operadores de terceros y se ofrecen como un
26
NetScout Inteligencia de amenaza
PANDA
Banker dirigidas a organizaciones japonesas
BANQUERO
Este malware bancario, por primera vez en estado
Panda banquero se vende como un kit en foros compromiso (COI) se superpone con las
malware tienden a enfocar sus campañas en • La muestra utilizada en esta campaña fue la
particular los países, por lo general depende de su primera muestra que observamos en la naturaleza
capacidad para convertir las credenciales robadas y para utilizar la nueva versión de Panda Banker,
detalles de la cuenta de esos lugares en dinero real. versión 2.6.6.
27
NetScout Inteligencia de amenaza
CONCLUSIÓN
El paradigma amenaza a escala de La tez del panorama de las amenazas está moviendo más rápidamente, la expansión de la huella y
el cambio de tácticas. Métodos que son comunes en el kit de herramientas DDoS amenaza han
Internet cambia la aceleración de surgido a software de actividades ilegales y espionaje. El aumento en el uso de métodos de
las fronteras de dónde y cómo se propagación auto; especialmente gusanos y distribución de malware de masas se ven en el uso de
inmenso impacto ataque DDoS creado por Memcached a principios de este año. El uso de la bien
conocida vector protocolo de red, SSDP, ahora está siendo aprovechado para la intrusión interna.
tácticas secundarios, tales como la adición de la minería moneda cripto por el crimen mercancías
actores como hemos visto en el caso de Emotet y Trickbot. Esto crea una nueva presión para la
Este paradigma amenaza a escala de Internet cambia la aceleración de las fronteras de dónde y
cómo se pueden lanzar ataques, observados y de interdicción. Las amenazas globales requerirán
los consumidores.
El equipo ASERT seguirá de cerca el panorama de amenazas e informar sobre los nuevos
grupos y malware en fase de desarrollo, así como técnicas actualizadas. Aunque es difícil estar
proporciona una idea de informar tanto a la dirección estratégica y las áreas a tratar
técnicamente.
28
NetScout Inteligencia de amenaza
APÉNDICE
1 asert.arbornetworks.com/ reaper- 8 asert.arbornetworks.com/omgmirai-minions-are-wicked/
15 www.us-cert.gov/ncas/alerts/
locura / TA18-201A
10 asert.arbornetworks.com/lojackbecomes-a-double-agent/
17 www.f5.com/labs/articles/ amenaza inteligencia /
7 news.ihsmarkit.com/press-release/ conectada
número-IOT-deviceswill-surge-125-mil
millones-2030-ihsmarkit-dice
29
NetScout Inteligencia de amenaza
ACERCA NetScout
NetScout SYSTEMS, INC (NASDAQ: NTCT). Asegura servicios de negocios digitales contra las interrupciones en la
nuestra tecnología patentada de datos inteligente con análisis inteligentes. Proporcionamos en tiempo real, visibilidad
general y los clientes y puntos de vista que acelerar y asegurar su transformación digital. Nuestro enfoque transforma la
manera en las organizaciones a planificar, entregar, integrar, probar e implementar servicios y aplicaciones. Nuestras
soluciones de garantía de servicio nGenius proporcionan en tiempo real, análisis contextual de servicio, red y rendimiento de
las aplicaciones. Las soluciones de seguridad Arbor protegen contra ataques DDoS que ponen en peligro la disponibilidad y
las amenazas avanzadas que se infiltran en las redes para robar los activos críticos de negocio. Para obtener más
© 2018 NetScout SYSTEMS, INC. Todos los derechos reservados. NetScout, y el logotipo son marcas registradas de NetScout NetScout
SYSTEMS, INC. Registradas y / o sus subsidiarias y / o filiales en los EE.UU. y / o otros países. Todas las demás marcas y nombres de
producto, marcas comerciales registradas y no registradas son propiedad exclusiva de sus respectivos dueños.
SECTR_1H2018_EN-1801
30