casos reais de ameaças avançadas no brasil¡n... · 2015-05-04 · casos reais de ameaças ......

Post on 11-Nov-2018

214 Views

Category:

Documents

0 Downloads

Preview:

Click to see full reader

TRANSCRIPT

Casos Reais de Ameaças Avançadas no Brasil

Casos Reais de Ameaças

Avançadas no Brasil

Hernán Armbruster Vice President, Trend Micro, Latin America Region

1

Malware Bancário

Confidential | Copyright 2013 TrendMicro Inc.

Malware Bancário - Man-in-the-browser (MiTB)

Confidential | Copyright 2013 TrendMicro Inc.

CPL Malware no Brasil

Confidential | Copyright 2013 TrendMicro Inc.

Phishing em dispositivos móveis

Confidential | Copyright 2013 TrendMicro Inc.

Mobile MitM Attacks

Confidential | Copyright 2013 TrendMicro Inc. 2

2

Ameaças dirigidas

Confidential | Copyright 2013 Trend Micro Inc. 5/6/2014

• Profundo conhecimento dos

seus funcionários.

• Malwares desenvolvidos e

testados para burlar suas

defesas de gateway, endpoint,

etc.

• A interação humana que adapta

o ataque conforme ele se move

em sua rede.

Ataques customizados

demandam uma defesa

personalizada!

Confidential | Copyright 2013 Trend Micro Inc.

11

91% destes ataques derivam de e-mails

Confidential | Copyright 2013 TrendMicro Inc.

Confidential | Copyright 2013 TrendMicro Inc. 2

Confidential | Copyright 2013 TrendMicro Inc. 2

Phishing de dirigido ao Richard

Confidential | Copyright 2013 TrendMicro Inc.

Paises mais afetados por ataques dirigidos

Confidential | Copyright 2013 TrendMicro Inc.

Botnets

Confidential | Copyright 2013 TrendMicro Inc.

Fonte: TrendLabs 2013 http://www.trendmicro.com/us/security-`intelligence/current-threat-activity/global-botnet-map/index.html

Botnets

Confidential | Copyright 2013 TrendMicro Inc.

0

5

10

15

20

25

30

35

40

45

Jul-12 Aug-12 Sep-12 Oct-12 Nov-12 Dec-12 Jan-13 Feb-13 Mar-13 Apr-13 May-13 Jun-13

Servidores C&C detectados por mês

Confidential | Copyright 2013 TrendMicro Inc. 2

Confidential | Copyright 2013 TrendMicro Inc.

• Botnet ativa detectada em 88%

• Malware conhecido detectado em 98% das análises

• Aplicações não autorizadas em 82%

• Malwares bancários em 72%

• Documentos maliciosos em 66%

• Malware não conhecido em 58%

• Ataques de rede em 68%

• Malware para Android em 30%

• Serviços de Cloud Storage 80%

Fonte: Últimos 50 serviços Deep Discovery executados em empresas de mais de 2000 computadores no Brasil

Caso #1 – Uso do OSSProxy

Confidential | Copyright 2013

TrendMicro Inc. 2

EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL

• OSSProxy instalado para capturar

informações e o tráfego web.

• O host era monitorado, os sites

visitados e outros dados eram

enviados para servidores em Missouri,

Ohio e West Virginia nos EUA.

Caso #2 – Ataque Servidor SQL

• Exposição da porta 1433 (SQL) do IP '186.xxx.xxx.218’. No período

compreendido entre 12h17 e 18h27 foram detectadas 123 tentativas de

autenticação utilizando credenciais de administrador.

• EVIDÊNCIAS

Quantidade de acessos: 123

Exemplo de acesso:

• Tue, 09 Jul 2013 15:26:50 -0300

ApplicationProtocol = SQL

SourceIP = 210.34.96.10

SourceCountry = China

SourceUserID = sa

DestinationHostName = 186.215.82.218

Confidential | Copyright 2013 TrendMicro Inc.

EMPRESA PÚBLICA FEDERAL

Caso #3 – Conexões com C&C

Confidential | Copyright 2013

TrendMicro Inc. 2

• Análise comportamental sob resolução DNS para rede de Botnet.

EMPRESA PÚBLICA ESTADUAL

Caso #4 – Botnet Android

• Detectamos um dispositivo Samsung Galaxy SIII com Android 4 fazendo parte da

botnet Plankton.

• Houve mais de 4.000 comunicações entre este dispositivo e o servidor de C&C

hospedado nos EUA nas duas semanas analisadas.

Confidential | Copyright 2013

TrendMicro Inc.

EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL

Caso #5 – Zero Day / Dropbox

Confidential | Copyright 2013

TrendMicro Inc.

EMPRESA PÚBLICA ESTADUAL

• O analisador virtual (sandbox) processou arquivos potencialmente maliciosos,

identificando um deles com a particularidade de coletar informação e submeter

com destino Dropbox.

• Após pesquisa por parte do cliente em sites públicos, tratava-se de um “zero

day”, ou seja, nenhum fabricante conhecia a amostra. Somente 15 dias após o

descobrimento desta ameaça ela foi classificada por outros fabricantes.

3

Websites hospedando malware no Brasil

Confidential | Copyright 2013 TrendMicro Inc.

Crescimento de malware para Android no mundo

Confidential | Copyright 2013 TrendMicro Inc.

Trojanized Flappy Bird

Confidential | Copyright 2013 TrendMicro Inc.

Malware para Android

Confidential | Copyright 2013 TrendMicro Inc.

Aplicações

maliciosas

Participação = 3,90%

Posição mundial = 14

1180

1077

774

639

608

450

394

367

331

286

0 200 400 600 800 1000 1200 1400

AndroidOS_Gen.VTD

AndroidOS_Leadblt.HRY

AndroidOS_Plankton.VTD

AndroidOS_MJFVICDX

AndroidOS_Arpush.HRXV

AndroidOS_Lootor.CTB

AndroidOS_Airpush.VTD

AndroidOS_ADWARE.Airpush.2

AndroidOS_Qdplugin.VTD

AndroidOS_MJVCTDZR

TOP 10 malware Android 2012 Q1 - 2013 Q1

Malware para Android - Plankton

Confidential | Copyright 2013 TrendMicro Inc. 2

Botnets para Android

Confidential | Copyright 2013 TrendMicro Inc.

Botnets para Android

Confidential | Copyright 2013 TrendMicro Inc.

5

Confidential | Copyright 2013 TrendMicro Inc.

Submundo do Crime Cibernético - Preços

Confidential | Copyright 2013 TrendMicro Inc.

Produto ou Serviço Preço (Em Reais)

Informação de cartão de crédito R$ 700 por informação de 10 cartões de crédito

Kit de roubo de informação de cartão de crédito R$ 5.000

Crypter R$ 100 por 30 dias

Pharming de DNS R$ 5.000

Hospedagem R$ 50

Miniaplicativo Java malicioso R$ 80

Malware para Facebook R$ 70

VPS para spam R$ 70

Verificador de cartão de crédito R$ 400

Serviço de codificação R$ 500

Preços de kits de criação de ameaças bancárias

Confidential | Copyright 2013 TrendMicro Inc.

6

Dispositivos não convencionais

ICS / SCADA - Vulnerabilidades

Confidential | Copyright 2013 TrendMicro Inc.

Fonte: ICS-CERT https://ics-cert.us-cert.gov/monitors/ICS-MM201210

ICS-CERT responded to 198

cyber incidents in 2012

ICS Honeypots

Confidential | Copyright 2013 TrendMicro Inc.

Ataques ICS (SCADA / VxWorks)

Confidential | Copyright 2013 TrendMicro Inc.

Fonte: Trend Micro: Brasil tem 589 dispositivos SCADA /

VxWorks voltados para a Internet

Previsoes de Seguranca para 2014

Confidential | Copyright 2013 TrendMicro Inc.

1. Operacoes bancarias moveis sofrerao

mais ataques “Man-in-the-Middle”; a

verificacao basica em duas etapas nao

sera mais suficiente.

2. Os criminosos ciberneticos usarao cada

vez mais ataques direcionados, tais

como pesquisas de codigo aberto e

“spear phishings” altamente

personalizados, juntamente com

multiplos exploits.

3. No contexto dos ataques direcionados,

veremos mais ataques de “clickjacking”

e “watering hole”, novos exploits e

ataques via dispositivos moveis.

4. Veremos um grande incidente de

violacao de dados a cada mes.

5. Ataques aproveitando vulnerabilidades em softwares

amplamente usados mas sem suporte, como o Java 6 e o

Windows XP, se intensificarao.

6. A Deep Web desafiara significativamente a aplicacao da lei,

conforme os orgaos responsaveis se esforcam para

aumentar sua capacidade para enfrentar o cibercrime em

larga escala.

7. A descrenca publica continuara , especialmente depois da

exposicao de atividades de monitoramento patrocinadas

pelos Estados, resultando em um periodo de esforcos

desencontrados para restaurar a privacidade.

8. Ainda nao veremos a disseminacao em larga escala de

ameacas para a Internet de Todas as Coisas (IoE). Isso

requer um “aplicativo matador”, que pode aparecer na area

da realidade aumentada em novas tecnologias como os

“heads-up displays”.

Conclusão

Confidential | Copyright 2013 TrendMicro Inc.

De…

Usuários

Admin TI

File/Folder & Removable Media

Email & Messaging

Web Access

Copyright 2014 Trend Micro Inc. 45

Hoje!

Email & Messaging

Web Access

File/Folder & Removable Media

Admin TI

Usuários

Device Hopping Cloud Sync & Sharing Collaboration

Social Networking

Copyright 2014 Trend Micro Inc. 46

Data Center

Físico

• Integridade de Servidores e VMs

• Políticas de segurança apropriadas

• Proteção de Dados, especialmente na nuvem

• Performance e gerenciamento

Copyright 2013 Trend Micro Inc.

Virtual Nuvem Privada Nuvem Pública

Segurança

Oper. Data Center

Cenário de Ameaças em Evolução

Tempo

Exploits Vulnerabilidade

s Malware

Tradicional

Malware Avançados

Fuga de Informações

Ataques

direcionados

Sofi

stic

ação

SANDBOXIN

G

SIG-BASED

Fuga de Informações

Malware Tradicional

Exploits Vulnerabilidades

Malware Avançado

Ataques Dirigidos

APPLICATION CONTROL

BEHAVIOR MONITORING

COMMAND&CONTROL

BLOCK

SANDBOXING

SIG-BASED

WEB REP

VULNERABILITY PROTECTION

BROWSER EXPLOIT PROTECTION

DLP

ENCRYPTION

DEVICE

POLICY

Confidential | Copyright 2013 TrendMicro Inc.

2020.trendmicro.com

#Trend2020

Confidential | Copyright 2013 TrendMicro Inc. 2

Muito Obrigado!

Hernan_Armbruster@trendmicro.com

@H_Armbruster

Hernan Armbruster

top related