casos reais de ameaças avançadas no brasil¡n... · 2015-05-04 · casos reais de ameaças ......

Casos Reais de Ameaças Avançadas no Brasil

Casos Reais de Ameaças

Avançadas no Brasil

Hernán Armbruster Vice President, Trend Micro, Latin America Region

Malware Bancário

Confidential | Copyright 2013 TrendMicro Inc.

Malware Bancário - Man-in-the-browser (MiTB)


CPL Malware no Brasil


Phishing em dispositivos móveis


Mobile MitM Attacks

Confidential | Copyright 2013 TrendMicro Inc. 2

Ameaças dirigidas

Confidential | Copyright 2013 Trend Micro Inc. 5/6/2014

• Profundo conhecimento dos

seus funcionários.

• Malwares desenvolvidos e

testados para burlar suas

defesas de gateway, endpoint,

etc.

• A interação humana que adapta

o ataque conforme ele se move

em sua rede.

Ataques customizados

demandam uma defesa

personalizada!

Confidential | Copyright 2013 Trend Micro Inc.

11

91% destes ataques derivam de e-mails


Phishing de dirigido ao Richard


Paises mais afetados por ataques dirigidos


Botnets


Fonte: TrendLabs 2013 http://www.trendmicro.com/us/security-`intelligence/current-threat-activity/global-botnet-map/index.html

Botnets


0

5

10

15

20

25

30

35

40

45

Jul-12 Aug-12 Sep-12 Oct-12 Nov-12 Dec-12 Jan-13 Feb-13 Mar-13 Apr-13 May-13 Jun-13

Servidores C&C detectados por mês


• Botnet ativa detectada em 88%

• Malware conhecido detectado em 98% das análises

• Aplicações não autorizadas em 82%

• Malwares bancários em 72%

• Documentos maliciosos em 66%

• Malware não conhecido em 58%

• Ataques de rede em 68%

• Malware para Android em 30%

• Serviços de Cloud Storage 80%

Fonte: Últimos 50 serviços Deep Discovery executados em empresas de mais de 2000 computadores no Brasil

Caso #1 – Uso do OSSProxy

Confidential | Copyright 2013

TrendMicro Inc. 2

EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL

• OSSProxy instalado para capturar

informações e o tráfego web.

• O host era monitorado, os sites

visitados e outros dados eram

enviados para servidores em Missouri,

Ohio e West Virginia nos EUA.

Caso #2 – Ataque Servidor SQL

• Exposição da porta 1433 (SQL) do IP '186.xxx.xxx.218’. No período

compreendido entre 12h17 e 18h27 foram detectadas 123 tentativas de

autenticação utilizando credenciais de administrador.

• EVIDÊNCIAS

Quantidade de acessos: 123

Exemplo de acesso:

• Tue, 09 Jul 2013 15:26:50 -0300

ApplicationProtocol = SQL

SourceIP = 210.34.96.10

SourceCountry = China

SourceUserID = sa

DestinationHostName = 186.215.82.218


EMPRESA PÚBLICA FEDERAL

Caso #3 – Conexões com C&C


TrendMicro Inc. 2

• Análise comportamental sob resolução DNS para rede de Botnet.

EMPRESA PÚBLICA ESTADUAL

Caso #4 – Botnet Android

• Detectamos um dispositivo Samsung Galaxy SIII com Android 4 fazendo parte da

botnet Plankton.

• Houve mais de 4.000 comunicações entre este dispositivo e o servidor de C&C

hospedado nos EUA nas duas semanas analisadas.


TrendMicro Inc.

EMPRESA SERVIÇOS TECNOLOGIA / MULTINACIONAL

Caso #5 – Zero Day / Dropbox


TrendMicro Inc.

EMPRESA PÚBLICA ESTADUAL

• O analisador virtual (sandbox) processou arquivos potencialmente maliciosos,

identificando um deles com a particularidade de coletar informação e submeter

com destino Dropbox.

• Após pesquisa por parte do cliente em sites públicos, tratava-se de um “zero

day”, ou seja, nenhum fabricante conhecia a amostra. Somente 15 dias após o

descobrimento desta ameaça ela foi classificada por outros fabricantes.

Websites hospedando malware no Brasil


Crescimento de malware para Android no mundo


Trojanized Flappy Bird


Malware para Android


Aplicações

maliciosas

Participação = 3,90%

Posição mundial = 14

1180

1077

774

639

608

450

394

367

331

286

0 200 400 600 800 1000 1200 1400

AndroidOS_Gen.VTD

AndroidOS_Leadblt.HRY

AndroidOS_Plankton.VTD

AndroidOS_MJFVICDX

AndroidOS_Arpush.HRXV

AndroidOS_Lootor.CTB

AndroidOS_Airpush.VTD

AndroidOS_ADWARE.Airpush.2

AndroidOS_Qdplugin.VTD

AndroidOS_MJVCTDZR

TOP 10 malware Android 2012 Q1 - 2013 Q1

Malware para Android - Plankton


Botnets para Android


Submundo do Crime Cibernético - Preços


Produto ou Serviço Preço (Em Reais)

Informação de cartão de crédito R$ 700 por informação de 10 cartões de crédito

Kit de roubo de informação de cartão de crédito R$ 5.000

Crypter R$ 100 por 30 dias

Pharming de DNS R$ 5.000

Hospedagem R$ 50

Miniaplicativo Java malicioso R$ 80

Malware para Facebook R$ 70

VPS para spam R$ 70

Verificador de cartão de crédito R$ 400

Serviço de codificação R$ 500

Preços de kits de criação de ameaças bancárias


Dispositivos não convencionais

ICS / SCADA - Vulnerabilidades


Fonte: ICS-CERT https://ics-cert.us-cert.gov/monitors/ICS-MM201210

ICS-CERT responded to 198

cyber incidents in 2012

ICS Honeypots


Ataques ICS (SCADA / VxWorks)


Fonte: Trend Micro: Brasil tem 589 dispositivos SCADA /

VxWorks voltados para a Internet

Previsoes de Seguranca para 2014


1. Operacoes bancarias moveis sofrerao

mais ataques “Man-in-the-Middle”; a

verificacao basica em duas etapas nao

sera mais suficiente.

2. Os criminosos ciberneticos usarao cada

vez mais ataques direcionados, tais

como pesquisas de codigo aberto e

“spear phishings” altamente

personalizados, juntamente com

multiplos exploits.

3. No contexto dos ataques direcionados,

veremos mais ataques de “clickjacking”

e “watering hole”, novos exploits e

ataques via dispositivos moveis.

4. Veremos um grande incidente de

violacao de dados a cada mes.

5. Ataques aproveitando vulnerabilidades em softwares

amplamente usados mas sem suporte, como o Java 6 e o

Windows XP, se intensificarao.

6. A Deep Web desafiara significativamente a aplicacao da lei,

conforme os orgaos responsaveis se esforcam para

aumentar sua capacidade para enfrentar o cibercrime em

larga escala.

7. A descrenca publica continuara , especialmente depois da

exposicao de atividades de monitoramento patrocinadas

pelos Estados, resultando em um periodo de esforcos

desencontrados para restaurar a privacidade.

8. Ainda nao veremos a disseminacao em larga escala de

ameacas para a Internet de Todas as Coisas (IoE). Isso

requer um “aplicativo matador”, que pode aparecer na area

da realidade aumentada em novas tecnologias como os

“heads-up displays”.

Conclusão


De…

Usuários

Admin TI

File/Folder & Removable Media

Email & Messaging

Web Access

Copyright 2014 Trend Micro Inc. 45

Hoje!

Email & Messaging

Web Access

File/Folder & Removable Media

Admin TI

Usuários

Device Hopping Cloud Sync & Sharing Collaboration

Social Networking

Copyright 2014 Trend Micro Inc. 46

Data Center

Físico

• Integridade de Servidores e VMs

• Políticas de segurança apropriadas

• Proteção de Dados, especialmente na nuvem

• Performance e gerenciamento

Copyright 2013 Trend Micro Inc.

Virtual Nuvem Privada Nuvem Pública

Segurança

Oper. Data Center

Cenário de Ameaças em Evolução

Tempo

Exploits Vulnerabilidade

s Malware

Tradicional

Malware Avançados

Fuga de Informações

Ataques

direcionados

Sofi

stic

ação

SANDBOXIN

G

SIG-BASED

Fuga de Informações

Malware Tradicional

Exploits Vulnerabilidades

Malware Avançado

Ataques Dirigidos

APPLICATION CONTROL

BEHAVIOR MONITORING

COMMAND&CONTROL

BLOCK

SANDBOXING

SIG-BASED

WEB REP

VULNERABILITY PROTECTION

BROWSER EXPLOIT PROTECTION

DLP

ENCRYPTION

DEVICE

POLICY


2020.trendmicro.com

#Trend2020

Muito Obrigado!

[email protected]

@H_Armbruster

Hernan Armbruster

casos reais de ameaças avançadas no brasil¡n... · 2015-05-04 · casos reais de ameaças ......

Documents