Spear  Phishing  e    Ameaças  Direcionadas:  

novo  cenário  de  ataques  via  e-­‐mail  

Felipe  Guitel  Marke.ng  Manager  Trend  Micro  Brasil  

Fortalecer  o  negócio…  

…e  garan?r  a  segurança  da  informação!  

Consumerização  Cloud  &    

Virtualização  

Ciber  Ameaças  

TI  

Atacantes  

Usuários  

91% dos ataques direcionados começam com o spear- phishing  

Copyright  2015  Trend  Micro  Inc.             6  

Quão  complexo  é  o  atual  cenário?

99 10 %  dos Malware  Atuais  Infectam < Empresas

80 1 %  dos Malware  Atuais  Infectam = Empresa

Cenário  de  Ameaças  

Tempo  

Exploração  de  Vulnerabilidades  

Malware  Tradicional  

Ameaças  Avançadas  

Employee  Data  Leaks  

Ataques    Direcionados  

Sofis>cação

 

Advanced  Persistent  Threats  •  Nem  sempre    os  componentes  são  maliciosos;  •  O  foco  é  ser  evasivo,  não  detectável;  •  Controlado  por  um  humano;  

•  Múl?plos  vetores  de  ataque;    •  Ataque  conbnuo,  repe??vo;  •  Atacantes  são  pacientes;  

•  Exploram  brechas  do  sistema;  •  Exploram  brechas  de  segurança;  •  Com  recursos  suficientes  para  ter  êxito  no  ataque.  

Ameaças  dirigidas   Bot   Malware  

Distribuição   Com  planejamento   Distribuição  em  massa   Distribuição  em  massa  

Interrompe  Serviços?   Não   Não   Sim  

Padrão  do  Ataque     Direcionado  (pequenos  grupos  e  organizações)  

Não  direcionado  (abrangência  global)  

Não  direcionado  (abrangência  global)  

Alvo   Organizações/Empresas   Individual  ,  informação  bancária  on  line     Randômico  

Frequência  do  Ataque   Muitas  vezes   Única   Única  

Armas  -­‐  Exploit  “Zero-­‐day”  -­‐  Baixa  RAT  integrado  -­‐  Dropper  ou  Backdoor  

Múl?plos  “Exploits”,  tudo  em  um  

Dependentes  do  desenvolvimento  do  Malware  

Taxa  de  detecção  Menos  que  10%,    

se  a  amostra  for  descoberta  em  menos  de  1  mês  

Aproximadamente  86%,    se  a  amostra  for  descoberta  em  

menos  de  1  mês  

Aproximadamente  99%,    se  a  amostra  for  descoberta  em  

menos  de  1  mês  

Perfil  das  Ameaças

2014  Annual  Trend  Micro  Security  Roundup  

11  

THE INVISIBLE BECOMES VISIBLE

Previsões da Trend Micro para 2015

Previsões 2015 Os ciber criminosos utilizarão darknets/deepweeb e foruns exclusivos para compartilhar e vender crimeware

O aumento de ciber atividades produzirá mais e melhores ferramentas e métodos de ataque com sucesso.

Graças às vulnerabilidades mobile que deixam brechas para a infecção dos dispositivos móveis, os kits de exploração possuem como alvo o Android.

Ataques direcionados se tornarão tão comuns como o cyber crime.

1 |

2 |

3 |

4 |

Novos métodos de pagamento através de dispositivos móveis, vão introduzir novas ameaças.

Nós veremos mais tentativas de exploração de vulnerabilidades em aplicativos de código aberto.

A diversidade tecnológica dos dispositivos IoE/IoT, vai suavizar os ataques em massa, mas o mesmo não será verdade para os dados processados.

Mais ameaças bancárias e com motivação financeira, surgirão.

5 |

6 |

7 |

8 |

O aumento de ciber atividades maliciosas produzirá mais e melhores ferramentas e métodos de ataque com mais sucesso. 2|

•  Malware Conhecido 95,7%

•  Botnets Ativas 87,2%

•  Aplicações Disruptivas 82,9%

•  Malware Bancário 77%

•  Documentos Maliciosos 82,9%

•  Atividades de Fuga de Dados 36,1%

Fonte:  Úl?mas  100    análises  realizadas  com  o  Deep  Discovery  no  Brasil  entre  2013  e  2014  

•  Malware Desconhecido 61,7%

•  Ataques na Rede 76,6%

•  Malware Android 31,9%

•  Malware Mac OS 10,6%

•  Serviços Cloud Storage 72,3%

Trend  Micro  •  26  anos  de  exper?se,  +  1,2  Bilhão  de  US$,  “Pure-­‐play”  de  segurança;  •  Headquarter  no  Japão  •  Tokyo  Exchange  Nikkei  Index  (4704)  • Maior  empresa  de  segurança  no  mundo  com  foco  em  segurança  • Mais  de  5200  funcionários,  38  unidades  de  negócio  •  48  das  top  50  corporações  globais  •  8  anos  consecu?vos  à  

+500,000  clientes  enterprise  +155  Milhões  de  estações  de  trabalho  

RTL  

Global Threat Intelligence +1,200 especialistas no mundo

FTR  

Regional    TrendLabs  

Forward-­‐Looking    Threats  Research  

O  Submundo  do  Crime  Digital  Brasileiro  

19  

Ataques  Direcionados  e  Ameaças    Desconhecidas  

•  Quem  está  atacando?  •  Quão  profundo  é  o  ataque?  •  Que  informação  eles  ob?veram?  •  Quanto  tempo  o  ataque  está  ocorrendo?  •  Sou  o  único  sofrendo  esse  ataque?  •  Como  impeço  que  aconteça  novamente?  

•  Para  descobrir  se  você  está  sendo  atacado  ou  já  foi  comprome?do  

•  Para  entender  o  nível  do  ataque  •  Para  definir  quão  sofis?cado  foi  o  ataque  

–  Ataque  oportunista  ou  direcionado  –  O  ataque  foi  criado  para  evadir  

a  detecção?  

Como  você  pode  proteger  se  não  detecta?  

Ganhe  visibilidade  para  corrigir…  Por  que    Breach  Detec?on  System?  

Defesa  Customizada  

Tecnologia  avançada  para    analisar  pequenos  sinals  

DETECTA  

Perfil  da  ameaça  Origem?  Risco?  Canal?  

ANALISA   ADAPTA  

Proteção  Instantânea  com  assinatura  dinâmica  

RESPONDE  

Threat  infec?on  containement  

•  Completa  visibilidade  com  as  tecnologias  Deep  Discovery  •  Monitoramento  avançado  com  sensores  na  Rede,  Canais  e  Host  •  Proteção  contra  ameaças  customizadas  &  ataques  direcionados  

Sandbox   Inspeção  Protocolos  

Reputação  de  rede  

Análise  arquivo  

Análise  de  Comportamento  

Iden?ficação  de  C&C  

Monitoramento  Sistema  

 

Sandbox  Customizada  

•  Imagem  SO  customizada  •  Acelera  a  execução  •  Detecção  An?-­‐Análise  •  32  &  64  bits  •  Executa  binários,  documentos,  URL  

WinXP SP3 Win7 Base

Isolated  Network  

Poder  da  Sandbox  Customizada  

Filesystem monitor

Registry monitor

Process monitor

Rootkit scanner

Network  driver

Fake Explorer

Fake Server Fake AV API

Hooks

Win7 Hardened

Core Threat  Simulator

LoadLibraryA  ARGs:  (  NETAPI32.dll  )  Return  value:  73e50000  LoadLibraryA  ARGs:  (  OLEAUT32.dll  )  Return  value:  75de0000  LoadLibraryA  ARGs:  (  WININET.dll  )  Return  value:  777a0000  key:  HKEY_CURRENT_USER\Local  Se�ngs\MuiCache\48\52C64B7E\LanguageList  value:  key:  HKEY_CURRENT_USER\So�ware\Microso�\Onheem\20bi1d4f  Write:  path:  %APPDATA%\Ewada\eqawoc.exe  type:  VSDT_EXE_W32  Injec?ng  process  ID:  2604  Inject  API:  CreateRemoteThread  Target  process  ID:  1540  Target  image  path:  taskhost.exe  socket  ARGs:  (  2,  2,  0  )  Return  value:  28bfe  socket  ARGs:  (  23,  1,  6  )  Return  value:  28c02  window  API  Name:  CreateWindowExW  ARGs:  (  200,  4b2f7c,  ,  50300104,  0,  0,  250,  fe,  301b8,  f,  4b0000,  0  )  Return  value:  401b2  internet_helper  API  Name:  InternetConnectA  ARGs:  (  cc0004,  mmlzntponzkfuik.biz,  10050,  ,  ,  3,  0,  0  )  Return  value:  cc0008  .......  

Modifies  file  with  infec.ble  type  :  eqawoc.exe  Inject  processus  :  2604  taskhost.exe  Access  suspicious  host  :  mmlzntponzkfuik.biz    

!

Poder  da  Sandbox  Customizada  vs.  Técnicas  An?-­‐Security  •  O  exemplo  abaixo  demonstra  a  análise  de  um  artefato  em  3  perfis  de  sandbox  

–  Na  primeira  sandbox  (1)  –  o  artefato  malicioso  não  apresentou  nenhum  risco  pois  para  que  sua  ro?na  de  execução  exis?sse,  a  máquina  deveria  possuir  sistema  operacional  em  português;  

–  Nas  outras  sandbox  (2  e  3)  –  o  artefato  foi  executado  pois  as  sandbox  possuiam  Windows  em  português,  caracterís?ca  presente  no  ambiente  corpora?vo  do  cliente  deste  exemplo.    

1   2   3  

Deep  Discovery  Email  Inspector        Proteção  contra  Ataques  Direcionados  por  Email  

Um  appliance  de  email  dedicado  que  detecta  e  bloqueia  emails  contendo  conteúdo  malicioso  ou  referências  a  URLs  

•  Sandbox  personalizada  e  engines  de  detecção  analizam  os  anexos  dos  emails    

•  Analisa  completamente  o  des?no  das  URLs  embu?das  no  email    

•  Deriva  senhas  de  arquivos  protegidos  •  Co-­‐existe  com  outros  produtos  de  segurança  de  email  

Ø  Bloqueia  emails  direcionados  que  causam  fuga  de  dados  

Deep  Discovery  Email  Inspector  

•  Anexos:  Analisados  com  detecção  de  engines  &  sandboxes  •  Senhas:  Derivadas  inteligentemente  usando  listas  e  heurís?ca  

•  URLs:  Reputação,  rastreamento  &  sandbox  para  malware  &  exploits  

•  Sandbox  Personalizada:  Configurada  para  reproduzir  seus  sistemas  

•  Controles  de  Polí?cas:  Torna  fácil  personalizar  polí?cas  de  segurança  •  Análise  de  Ameaças:  Ferramentas  &  inteligência  para  analisar  a  natureza  do  ataque  

Email  GW  

Email  Server  

Deep  Discovery  

X  

Proteção  de  Ameaças  Avançadas  bloqueia  ataques  direcionados  de  email  

Web  proxy  

Defesa  Customizada  e  Integrada  

Deep  Discovery  Analyzer  

Blacklist  dinâmica  

App  Server  

Storage  

Analyzer  

!

SMTP  relay  

Mail  Server  

Endpoint  !

af12e45b49cd23...  48.67.234.25:443  68.57.149.56:80  d4.mydns.cc  b1.mydns.cc  ...  

!

   ScanMail      

     IWSva        

     

         IMSva          

Infec?on  &  payload  

C&C  callback  

OfficeScan  Deep  Security  

3c4çba176915c3ee3df87b9c127ca1a1bcçba17

Custom  Signature  

NSS  Labs  Breach  Detec?on  Tests  Melhor  detecção  &  360°proteção  

Convite:  Trend  Micro  Security  Assessment  

Copyright  2015  Trend  Micro  Inc.            

felipe_guitel@trendmicro.com  

h�p://blog.trendmicro.com.br  

Obrigado!  

Confidential | Copyright 2014 Trend Micro Inc.