Vector de ataque
Enviado por Roseyra Retana • 29 de Noviembre de 2021 • Trabajo • 1.653 Palabras (7 Páginas) • 93 Visitas
Asignatura | Equipo | Fecha |
Delitos Informáticos | 24 | 29 de noviembre de 202X |
Contenido
Introducción 1
Desarrollo 2
Conclusiones 8
Valoración Individual 9
Bibliografía 9
Introducción
La delincuencia informática está presente y más viva que nunca. Cuando vemos las cifras de lo que ha costado la ciberdelincuencia a las economías mundiales, y recalcamos el hecho de que en 2019 se estima que el costo por los ciberdelitos a nivel mundial fue de cerca de 2 billones de dólares (¿Cuánto cuestan los ciberataques en México?, s/f), hace que no dejemos pasar lo que está ocurriendo con la ciberseguridad y hace el foco de atención sea, ¿por qué hay tantos ciberdelitos? Y lo más importante, ¿qué estamos haciendo para protegernos de ellos?
Para responder a la primera pregunta, la cantidad de ciberdelitos puede deberse en gran parte a la falta de cultura de ciberseguridad, al crecimiento y dependencia de la tecnología a un ritmo acelerado, a la idea de que ese tipo de cosas “no pasan en la vida real”, a la ignorancia de los métodos que usan los ciberdelincuentes para obtener información, cuando menos nos damos cuenta, ya hemos sido víctimas de un delito informático.
Pero ¿qué hay que hacer?, aparte de formar conciencia de seguridad informática en las personas, es el hecho de la información sobre ciberdelitos. Si empezamos a divulgar más noticias, más eventos, más casos de virus, phishing, robo de información, más documentación acerca de las herramientas y técnicas que se usan para distribuir todas estas amenazas informáticas, podremos estar preparados para minimizar el riesgo de sufrir un ciberdelito.
Desarrollo
En el siguiente análisis documentamos la forma en que el incidente de seguridad conocido como WannaCry, de tipo Ransomware, afectó un banco. Detallaremos las acciones realizadas para la recuperación de la compañía, así como la detección del vector de ataque que lo originó.
Cronología
- 09 de noviembre de 2017 (23;13 hrs):
- el área de antivirus, identificó una alerta relacionada con Wannacry en 2 equipos virtuales
- Se identifica una URL asociada al evento y se procede a su bloqueo.
- 09 de noviembre de 2017 (23;36 hrs):
- El área de vulnerabilidades mediante la herramienta FireEye detecta 200 equipos asociadas al indicador WANNACRY RANSOMWARE. Se aíslan de la red y se mantienen en monitoreo.
- Se solicita la intervención del SOC y su monitoreo / acción con Kill switch (función para habilitar / bloquear la conexión a internet), para contener a los equipos infectados y detener propagaciones.
- 09 de noviembre de 2017 (23;49 hrs):
- Se alerta a producción y se solicita la creación de un WarRoom.
- Producción contacta a las diferentes áreas que deben ser involucradas en el equipo y convoca su presencia inmediata para las acciones de trabajo y seguimiento.
- Producción solicita un escaneo de vulnerabilidades general y se detectan 2438, se toman acciones de contención en 8 y 2430 en tratamiento de remediación.
[pic 1]
[pic 2]
Vector de Ataque
Se detectaron las 3 siguientes vulnerabilidades utilizadas:
- Phishing: se encontró correo electrónico con software malicioso en los equipos infectados.
- Contraseñas débiles: se hizo un escaneo de contraseñas por método de diccionario, donde se adivinó el 50% de la plantilla.
- Puertos abiertos (445/TCP): se detectó que algunos de los equipos propagados, se originaron por la apertura del puerto.
Lecciones Aprendidas
Ejercicios prácticos de evaluación de personal, enviando correos “falsos” de forma controlada, para evaluar el promedio de colaboradores que inciden en este tipo de prácticas. A los colaboradores reincidentes se les hace llegar un curso en línea y se estará escalando con sus Direcciones generales para seguimiento.
[pic 3]
[pic 4]
[pic 5]
Robustecimiento en los parámetros de contraseña configurados en las diferentes plataformas, poniendo foco especial en las estaciones Windows. Con esto se obligará a los colaboradores a definir contraseñas con un nivel más alto de complejidad.
Bloqueo de puerto 445/TCP y socialización del uso de medios de red (NAS) autorizados y escaneados constantemente, para poder compartir información.
Mapa conceptual las etapas del Cyberkill Chain Attack para responder al Ransomware WannaCry
Con el objetivo de proteger a la organización, se propone bajo el esquema CCA, las medidas de protección a implantar.
Cyberkill Chain | Amenazas | Control Propuesto (DiD) |
1 Reconocimiento | *Puertos abiertos (445/TCP) *Contraseñas débiles *Política de RDP *IP Pública | *Vulnerability Assesment *SOC Monitoring *Identity Access Management |
Los puertos abiertos, contraseñas débiles, RDP, así como la IP pública, son las principales entradas para ingresar a nuestro sistema y reconocer que otras debilidades tenemos. | Un análisis de vulnerabilidades, aunado a un monitoreo constante por el SOC (actividad de usuarios administradores), sumado a un correcto control de acceso que robustezca las contraseñas, será la primera capa que pueda filtrar el acceso a entes desconocidos. | |
2 Armamento | *Creación del código malicioso *Physhing email | *Message Security *DLP |
La creación de los códigos maliciosos inyectados principalmente por mails dudosos, son un factor crucial para permitir la entrada a los atacantes. | Un buen filtrado de mensajes spam y un DLP ayudarán a prevenir el ingreso del atacante y detener el robo de información, esto sumado a un programa de concienciación, con la finalidad de que los empleados se aseguren antes de dar click a correos sospechosos. | |
3 Entrega | *Exploit Eternal Blue | *Endpoint security Enforcement |
El alojamiento del código malicioso es el principal peligro en este punto, tal como lo es un Exploit. | Un sistema de detección de intrusión, sería el ideal en este punto, con la finalidad de detectar si un atacante se saltó nuestra capa de acceso o adivinó alguna contraseña. | |
4 Explotación | *Escaneo de red | *Data Center Firewall *Network Access Control (NAC) |
El atacante comenzará a ver cómo puede propagarse, por lo que comenzará a escanear nuestra red. | Para ello un control de acceso a la red, reglas de firewall, certificados SSL, nos ayudará a asegurar quien desea ingresar al otro extremo, incluso ya estando en nuestra red y de forma preventiva una segmentación de red, más un control de acceso a esta, nos ayudará a minimizar la propagación. | |
5 Instalación | *Implantación con Double Pulsar | *Incident Response Detection |
El atacante en este caso ya ingresó, por lo que normalmente lo hace con una herramienta de puerta trasera. | En este caso requerimos algo que nos avisé si hay algún intruso, por lo que es importante tener un sistema de respuesta a detección de incidentes, esto para ver si hay que bloquear accesos, restringir red, validar cual es la correcta contención. De forma preventiva, un correcto control de acceso, nos ayudará a fortalecer que no ingresen intrusos. | |
6 Comando y Control | *Accede a los archivos del sistema *Borra respaldos *No permite acceso en modo recuperación | *SIEM *DLP |
En este punto el atacante ya tiene el control, ya sea mediante un usuario administrador u otro medio. | Aquí es importante tener una herramienta que nos ayude a interpretar comportamientos fuera de lo normal, como un SIEM o un DLP para ver posible fuga de información, con esto podremos ver de con datos el comportamiento y poder tomar acciones. | |
7 Acciones en el Objetivo | *Encripta BBDD, ficheros y directorios *Solicita rescate | Data Integrity Monitoring |
En este punto el atacante ya tomó nuestra información y/o equipos. | En este caso es importante manejar las herramientas de forma preventiva, ya que una vez cifrada nuestra información, será más difícil la recuperación. Una herramienta que nos ayude a validar la integridad, para la confidencialidad tal vez un certificado e incluso cifrar nosotros mismos nuestra información, nos ayudará a prevenir y minimizar que el atacante llegue a este punto. |
...