PROTEGENDO A INTERNET

Transcrição

1 JUNHO DE 2015

2 ATUALMENTE, NENHUM DE NÓS ESTÁ IMUNE AO IMPACTO DAS BOTNETS EM ORGANIZAÇÕES CONECTADAS À INTERNET. Há uma ampla validação de que monitorar os padrões de comunicação entre servidores de comando e controle e suas vítimas potenciais é fundamental. Acreditamos que adotar uma abordagem proativa ao rastrear o comportamento das botnets pode gerar uma inteligência em ameaças que é verdadeiramente acionável. As botnets que são usadas para ataques de DDoS estão crescendo, assim como os demais tipos. Este relatório examina as causas potenciais do aumento desses tipos de ataque, o perfil das vítimas por setor e geografia, portas e protocolos comumente focados e várias outras características das botnets. Analisamos mais detalhadamente as botnets que são usadas especificamente para implementar malware (tais como os recém-descobertos SSHPsychos e PoSeidon) visando obter insights sobre os modelos de ameaças complexos e opções de proteção. Esses casos de uso servem para aumentar a conscientização que as organizações devem esperar de seus fornecedores de serviços de rede, e destacam a necessidade de maiores níveis de parceria e colaboração em toda a comunidade de segurança para proteger a Internet de maneira mais eficaz. Esperamos que você considere esta pesquisa um recurso valioso em seus esforços para proteger sua organização, e o mundo conectado. Chris Richter Vice-Presidente Sênior de Serviços de Segurança Gerenciados Level 3 Communications

3 SUMÁRIO EXECUTIVO Como um fornecedor de serviços de rede global, a Level 3 tem uma visão abrangente do tráfego mundial de Internet e uma visão ampla dos riscos. Nossa equipe de Operações de Segurança 24/7, um grupo de profissionais de segurança treinados, monitora cerca de 45 bilhões de sessões de NetFlow por dia para proteger a nossa rede. Com um amplo espectro de comunicações bidirecionais via Internet, a equipe vê computadores das vítimas em todo o mundo se conectarem com malfeitores. Diariamente, a nossa equipe de segurança monitora cerca de 1,3 bilhão de eventos de segurança e mitiga aproximadamente 22 ataques distribuídos de negação de serviço (DDoS). A equipe identifica, e remove, em média uma rede de servidores de comando e controle (C2) por dia. O objetivo é compartilhar insights sobre o cenário de ameaças globais sob a perspectiva da Level 3, e oferecer as melhores práticas para proteger efetivamente os ativos de informação. Em nossa pesquisa, prestamos especial atenção às tendências no comportamento das botnet, ataques de DDoS e malware. Agentes maliciosos utilizam essas ferramentas para adquirir o controle dos ativos da empresa e transformá-los em terminais comprometidos. Eles utilizam essas máquinas infectadas para distribuir malware, interromper negócios, estabelecer penetração de sistemas e roubar propriedade intelectual das empresas (exfiltração). Das cerca de redes C2 que monitoramos durante o primeiro trimestre de 2015, constatamos que mais de 600 estão sendo usadas para comunicações maliciosas focando os ambientes corporativos. Se nada for feito, essas redes C2 têm o potencial de afetar os negócios e destruir ativos de informação críticos. Obtivemos dados sobre ameaças a partir de amostras de fluxos de comunicação em toda a nossa rede diariamente. Correlacionamos esses dados com o banco de dados de reputação da Level 3, que gera classificações de risco com base em um esquema de pontuação de ameaças. Esse esquema de pontuação de ameaças é derivado dos sistemas de Serviços de Segurança Gerenciados da Level 3SM, pesquisa algorítmica no NetFlow e feeds de dados de reputação de terceiros. Esses dados de comunicações de ameaças em toda a Internet complementam outras fontes de informação, tais como honeypots, que ajudam os profissionais de segurança a proteger seus dados, sistemas e redes mundialmente. Com esses dados sobre ameaças, tomamos ações no nosso backbone, nas redes dos nossos clientes e na Internet, caso necessário, para mitigar e prevenir diversos tipos de ataque. Neste relatório, vamos discutir nossas descobertas e ações com base no nosso trabalho com essa inteligência e análise.

4 ÍNDICE O perigo mais estranho: A importância de monitorar as comunicações bidirecionais... 5 Noções básicas sobre botnets... 5 Alerta de tendências: Migração para a nuvem... 6 O cenário de ataques de C Vitimização generalizada... 8 Qual é o tamanho de uma botnet? Redução do risco por meio do controle de botnets Malwares SSHPsychos Alerta de tendências: Ataques de negação de serviço Malware PoS: PoSeidon Palavras finais e recomendações GRÁFICOS: 10 principais países de ataque mundialmente principais países de ataque na Europa principais países de ataque na América Latina principais países vítimas mundialmente principais países vítimas na Europa principais países vítimas na Ásia principais países vítimas na América Latina Tendência das vítimas de C Tráfego SSHPsychos SSH (Cisco Talos) Tráfego Level 3 SSH (Cisco Talos) Ataques de DDoS por região Ataques de DDoS por setor Tendência de tráfego de DDoS Tendência de tráfego de NTP Tendência de tráfego de DNS Tendência de tráfego de SSDP Tendência de tráfego de CHARGEN... 18

5 NOÇÕES BÁSICAS SOBRE BOTNETS Botnets são grupos de programas conectados à Internet que ficam em vários dispositivos e que se comunicam entre si para realizar tarefas. Esses dispositivos podem ser servidores Web, computadores pessoais ou de trabalho, dispositivos móveis ou cable modems. As funções das botnets incluem identificar novos alvos, exfiltrar dados, distribuir software malicioso (malware, tais como vírus, worms e keyloggers), roubar informações pessoais ou propriedade intelectual, ou atacar outros alvos (por exemplo, ataques de DDoS). A maioria das máquinas que fazem parte da botnet também são máquinas infectadas. Elas são infectadas por meio de uma série de métodos, incluindo s de phishing, visitas a sites comprometidos ou instalação de softwares comprometidos. Os servidores de comando e controle (C2s) são os cérebros das operações. Os C2s emitem instruções para as máquinas infectadas executarem uma tarefa, como um ataque. As formações comuns para botnets são: Servidor único: Um C2 gerencia todas as máquinas infectadas. Essa configuração simples fornece comunicação confiável, de baixa latência. Uma vez descoberta, é fácil derrubá-la. Vários servidores: Diversos C2s são combinados para obter redundância. Hierárquica: Diversos C2s em uma configuração particionada possibilitam múltiplas tarefas e ajudam a ofuscar a escala da botnet dos pesquisadores. Peer to Peer: As comunicações bot a bot são mais difíceis de rastrear e derrubar. O PERIGO MAIS ESTRANHO: A IMPORTÂNCIA DE MONITORAR AS COMUNICAÇÕES BIDIRECIONAIS COM BOTNETS DE COMANDO E CONTROLE. As comunicações de C2s são uma indicação direta do potencial de risco ou comprometimento. Entre os métodos utilizados para gerar a nossa inteligência sobre ameaças estão monitorar e analisar os padrões de comunicação bidirecional de C2s. Com clientes em mais de 60 países abrangendo seis continentes, a Level 3 tem uma visão excepcional do mundo conectado e dos agentes maliciosos que tentam comprometer o fluxo de informações de negócio críticas. Sob o nosso ponto de vista da Internet global, a equipe tem visibilidade sobre o âmbito do controle desses agentes maliciosos e do número de vítimas afetadas ou riscos potenciais. Vemos o alcance e dano das fontes de ameaças e, ao mesmo tempo, determinamos os impactos para os servidores ou hosts individuais. No primeiro trimestre, comunicações de C2s significativas provenientes de pontos em países como Ucrânia, Rússia e Holanda focaram vítimas potenciais nos Estados Unidos. Nossas técnicas de análise nos permitem ver o movimento desses agentes e tomar medidas contra aqueles que representam uma ameaça à nossa rede. As botnets não ficam paradas. No caso de uso do SSHPsychos, vamos discutir como usamos dados de comunicações para monitorar essas ameaças sofisticadas em toda a Internet. Para fins do presente relatório, definimos uma vítima como qualquer terminal que se comunica com o C2. A vítima pode ser o alvo com a intenção de extrair dados dela. A vítima também pode ser usada como uma botnet, ajudando nas atividades do C2 para atingir outras vítimas. Muitas botnets estão frequentemente hospedadas em domínios legítimos para evitar a detecção por pesquisadores e resistir à filtragem de blackhole. Domínios legítimos altamente traficados são, obviamente, mecanismos de distribuição úteis para malware e phishing. PARA FINS DO PRESENTE RELATÓRIO, DEFINIMOS UMA VÍTIMA COMO QUALQUER TERMINAL QUE SE COMUNICA COM O C2. A VÍTIMA PODE SER O ALVO COM A INTENÇÃO DE EXTRAIR DADOS DELA. A VÍTIMA TAMBÉM PODE SER USADA COMO UMA BOTNET, AJUDANDO NAS ATIVIDADES DO C2 PARA ATINGIR OUTRAS VÍTIMAS. MUITAS BOTNETS SÃO FREQUENTEMENTE HOSPEDADAS EM DOMÍNIOS LEGÍTIMOS PARA EVITAR A DETECÇÃO POR PESQUISADORES E RESISTIR À FILTRAGEM DE BLACK HOLE. ARQUITETURAS LEGÍTIMAS ALTAMENTE TRAFICADOS SÃO, OBVIAMENTE, MECANISMOS DE DISTRIBUIÇÃO ÚTEIS PARA MALWARE E PHISHING. 5

6 PROTEGENDO ALERTA DE TENDÊNCIAS: MIGRAÇÃO PARA A NUVEM Da mesma forma que empresas comerciais e outras organizações legítimas, os cibercriminosos estão percebendo os benefícios de desenvolver instâncias em máquinas virtuais. Os provedores de nuvem, em alguns casos, exigem uma validação de dados limitada para configurar uma conta. Uma conta simples no PayPal ou um cartão de crédito roubado (mas ainda válido) pode ser utilizado como meio de pagamento para esses serviços. Estabelecer máquinas virtuais (VMs) falsas em provedores de serviços de nuvem do tipo infraestrutura como serviço (IaaS) é, portanto, um modelo atraente para esses clientes. Portanto, acreditamos que a proporção de malfeitores que infectaram servidores legítimos versus aqueles que criaram bots em máquinas virtuais falsas está mudando em favor da implementação de máquinas virtuais (VMs). A flexibilidade para implementar e derrubar instâncias de VM, bem como ampliar facilmente uma implementação, torna a computação em nuvem do tipo IaaS uma solução perfeita para o comércio negro. O CENÁRIO DE ATAQUES DE C2S: PRINCIPAIS AGENTES MALICIOSOS Geografias com infraestruturas de comunicações robustas continuam sendo um solo fértil para os C2s. Esses locais também estão globalmente próximos de alvos ricos do setor industrial e público para cibercriminosos e agentes desonestos do estado-nação. É importante observar: o instigador final do ataque pode não estar localizado nas mesmas áreas geográficas de alto tráfego. Os principais agressores abrangem o mundo inteiro. No primeiro trimestre, em média, os Estados Unidos lideraram todas as nações na geração de tráfego de C2. Os Estados Unidos têm uma riqueza de infraestrutura propícia à realização de ataques. Sua proximidade com alvos valiosos domesticamente e internacionalmente torna os Estados Unidos um local altamente desejável para os criminosos estabelecerem um ponto de controle bem conectado e estável. 10 PRINCIPAIS PAÍSES QUE GERAM TRÁFEGO DE C2 MUNDIALMENTE Estados Unidos Ucrânia Rússia Holanda Alemanha Turquia França Reino Unido Vietnã Romênia Fonte: Level 3SM Threat Research Labs, 1o trimestre de

7 PROTEGENDO Sob uma perspectiva global, a Holanda ocupou uma posição mais alta em relação a outros países da Europa continental. Essa posição nos Top 10 deve-se a um grande C2 e port scanner pesado que alega ter feito diversas vítimas na região nórdica. A Holanda oferece uma infraestrutura robusta, tornando-a ideal para centralizar botnets para a região. Embora as nações em todo o mundo estejam representadas na lista dos 10 principais infratores globais, as regiões que geram os maiores níveis de tráfego de C2 são a Europa e os Estados Unidos. Uma média de 20 por cento dos C2s que monitoramos estavam baseados na América do Norte, com um número praticamente igual operando na Ucrânia e Rússia combinadas. A Europa Ocidental1 e o Reino Unido contribuíram com mais de 12 por cento do tráfego de C2. A América Latina foi a fonte de apenas 2 por cento do tráfego total de C2. Comunicações incomuns para esses países devem ser alertas automáticos para as organizações de TI e de segurança. Uma análise sobre se os servidores deveriam estar se comunicando, autenticando ou transferindo dados com terminais em determinados países de alto risco pode ser um preditor de ameaças potenciais ao seu ambiente ou um indicador de um comprometimento potencial. 10 PRINCIPAIS PAÍSES QUE GERAM TRÁFEGO DE C2 NA EUROPA Ucrânia Rússia Holanda Alemanha França Reino Unido Romênia Espanha Suíça Itália Fonte: Level 3SM Threat Research Labs, 1o trimestre de 2015 A composição macrogeográfica é definida de acordo com a Divisão de Estatísticas das Nações Unidas de

8 PROTEGENDO 4 PRINCIPAIS PAÍSES QUE GERAM TRÁFEGO DE C2 NA AMÉRICA Panamá Argentina Brasil México Fonte: Level 3SM Threat Research Labs, 1o trimestre de 2015 VITIMIZAÇÃO GENERALIZADA Quem são os alvos destes C2S e onde eles estão localizados? No primeiro trimestre de 2015, a Noruega recebeu o maior tráfego de vítimas em todo o mundo. Isto pode parecer surpreendente, tanto sob uma perspectiva global quanto regional. O volume de C2 na Noruega foi um reflexo de um C2 hospedado em um ambiente de hospedagem Web específico, o que causou um aumento acentuado no tráfego de C2 identificado. Identificamos um excesso de comunicações de botnets nórdicos com C2s 22 por cento da média global do tráfego de vítimas. Em comparação, as vítimas britânicas representaram 2 por cento e o Sul da Europa2 representou 11 por cento da média global. O alto volume de tráfego de ataque na Holanda está relacionado com o tráfego de vítimas na Noruega e Suécia. A proximidade com o alvo desempenha um papel importante na eficácia dessas campanhas. 10 PRINCIPAIS PAÍSES QUE SE COMUNICAM MUNDIALMENTE COM C2s 1. Noruega 2. Estados Unidos 6. Ucrânia 7. China 3. Espanha 8. Paquistão 4. Suécia 5. Turquia 9. Polônia 10. Egito Fonte: Level 3SM Threat Research Labs, 1o trimestre de A composição macrogeográfica é definida de acordo com a Divisão de Estatísticas das Nações Unidas de

9 10 PRINCIPAIS PAÍSES NA EUROPA QUE SE COMUNICAM COM C2s 1. Noruega 2. Espanha 3. Suécia 4. Ucrânia 5. Polônia 6. Rússia 7. Alemanha 8. Reino Unido 9. Grécia 10. França Os países do Leste e Sudeste da Ásia foram os destinatários de 7 por cento do tráfego de vítimas mundial, enquanto a Ásia Ocidental, Central e Sudeste Asiático representaram 18 por cento desse tráfego. 10 PRINCIPAIS PAÍSES NA ÁSIA (OCIDENTAL, CENTRAL, SUDESTE) QUE SE COMUNICAM COM C2s 1. Turquia 2. Paquistão 3. Egito 4. Israel 5. Jordânia 6. Arábia Saudita 7. Palestina 8. Líbano 9. Omã 10. Iémen 9

10 Os mais atingidos. Durante o primeiro trimestre de 2015, os cinco principais países com maior número absoluto de vítimas (endereços IP únicos) conversando com C2s em um determinado momento durante o trimestre incluem: China endereços IP únicos das vítimas Estados Unidos endereços IP únicos das vítimas Noruega endereços IP únicos das vítimas Espanha endereços IP únicos das vítimas Ucrânia endereços IP únicos das vítimas 10 PRINCIPAIS PAÍSES NA ÁSIA (LESTE, SUDESTE) QUE SE COMUNICAM COM C2s 1. China 2. Vietnã 3. Taiwan 4. Coreia Do Sul 5. Japão 6. Indonésia 7. Tailândia 8. Filipinas 9. Malásia 10. Cingapura 10 PRINCIPAIS PAÍSES NA AMÉRICA LATINA QUE SE COMUNICAM COM C2s 1. Brasil 2. Argentina 3. México 4. Venezuela 5. Equador 6. Colômbia 7. Chile 8. Peru 9. Costa Rica 10. Bolívia 10

11 Considerando a grande população conectada à Internet na China e Estados Unidos, não é nenhuma surpresa que eles sejam os principais alvos. Os Estados Unidos têm um número considerável de vítimas públicas e privadas de interesse fortemente focadas pelos cibercriminosos e agentes maliciosos do estado-nação. Os resultados da Noruega são consistentes com o grande evento de C2s na região. Os alvos na América Latina abrangem 4 por cento da população média global de vítimas devido à sua infraestrutura de rede subdesenvolvida. Número médio de vítimas DE C2 1,700 HOSTS INFECTADOS QUAL É O TAMANHO DE UMA BOTNET? De acordo com a nossa pesquisa, o número médio de hosts infectados por C2s é de Ao longo do ano, acompanhamos mais de C2s, que controlam milhões de hosts infectados. O elevado volume de comunicações mensuráveisentre os C2s e suas vítimas sugere que há uma oportunidade para a comunidade de segurança colaborar e reduzir agressivamente o número de C2s na Internet. Embora esses dados possam parecer terríveis, quando analisados em relação às médias do dia a dia, as medidas de controle de botnets utilizadas pela comunidade de segurança da Internet e outras organizações comerciais estão funcionando de maneira geral. Como o gráfico temporal demonstra, o volume de vítimas por C2 diminuiu durante o trimestre de um pico de em janeiro para 338 em março, devido à vigilância em nome da comunidade de segurança.. Número médio de vítimas por C2 11

12 22% DOS SERVIDORES C2 têm mais de uma FINALIDADE DE AMEAÇA O MERCADO DE BOTNETS E TENDÊNCIAS DE DIVERSIFICAÇÃO DE AMEAÇAS As botnets de aluguel são um grande negócio. Nos Estados Unidos, o acesso a servidores exclusivos custa US$ 190 por mês3. O preço aumentou em relação a 2013, quando o valor para o mesmo serviço era de US$ 20. Os compradores na Europa não enfrentaram os mesmos aumentos acentuados, mas os preços continuam saudáveis. Mil botnets do Reino Unido custam cerca de US$ 120 por mês4. A forte demanda pela botnet como um serviço indica que os malfeitores a enxergam como um método eficaz de ataque. Isso também indica que uma tendência de comprar em vez de construir está surgindo para o agressor menos sofisticado. Os Laboratórios de Pesquisas de Ameaças da Level 3 constataram que 22 por cento dos servidores de C2 realizam mais de uma função. Mais provavelmente, muitas dessas botnets são de natureza comercial, e fazem parte de um negócio diversificado. Por exemplo, elas podem ter diversos fins lucrativos, tais como distribuição de malware, ataques de DDoS e serviços de phishing. A boa notícia para a comunidade de segurança é que plataformas comerciais multiuso são mais frequentemente construídas em uma estrutura plana. Embora essa configuração possa ser altamente eficiente para o proprietário da botnet, ela facilita a identificação dessas operações pelos pesquisadores, bem como o seu fechamento pelos operadores de rede. No entanto, seria ingênuo deixar de prever que essas operações de botnets não reinvestiriam seus lucros em arquiteturas mais robustas para resistir às descobertas. A operação de botnets é um negócio lucrativo uma configuração simples. Os custos operacionais para criar, manter e mover uma botnet, uma vez desmobilizada, são baixos. As botnets bloqueadas podem voltar a ficar on-line, muitas vezes em algumas horas após o seu encerramento. Monitorar a finalidade da ameaça de uma C2 é fundamental, pois esses dados podem servir como um preditor do risco. É importante conseguir determinar se os servidores estão se comunicando com botnets que são operacionalizados para funcionar com fins específicos, para que você possa reagir para interromper a ameaça. A mitigação pode ser tão simples como bloquear os s desses terminais infectados para evitar o phishing, ou pode significar algo muito mais complexo para evitar a infecção. Idade média de um C2: 38 dias REDUÇÃO DO RISCO POR MEIO DO CONTROLE DE BOTNETS Entender as características dos agentes das ameaças ajuda as organizações e a comunidade de segurança a gerenciar os riscos atuais, e estabelecer contramedidas. Como essas táticas estão se saindo na guerra contra os C2s? Uma das metodologias que a Level 3 utiliza para determinar o nível de eficácia das mitigações é monitorar a idade média de um C2. O objetivo é reduzir o período de tempo no qual os C2s sobrevivem na Internet, aumentando os custos e encargos da exploração de uma botnet. Nossa pesquisa mostra que a idade média de um C2 para o primeiro trimestre de 2015 foi de 38 dias, valor que se manteve constante em relação ao trimestre anterior. A expiração de um C2 pode ser causada por conta própria, remoção por uma primeira parte ou remoção por um terceiro. Uma remoção pela primeira parte refere-se à situação na qual o proprietário do host que age como um C2 descobre a infecção e remove o malware. Em alguns casos, o proprietário do servidor pode inadvertidamente quebrar a persistência do malware atualizando o software ou aplicando patches. Em uma remoção por terceiros, um prestador de serviços impede a conectividade entre o C2 e a botnet ao bloquear o DNS ou endereços IP. 3 Dell SecureWorks, Underground Hacker Markets, dezembro de Ibid 12

13 CASO DE USO SSHPSYCHOS: UMA ABORDAGEM COLABORATIVA PARA O CONTROLE DE BOTNETS No final de março de 2015, a Level 3 iniciou discussões com o Grupo Cisco Talos sobre como trabalhar em conjunto para mitigar um malware e rootkit Linux utilizado para ataques de DDoS. Essa ameaça específica foi documentada no blog Malware Must Die! em setembro de 2014, e persistiu mais de quatro meses depois, quando a FireEye, uma empresa que fornece análise forense automatizada de ameaças, identificou um grande ataque de força bruta de SSH que tentava carregar o mesmo malware. O Grupo Cisco Talos continuou monitorando a ameaça e, em meados do primeiro trimestre, os honeypots da Talos registraram novas tentativas de autenticação de força bruta de um único agressor do que de todos os outros hosts combinados. Os dados da rede da Level 3 confirmaram a escala massiva que esse agressor individual, agora conhecido como SSHPsychos, atingiu em comparação com o tráfego de Internet de SSH global. Algumas vezes, esse agressor foi responsável por mais de 35 por cento do total de tráfego SSH na Internet. Ao longo de um período de duas semanas no final de março e início de abril, a Equipe de Pesquisa de Ameaças da Level 3 monitorou um grande número de IPs varridos pelos atacantes, identificando quais hosts na Internet eram participantes ativos na botnet. Após validar a escala massiva, o impacto e a duração dessa ameaça, eles decidiram que era necessário colocar a nossa inteligência em ameaças combinada em ação. Fonte: Grupo Cisco Talos. VERMELHO/ROSA/LARANJA - Agressor. VERDE - Restante da Internet Em 7 de abril, após seguir os protocolos adequados, a Level 3 tomou medidas contra o SSHPsychos ao realizar o blackholing de todo o tráfego do agressor dentro da nossa rede global. Isso assegurou que nenhum tráfego para o agressor fosse enviado por meio da rede de Level 3. O alcance de outros operadores de rede incluiu instruí-los sobre a ameaça e solicitar formalmente a sua participação na remoção permanente da botnet da Internet global. Por meio do monitoramento permanente das ações do agressor, a equipe do Threat Research Labs o observou mudando seus domínios de operação de varredura de SSH com a mudança de diversos endereços IP de C2s e malware. A equipe continua monitorando o comportamento do SSHPsychos por meio da sua análise algorítmica de botnets, caso a botnet tentar reaparecer. Dom 22 de março 2015 Qua 25 de março Sáb 28 de março Ter 31 de março Sex 03 de abril Agressor Internet 13

14 OBJETIVO FINAL Nosso objetivo é estabelecer uma parceria com a comunidade de segurança para usar a nossa pesquisa de ameaças e outras fontes de dados para prever e detectar malfeitores na Internet. A Level 3 acredita que é importante adotar uma abordagem ativa e agressiva para reduzir a vida dos C2 na Intenet. Colocando essa crença em ação, a equipe colaborou com a Cisco Talos para identificar e derrubar a botnet SSHPsychos. MELHORES PRÁTICAS DE MITIGAÇÃO Para um perfil técnico detalhado do SSHPsychos, consulte o blog Level 3 Threat Research Labs. A análise dos IPs ou nomes de host mencionados no artigo assegura que você não terá nenhum dispositivo se comunicando com o agressor ou participando da botnet. A publicação também inclui os conteúdos atuais do arquivo de malware decodificado que pode servir como uma fonte útil para encontrar indicadores de comprometimento de outros agressores. De maneira geral, se você tem máquinas Linux que rodam SSHD na Internet aberta, não se esqueça de seguir as melhores práticas de desabilitar o login root no seu arquivo de configuração. Só essa providência já faria com que esse agressor não tivesse mais sucesso no seu ambiente. Considere também ajustes na maneira na qual você executa seu daemon SSH para evitar esses tipos de ataques. Usar um firewall localmente na máquina Linux para se proteger contra tentativas de acesso desconhecidas é uma boa medida, quando possível. No entanto, quando ocorrem tentativas não sofisticadas, você pode até mesmo executar o SSH em uma porta não padrão como um método de prevenção. A maioria dos scanners de commodity e clientes de malware não vão procurar serviços em portas não padrão. Também é importante assegurar que senhas tenham uma complexidade mínima e que ataques comuns de dicionário não sejam eficazes contra a senha de qualquer dos usuários. Para ajudar na proteção contra esse problema, anexamos no blog as senhas que esse agressor tentou, conforme coletadas por honeypots da Cisco Talos. Você pode criptografar a lista e compará-la com as senhas do usuário para ajudar a se proteger contra ataques potenciais. Como uma medida final, sempre recomendamos monitorar o tráfego de DNS que passa pelas suas redes para identificar anormalidades. Esse malware específico codificou IPs abertos que poderiam ter servido como indicativo para as vítimas infectadas de que havia algo anormal em seu ambiente. ALERTA DE TENDÊNCIAS: ATAQUES DE NEGAÇÃO DE SERVIÇO Como vimos com o SSHPsychos, uma vez que um exército de botnets for estabelecido, um de seus propósitos pode ser o ataque de DDoS. Nos últimos dois anos, tanto os ataques volumétricos quanto de camada de aplicação têm aumentado em frequência. Os ataques combinados também estão crescendo. Os ataques de DDoS são eficazes quando utilizados com outras formas de ataques que visam distrair os funcionários de TI enquanto inserem malware nos sistemas de back-end para exfiltrar dados. 14

15 A análise da equipe do Level 3 Threat Research Labs demonstra que a maioria dos ataques visam alvos nos Estados Unidos. No entanto, os ataques de DDoS na Europa, especialmente entre aqueles dirigidos a empresas de hospedagem na Web, apresentam uma tendência de crescimento.. REGIONAL EMEA 32% EUA 56% 12% LATAM Sob uma perspectiva vertical, o setor de jogos, os provedores de serviços de Internet, empresas de hospedagem Web, empresas de pesquisa e ensino e o setor financeiro foram os mais atingidos no primeiro trimestre de JOGOS PERFIL DA INDÚSTRIA ISPs-EUA ESCOLAS HOSPEDAGEM WEB-EMEA FINANCEIRO OUTROS Durante o final de 2014 e início de 2015, as equipes da Level 3 Security Operations registraram um pico no volume de ataques de DDoS após ameaças de alta visibilidade conquistarem a atenção pública e promoverem um comportamento mimético. O grande volume de ataques aumentou em toda a Internet global. Já considerando uma das ameaças mais acessíveis disponíveis para compra na darknet, a popularidade dos ataques de DDoS aumentou após a temporada de férias de Um booter, ou IP estressor, é um serviço de ataque que aluga eficazmente o acesso a servidores por uma taxa baixa, e geralmente mensal. O serviço é muitas vezes oferecido por camadas com base na duração do ataque, de 100 segundos a segundos. O amplamente divulgado Lizard Squad desfrutou de publicidade gratuita para o seu serviço de DDoS de aluguel de baixo custo Lizard Stressor, uma vez que ele foi muito divulgado na imprensa popular. Por apenas US$ 6 por mês em bitcoins, o usuário pode lançar um ataque de até 125 Gbps por um período de 100 segundos. Uma capacidade de ataque ilimitada custa US$ 500 por mês. 15

16 Ataques de negação de serviço DDOS total Linear (SSOS total) Contramedidas de NTP estão dando resultados. Em 2014, a Internet sofreu uma série de ataques de grande escala de negação de serviço de amplificação/reflexão baseados em Network Time Protocol (NTP). Desde então, a equipe da Level 3 Security Operations vem monitorando e informando sobre este vetor de ataque. O NTP é o Protocolo de Tempo de Rede utilizado para sincronizar o tempo com as máquinas conectadas à rede na porta UDP 123. Naquela época, o principal método de ataque envolvia enviar um pedido de NTP válido (comando MONLIST) com o endereço IP de origem falsificado para coincidir com o endereço de destino de servidores NTP e forçar uma resposta amplificada de volta para os servidores alvo. A maioria dos usuários válidos não utiliza o comando MONLIST empregado neste ataque específico de amplificação reflexiva. O comando retorna uma lista dos últimos 600 hosts que acessaram o servidor NTP, resultando em uma resposta várias centenas de vezes maior do que o pedido original. No seu auge, este ataque resultou em ataques adicionais de amplificação com várias centenas de gigabytes de tamanho. No final do primeiro trimestre de 2015, o período de referência, os indicadores de monitoramento de NTP mostram que as mitigações globais implementadas contra esse tipo de ataque estão dando resultado. Embora algumas das operadoras estejam observando um aumento nos ataques de reflexão e amplificação de NTP, a Level 3 implementou contramedidas de DDoS de NTP constantes na sua rede. Consequentemente, as tendências de ataques de reflexão e amplificação de NTP na Level 3 não apresentam uma mudança significativa quando comparadas com o volume passado de ataques baseados em NTP para o período mostrado abaixo.. Atividade das portas NTP 16

17 Además del NTP, algunos de los métodos de ataque de amplificación reflexiva de DDoS incluyen DNS (puerta UDP 53), SSDP (puerta UDP 1900) y CHARJE (puerta UDP 19). Los gráficos abajo muestran el análisis del Level 3 Threat Research Labs de las tendencias para ese tráfico en toda la infraestructura de Level 3. Es razonable suponer que los picos anteriores, por sobre las líneas de tendencias medias, están relacionados con ataques de amplificación reflexiva. Atividade na Porta UDP 53 Atividade na Porta UDP 53 Atividade na Porta UDP

18 MELHORES PRÁTICAS DE MITIGAÇÃO DE AMEAÇAS DE DDOS Uma estratégia eficaz de mitigação de DDoS requer uma defesa multicamada baseada na rede com controles de rede, capacidade de depuração robusta e inteligência em ameaças. A implementação de controles com o seu provedor de serviços, tais como Listas de Controle de Acesso (ACL), limitação de velocidade e filtragem na sua capacidade de Internet, pode ser um componente fundamental para bloquear ameaças. Essas contramedidas podem solucionar uma boa parte dos ataques volumétricos de Camada 3 e 4. Por exemplo, se você disponibiliza exclusivamente tráfego HTTP e HTTPS no seu link de Internet, pode usar ACLs baseados na rede para limitar o impacto de ataques volumétricos comuns usando NTP, SSDP, DNS, e outros para a sua superfície reflexiva. A próxima camada de defesa exige o afunilamento do tráfego utilizando centros de depuração de DDoS baseados na rede. Como controles de rede, você pode usar técnicas de depuração de DDoS para enfrentar os ataques volumétricos, e fornecer uma maior granularidade nas contramedidas por meio de uma abordagem de ACL. No entanto, consideradas em conjunto, as duas abordagens podem ser uma estratégia de mitigação potente. Antes de um ataque, estabeleça um ponto de partida para as características de tráfego saudáveis. Durante um ataque, o tráfego é encaminhado para os depuradores (scrubbers), o tráfego ruim é filtrado, e apenas o tráfego bom recebe autorização para chegar ao seu destino. Idealmente, as implementações de depuradores de DDoS são distribuídas regionalmente para reduzir a latência que pode ocorrer devido ao reencaminhamento. Uma implementação de ingest de alta disponibilidade e alta capacidade também é fundamental para enfrentar picos de tráfego imprevisíveis. Os centros de depuração devem ser independentes de operadoras, o que significa que o seu provedor deve ser capaz de depurar o tráfego independentemente do endereço IP da rede. A inteligência em ameaças pode ser a chave para prever ataques de DDoS, conforme suas botnets começam a se formar em toda a Internet. Os controles de rede de DDoS com alta capacidade de ingest, plataformas de depuração e CDNs podem absorver os ataques de força bruta volumétricos. Embora os ataques volumétricos falsos ainda sejam comuns, os recursos da plataforma de mitigação de DDoS devem incluir funções para diferenciar entre botnets de DDoS avançados e usuários reais. A detecção por meio de comunicações de desafio e resposta pode identificar botnets sobre usuários reais. Atualmente há um limite para essa capacidade de detecção, uma vez que as botnets estão evoluindo para se parecer mais como computadores reais na Internet, apresentando um comportamento de usuário legítimo do seu navegador Web. É por isso que identificar o perfil, monitorar e bloquear C2s é importante. O sólido conhecimento dos terminais globais infectados pode revelar-se precioso para mitigar ataques sofisticados. VULNERABILIDADES DE PONTOS DE VENDA: ALTA DEMANDA POR DADOS DE CARTÕES DE CRÉDITO A demanda do mercado negro por dados de usuários e de cartões de crédito tornou o comprometimento do sistema de varejo um negócio lucrativo. Para ganhar dinheiro com essa oportunidade, os fabricantes de malware desenvolveram um software especializado que visa comprometer o sistema de Pontos de Venda (PDV) utilizado por lojas de varejo. Em março deste ano, o Level 3 Threat Research Labs investigou um tipo de malware evoluído e publicou as suas conclusões e ações tomadas para proteger a Internet como um recurso para a comunidade de segurança. 18

19 DERRUBADA DO POSEIDON: VISÃO GERAL DO INCIDENTE No final de março, a Palo Alto e Cisco Talos divulgaram as suas conclusões sobre um novo malware de PDV, o FindPOS, com base na inteligência de honeypots. Esse malware, conhecido agora como PoSeidon, explora os dados de cartões de crédito encontrados em sistemas de PDV Microsoft Windows, instala um keylogger e, em seguida, transmite os dados capturados para servidores de exfiltração. A vantagem desse processo é que logo que um cliente passa o seu cartão de crédito em um sistema comprometido, os hackers podem obter acesso aos dados. Hipótese: Pouco tempo depois da publicação dessa pesquisa, os domínios conhecidos desapareceram da rede. As equipes acreditavam que a ampla publicidade forçou o agente da ameaça a mudar de posição. A equipe da Level 3 monitorou o tráfego de rede para os endereços IP associados com os domínios de malware e os rastreou por meio de mudanças em registros de DNS A, uma vez que é prática comum o malware ser pré-configurado com um conjunto de domínios e redes por meio dos quais ele passa para evitar a detecção. Comportamento: Após a conexão ter sido restabelecida com os C2s, a equipe observou que o sistema infectado baixa um novo arquivo binário que instala e executa um novo processo no host. Entre outras ações, esse arquivo FindPOS binário encontra os dados de cartões de crédito para exfiltração e captura os dados de PIN com o logger. Esse malware flexível baixa e executa atualizações de versão e instala novos pacotes de malware completamente. Ação: Após seguir os protocolos apropriados, a equipe do Level 3 Threat Research Labs derrubou esses servidores de controle na nossa rede. Conclusão: A equipe continua analisando esse tipo de malware com cuidado para ajudar a assegurar que, conforme a botnet muda entre os domínios e configurações de rede pré-programados, ela não ressurja na rede. A equipe monitora essas mudanças em um esforço para minimizar o impacto da botnet na Internet, e pediu a outros prestadores de serviços de rede para fazer o mesmo. MELHORES PRÁTICAS DE MALWARE DE PDV Para obter um entendimento técnico detalhado de como o PoSeiden funciona, consulte o nosso blog do Level 3 Threat Research Labs: Passe o cartão por sua conta e risco: O que você precisa saber para combater o malware de Ponto de Venda PoSeidon. Isso pode ajudar a preparar suas equipes para a próxima variante do malware. Os sistemas de PDV e suporte devem ser colocados atrás de um firewall configurado corretamente, com logs e alertas habilitados, na medida do possível, tanto para a entrada quanto para a saída de tráfego. Uma revisão dos registros de firewall para a presença de domínios e endereços IP mencionados no nosso blog poderá permitir a localização e isolamento de sistemas comprometidos pelo PoSeidon. A inclusão dos registros de buscas de DNS nos domínios codificados identificados no blog é recomendada como uma camada adicional de proteção. Neste caso específico, a exfiltração ocorre por meio da porta 80, que é geralmente usada para acessar sites. Você deve bloquear os firewalls de PDV para permitir somente o tráfego para sites de suporte conhecidos em portas específicas e desabilitar qualquer outro tipo de tráfego para a porta 80 para esta parte da rede. Certifique-se de que o dispositivo de PDV e outros softwares de sistema estejam atualizados com os patches mais atuais para fechar todas as vulnerabilidades conhecidas. 19

20 PALAVRAS FINAIS E RECOMENDAÇÕES Os dados de inteligência em ameaças de provedores de serviços de rede podem ser eficazes contra agressores caso utilizados pelas organizações para tomar medidas para proteger as redes, sistemas e dados. Para tanto, as equipes de segurança de TI devem considerar o seguinte: Investigar comunicações incomuns entre países que geram tráfego de C2 significativo. Uma análise sobre se os servidores deveriam estar se comunicando, autenticando ou transferindo dados com terminais em determinados países de alto risco pode ser um preditor de ameaças potenciais ou de um comprometimento. As organizações na Noruega devem ficar em alerta máximo para comprometimentos, uma vez que a região foi um alvo principal no final de 2014 e início de Com 22 por cento dos C2s utilizados para mais de uma finalidade de ameaça, avaliar se atividades como varredura de portas podem indicar um maior risco para a sua organização. Os perfis, tendências e mitigação de ataques de DDoS podem ajudar a sua organização a permanecer à frente desse vetor de ataque em crescimento. Não permita que esses ataques se tornem distrações para um objetivo de ataque mais insidioso que pode estar em andamento. Utilize os casos de uso de malware detalhados no blog do Level 3 Threat Research Labs para instruir as equipes de TI e de segurança sobre as ameaças complexas e se preparar para a evolução dos ataques. A Level 3 acredita que é fundamental que os fornecedores de serviços de rede sejam proativos na sua inteligência em ameaças para removê-las, sempre que possível, da Internet. A equipe também acredita que as organizações que se armam com a inteligência em ameaças disponível, incluindo dados de alianças da indústria e organizações de compartilhamento de informações, são mais capazes de se defender contra ataques cibernéticos. Compartilhar dados de ameaças, e tomar medidas com essa inteligência, representa a nova linha de defesa contra ameaças ao nosso ecossistema de informações e empresas que o apoiam. SOBRE A LEVEL 3 Construímos, operamos e assumimos a responsabilidade ponta a ponta pelas soluções de redes que o conectam ao mundo. Colocamos os clientes em primeiro lugar e assumimos a responsabilidade pela confiabilidade e segurança em toda a nossa ampla carteira LATAM-COMUNICA@LEVEL3.COM Level 3 Communications, LLC. Todos os direitos reservados. Level 3, Level 3 Communications, o logo Level 3 Communications, o logo Level 3 e Connecting and Protecting the Networked World são marcas de serviço registradas ou marcas de serviço da Level 3 Communications, LLC e/ou uma de suas Afiliadas nos Estados Unidos e/ou outros países. Os serviços da Level 3 são prestados por subsidiárias integrais da Level 3 Communications, Inc. Quaisquer outros nomes de serviços, nomes de produtos, nomes ou logotipos de empresas incluídos neste documento são marcas comerciais ou marcas de serviço de seus respectivos proprietários.. # Rev 08/2015 PT 20