Upload
sans-lucido
View
4
Download
1
Embed Size (px)
Citation preview
Telefónica del PerúSegmento Empresas
Casos reales Security Operation Center
Lima, 15 de Junio 2010
Seguridad TI
Telefónica del PerúSegmento Empresas 2
ÍndiceIntroducción: - Fraud Modus Operandi
Detección:- Malware- Pharming- Phishing
Análisis casos reales:- Caso Phishing - Caso Actualización de Datos.- Caso de Malware con Pharming
Dispositivos Móviles:-Caso de iPhone
- Conclusiones:
01
02
03
04
05
Telefónica del PerúSegmento Empresas 3
Introducción
01
Telefónica del PerúSegmento Empresas 4
Fraud Modus Operandi:
Telefónica del PerúSegmento Empresas 5
InternetInternet
Red IP/MPLS
Red Privada Virtual (VPN)
Oficina A
Oficina Principa
l
Sistema UTM en red
AntiVirus
AntiSpam
FirewallFiltro de
ContenidoDetector de Inrusos
Conexión SSL
Security Operation Center
Tráfico de Salida
Primera Línea de Defensa1
Oficina B
Segunda Línea de Defensa2
Tercera Línea de Defensa3
Estrategia de Protección: “Defense in Depth”
Telefónica del PerúSegmento Empresas 6
Detección de Fraude
Telefónica del PerúSegmento Empresas 7
Detección:•Malware•Pharming•Phishing
02
Telefónica del PerúSegmento Empresas 8
Detección de Malware:Las bandas del fraude automatizan cada vez
más sus procesos de propagación:
•Una de las piezas clave son los troyanos bancarios. Actualmente, su principal forma de propagación es el envío de correos con una url.
•Esta url contiene el binario para que el usuario lo ejecute o bien un exploit de navegador, con el cual se ejecutaría él solo.
•El principal sistema de detección deberá recibir estos emails o bien escanear en busca de estas URLs
• Instalación de sensores como Honeypots
• Centralización del malware obtenido.
• HoneyNet Project
Proceso de Detección:
Telefónica del PerúSegmento Empresas 9
Detección de Pharming: Existen 02 tipos de Pharming:
• El cambio en el archivo “/etc/hosts”, que lo consideramos como malware ya que requiere ejecución en la máquina de la víctima.
• La inyección de registros en servidores DNS muy utilizados. Las víctimas quedan redireccionadas sin necesidad de realizar una intrusión o infección en su máquina.
• Detección de pharming consiste en monitorización de servidores DNS.
• Implementación de un monitorizador DNS.
•
Proceso de Detección:
Telefónica del PerúSegmento Empresas 10
Análisis de Casos:
03
Telefónica del PerúSegmento Empresas 11
Caso 1 : Phishing Bancario
Utilizaron un servidor web de un ministerio local, para alojar la página web de un banco inglés.
EnglishBank
EnglishBank
EnglishBank
EnglishBank
Telefónica del PerúSegmento Empresas 12
Caso 2 : Actualización de datos en tu Banco
Malware: Modulo-Brasilak.scr De: http://www.yeojin.com
Recepción a hotmail y el URL contiene Malware: http://cli.gs/https:wwwss.brasilbank.com.br.scripts.ib0k1.dll.Modulo-Brasilbank
Realmente Ocurre:(Robo Credenciales)
Los Datos ingresados están siendo redireccionados a otro site.
brasilbank
brasilbank
brasilbank
Telefónica del PerúSegmento Empresas 13
Caso 3 : Phishing con Pharming
Bajar el Malware y Ejecutarlo
Youtube para el Usuario
Realmente Ocurre:
“Has recibido una invitación postal de Rocío”, luego ingresas al URL, “Confiable”, la cual contiene el Malware:
http://dowload-postal.com/postales.com/view/update.ver_postal.postales.com.exe
No se estádireccionando
Telefónica del PerúSegmento Empresas 14
Dispositivos Móviles
04
Telefónica del PerúSegmento Empresas 15
Caso 4 : iPhone:
Gusano iKee aprovecha las contraseñas por default en “SSHD”, desarrollado por un joven australiano.
Version Unix/Darwing
Scanning SSHD
Utiliza credenciales default y podria
instalar
Telefónica del PerúSegmento Empresas 16
Conclusiones
05
Telefónica del PerúSegmento Empresas 17
Portal
DB Fraude
Análisis y Protección
Shutdown -> Global
Difunde/Progaga el Bloqueo del Fradude en la Red
Partners de NavegadoresBloqueo Email/ISP
Sensores de Datos
Honeypots
Medidas de controlDetección
Reacción
24/7 SOC Peru