CenturyLink · un cambio en la internet y que no somos observadores pasivos con respecto a la...
Transcript of CenturyLink · un cambio en la internet y que no somos observadores pasivos con respecto a la...
CenturyLink Informe sobre Amenzas 2019 1
CenturyLinkInforme sobre amenazas 2019
CenturyLink Informe sobre Amenzas 2019 2
El tema de la seguridad no deberiacutea ser tan difiacutecil
O dicho de otra forma La seguridad puede ser compleja El verdadero arte consiste en lograr que la seguridad sea faacutecil de usar
Como empresa de Fortune 150 y siendo el segundo mayor proveedor de comunicaciones de los Estados Unidos para clientes corporativos a nivel global somos responsables de asegurar nuestras propias operaciones a traveacutes de un conjunto de soluciones de TI hiacutebrida nube redes y comunicaciones - ademaacutes de las operaciones de nuestros clientes Como CSO de esta compantildeiacutea puedo dar fe de que las presiones que padecen los liacutederes en seguridad actualmente son muchas
Por un lado tenemos la explosioacuten del traacutefico de red impulsados por el video 5G IoT dispositivos conectados y una fuerza laboral moacutevil por otra parte existe una intolerancia creciente y justificada de los usuarios - tanto internos como externos - ante cualquier desempentildeo que no sea perfecto y que no esteacute siempre activo A esto agreacuteguele la naturaleza de parche de muchas de las soluciones actuales de seguridad con las que a menudo las empresas deben arreglaacuterselas por siacute solas para enmendarlas la brecha entre los equipos de seguridad y de ingenieriacutea que a menudo se refleja en la implementacioacuten de la seguridad - y el panorama puede presentarse como desalentador
Pero la seguridad puede ser simple creemos que el valor inherente de un proveedor de soluciones de seguridad deberiacutea ser en primer lugar y como objetivo primordial el de brindar una simplicidad efectiva
En CenturyLink nuestra seguridad se construye sobre la base de dos directivas fundamentales aprovechar nuestra visibilidad global y expansiva de las amenzas y actuar en contra de las amenazas que vemos Nuestra exclusiva y profunda inteligencia sobre amenazas basada en la red hace que
La promesa de laSeguridad Conectada
Chris Betz CSO
CenturyLink Informe sobre Amenzas 2019 3
nuestro abordaje sea posible - y es el cimiento de la Seguridad Conectada de nuestra visioacuten de una integracioacuten sin fisuras entre la seguridad y la red para transformar las comunicaciones del mantildeana
Cuanto maacutes podamos hacer como proveedores globales de servicios de seguridad para identificar o impactar en el traacutefico malicioso antes que eacuteste dantildee la infraestructura de nuestros clientes estos podraacuten focalizarse mejor y priorizar sus recursos en cualquier otro lugar Esta es la promesa de la Seguridad Conectada y la premisa sobre la cual hemos transformado nuestra red en un sensor de amenazas y una plataforma de defensa proactiva
Detener las amenazas a la seguridad que enfrentamos hoy diacutea ndash y aquellas amenazas que enfrentaremos mantildeana ndash requiere maacutes que inteligencia Requiere de un compromiso colectivo de compartir aquello que vemos y actuar sobre lo que sabemos Esperamos seguir trabajando juntos mientras seguimos impulsando la simplificacioacuten de la seguridad
Cordialmente
Chris Betz CSO de CenturyLink
CenturyLink Informe sobre Amenzas 2019 4
Contenidos Parte I El rol de la inteligencia sobre amenazas profundas basada en la red 5
Black Lotus Labs Defensores de una internet limpia 5
Investigacioacuten sobre amenazas y operaciones en escala 8
Parte II Adentraacutendonos en las profundidades de los riesgos y ataques maacutes recientes 14
Combatiendo a las botnets El ejeacutercito de amenazas basadas en la red 14
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs 15
Conducta de las botnets basadas en la red 17
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas 19
Monitoreo de DNS Una medida de seguridad subutilizada 22
Tunelizacioacuten de DNS Ofuscando la actividad maliciosa 22
Secuestro de DNS Redireccionando las consultas de dominio 24
DGAs Cazando dominios de alta entropiacutea 26
Entropiacutea y teacutecnicas nuevas 26
El bueno el malo y el feo Coacutemo defenderse de las amenazas basadas en DNS 28
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoS 29
Atreacutevase mdash pero con precaucioacuten 34
Conclusioacuten 35
CenturyLink Informe sobre Amenzas 2019 5
Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos
Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet
Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs
Part I El rol de la inteligencia sobre amenazas basada en la red
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 2
El tema de la seguridad no deberiacutea ser tan difiacutecil
O dicho de otra forma La seguridad puede ser compleja El verdadero arte consiste en lograr que la seguridad sea faacutecil de usar
Como empresa de Fortune 150 y siendo el segundo mayor proveedor de comunicaciones de los Estados Unidos para clientes corporativos a nivel global somos responsables de asegurar nuestras propias operaciones a traveacutes de un conjunto de soluciones de TI hiacutebrida nube redes y comunicaciones - ademaacutes de las operaciones de nuestros clientes Como CSO de esta compantildeiacutea puedo dar fe de que las presiones que padecen los liacutederes en seguridad actualmente son muchas
Por un lado tenemos la explosioacuten del traacutefico de red impulsados por el video 5G IoT dispositivos conectados y una fuerza laboral moacutevil por otra parte existe una intolerancia creciente y justificada de los usuarios - tanto internos como externos - ante cualquier desempentildeo que no sea perfecto y que no esteacute siempre activo A esto agreacuteguele la naturaleza de parche de muchas de las soluciones actuales de seguridad con las que a menudo las empresas deben arreglaacuterselas por siacute solas para enmendarlas la brecha entre los equipos de seguridad y de ingenieriacutea que a menudo se refleja en la implementacioacuten de la seguridad - y el panorama puede presentarse como desalentador
Pero la seguridad puede ser simple creemos que el valor inherente de un proveedor de soluciones de seguridad deberiacutea ser en primer lugar y como objetivo primordial el de brindar una simplicidad efectiva
En CenturyLink nuestra seguridad se construye sobre la base de dos directivas fundamentales aprovechar nuestra visibilidad global y expansiva de las amenzas y actuar en contra de las amenazas que vemos Nuestra exclusiva y profunda inteligencia sobre amenazas basada en la red hace que
La promesa de laSeguridad Conectada
Chris Betz CSO
CenturyLink Informe sobre Amenzas 2019 3
nuestro abordaje sea posible - y es el cimiento de la Seguridad Conectada de nuestra visioacuten de una integracioacuten sin fisuras entre la seguridad y la red para transformar las comunicaciones del mantildeana
Cuanto maacutes podamos hacer como proveedores globales de servicios de seguridad para identificar o impactar en el traacutefico malicioso antes que eacuteste dantildee la infraestructura de nuestros clientes estos podraacuten focalizarse mejor y priorizar sus recursos en cualquier otro lugar Esta es la promesa de la Seguridad Conectada y la premisa sobre la cual hemos transformado nuestra red en un sensor de amenazas y una plataforma de defensa proactiva
Detener las amenazas a la seguridad que enfrentamos hoy diacutea ndash y aquellas amenazas que enfrentaremos mantildeana ndash requiere maacutes que inteligencia Requiere de un compromiso colectivo de compartir aquello que vemos y actuar sobre lo que sabemos Esperamos seguir trabajando juntos mientras seguimos impulsando la simplificacioacuten de la seguridad
Cordialmente
Chris Betz CSO de CenturyLink
CenturyLink Informe sobre Amenzas 2019 4
Contenidos Parte I El rol de la inteligencia sobre amenazas profundas basada en la red 5
Black Lotus Labs Defensores de una internet limpia 5
Investigacioacuten sobre amenazas y operaciones en escala 8
Parte II Adentraacutendonos en las profundidades de los riesgos y ataques maacutes recientes 14
Combatiendo a las botnets El ejeacutercito de amenazas basadas en la red 14
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs 15
Conducta de las botnets basadas en la red 17
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas 19
Monitoreo de DNS Una medida de seguridad subutilizada 22
Tunelizacioacuten de DNS Ofuscando la actividad maliciosa 22
Secuestro de DNS Redireccionando las consultas de dominio 24
DGAs Cazando dominios de alta entropiacutea 26
Entropiacutea y teacutecnicas nuevas 26
El bueno el malo y el feo Coacutemo defenderse de las amenazas basadas en DNS 28
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoS 29
Atreacutevase mdash pero con precaucioacuten 34
Conclusioacuten 35
CenturyLink Informe sobre Amenzas 2019 5
Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos
Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet
Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs
Part I El rol de la inteligencia sobre amenazas basada en la red
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 3
nuestro abordaje sea posible - y es el cimiento de la Seguridad Conectada de nuestra visioacuten de una integracioacuten sin fisuras entre la seguridad y la red para transformar las comunicaciones del mantildeana
Cuanto maacutes podamos hacer como proveedores globales de servicios de seguridad para identificar o impactar en el traacutefico malicioso antes que eacuteste dantildee la infraestructura de nuestros clientes estos podraacuten focalizarse mejor y priorizar sus recursos en cualquier otro lugar Esta es la promesa de la Seguridad Conectada y la premisa sobre la cual hemos transformado nuestra red en un sensor de amenazas y una plataforma de defensa proactiva
Detener las amenazas a la seguridad que enfrentamos hoy diacutea ndash y aquellas amenazas que enfrentaremos mantildeana ndash requiere maacutes que inteligencia Requiere de un compromiso colectivo de compartir aquello que vemos y actuar sobre lo que sabemos Esperamos seguir trabajando juntos mientras seguimos impulsando la simplificacioacuten de la seguridad
Cordialmente
Chris Betz CSO de CenturyLink
CenturyLink Informe sobre Amenzas 2019 4
Contenidos Parte I El rol de la inteligencia sobre amenazas profundas basada en la red 5
Black Lotus Labs Defensores de una internet limpia 5
Investigacioacuten sobre amenazas y operaciones en escala 8
Parte II Adentraacutendonos en las profundidades de los riesgos y ataques maacutes recientes 14
Combatiendo a las botnets El ejeacutercito de amenazas basadas en la red 14
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs 15
Conducta de las botnets basadas en la red 17
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas 19
Monitoreo de DNS Una medida de seguridad subutilizada 22
Tunelizacioacuten de DNS Ofuscando la actividad maliciosa 22
Secuestro de DNS Redireccionando las consultas de dominio 24
DGAs Cazando dominios de alta entropiacutea 26
Entropiacutea y teacutecnicas nuevas 26
El bueno el malo y el feo Coacutemo defenderse de las amenazas basadas en DNS 28
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoS 29
Atreacutevase mdash pero con precaucioacuten 34
Conclusioacuten 35
CenturyLink Informe sobre Amenzas 2019 5
Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos
Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet
Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs
Part I El rol de la inteligencia sobre amenazas basada en la red
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 4
Contenidos Parte I El rol de la inteligencia sobre amenazas profundas basada en la red 5
Black Lotus Labs Defensores de una internet limpia 5
Investigacioacuten sobre amenazas y operaciones en escala 8
Parte II Adentraacutendonos en las profundidades de los riesgos y ataques maacutes recientes 14
Combatiendo a las botnets El ejeacutercito de amenazas basadas en la red 14
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs 15
Conducta de las botnets basadas en la red 17
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas 19
Monitoreo de DNS Una medida de seguridad subutilizada 22
Tunelizacioacuten de DNS Ofuscando la actividad maliciosa 22
Secuestro de DNS Redireccionando las consultas de dominio 24
DGAs Cazando dominios de alta entropiacutea 26
Entropiacutea y teacutecnicas nuevas 26
El bueno el malo y el feo Coacutemo defenderse de las amenazas basadas en DNS 28
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoS 29
Atreacutevase mdash pero con precaucioacuten 34
Conclusioacuten 35
CenturyLink Informe sobre Amenzas 2019 5
Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos
Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet
Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs
Part I El rol de la inteligencia sobre amenazas basada en la red
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 5
Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos
Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet
Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs
Part I El rol de la inteligencia sobre amenazas basada en la red
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 6
En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando
No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar
Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial
El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado
Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019
Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo
Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio
Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)
1394 Emotet
1438 Mirai
1240 Gafgyt
39Xor_DDoS
9Necurs
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 7
Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes
De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet
Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet
Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink
Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo
Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink
Visibilidad sobre Amenazas de CenturyLink
~139MMde sesiones de NetFlow ingeridas y analizadas
por diacutea
~771Mde consultas de DNS compiladas por diacutea
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 8
Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware
Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades
Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 9
9
8
4
73
2
65
110
1 C2 hosts average per day
Amenazas globales rastreadas por paiacutes promedio por diacutea
C2 hosts1 Estados Unidos 597 K
2 China 137 K
3 Rusia 44 K
4 Paiacuteses Bajos 37 K
5 Meacutexico 32 K
6 Singapur 27 K
7 Alemania 24 K
8 Francia 23 K
9 Reino Unido 20 K
10 Corea 14 K
9
8
4
7 3
2
6
5110
2 Suspected botnet hosts per day
Botnet hosts Sospechosos1 Estados Unidos 93 K
2 Espantildea 76 K
3 India 75 K
4 Indonesia 43 K
5 Turquiacutea 32 K
6 Vietnam 32 K
7 Meacutexico 28 K
8 Marruecos 26 K
9 Brasil 25 K
10 Iraacuten 24 K
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 10
7
8
3
6
492
51
10
3 Hosts issuing attack commands per day
Hosts que emiten comandos de ataques1 Estados Unidos 45 K
2 Vietnam 27 K
3 Indonesia 17 K
4 India 14 K
5 China 13 K
6 Rusia 13 K
7 Brasil 7 K
8 Paiacuteses Bajos 7 K
9 Tailandia 7 K
10 Taiwaacuten 6 K
Hosts que distribuyen malware1 Estados Unidos 177 K
2 China 54 K
3 Paiacuteses Bajos 6 K
4 Reino Unido 4 K
5 Alemania 3 K
6 Francia 3 K
7 Rusia 2 K
8 Japoacuten 1 K
9 Singapur 892
10 Hong Kong 836
7
386
4
9
2
5
110
4 Hosts distributing malware per day
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 11
73
8 6
4
9 2
5
110
5 Hosts scanning for vulnerabilities per day
Hosts que escanean vulnerabilidades1 Estados Unidos 176 K
2 China 87 K
3 Egipto 65 K
4 Rusia 58 K
5 Brasil 53 K
6 Taiwaacuten 35 K
7 Corea 27 K
8 India 24 K
9 Francia 21 K
10 Paiacuteses Bajos 19 K
Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K
2 Alemania 29 K
3 Paiacuteses Bajos 21 K
4 Francia 16 K
5 Rusia 15 K
6 Islas Viacutergenes 10 K
7 Irlanda 8 K
8 Hong Kong 7 K
9 Emiratos Aacuterabes Unidos 6 K
10 Canadaacute 5 K
73
6
4
9
5
1
10
6 Hosts containing phishing sites per day
8
2
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 12
76
4
5
10
7 Hosts sending spam per day
8
2
13
9
Hosts que enviacutean spam 1 China 103 K
2 Vietnam 61 K
3 India 34 K
4 Rusia 30 K
5 Brasil 30 K
6 Iraacuten 14 K
7 Estados Unidos 14 K
8 Indonesia 13 K
9 Pakistaacuten 13 K
10 Argentina 11 K
Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K
2 China 290 K
3 India 152 K
4 Rusia 146 K
5 Vietnam 136 K
6 Brasil 117 K
7 Espantildea 94 K
8 Egipto 94 K
9 Indonesia 84 K
10 Alemania 60 K
7
6
4
10
8 All threats Cumulative threats tracked by country per day
8
21
3
9
5
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 13
Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente
Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo
Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo
Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten
El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 14
Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute
Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados
Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes
Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 15
Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos
Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad
Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019
En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 16
Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai
bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores
bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes
bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten
bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos
Gafgyt Mirai Xor_DDoS
C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32
Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 17
Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas
MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten
A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables
TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 18
NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA
Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo
Controlando los movimientos de Necurs
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 19
Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas
Queacute es
CenturyLink Informe sobre Amenazas 2019 19
TheMoonNecursMylobotMiraiSatoriEmotet
Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows
Mirai debutoacute en 2016 como
malware desarrollado por
operadores de servidores
de videojuegos de lucha
Debido a que brindaba
un marco faacutecil de usar
escalable para los ataques
de IoT raacutepidamente se
hizo popular como una
plataforma geneacuterica de
ataque de DDoS Desde
ese entonces el malware
Mirai ha evolucionado
en muacuteltiples variantes
capaces de comprometer
dispositivos conectados a
internet para lanzar ataques
similares Satori es una
variante de la bot Mirai
Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi
Descubierto primero en
2012 Necurs es una de
las botnets de distribucioacuten
de spam y malware maacutes
proliacuteficas de la historia
habiendo infectado muchos
millones de computadoras
Necurs ha evolucionado
de una botnet spam
entregando troyanos
bancarios y ransomware
a una herramienta
multifaceacutetica capaz de
hacer un proxy del traacutefico
habilitando la cripto-mineriacutea
y lanzando ataques de
DDoS
Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes
Coacutemo infecta
Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento
Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos
dispositivos
El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware
Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados
Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio
TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 20
Los actores de Emotet
mantiene maacutes de
cien C2 diferentes en
cualquier momento
determinado actualizando
frecuentemente los C2 que
estaraacuten activos a lo largo del
diacutea La estructura de capas
de C2 mencionada arriba
hace que la infraestructura
de Emotet sea notablemente
resistente a las disrupciones
de C2 individuales
Black Lotus Labs observoacute
aproximadamente 18000
IPs uacutenicas comunicaacutendose
con los C2 de Mylobot
La bot ejecuta buacutesquedas
de DNS que parecen ser
DGAs pero en realidad son
dominios predefinidos en el
malware
TheMoon cuenta con varias
IP preprogramadas que
utiliza para comunicarse
con los C2 dentro
de su coacutedigo binario
principal Las cargas uacutetiles
secundarias pueden tener
una infraestructura de C2
separada
La bot usa una red
distribuida peer-to-peer
para conectar maacutequinas
infectadas
Las botnets Mirai solo
pueden tener un servidor
de comando y control de
modo que cuando el mismo
es derribado la botnet
queda hueacuterfana Las bots
hueacuterfanas a menudo son
identificadas y suscritas
nuevamente a un nuevo C2
debido a que el compromiso
inicial queda sin resolver
Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2
Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2
TheMoon distribuye
moacutedulos maliciosos de
funcionalidades diferentes
luego de la infeccioacuten inicial
Uno de los moacutedulos intenta
crear una red proxy para
que la usen los clientes
del operador Algunos de
estos clientes pueden usar
el proxy como servicio para
enviar traacutefico de ataque
dificultando auacuten maacutes el
rastreo de la verdadera
fuente de ataque
Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2
al cual conectarse
Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y
duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda
minada
Conducta
Caracteriacutesticas
TheMoonNecursMylobotMiraiSatoriEmotet
CenturyLink Informe sobre Amenazas 2019 20
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 21
En los uacuteltimos antildeos Emotet
se ha usado principal-
mente como un servicio de
distribucioacuten de malware por
otras familias tales como
Trickbot IcedID QakBot
Gookit y Dridex ty se ha
convertido en un elemento
central para el ecosistema
del ciberdelito
Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten
Similar a Mylobot
TheMoon puede distribuir
cargas uacutetiles secundarias
adicionales de diversas
funcionalidades La
mayoriacutea de estas cargas
uacutetiles secundarias estaacuten
asociadas con convertir la
bot en un proxy ofrecido
como servicio
Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra
iacutendole
Mirai no lanza una carga uacutetil
secundaria
Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red
Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks
Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2
Los fabricantes de
dispositivos de IoT y los
proveedores de red de
banda ancha deberiacutean
limitar los servicios abiertos
a internet y proporcionar
parches continuamente
para las vulnerabilidades a la
seguridad
Los nombres de usuarios
y contrasentildeas por default
deberiacutean cambiarse
inmediatamente cuando el
dispositivo es encendido
por primera vez
Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados
Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques
Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet
Coacutemo defender y proteger
TheMoonNecursMylobotMiraiSatoriEmotet
Cargas uacutetiles
CenturyLink Informe sobre Amenazas 2019 21
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 22
Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP
Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos
Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque
Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)
Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS
Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 23
La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa
Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL
Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS
bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com
Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar
bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com
Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)
bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com
Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 24
Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque
Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo
Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas
Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 25
Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018
Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes
2018-09-01
2018-09-15
2018-10-01
2018-10-15
2018-11-01
2018-11-15
2018-12-01
2018-12-15
Talos DNSpionagetraffic review byBlack Lotus Labs
1852018413818516121172185201878
Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 26
DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante
Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes
DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw
Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente
Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 27
nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible
Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox
Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario
Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente
Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenazas 2019 28
El bueno el malo y el feo coacutemo defenderse de las amenazas DNS
Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores
las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente
bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red
bull Use un upstream provider que bloquee los nombres de dominio maliciosos
bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten
bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa
Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier
persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos
bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto
bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente
bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local
Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones
Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 29
los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad
Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan
Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda
Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados
Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el
Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 30
enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten
Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets
Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 31
Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019
Segmentacioacuten por tipo de ataque de DDoS
de ataques DDoSmitigados
Diariamente = ~120 1 semestre 2019 =
~14K
Tamantildeo promedio de los ataques =
4 Gbps
Tamantildeo promedio de ataque pico diariamente =
25 Gbps
Mayor ataque visto =
430 Gbps
Duracioacuten promedio de un ataque =
44 Minutos
Duracioacuten promedio de un ataque=
1 Horas 51 Minutos
Ataque de DDoS maacutes largo =
9 Diacuteas4 Horas
40 Minutos
De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque
89 multi-vector
11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados
9Reflexioacuten de
Chargen
25Reflexioacuten de
DNS18
Inundacioacuten ICMP17
inundacioacuten SYN
19Miscelaacuteneos
12Reflexioacuten NTP
HTTP capa 7 puertos UDP no estaacutendar etc
CenturyLink Informe sobre Amenazas 2019 31
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 32
Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -
Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN
puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple
7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -
Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple
10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110
12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120
21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple
23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN
puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple
25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple
26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816
27 Inundacioacuten ICMP - Reflexioacuten de Chargen
28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122
29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple
30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple
34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de
NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC
- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple
39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de
SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten
ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN
puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP
46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443
47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085
48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple
49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP
CenturyLink Informe sobre Amenzas 2019 32
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 33
Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019
CenturyLink Informe sobre Amenazas 2019 33
61 Web hosting
10 Telecomunicaciones
9 Servicios de salud
7 Servicios profesionales
4 Retail
4 Servicios financieros
2 Educacioacuten
1 Juegos
1 Sin fines de lucro
1 Medios y entretenimiento
Segmentacioacuten por Web hosting42 Juegos
42 Apuestas online
10 Telecomunicaciones
5 E-commerce
1 Educacioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 34
Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas
iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones
1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red
2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros
3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios
4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido
5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
CenturyLink Informe sobre Amenzas 2019 35
Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital
Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos
CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos
Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones
Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos
iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444
Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten
Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados
El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten