Confesiones y anécdotas de un ex-APT

Transcript

1. Confesiones y anécdotas de un ex-APT Javier Marcos @javutin @jmpsec

   EuskalHack Security Congress VIII

2. Confesiones y anécdotas de un ex-APT Javier Marcos @javutin @jmpsec

   EuskalHack Security Congress VIII

3. EUSKALHACK SECURITY CONGRESS VIII 3 $ whoami Confesiones y anécdotas

   de un ex-APT @javutin / @jmpsec Facebook (2011-2016) Uber (2016-2018) Airbnb (2018-2019) BitMEX (2019-2021) IBM (2007-2011) Siemens (2006-2007) JMP Security (2021-now)

4. 4 $ whoami Confesiones y anécdotas de un ex-APT @javutin

   / @jmpsec Staff Security Engineer EUSKALHACK SECURITY CONGRESS VIII

5. 5 Agenda Confesiones y anécdotas de un ex-APT @javutin /

   @jmpsec ▪ Desmitificando APTs ⇢ Definición, fases y ejemplos ▪ CCDC: Collegiate Cyber Defense Competition ⇢ Experiencia personal y APTs ▪ Stanza ⇢ Liberación de implante y C2 ▪ Preguntas EUSKALHACK SECURITY CONGRESS VIII

6. 6 ¿Qué es un APT? Confesiones y anécdotas de un

   ex-APT @javutin / @jmpsec ▪ Advanced Persistent Threat ⇢ “Ataque cibernético prolongado y dirigido, muchas veces respaldado por estados-nación o grupos organizados” EUSKALHACK SECURITY CONGRESS VIII

7. 7 Características de un APT Confesiones y anécdotas de un

   ex-APT @javutin / @jmpsec ▪ Uso de técnicas sofisticadas, a menudo con herramientas no públicas hechas a medida ▪ Mantienen el acceso durante un largo periodo de tiempo, sin ser detectados ▪ Buscan robar información, dinero, espiar o causar algún tipo de daño EUSKALHACK SECURITY CONGRESS VIII

8. 8 Ciclo de vida de un APT Confesiones y anécdotas

   de un ex-APT @javutin / @jmpsec ▪ Infiltración Inicial y Establecimiento ⇢ Reconocimiento, Entrega, Persistencia ▪ Expansión y Control ⇢ Privesc, Movimiento lateral, C2 ▪ Ejecución y Evasión ⇢ Exfiltración, Borrado de huellas, Latencia https://en.wikipedia.org/wiki/Advanced_persistent_threat EUSKALHACK SECURITY CONGRESS VIII

9. 9 Clasificación de APTs Confesiones y anécdotas de un ex-APT

   @javutin / @jmpsec ▪ Por país ⇢ China, Rusia, Irán, Corea del Norte, USA, Israel… ▪ Por nombre ⇢ Red Apollo, Elfin Team, Lazarus, Fancy Bear, Equation Group… ▪ Por numeración ⇢ APT[1-30], APT3[3-5], APT3[7-8]... EUSKALHACK SECURITY CONGRESS VIII

10. 10 Clasificación de APTs Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec ▪ Por APT-SIG (Security Interest Group) ⇢ Mandiant ⇢ CrowdStrike ⇢ MITRE ⇢ Kaspersky ⇢ FireEye ⇢ US-CERT ⇢ … https://attack.mitre.org/groups/ https://www.crowdstrike.com/adversaries/ https://apt.securelist.com/ https://cloud.google.com/security/resources/insights/apt-groups EUSKALHACK SECURITY CONGRESS VIII

11. 11 Confesiones y anécdotas de un ex-APT @javutin / @jmpsec

    EUSKALHACK SECURITY CONGRESS VIII

12. 12 Entrenamiento contra APTs Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

13. 13 Entrenamiento contra APTs? Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

14. 14 Collegiate Cyber Defense Competition Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ Campeonato de Ciberdefensa Universitaria ⇢ Estudiantes tienen que defender una red empresarial realista bajo ataque (2 días) ⇢ Rondas clasificatorias regionales y finales nacionales ⇢ Sponsors institucionales y privados https://www.nationalccdc.org/ EUSKALHACK SECURITY CONGRESS VIII (CTF inverso)

15. 15 Collegiate Cyber Defense Competition Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ Campeonato de Ciberdefensa Universitaria ⇢ 10 Blue Teams de 8-10 estudiantes ⇢ Cada Blue Team tiene 2 personas del Red Team ▫ Windows / Linux ⇢ Se realiza durante 2 días, limitado a 8 horas ▫ Se corta el acceso a los participantes https://www.nationalccdc.org/ EUSKALHACK SECURITY CONGRESS VIII (CTF inverso)

16. 16 CCDC: Equipos Confesiones y anécdotas de un ex-APT @javutin

    / @jmpsec ▪ Blue Teams (Defensa) ▪ Red Team (Ataque, APT) ▪ Black Team (Infra) ▪ White / Gold / Orange (Operaciones) https://www.nationalccdc.org/ EUSKALHACK SECURITY CONGRESS VIII

17. 17 CCDC: Clasificatorias Regionales Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

18. 18 CCDC: Finales Nacionales Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

19. 19 Confesiones y anécdotas de un ex-APT @javutin / @jmpsec

    CCDC: Sponsors EUSKALHACK SECURITY CONGRESS VIII

20. 20 CCDC: Infra (Blue Team) Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

21. 21 CCDC: Infra (Blue Team) Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

22. 22 CCDC: Infra Confesiones y anécdotas de un ex-APT @javutin

    / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

23. 23 CCDC: Red Team Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII ▪ Regionales (Voluntarios) y Nacionales (Selección) ⇢ Profesionales de Seguridad Ofensiva ⇢ Profesionales de Seguridad ⇢ Profesionales++

24. 24 CCDC: Red Team Confesiones y anécdotas de un ex-APT

    @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII ▪ Regionales (Voluntarios) y Nacionales (Selección) ⇢ Profesionales de Seguridad Ofensiva ⇢ Profesionales de Seguridad ⇢ Profesionales++ WRCCDC: 2014-2018 NCCDC: 2017-2020, 2025!

25. 25 CCDC: Infra (Red Team) Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

26. 26 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ T0 - Día 1 ⇢ Comienzo de la competición (Blue / Red) ⇢ Momento de más importancia para Red Team ▪ Sistema de puntuación ⇢ + Servicios críticos, Incident Response, Inserts, Otros ⇢ - Servicios críticos, Red Team Reports y Flags ▪ Reglas muy estrictas! EUSKALHACK SECURITY CONGRESS VIII

27. 27 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ Día 1 = Calma ⇢ Reconocimiento, Infiltración, Persistencia… ⇢ Movimiento Lateral, Latencia, Preparación ▪ Día 2 = Kaos ⇢ Ejecución, Exfiltración, Destrucción ▪ Lo que nunca te dejan hacer en un Red Team! Blue Team EUSKALHACK SECURITY CONGRESS VIII

28. 28 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

29. 29 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

30. 30 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

31. 31 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

32. 32 CCDC: Reglas y Puntuación Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

33. 33 CCDC: Ejemplos Día 2 Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

34. 34 CCDC: Ejemplos Día 2 Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

35. 35 CCDC: Ejemplos Día 2 Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

36. 36 CCDC: Ejemplos Día 2 Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

37. 37 CCDC Red Team Toolkit Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ Herramientas Públicas ⇢ Metasploit, sliver, realm, Cobalt Strike, Mimikatz… ▪ Herramientas Privadas ⇢ [REDACTED], [REDACTED], [REDACTED]... tanatopractica EUSKALHACK SECURITY CONGRESS VIII

38. 38 CCDC Red Team Toolkit Confesiones y anécdotas de un

    ex-APT @javutin / @jmpsec ▪ Nuevo implante y C2: Stanza ⇢ Implante multiplataforma (go) ⇢ Soporte multiprotocolo: HTTP(S), TCP, UDP ⇢ Diseñado para resistencia e invisibilidad ⇢ Mínimas dependencias externas EUSKALHACK SECURITY CONGRESS VIII https://github.com/jmpsec/stanza-c2

39. 39 CCDC Red Team Toolkit: Stanza Confesiones y anécdotas de

    un ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

40. 40 CCDC Red Team Toolkit: Stanza demo Confesiones y anécdotas

    de un ex-APT @javutin / @jmpsec EUSKALHACK SECURITY CONGRESS VIII

41. 41 Conclusiones Confesiones y anécdotas de un ex-APT @javutin /

    @jmpsec ▪ Los APT representan una amenaza real, sofisticada y persistente, que requiere preparación técnica y mental. ▪ CCDC ofrece un entorno práctico realista para simular este tipo de ataques y poner a prueba las habilidades de defensa. ▪ No es solo cuestión de tecnología, también de trabajo en equipo, toma de decisiones bajo presión y comunicación. EUSKALHACK SECURITY CONGRESS VIII

42. 42 ¿Preguntas? Confesiones y anécdotas de un ex-APT @javutin /

    @jmpsec EUSKALHACK SECURITY CONGRESS VIII

43. ¡MUCHAS GRACIAS! ESKERRIK ASKO! Confesiones y anécdotas de un ex-APT

    @javutin @jmpsec

44. EuskalHack Security Congress VIII