Documentos de Académico
Documentos de Profesional
Documentos de Cultura
https://krebsonsecurity.com/
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
2019?
2020?
Orion?
SAML? ?
SolarWinds indica que el SolarWinds Orion El actor de la amenaza
ataque inicial de la ha recibido mucha es desconocido pero
cadena de suministro se prensa, pero parece claramente profesional
remonta a Orion 2019.4, que hubo otros con capacidades de
pero es probable que vectores estado-nación
sean solo pruebas
Ejecución-Persistencia
Cuando el software inicia, la DLL comprometida carga y el código
malicioso insertado llama la función que tiene la capacidad de puerta
trasera (backdoor)
Evasión
El backdoor posee una lista valida de chequeos para asegurarse que
esta siendo ejecutado en una red comprometida
Reconocimiento
El backdoor recopila información del sistema
C&C Inicial
El backdoor se conecta a un servidor de comando y control
(C&C). El dominio al cual se conecta en parte se basa de la
información recopilada del sistema, haciendo que cada
subdominio es único. El backdoor podría recibir una dirección de
C&C adicional a la cual conectarse
Exfiltración
El backdoor envía la información recopilada al atacante
“Hands On”
El backdoor ejecuta comandos que recibe de los atacantes. La amplia
gama de funcionalidades del backdoor permiten a los atacantes
realizar actividades adicionales, como robo de credenciales, escalar
privilegios de forma progresiva y movimiento lateral
Fuente: http://tiny.cc/SWSA
©2020 Check Point Software Technologies Ltd. 12
Escalando con SAML…
©2019 Check Point Software Technologies Ltd. [Protected] Distribution or modification is subject to approval
Primer paso escencial: Orion
©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
Defensa automatizada con Check Point Infinity Threat Prevention R81
A n t e s D u r a n t e L u e g o
Anti-Virus:
Firma IPS: Sunburst Backdoor Suspicious Traffic. Trojan.Win32.SUNBURST.TC.XXX
Threat emulation(Sandboxing):
Package nr. 6342088393 HackTool.Wins.FE_RT.A<XX> Anti Bot:
Backdoor.Win32.SUNBURST.XX
Backdoor.Win32.Beacon.<A-H>
Copia (Mirror)
Copia (Mirror)
de trafico DMZ
de trafico LAN Internet
Red
DMZ
Conexión Firewall
de Internet actual
ISP
Modem/Router
Red de Red de
usuarios servidores
Fuente: http://tiny.cc/CPSunburstReport
©2020 Check Point Software Technologies Ltd. 23
SmartEvent Report
Fuente: http://tiny.cc/CPSunburstReport
©2020 Check Point Software Technologies Ltd. 24
SANDBLAST AGENT: PROTECCION ENDPOINT
©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
Endpoint: Ataque completo
AV Tradicional
Winword.exe
SolarWinds.Orion.
Core.dll cmd.exe PowerShell.exe
El ataque comenzó Ejecución sospechosa http://badsite/mlwe.exe
con un código
malicioso en un
documento
Explorer.exe
msosqm.exe
Wininit.exe Excel.exe
Debo
preocuparme?
Tipo de
ataque
Como Todo
ingreso? limpio?
Comprender
las tácticas y
técnicas
©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
PREVENCIÓN AVANZADA DE “ACCOUNT TAKEOVER”
©2018Check Point
©2018 Software
Check PointTechnologies Ltd.
Software Technologies Ltd.
Threat Hunting con Infinity SOC
Busque indicadores Sunburst de forma simple Priorize los hallazgos Realice remediación
©2020 Check Point Software Technologies Ltd. 40
Evite problemas de privacidad y altos costos
SUS LOGS NO SON EXPORTADOS O GUARDADOS
Proteja la privacidad y
cumpla regulaciones
Sus logs
Evite el costoso
almacenamiento de logs
Revolucionario método
de análisis de eventos en nube
©2020 Check Point Software Technologies Ltd. 41
Cazando un fantasma…
47
Todo se trata de la cadena de suministro…
• La segmentación es
necesaria en todas partes
• Red y nube
• Comprender la interacción
entre on premise y la nube
• No son lo mismo
• Debe tener visibilidad de
todos los sistemas en la
nube
• Cloud Security Posture
Management es critico