Bastionado, seguridad en sistemas: Detectar Mandiant APT1 pre { background:#eeeeee; border:1px solid #A6B0BF; font-size:120%; line-height:100%; overflow:auto; padding:10px; color:#000000 } pre:hover { border:1px solid #efefef; } code { font-size:120%; text-align:left; margin:0;padding:0; color: #000000;} .clear { clear:both; overflow:hidden; }

Bienvenido al blog

Bienvenidos al blog de seguridad en sistemas

miércoles, 20 de febrero de 2013

Detectar Mandiant APT1

Buenas de nuevo. Como siempre escribo más tarde de lo esperado, pero por fin he terminado el paper y ya estoy en Advanced :-) (no me lo creo ni yo jaja).

Hace un par de días el mundo se revolucionaba con el informe de Mandiant, el APT1 y el posible expionaje del gobierno Chino. Aunque no he tenido tiempo de leerme el documento integro, si he visto que se han proporcionado una lista de dominios DNS consultados por este Malware. Por tanto si se detecta estas consultas podriamos detectar, en principio, que equipos de nuestra infraestructura están infectados.

Desde el blog de mi antigua empresa, mis excompañeros Raúl y Roberto han creado un fichero de reglas para Snort que comprueba si se hace una consulta DNS a los servidores de cualquiera de estos dominios. Desde la entrada en el blog podeis descargaros el fichero y probarlo. 

Posiblemente, y como han indicado varias personas, una solución que requiere menos consumo, ya que está diseñado para ello, es la implantación de un DNS Sinkhole, tal como se indico hace un año en el blog a traves de esta entrada. El DSN Sinkhole no es más que un DNS Bind con un listado de dominios prohibidos, de forma que cuando alguien consulta esos dominios, en vez de darle la dirección real del dominio se le da una IP de un servidor interno. Este servidor registra cualquier tráfico de red hacia él de forma que se pueda generar una alerta si algun equipo intenta conectarse a él.

Ahora bien, como mucho de nosotros conocemos, no siempre es posible la implantación de lo que queremos en una empresa. Siempre estamos sujetos a diseños anteriores, a la aceptación del cliente y a muchos otros aspectos más realcionados con la politicia de la empresa, el departamento de sistema, el tiempo requerido para su implantación y el desembolso económico requerido. 

La instalación de un IDS únicamente necesita que nos habiliten un puerto espejo en algún router o switch. Incluso con el uso de TAPs ni se requiere practicamente la intervención de un técnico de comunicaciones. Así mismo, la caida del IDS afectaría "únicamente" a la detección de alertas pero no a la disponibilidad del entorno. 

En cambio, la implantación de un DNS Sinkhole ya requiere dos servidores (DNS primario y secundario), puesto que, la caida de los servidores DNS afectaría totalmente al trabajo de la compañia. Así mismo, requiere un cambio en la arquitectura de red de la empresa, o al menos, la arquitectura de los servidores DNS, siendo necesaria la participación del departamento de sistemas. A su vez, se deben definir nuevas reglas en los firewall y modificar las anteriores, por tanto requiere tiempo de técnicos de comunicaciones. Además, sería necesario cambiar la politica de todos los equipos de los empleados para que tomen la IP del DNS Sinkhole como DNS valido. Si la empresa ya usaba un DNS interno se podría cambiar la IP de ese servidor DNS y asignarle esa IP al DNS Sinkhole para evitar tener que recurrir a micro.

Por tanto sí, DNS Sinkhole es mejor solución que emplear reglas de Snort, pero para ello es necesario una modificación en la arquitectura que no siempre es posible. Por tanto, sí disponemos de DNS Sinkhole pues volcamos los dominios a la lista negra y listo, si no disponemos de DNS Sinkhole pero si de Snort, es una buena idea aplicar las reglas indicadas al principio. Al fin y al cabo el asunto es disponer de algun mecanismo que nos permita detectar el Mandiant APT1.

Como mola esto de tener ya varias opciones para detectar estas cosas, hace unos años tendríamos que haber diseñado algún parche sucio y temporal para estas cosas. Nos leemos ;)

2 comentarios:

  1. No digas sucio, si puedes decir guaaarrroooo LLimooonaaaa

    ;)

    ResponderEliminar
  2. 120% agree with you master! de hecho si nos ponemos tikismikis con el rendimiento quitemos las reglas de RBN y las de malware por dns que vienen con VRT/Emergins :p

    ResponderEliminar