CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium...
77
Borys Łącki LogicalTrust APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków
Transcript of CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium...
Borys ŁąckiLogicalTrust
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera.
Wybrane studium przypadków
Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwaEdukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
APT x 3
●Advanced●Persistent (< 5 dni)●Threat
White vs. Black
Carbanak
Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na
całym świecie
Zmiana paradygmatu bezpieczeństwa
Zmiana paradygmatu bezpieczeństwa
Nie CZY, a KIEDY...
Praktyka != Teoria
IT
Problemy
Asymetrie i motywacje
2015 - Motywacje
Studium przypadkówKlienci:
Branża IT
Branża finansowa
Branża IT
~ 40 pracowników
~ 100 pracowników
> 1 000 pracowników
ThreatDostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe oprogramowanie
3.Infrastruktura serwerowa
USB - PendriveZasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa
USB - Pendrive
20 x Pendrive
Pendrive● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Wyświetlanie obrazu/dokumentu
Sleep
Pendrive● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
PendriveWejście na teren firmy
● Rozmowa o pracę● Sprzedaż produktu● Kurier● Klient● (...)
http://thegrid.soup.io/post/380338752/Secretary-Wanted-Must-be-Flexible
PendriveCiekawostki
Dywersyfikować pomieszczenia
Nie spamować
Primary DNS #fail
Podsumowanie działań
● Skuteczność ataku ~40%● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)● Kilka osób zaniosło Pendrive do działu IT● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
Pomysły na poprawę
● Edukacja● USB WhiteListing● Application Whitelisting (AppLocker)● GPO
PhishingZasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych
PhishingRekonesans – lista pracowników● Wyszukiwarki internetowe● Grupy dyskusyjne● LinkedIn/Goldenline● Metadane z .pdf, .doc, (...)
PhishingRekonesans – AntiVirus
● DNS● Maile kontrolne (sygnatury + nagłówki)
PhishingRekonesans – bieżące akcje
● Konkurs● Rekrutacja pracowników● Promocja● Informacje biznesowe● (...)
Phishing● Zakup domen● Kopia witryny firmowej● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
PhishingMaile z załącznikiem
● Faktura.pdf.exe● CV Andrzej Kowalski.pdf.exe● Wniosek.pdf.exe
PhishingMaile z odnośnikiem do strony WWW
Podsumowanie działań● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
Pomysły na poprawę
● WWW, FTP, E-mail, SMTP - Proxy
● Application Whitelisting (AppLocker)
● GPO
● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbshttp://sanesecurity.com/foxhole-databases/
● DNS Blackholing
● IP Reputation Services
Infrastruktura serwerowaZasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych
Infrastruktura serwerowa
●Plan (VPS)●Rekonesans●Atak
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowaRekonesans – uzyskujemy:
Adresy IP/DNS (Aplikacje WWW)/E-mail
Technologie:
- ogłoszenia o pracę
- github – kody źródłowe
- wykorzystywany sprzęt w biurze (wifi, laptop)
Infrastruktura serwerowa
Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…)
Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail
Infrastruktura serwerowa
● Aktualne wersje oprogramowania● Brute force haseł - #fail
Infrastruktura serwerowa
Infrastruktura serwerowaPo dwóch dniach czytania kodu i myślenia...
Remote Code Execution
Infrastruktura serwerowa
1 – RCON Administrator/rcon map e2m3
2 – Shell injection0-day
Infrastruktura serwerowa
Konto administratora (root)
Pierwszy serwer
VM wyłącznie na potrzeby Quake
Komunikacja pomiędzy serwerami – ACL (!)
Usługi sieciowe (!)
Infrastruktura serwerowa
Błąd konfiguracyjny usługi sieciowej == Hasła
Crypt
MD5
SHA
2 konta (SSH)
Infrastruktura serwerowa
Błąd konfiguracyjny usługi systemowej
Infrastruktura serwerowaEskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i usług
● Błędne uprawnienia plików● Takie same hasła dla różnych usług● Brak segmentacji wewnętrznej sieci serwerowej● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
Infrastruktura serwerowa
Infrastruktura serwerowa
Password reuse – dostęp do usług zewnętrznych
Podsumowanie działań● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
Pomysły na poprawę● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
BezpieczeństwoWczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
Edukacja
● Użytkownik, Klient● Pracownicy (szczególnie spoza
działu IT)
Edukacja - Polska● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWWSpecial Eurobarometer 423 – Cyber Security – February 2015
Edukacja
70% sukcesu to zasługa ludzi
Oprogramowanie antywirusowe?
70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information
security incidents involve human error.
Testy penetracyjne
USB
Skuteczność ataku: 20% - 40%
PHISHING
Skuteczność ataku: 45% - 70%
Tradycyjne szkolenia
Wiedzieć != Zrozumieć
Tradycyjne szkolenia
PAMIĘTAJ!
Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i
wielkie litery, cyfry oraz znaki specjalne.
Tradycyjne szkolenia
● Koszty● Zasoby● Mierzalność● Częstotliwość● Forma
● Koszty Online● Zasoby 5 minut● Mierzalność Raporty● Częstotliwość Systematycznie● Forma Film
Efektywne zwiększanie świadomości
https://securityinside.pl
Efektywne zwiększanie świadomości
Kod Rabatowy: CONFIDENCE2015Rabat -'0x14'% Ważny do 1435708799
https://securityinside.pl
Blue Team vs. Red Team
Red Team - Atak
● Kontrolowany atak● Rozszerzone zasady (APT, DDoS)● Eksperci nastawieni na Atak
Red Team● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat– Ataki typu 0-day, działanie w ukryciu
Red Team● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku– Miary, Time-To-Compromise, Time-To-Detect
Red Team● Infekcja złośliwym oprogramowaniem● Zdalne uruchomienie kodu● Kradzież danych Klienta● Atak sieciowy DDoS● Insider● Przejęcie usługi● (...)
Blue Team - Obrona● IT● SOC(Security Operations Center)
● CERT (Computer Emergency Response Team)
● CIRT (Critical Incident Response Team)
Blue Team● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie atakujących– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)– Technologia, ludzie, analiza ryzyka
Blue Team● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego oprogramowania
● Wdrażanie zmian– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia– Skracanie czasu odtworzenia
● Miary– Estimated Time To Detection/Recovery
Blue Team● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki– Realna ochrona
● Trening i ćwiczenia pracowników– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów– Indication of Compromise
Blue Team
Blue Team vs. Red Team● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
Podsumowanie
● Edukacja – zwiększanie świadomości● Red Team – kontrolowane testy penetracyjne● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków 3 : 0
![[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu](https://static.fdocuments.pl/doc/165x107/58730c791a28ab99088b6ee1/confidence-2016-red-team-najlepszy-przyjaciel-blue-teamu.jpg)
