apt x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
TRANSCRIPT
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera.
Wybrane studium przypadków
Borys Łącki
2015.10.14
Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwaEdukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
APT x 3
●Advanced●Persistent (< 5 dni)●Threat
White vs. Black
Carbanak
Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na
całym świecie
Zmiana paradygmatu bezpieczeństwa
"Fundamentally, if somebody wants to get in, they're getting in. (…)
Accept that,"
Michael HaydenFormer director of the CIA & NSA
Zmiana paradygmatu bezpieczeństwa
Nie CZY, a KIEDY...
Praktyka != Teoria
IT
Problemy
Asymetrie i motywacje
2015 - Motywacje
Studium przypadkówKlienci:
Branża IT
Branża finansowa
Branża IT
~ 40 pracowników
~ 100 pracowników
> 1 000 pracowników
ThreatDostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe oprogramowanie
3.Infrastruktura serwerowa
USB - PendriveZasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa
USB - Pendrive
20 x Pendrive
Pendrive● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Wyświetlanie obrazu/dokumentu
Sleep
Pendrive● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
PendriveWejście na teren firmy
● Rozmowa o pracę● Sprzedaż produktu● Kurier● Klient● (...)
http://thegrid.soup.io/post/380338752/Secretary-Wanted-Must-be-Flexible
PendriveCiekawostki
Dywersyfikować pomieszczenia
Nie spamować
Primary DNS #fail
Podsumowanie działań
● Skuteczność ataku ~40%● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)● Kilka osób zaniosło Pendrive do działu IT● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
Pomysły na poprawę
● Edukacja● USB WhiteListing● Application Whitelisting (AppLocker)● GPO
PhishingZasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych
PhishingRekonesans – lista pracowników● Wyszukiwarki internetowe● Grupy dyskusyjne● LinkedIn/Goldenline● Metadane z .pdf, .doc, (...)
PhishingRekonesans – AntiVirus
● DNS● Maile kontrolne (sygnatury + nagłówki)
PhishingRekonesans – bieżące akcje
● Konkurs● Rekrutacja pracowników● Promocja● Informacje biznesowe● (...)
Phishing● Zakup domen● Kopia witryny firmowej● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
PhishingMaile z załącznikiem
● Faktura.pdf.exe● CV Andrzej Kowalski.pdf.exe● Wniosek.pdf.exe
PhishingMaile z odnośnikiem do strony WWW
Podsumowanie działań● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
Pomysły na poprawę
● WWW, FTP, E-mail, SMTP - Proxy
● Application Whitelisting (AppLocker)
● GPO
● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbshttp://sanesecurity.com/foxhole-databases/
● DNS Blackholing
● IP Reputation Services
Infrastruktura serwerowaZasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych
Infrastruktura serwerowa
●Plan (VPS)●Rekonesans●Atak
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowaRekonesans – uzyskujemy:
Adresy IP/DNS (Aplikacje WWW)/E-mail
Technologie:
- ogłoszenia o pracę
- github – kody źródłowe
- wykorzystywany sprzęt w biurze (wifi, laptop)
Infrastruktura serwerowa
Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…)
Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail
Infrastruktura serwerowa
● Aktualne wersje oprogramowania● Brute force haseł - #fail
Infrastruktura serwerowa
Infrastruktura serwerowaPo dwóch dniach czytania kodu i myślenia...
Remote Code Execution
Infrastruktura serwerowa
1 – RCON Administrator/rcon map e2m3
2 – Shell injection0-day
Infrastruktura serwerowa
Konto administratora (root)
Pierwszy serwer
VM wyłącznie na potrzeby Quake
Komunikacja pomiędzy serwerami – ACL (!)
Usługi sieciowe (!)
Infrastruktura serwerowa
Błąd konfiguracyjny usługi sieciowej == Hasła
Crypt
MD5
SHA
2 konta (SSH)
Infrastruktura serwerowa
Błąd konfiguracyjny usługi systemowej
Infrastruktura serwerowaEskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i usług
● Błędne uprawnienia plików● Takie same hasła dla różnych usług● Brak segmentacji wewnętrznej sieci serwerowej● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
Infrastruktura serwerowa
Infrastruktura serwerowa
Password reuse – dostęp do usług zewnętrznych
Podsumowanie działań● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
Pomysły na poprawę● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
BezpieczeństwoWczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
Blue Team vs. Red Team
Red TeamEksperci nastawieni na kontrolowany Atak
● Infekcja złośliwym oprogramowaniem● Zdalne uruchomienie kodu● Kradzież danych Klienta● Atak sieciowy DDoS● Insider● Przejęcie usługi● (...)
Red Team● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat– Ataki typu 0-day, działanie w ukryciu
● Kradzież informacji– Internet, Insiders
● Publicznie dostępne narzędzia– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku– Miary, Time-To-Compromise, Time-To-Detect
Blue Team - Obrona● IT● SOC(Security Operations Center)
● CERT (Computer Emergency Response Team)
● CIRT (Critical Incident Response Team)
Blue Team● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie atakujących– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)– Technologia, ludzie, analiza ryzyka
Blue Team● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego oprogramowania
● Wdrażanie zmian– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia– Skracanie czasu odtworzenia
● Miary– Estimated Time To Detection/Recovery
● Analiza kosztów– Czas reakcji, zasoby
● Realne ataki– Realna ochrona
● Trening i ćwiczenia pracowników– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów– Indication of Compromise
Blue Team vs. Red Team● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
Edukacja
● Użytkownik, Klient● Pracownicy (szczególnie spoza
działu IT)
Edukacja - Polska● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWWSpecial Eurobarometer 423 – Cyber Security – February 2015
Edukacja
70% sukcesu to zasługa ludzi
Oprogramowanie antywirusowe?
70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information
security incidents involve human error.
Testy penetracyjne - skuteczność
USB – 30%
PHISHING – 60%
Tradycyjne szkolenia
Wiedzieć != Zrozumieć
Tradycyjne szkolenia
PAMIĘTAJ!
Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i
wielkie litery, cyfry oraz znaki specjalne.
Tradycyjne szkolenia
● Koszty● Zasoby● Mierzalność● Częstotliwość● Forma
● Koszty Online● Zasoby 5 minut● Mierzalność Raporty● Częstotliwość Systematycznie● Forma Film
Efektywne zwiększanie świadomości
https://securityinside.pl
Efektywne zwiększanie świadomości
Kod Rabatowy: SECURE2015Rabat - 20%Ważny do 30.11.2015
https://securityinside.pl
Podsumowanie
● Edukacja – zwiększanie świadomości● Red Team – kontrolowane testy penetracyjne● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków 3 : 0