Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Post on 18-Jun-2015
196 Views
Preview:
Transcript
Detekcia kompromitácie z pohľadu pracovníka bezpečnosti
...alebo ako detegovať kompromitáciu ak *** nefunguje
Daniel Chromek
Detekcia užívateľom
Výhody:
• Užívateľ je (skoro) všade
Nevýhody:
• len viditeľné príznaky
• závisí od miery povedomia
• znalosti, lenivosť, priorita, ...
• vysoká miera falošných poplachov – FP aj FN
The Website is Down #2: Excel Hell http://www.youtube.com/watch?v=1SNxaJlicEU
Príklad: kupón na webe
• Návštevník nahlásil divný kupón na webe
• Na stránke nič, proxy v lok. krajine – nič
• Z kade je vlastne vidieť ten kupón?
• Stav: adware na pracovnej stanici
• Možné FP:
• Detekcia normálnych vecí (napr. nová kampaň)
Detekcia IT / Security
Výhody:
• Lepšia interpretácia neštandardných stavov napr.:
• Divné porty
• Divný traffic
• Divné IP / URL
• Zvýšená záťaž
• Chybové stavy v logoch,...
Nevýhody:
• Málo ľudí (na všetko)
Príklad: divné porty
• Prípad: zistený port 12320/tcp – web shell
• Kontakt na IT – nikto neinštaloval
• FP – TurnKey appliance so zabudnutým portom
• striktný change management
• Layered defense
Príklad: VA
• VA scanner – sieťový / credentials scan
• Možnosť detekcie vybraných škodlivých procesov
• Možné FP >
• matchnutie patternov pre service
• Pri credentials scannoch – rovnaké názvy súborov / kľúče v registroch
Príklad: divný traffic
• Veľké uploady z pracovnej stanice – exfiltrácia dát?
• Možné FP – „zaseknuté“ procesy zasielajúce dáta – v tomto prípade nvidia driver autoupdate
Príklad: conficker – divné URL
• Infekcia PC – pri bypasse AV
• Detekcia na úrovni transparentného HTTP proxy servera – UTM
• DNS = domain controller – jednoduchá detekcia priamo aj z DNS logov – filter na neštandardné URL
• Alternatíva s IP adresami – čo sa snaží prebíjať sa cez FW?
• Možné FP URL – IT / VL / security prístupy
• Možné FP IP adresy - „zlé“ aplikácie robia bordel na sieti
Príklad: degradácia výkonu
• Admin detekoval zvýšený load
• Pri prístupe na server –
• Zavisnuté exploity
• Spustený bitcoin miner
• Možné FP:
• Štandardne nedostatočná kapacita
• Iné veci generujúce záťaž – uzávierky, rutinné joby, security technológie, padnuté služby...
Príklad: chyby v logu
• Admin dostal kopu error notifikácii s chybným CSRF tokenom pre internetovú aplikáciu
• Notifikácie: Java chyby:
... at Idunno.AntiCsrf.AntiCsrfModule.PreRequestHandlerExecute(Object source, EventArgs eventArgs) at...
• IIS: 2014-MM-DD 20:26:33 10.XX.XX.XX GET /application/!=+typeof+o+&&+(h.guid+=+o.guid+=+o.guid - 80 - XX.XX.2.149 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2; +.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729;+.NET4.0C) 302 0 0 93
• IP adresa korelovala s užívateľom, ktorý sa pred tým hlásil do aplikácie -> prístup zo súkromnej mašiny
• Prístup z infikovanej mašiny – malware následne skúšal bruteforce URI z browser cache
Záver
• Nič nefunguje na 100%
• Fungujúci monitoring má zmysel – prevádzkový aj security
• Má zmysel riešiť aj podporné informácie z prostredia – sieťový traffic, výkon, ...
• Prečo sa to nerobí? – cena
• Security awareness a vzdelávanie je dôležité u užívateľov aj u adminov
Ďakujem za pozornosť
priestor pre Vaše otázky
Daniel Chromek, CISA, CISM, CISSP, MBCI
IS Security Consultant
mobile: +421 918 710 737
phone: +421 (2) 32 24 46 91
e-mail: chromek@eset.sk
top related