CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków - Borys Lacki

Borys ŁąckiLogicalTrust

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera.

Wybrane studium przypadków

Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy

usługi z zakresu bezpieczeństwa IT:

● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne

Borys Łącki> 10 lat - testy bezpieczeństwaEdukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach

SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

APT x 3

●Advanced●Persistent (< 5 dni)●Threat

White vs. Black

Carbanak

Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na

całym świecie

Zmiana paradygmatu bezpieczeństwa

Zmiana paradygmatu bezpieczeństwa

Nie CZY, a KIEDY...

Praktyka != Teoria

IT

Problemy

Asymetrie i motywacje

2015 - Motywacje

Studium przypadkówKlienci:

Branża IT

Branża finansowa

Branża IT

~ 40 pracowników

~ 100 pracowników

> 1 000 pracowników

ThreatDostęp do poufnych informacji

IT nie wie o testach penetracyjnych

1.USB

2.Phishing – e-mail + WWW + złośliwe oprogramowanie

3.Infrastruktura serwerowa

USB - PendriveZasady

- wykorzystujemy urządzenia USB Pendrive

- wymagana interakcja pracownika z plikami

Cel

Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa

USB - Pendrive

20 x Pendrive

Pendrive● Złośliwe oprogramowanie

Klient-Serwer (HTTP/S/ + DNS x 2)

Wyświetlanie obrazu/dokumentu

Sleep

Pendrive● Pliki na Pendrive USB

Zmiana ikony -> PDF

Lista płac – Zarząd.pdf.exe

(...)

Inne dokumenty ze strony WWW

Różne pliki per Pendrive

PendriveWejście na teren firmy

● Rozmowa o pracę● Sprzedaż produktu● Kurier● Klient● (...)

http://thegrid.soup.io/post/380338752/Secretary-Wanted-Must-be-Flexible

PendriveCiekawostki

Dywersyfikować pomieszczenia

Nie spamować

Primary DNS #fail

Podsumowanie działań

● Skuteczność ataku ~40%● 1 osoba uruchomiła złośliwe

oprogramowanie w domu :)● Kilka osób zaniosło Pendrive do działu IT● Trening == Dyskusja pracowników

Raport per departament, a nie osoba

Pomysły na poprawę

● Edukacja● USB WhiteListing● Application Whitelisting (AppLocker)● GPO

PhishingZasady

- znamy tylko nazwę firmy

- każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi

Cel

Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych

PhishingRekonesans – lista pracowników● Wyszukiwarki internetowe● Grupy dyskusyjne● LinkedIn/Goldenline● Metadane z .pdf, .doc, (...)

PhishingRekonesans – AntiVirus

● DNS● Maile kontrolne (sygnatury + nagłówki)

PhishingRekonesans – bieżące akcje

● Konkurs● Rekrutacja pracowników● Promocja● Informacje biznesowe● (...)

Phishing● Zakup domen● Kopia witryny firmowej● Złośliwe oprogramowanie

Klient-Serwer (HTTP/S/ + DNS x 2)

PhishingMaile z załącznikiem

● Faktura.pdf.exe● CV Andrzej Kowalski.pdf.exe● Wniosek.pdf.exe

PhishingMaile z odnośnikiem do strony WWW

Podsumowanie działań● Skuteczność ataku – ~40% (załącznik), ~60% (login)

● Pracownik przesyła załącznik do administratora IT :)

● WebProxy – Token (DNS failover)

● 2 x AV

Pomysły na poprawę

● WWW, FTP, E-mail, SMTP - Proxy

● Application Whitelisting (AppLocker)

● GPO

● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbshttp://sanesecurity.com/foxhole-databases/

● DNS Blackholing

● IP Reputation Services

Infrastruktura serwerowaZasady

- znamy tylko nazwę firmy

- każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi

Cel

Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych

Infrastruktura serwerowa

●Plan (VPS)●Rekonesans●Atak

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowaRekonesans – uzyskujemy:

Adresy IP/DNS (Aplikacje WWW)/E-mail

Technologie:

- ogłoszenia o pracę

- github – kody źródłowe

- wykorzystywany sprzęt w biurze (wifi, laptop)

Infrastruktura serwerowa

Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…)

Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail

Infrastruktura serwerowa

● Aktualne wersje oprogramowania● Brute force haseł - #fail

Infrastruktura serwerowa

Infrastruktura serwerowaPo dwóch dniach czytania kodu i myślenia...

Remote Code Execution

Infrastruktura serwerowa

1 – RCON Administrator/rcon map e2m3

2 – Shell injection0-day

Infrastruktura serwerowa

Konto administratora (root)

Pierwszy serwer

VM wyłącznie na potrzeby Quake

Komunikacja pomiędzy serwerami – ACL (!)

Usługi sieciowe (!)

Infrastruktura serwerowa

Błąd konfiguracyjny usługi sieciowej == Hasła

Crypt

MD5

SHA

2 konta (SSH)

Infrastruktura serwerowa

Błąd konfiguracyjny usługi systemowej

Infrastruktura serwerowaEskalacja uprawnień

Uzyskanie dostępów do kolejnych serwerów i usług

● Błędne uprawnienia plików● Takie same hasła dla różnych usług● Brak segmentacji wewnętrznej sieci serwerowej● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,

database.pgsql.gz, (...)

Infrastruktura serwerowa

Infrastruktura serwerowa

Password reuse – dostęp do usług zewnętrznych

Podsumowanie działań● Uprawnienia administratora (root) na wszystkich

maszynach wirtualnych (VM)

● Dostęp do usług zewnętrznych

● Dostęp VPN

● Dostęp do własności intelektualnej

Pomysły na poprawę● uwierzytelnianie – 2FA, password reuse (!)

● hardening serwerów (zbędne zasoby, uprawnienia)

● okresowe testy penetracyjne

● szyfrowanie poufnych danych (mail/serwer)

● pokazaliśmy jedną z (potencjalnie wielu) ścieżek

BezpieczeństwoWczoraj

● Audyt IT - zgodność czy bezpieczeństwo?

● Analiza ryzyka IT – outsourcing, insiders

● Testy bezpieczeństwa - aplikacji, systemów, sieci

Dziś i jutro

● Edukacja – zwiększanie świadomości

● Red Team – kontrolowane testy penetracyjne

● Blue Team – zarządzanie incydentami

● (...)

Edukacja

● Użytkownik, Klient● Pracownicy (szczególnie spoza

działu IT)

Edukacja - Polska● 49% - zakupy online

● 57% - bankowość online

● 29% PL - obawia się nadużyć związanych z bankowością

(63% EU)

● 57% - brak zainstalowanego oprogramowania antywirusowego

● 71% - otwiera maile od nieznajomych

● 17% - używa różnych haseł do różnych stron WWWSpecial Eurobarometer 423 – Cyber Security – February 2015

Edukacja

70% sukcesu to zasługa ludzi

Oprogramowanie antywirusowe?

70% sukcesu to zasługa ludzi

71% of compromised assets involved users and their endpoints

Verizon Data Breach Investigations

91% of targeted attacks involve spear-phishing emails

Trend Micro

According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information

security incidents involve human error.

Testy penetracyjne

USB

Skuteczność ataku: 20% - 40%

PHISHING

Skuteczność ataku: 45% - 70%

Tradycyjne szkolenia

Wiedzieć != Zrozumieć

Tradycyjne szkolenia

PAMIĘTAJ!

Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i

wielkie litery, cyfry oraz znaki specjalne.

Tradycyjne szkolenia

● Koszty● Zasoby● Mierzalność● Częstotliwość● Forma

● Koszty Online● Zasoby 5 minut● Mierzalność Raporty● Częstotliwość Systematycznie● Forma Film

Efektywne zwiększanie świadomości

https://securityinside.pl

Efektywne zwiększanie świadomości

www.securityinside.pl

Efektywne zwiększanie świadomości

Kod Rabatowy: CONFIDENCE2015Rabat -'0x14'% Ważny do 1435708799

https://securityinside.pl

Blue Team vs. Red Team

Red Team - Atak

● Kontrolowany atak● Rozszerzone zasady (APT, DDoS)● Eksperci nastawieni na Atak

Red Team● Rekonesans

– Plan, Social media, zbędne usługi, drobne informacje

● Ataki socjotechniczne– Phishing, malware, telefon, smartphone

● Advanced Persistent Threat– Ataki typu 0-day, działanie w ukryciu

Red Team● Kradzież informacji

– Internet, Insiders

● Publicznie dostępne narzędzia– Szybka weryfikacja, ciągła aktualizacja

● Dowody i skutki ataku– Miary, Time-To-Compromise, Time-To-Detect

Red Team● Infekcja złośliwym oprogramowaniem● Zdalne uruchomienie kodu● Kradzież danych Klienta● Atak sieciowy DDoS● Insider● Przejęcie usługi● (...)

Blue Team - Obrona● IT● SOC(Security Operations Center)

● CERT (Computer Emergency Response Team)

● CIRT (Critical Incident Response Team)

Blue Team● Wykrywanie problemów

– SIEM, IDS, IPS, Korelacja danych, BOK

● Utwardzanie środowisk, spowalnianie atakujących– Rekonfiguracja, reakcja w trakcie incydentu

● Zarządzanie incydentami (komunikacja)– Technologia, ludzie, analiza ryzyka

Blue Team● Informatyka śledcza

– Materiał dowodowy, analiza złośliwego oprogramowania

● Wdrażanie zmian– Krytyczne aktualizacje, czas życia podatności

● Testowanie procesów odtworzenia– Skracanie czasu odtworzenia

● Miary– Estimated Time To Detection/Recovery

Blue Team● Analiza kosztów

– Czas reakcji, zasoby

● Realne ataki– Realna ochrona

● Trening i ćwiczenia pracowników– Edukacja poprzez praktykę i case study

● Selekcja zainfekowanych klientów– Indication of Compromise

Blue Team

Blue Team vs. Red Team● Wspólne wnioski (baza wiedzy, zalecenia)

● Testy zerowej wiedzy

● Miary skuteczności

● Specjalizacja danej grupy

● Procesy (nie tylko technologia)

● Dostęp fizyczny

Microsoft Enterprise Cloud Red Teaming.pdf

Podsumowanie

● Edukacja – zwiększanie świadomości● Red Team – kontrolowane testy penetracyjne● Blue Team – zarządzanie incydentami

APT x 3 - trzy firmy, trzy wektory ataków 3 : 0

Dziękuję za uwagę

Pytania?

Borys Łącki

[email protected]