apt x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera.

Wybrane studium przypadków

Borys Łącki

2015.10.14

Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy

usługi z zakresu bezpieczeństwa IT:

● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne

Borys Łącki> 10 lat - testy bezpieczeństwaEdukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach

Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

APT x 3

●Advanced●Persistent (< 5 dni)●Threat

White vs. Black

Carbanak

Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na

całym świecie

Zmiana paradygmatu bezpieczeństwa

"Fundamentally, if somebody wants to get in, they're getting in. (…)

Accept that,"

Michael HaydenFormer director of the CIA & NSA

Zmiana paradygmatu bezpieczeństwa

Nie CZY, a KIEDY...

Praktyka != Teoria

IT

Problemy

Asymetrie i motywacje

2015 - Motywacje

Studium przypadkówKlienci:

Branża IT

Branża finansowa

Branża IT

~ 40 pracowników

~ 100 pracowników

> 1 000 pracowników

ThreatDostęp do poufnych informacji

IT nie wie o testach penetracyjnych

1.USB

2.Phishing – e-mail + WWW + złośliwe oprogramowanie

3.Infrastruktura serwerowa

USB - PendriveZasady

- wykorzystujemy urządzenia USB Pendrive

- wymagana interakcja pracownika z plikami

Cel

Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa

USB - Pendrive

20 x Pendrive

Pendrive● Złośliwe oprogramowanie

Klient-Serwer (HTTP/S/ + DNS x 2)

Wyświetlanie obrazu/dokumentu

Sleep

Pendrive● Pliki na Pendrive USB

Zmiana ikony -> PDF

Lista płac – Zarząd.pdf.exe

(...)

Inne dokumenty ze strony WWW

Różne pliki per Pendrive

PendriveWejście na teren firmy

● Rozmowa o pracę● Sprzedaż produktu● Kurier● Klient● (...)

http://thegrid.soup.io/post/380338752/Secretary-Wanted-Must-be-Flexible

PendriveCiekawostki

Dywersyfikować pomieszczenia

Nie spamować

Primary DNS #fail

Podsumowanie działań

● Skuteczność ataku ~40%● 1 osoba uruchomiła złośliwe

oprogramowanie w domu :)● Kilka osób zaniosło Pendrive do działu IT● Trening == Dyskusja pracowników

Raport per departament, a nie osoba

Pomysły na poprawę

● Edukacja● USB WhiteListing● Application Whitelisting (AppLocker)● GPO

PhishingZasady

- znamy tylko nazwę firmy

- każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi

Cel

Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych

PhishingRekonesans – lista pracowników● Wyszukiwarki internetowe● Grupy dyskusyjne● LinkedIn/Goldenline● Metadane z .pdf, .doc, (...)

PhishingRekonesans – AntiVirus

● DNS● Maile kontrolne (sygnatury + nagłówki)

PhishingRekonesans – bieżące akcje

● Konkurs● Rekrutacja pracowników● Promocja● Informacje biznesowe● (...)

Phishing● Zakup domen● Kopia witryny firmowej● Złośliwe oprogramowanie

Klient-Serwer (HTTP/S/ + DNS x 2)

PhishingMaile z załącznikiem

● Faktura.pdf.exe● CV Andrzej Kowalski.pdf.exe● Wniosek.pdf.exe

PhishingMaile z odnośnikiem do strony WWW

Podsumowanie działań● Skuteczność ataku – ~40% (załącznik), ~60% (login)

● Pracownik przesyła załącznik do administratora IT :)

● WebProxy – Token (DNS failover)

● 2 x AV

Pomysły na poprawę

● WWW, FTP, E-mail, SMTP - Proxy

● Application Whitelisting (AppLocker)

● GPO

● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbshttp://sanesecurity.com/foxhole-databases/

● DNS Blackholing

● IP Reputation Services

Infrastruktura serwerowaZasady

- znamy tylko nazwę firmy

- każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi

Cel

Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych

Infrastruktura serwerowa

●Plan (VPS)●Rekonesans●Atak

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowaRekonesans – uzyskujemy:

Adresy IP/DNS (Aplikacje WWW)/E-mail

Technologie:

- ogłoszenia o pracę

- github – kody źródłowe

- wykorzystywany sprzęt w biurze (wifi, laptop)

Infrastruktura serwerowa

Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…)

Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail

Infrastruktura serwerowa

● Aktualne wersje oprogramowania● Brute force haseł - #fail

Infrastruktura serwerowa

Infrastruktura serwerowaPo dwóch dniach czytania kodu i myślenia...

Remote Code Execution

Infrastruktura serwerowa

1 – RCON Administrator/rcon map e2m3

2 – Shell injection0-day

Infrastruktura serwerowa

Konto administratora (root)

Pierwszy serwer

VM wyłącznie na potrzeby Quake

Komunikacja pomiędzy serwerami – ACL (!)

Usługi sieciowe (!)

Infrastruktura serwerowa

Błąd konfiguracyjny usługi sieciowej == Hasła

Crypt

MD5

SHA

2 konta (SSH)

Infrastruktura serwerowa

Błąd konfiguracyjny usługi systemowej

Infrastruktura serwerowaEskalacja uprawnień

Uzyskanie dostępów do kolejnych serwerów i usług

● Błędne uprawnienia plików● Takie same hasła dla różnych usług● Brak segmentacji wewnętrznej sieci serwerowej● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,

database.pgsql.gz, (...)

Infrastruktura serwerowa

Infrastruktura serwerowa

Password reuse – dostęp do usług zewnętrznych

Podsumowanie działań● Uprawnienia administratora (root) na wszystkich

maszynach wirtualnych (VM)

● Dostęp do usług zewnętrznych

● Dostęp VPN

● Dostęp do własności intelektualnej

Pomysły na poprawę● uwierzytelnianie – 2FA, password reuse (!)

● hardening serwerów (zbędne zasoby, uprawnienia)

● okresowe testy penetracyjne

● szyfrowanie poufnych danych (mail/serwer)

● pokazaliśmy jedną z (potencjalnie wielu) ścieżek

BezpieczeństwoWczoraj

● Audyt IT - zgodność czy bezpieczeństwo?

● Analiza ryzyka IT – outsourcing, insiders

● Testy bezpieczeństwa - aplikacji, systemów, sieci

Dziś i jutro

● Edukacja – zwiększanie świadomości

● Red Team – kontrolowane testy penetracyjne

● Blue Team – zarządzanie incydentami

● (...)

Blue Team vs. Red Team

Red TeamEksperci nastawieni na kontrolowany Atak

● Infekcja złośliwym oprogramowaniem● Zdalne uruchomienie kodu● Kradzież danych Klienta● Atak sieciowy DDoS● Insider● Przejęcie usługi● (...)

Red Team● Rekonesans

– Plan, Social media, zbędne usługi, drobne informacje

● Ataki socjotechniczne– Phishing, malware, telefon, smartphone

● Advanced Persistent Threat– Ataki typu 0-day, działanie w ukryciu

● Kradzież informacji– Internet, Insiders

● Publicznie dostępne narzędzia– Szybka weryfikacja, ciągła aktualizacja

● Dowody i skutki ataku– Miary, Time-To-Compromise, Time-To-Detect

Blue Team - Obrona● IT● SOC(Security Operations Center)

● CERT (Computer Emergency Response Team)

● CIRT (Critical Incident Response Team)

Blue Team● Wykrywanie problemów

– SIEM, IDS, IPS, Korelacja danych, BOK

● Utwardzanie środowisk, spowalnianie atakujących– Rekonfiguracja, reakcja w trakcie incydentu

● Zarządzanie incydentami (komunikacja)– Technologia, ludzie, analiza ryzyka

Blue Team● Informatyka śledcza

– Materiał dowodowy, analiza złośliwego oprogramowania

● Wdrażanie zmian– Krytyczne aktualizacje, czas życia podatności

● Testowanie procesów odtworzenia– Skracanie czasu odtworzenia

● Miary– Estimated Time To Detection/Recovery

● Analiza kosztów– Czas reakcji, zasoby

● Realne ataki– Realna ochrona

● Trening i ćwiczenia pracowników– Edukacja poprzez praktykę i case study

● Selekcja zainfekowanych klientów– Indication of Compromise

Blue Team vs. Red Team● Wspólne wnioski (baza wiedzy, zalecenia)

● Testy zerowej wiedzy

● Miary skuteczności

● Specjalizacja danej grupy

● Procesy (nie tylko technologia)

● Dostęp fizyczny

Microsoft Enterprise Cloud Red Teaming.pdf

Edukacja

● Użytkownik, Klient● Pracownicy (szczególnie spoza

działu IT)

Edukacja - Polska● 49% - zakupy online

● 57% - bankowość online

● 29% PL - obawia się nadużyć związanych z bankowością

(63% EU)

● 57% - brak zainstalowanego oprogramowania antywirusowego

● 71% - otwiera maile od nieznajomych

● 17% - używa różnych haseł do różnych stron WWWSpecial Eurobarometer 423 – Cyber Security – February 2015

Edukacja

70% sukcesu to zasługa ludzi

Oprogramowanie antywirusowe?

70% sukcesu to zasługa ludzi

71% of compromised assets involved users and their endpoints

Verizon Data Breach Investigations

91% of targeted attacks involve spear-phishing emails

Trend Micro

According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information

security incidents involve human error.

Testy penetracyjne - skuteczność

USB – 30%

PHISHING – 60%

Tradycyjne szkolenia

Wiedzieć != Zrozumieć

Tradycyjne szkolenia

PAMIĘTAJ!

Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i

wielkie litery, cyfry oraz znaki specjalne.

Tradycyjne szkolenia

● Koszty● Zasoby● Mierzalność● Częstotliwość● Forma

● Koszty Online● Zasoby 5 minut● Mierzalność Raporty● Częstotliwość Systematycznie● Forma Film

Efektywne zwiększanie świadomości

https://securityinside.pl

Efektywne zwiększanie świadomości

www.securityinside.pl

Efektywne zwiększanie świadomości

Kod Rabatowy: SECURE2015Rabat - 20%Ważny do 30.11.2015

https://securityinside.pl

Podsumowanie

● Edukacja – zwiększanie świadomości● Red Team – kontrolowane testy penetracyjne● Blue Team – zarządzanie incydentami

APT x 3 - trzy firmy, trzy wektory ataków 3 : 0

Dziękuję za uwagę

Pytania?

Borys Łącki

b.lacki@logicaltrust.net