Speaker: Borys Lacki Language: Polish Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu. CONFidence: http://confidence.org.pl/pl/

1. Borys Łącki
LogicalTrust
APT x 3 - trzy firmy, trzy wektory
ataków, trzy do zera.
Wybrane studium przypadków

2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami
finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet
Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open
Source Security, PLNOG (…)

3. APT x 3
●Advanced
●Persistent (< 5 dni)
●Threat

4. White vs. Black

5. Carbanak
Wielki napad na bank: cybergang Carbanak kradnie
1 mld dolarów ze 100 instytucji finansowych na
całym świecie

6. Zmiana paradygmatu bezpieczeństwa

7. Zmiana paradygmatu bezpieczeństwa
Nie CZY, a KIEDY...
Praktyka != Teoria

8. IT

9. Problemy

10. Asymetrie i motywacje

11. 2015 - Motywacje

12. Studium przypadków
Klienci:
Branża IT
Branża finansowa
Branża IT
~ 40 pracowników
~ 100 pracowników
> 1 000 pracowników

13. Threat
Dostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe
oprogramowanie
3.Infrastruktura serwerowa

14. USB - Pendrive
Zasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników
zasad polityki bezpieczeństwa

15. USB - Pendrive
20 x Pendrive

16. Pendrive
● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Wyświetlanie obrazu/dokumentu
Sleep

17. Pendrive
● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive

18. Pendrive
Wejście na teren firmy
● Rozmowa o pracę
● Sprzedaż produktu
● Kurier
● Klient
● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted-
Must-be-Flexible

19. Pendrive
Ciekawostki
Dywersyfikować pomieszczenia
Nie spamować
Primary DNS #fail

20. Podsumowanie działań
● Skuteczność ataku ~40%
● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)
● Kilka osób zaniosło Pendrive do działu IT
● Trening == Dyskusja pracowników
Raport per departament, a nie osoba

21. Pomysły na poprawę
● Edukacja
● USB WhiteListing
● Application Whitelisting (AppLocker)
● GPO

22. Phishing
Zasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami
decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników
celem zwiększenia świadomości i ograniczenia
możliwych strat finansowych

23. Phishing
Rekonesans – lista pracowników
● Wyszukiwarki internetowe
● Grupy dyskusyjne
● LinkedIn/Goldenline
● Metadane z .pdf, .doc, (...)

24. Phishing
Rekonesans – AntiVirus
● DNS
● Maile kontrolne (sygnatury + nagłówki)

25. Phishing
Rekonesans – bieżące akcje
● Konkurs
● Rekrutacja pracowników
● Promocja
● Informacje biznesowe
● (...)

26. Phishing
● Zakup domen
● Kopia witryny firmowej
● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)

27. Phishing
Maile z załącznikiem
● Faktura.pdf.exe
● CV Andrzej Kowalski.pdf.exe
● Wniosek.pdf.exe

28. Phishing
Maile z odnośnikiem do strony WWW

29. Podsumowanie działań
● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV

30. Pomysły na poprawę
● WWW, FTP, E-mail, SMTP - Proxy
● Application Whitelisting (AppLocker)
● GPO
● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbs
http://sanesecurity.com/foxhole-databases/
● DNS Blackholing
● IP Reputation Services

31. Infrastruktura serwerowa
Zasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami
decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i
ograniczenia możliwych strat finansowych

32. Infrastruktura serwerowa
● Plan (VPS)
● Rekonesans
● Atak

33. Infrastruktura serwerowa

34. Infrastruktura serwerowa

35. Infrastruktura serwerowa

36. Infrastruktura serwerowa

37. Infrastruktura serwerowa
Rekonesans – uzyskujemy:
Adresy IP/DNS (Aplikacje WWW)/E-mail
Technologie:
- ogłoszenia o pracę
- github – kody źródłowe
- wykorzystywany sprzęt w biurze (wifi, laptop)

38. Infrastruktura serwerowa
Dane osobowe – CEDIG, StackOverflow,
LinkedIn, GoldenLine, Fora internetowe,
Twitter, Facebook, Instagram, (…)
Adresy domowe, numery rejestracyjne aut,
zdjęcia aut, zdjęcia pracowników, telefony
prywatne, prywatne adresy e-mail

39. Infrastruktura serwerowa
● Aktualne wersje oprogramowania
● Brute force haseł - #fail

40. Infrastruktura serwerowa

41. Infrastruktura serwerowa
Po dwóch dniach czytania kodu i myślenia...
Remote Code Execution

42. Infrastruktura serwerowa
1 – RCON Administrator
/rcon map e2m3
2 – Shell injection
0-day

43. Infrastruktura serwerowa
Konto administratora (root)
Pierwszy serwer
VM wyłącznie na potrzeby Quake
Komunikacja pomiędzy serwerami – ACL (!)
Usługi sieciowe (!)

44. Infrastruktura serwerowa
Błąd konfiguracyjny usługi sieciowej == Hasła
Crypt
MD5
SHA
2 konta (SSH)

45. Infrastruktura serwerowa
Błąd konfiguracyjny usługi systemowej

46. Infrastruktura serwerowa
Eskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i
usług
● Błędne uprawnienia plików
● Takie same hasła dla różnych usług
● Brak segmentacji wewnętrznej sieci serwerowej
● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)

47. Infrastruktura serwerowa

48. Infrastruktura serwerowa
Password reuse – dostęp do usług zewnętrznych

49. Podsumowanie działań
● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej

50. Pomysły na poprawę
● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek

51. Bezpieczeństwo
Wczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)

52. Edukacja
● Użytkownik, Klient
● Pracownicy (szczególnie spoza
działu IT)

53. Edukacja - Polska
● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania
antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWW
Special Eurobarometer 423 – Cyber Security – February 2015

54. Edukacja

55. 70% sukcesu to zasługa ludzi

56. Oprogramowanie antywirusowe?

57. 70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their
endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber
Security Intelligence Index,” 95 percent of information
security incidents involve human error.

58. Testy penetracyjne
USB
Skuteczność ataku: 20% - 40%
PHISHING
Skuteczność ataku: 45% - 70%

59. Tradycyjne szkolenia
Wiedzieć != Zrozumieć

60. Tradycyjne szkolenia
PAMIĘTAJ!
Hasło dostępowe musi zawierać
minimum 8 znaków, w tym małe i
wielkie litery, cyfry oraz znaki
specjalne.

61. Tradycyjne szkolenia
● Koszty
● Zasoby
● Mierzalność
● Częstotliwość
● Forma

62. ● Koszty Online
● Zasoby 5 minut
● Mierzalność Raporty
● Częstotliwość Systematycznie
● Forma Film
Efektywne zwiększanie świadomości
https://securityinside.pl

63. Efektywne zwiększanie świadomości
www.securityinside.pl

64. Efektywne zwiększanie świadomości
Kod Rabatowy: CONFIDENCE2015
Rabat -'0x14'%
Ważny do 1435708799
https://securityinside.pl

65. Blue Team vs. Red Team

66. Red Team - Atak
● Kontrolowany atak
● Rozszerzone zasady (APT, DDoS)
● Eksperci nastawieni na Atak

67. Red Team
● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne
– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat
– Ataki typu 0-day, działanie w ukryciu

68. Red Team
● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia
– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku
– Miary, Time-To-Compromise, Time-To-Detect

69. Red Team
● Infekcja złośliwym oprogramowaniem
● Zdalne uruchomienie kodu
● Kradzież danych Klienta
● Atak sieciowy DDoS
● Insider
● Przejęcie usługi
● (...)

70. Blue Team - Obrona
● IT
● SOC
(Security Operations Center)
● CERT
(Computer Emergency Response Team)
● CIRT
(Critical Incident Response Team)

71. Blue Team
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka

72. Blue Team
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego
oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia
– Skracanie czasu odtworzenia
● Miary
– Estimated Time To Detection/Recovery

73. Blue Team
● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki
– Realna ochrona
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów
– Indication of Compromise

74. Blue Team

75. Blue Team vs. Red Team
● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf

76. Podsumowanie
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków
3 : 0

77. Dziękuję za uwagę
Pytania?
Borys Łącki
b.lacki@logicaltrust.net