Speaker: Borys Lacki
Language: Polish
Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu.
CONFidence: http://confidence.org.pl/pl/
2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami
finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet
Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open
Source Security, PLNOG (…)
13. Threat
Dostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe
oprogramowanie
3.Infrastruktura serwerowa
14. USB - Pendrive
Zasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników
zasad polityki bezpieczeństwa
17. Pendrive
● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
18. Pendrive
Wejście na teren firmy
● Rozmowa o pracę
● Sprzedaż produktu
● Kurier
● Klient
● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted-
Must-be-Flexible
20. Podsumowanie działań
● Skuteczność ataku ~40%
● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)
● Kilka osób zaniosło Pendrive do działu IT
● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
21. Pomysły na poprawę
● Edukacja
● USB WhiteListing
● Application Whitelisting (AppLocker)
● GPO
22. Phishing
Zasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami
decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników
celem zwiększenia świadomości i ograniczenia
możliwych strat finansowych
23. Phishing
Rekonesans – lista pracowników
● Wyszukiwarki internetowe
● Grupy dyskusyjne
● LinkedIn/Goldenline
● Metadane z .pdf, .doc, (...)
29. Podsumowanie działań
● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
31. Infrastruktura serwerowa
Zasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami
decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i
ograniczenia możliwych strat finansowych
46. Infrastruktura serwerowa
Eskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i
usług
● Błędne uprawnienia plików
● Takie same hasła dla różnych usług
● Brak segmentacji wewnętrznej sieci serwerowej
● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
49. Podsumowanie działań
● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
50. Pomysły na poprawę
● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
51. Bezpieczeństwo
Wczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
53. Edukacja - Polska
● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania
antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWW
Special Eurobarometer 423 – Cyber Security – February 2015
57. 70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their
endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber
Security Intelligence Index,” 95 percent of information
security incidents involve human error.
66. Red Team - Atak
● Kontrolowany atak
● Rozszerzone zasady (APT, DDoS)
● Eksperci nastawieni na Atak
67. Red Team
● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne
– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat
– Ataki typu 0-day, działanie w ukryciu
68. Red Team
● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia
– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku
– Miary, Time-To-Compromise, Time-To-Detect
69. Red Team
● Infekcja złośliwym oprogramowaniem
● Zdalne uruchomienie kodu
● Kradzież danych Klienta
● Atak sieciowy DDoS
● Insider
● Przejęcie usługi
● (...)
70. Blue Team - Obrona
● IT
● SOC
(Security Operations Center)
● CERT
(Computer Emergency Response Team)
● CIRT
(Critical Incident Response Team)
71. Blue Team
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka
72. Blue Team
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego
oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia
– Skracanie czasu odtworzenia
● Miary
– Estimated Time To Detection/Recovery
73. Blue Team
● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki
– Realna ochrona
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów
– Indication of Compromise
75. Blue Team vs. Red Team
● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
76. Podsumowanie
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków
3 : 0