Dobar, loš, zao

Post on 15-Jan-2016

90 views 3 download

Preview:

Click to see full reader
Report this document
SHARE

description

Dobar, loš, zao. Romeo Mlinar Ekobit d.o.o. rmlinar @ ekobit.hr romeo @ rmlinar.net. 2. 3. 4. 5. Sadržaj predavanja. Uvod. Zao admin!. Zaključak. Loš Admin. Ostali problemi. Uvod. Bezazlene igre. Task Manager nije dovoljan. Explorer nije dovoljan. - PowerPoint PPT Presentation

Transcript of Dobar, loš, zao

Dobar, loš, zao

Romeo Mlinar

Ekobit d.o.o.rmlinar@ekobit.hr

romeo@rmlinar.net

Sadržaj predavanja

1

Uvod

Loš Admin

Zaključak

Ostali problemi

Zao admin!

2 3 4 5

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Gdje je što? Samo „on” to zna!

Bezazlene igre

WINLOGONPodržava user authentication„Poseban” session u OSu…ali to je session i mogu ga preuzeti

IMAGE HIJACKSDodaje debugger na exe fileOS ne provjerava je li file debugger

Demo

WINLOGON – deleted account scenario

IMAGE HIJACKS – mapping the executable name to a different debugger source

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Task manager nije dovoljan

Task Manager je alat za kućne korisnike

Preporuka: - Process Explorer; vidimo sve procese- ListDlls; vidimo sve dll-ove u OS-u- LiveKD; što se nalazi unutar kernela

Demo...

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

Diagnostic and Recovery Toolset / DART

Curenje podataka

Administratori koriste prečice

Uvod

Explorer nije dovoljan

• Ako adminu maknete neka prava, neće biti impresioniran!

• AppLocker• SRP ?• Prava/ACL, (Access Control List)

– Moraju postojati pravila– Treba ih provjeravati

• BackupRead/ BackupWrite– Backup sistem/procedura je važnija od ACLs!

Under the Cover

• Pogledaj ono što ne smiješ vidjeti!

Demo…

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

MoveFileEx Function

• Dokumentirano na MSDNu: „Moves an existing file or directory, including its children, with various move options.”

• MOVEFILE_DELAY_UNTIL_REBOOT flag• Preimenuje i pobriše file prilikom sljedećeg

restarta– Nakon autochk-a– Sprema podatke u registry

(PendingFileRenameOperations)– Ignorira sistemske datoteke

Do sljedećeg restarta

• Misija: destroy….

demo…

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Diagnostic and Recovery Toolset / DaRT

• Dio MDOP paketa• DaRT 5.0, 6.0• DaRT 6.5 podržano za:

– Windows 7 – Windows Server 2008 R2

• Resetiranje local account lozinki• Pomaže prilikom dijagnostike i popravka sistema• Korisno za offline aktivnosti

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Curenje podataka

• Watchdog Service – admin uvijek radi!

• DNS Tunelling - zanimljiv put za slanje/primanje podataka

SAVJETI:• Redovita provjera infrastrukture

– Korisno u svim scenarijama– Aplikacije šalju povjerljive podatke preko žice

• Vršiti skeniranje portova na rubnim djelovima mreže– Bad admin osluškuje mrežu

Sada ih ima, pa ih nema!

• Gdje su nestali user & computer accounti?• Kako vratiti AD objekte?

demo…

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Administratori koriste prečice

• Tehnička snaga protiv administratora

• Ostali problemi i preporuke– Zakon– Pravila – Dokumentacija– Rotiranje poslova i odgovornosti– Treća strana

Bezazlene igre

Zaključak

Task Manager nije dovoljan

Explorer nije dovoljan

Misson: Uništiti sva računala! / MoveFileEx Function

MDOP - Diagnostic and Recovery Toolset / DaRT

Curenje podataka

Administratori koriste prečice

Uvod

Budi proaktivan!

• Infrastruktura mora biti dobro dokumentirana!

• Dijeljenje i rotiranje poslova između admina.• Izvršavanje periodičkih provjera

– Autoruns– Kernel Level Files– Network Traffic– Processes

Reference

• EZNamespaceExtensions.Net v2011• http://blogs.technet.com/b/plitpromicrosoft

com/• Thanks to:

– Paula Januszkiewicz, Enterprise Security

http://blogs.technet.com/b/plitpromicrosoftcom/
http://blogs.technet.com/b/plitpromicrosoftcom/

Reference

HVALA !

Nagradnoizvlačenje

Top related

Timer egu 2013 egu zao
 Technology
Dobar Tekst
 Documents
Latina Phil Zao
 Documents
Zeal Zao Manual Servicios
 Documents
Dobar tek!
 Documents
Katalog Zao «Belzarubezhstroy» En
 Documents
Zao Wou Ki
 Documents
vlunn.ruvlunn.ru/Zao/GIA_RSO.docxWeb viewvlunn.ru
 Documents
Dobar dan!!
 Education
Dobar Partner 2011
 Documents
Nelt - Dobar start 6
 Documents
DIZAJNIRAJ DESIGN YOUR JOB I I Sv0j pOsaO I I · Uvod u program; Razgovor sa učesnicima o njihovim očekivanjima - 10min Uvod u najbolje praktikovanje UI/UX - 15min Dobar i loš
 Documents
Dobar tek! - Ugostiteljstvo
 Documents
do nove ere...•Nijedan čin se ne može okarakterisati kao dobar ili loš po sebi •Međutim, čovek može da se pokori prirodi i da živi u skladu s njom–svrha života •Ironično,
 Documents
Aa Primjer Dobar
 Documents
Kako Biti Dobar Vektor
 Documents
eCommerce - zao-sdt.ru
 Documents
Bond villains: Zao .
 Documents
Dobar Za Zdravlje
 Documents
Plsql Quick Guide DOBAR
 Documents

Copyright © 2022 FDOCUMENTS