Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
-
Upload
defcon-moscow -
Category
Technology
-
view
1.654 -
download
0
Transcript of Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Дмитрий Евтеев, HeadLight Security
penetest VS. APT
APT (advanced persistent threat)
-«постоянно расширяемая угроза»-совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста)
pentest (penetration testing)
- один из методов проведения аудита информационной безопасности.
pentest vs. APT
APT в широком представлении@Snowden
» FireEye: https://github.com/fireeye/iocs
» «Шалтай-Болтай»https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr
» Карбанак, КиберБеркут, Анонимусы, Лулсеки…
https://apt.securelist.com
APT группы
» Сбор информации об объекте тестирования с использованием публичных источников
» Инвентаризация уязвимостей внешнего периметра» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре» Повышение привилегий и сбор информации
Ликбез про внешний пентест
» Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…)
» Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..)
» Анонимизация трафика (aka tor)» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed)
» (Повышение привилегий и )сбор информации» ЗАКРЕПЛЕНИЕ
Работа команды APT
» Подготовка и согласование состава проверок, основанных на социальной инженерии
» Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе
Ликбез про внешний пентест (социалка)
…фишинг, фишинг, социалка………социалка, социалка, фишинг...…фишинг, социалка, фишинг………социалка, социалка, фишинг...…фишинг, социалка, фишинг……
«91% APT-атак основано на фишинге.»http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/
Работа команды APT (социалка)
» Зачем кого-то ломать, когда можно купить «точку входа»?
Работа команды APT (все гораздо проще))
» Фишинг + связка || Захок сайта + связка |..
Работа команды APT («связка»)
» https://twitter.com/taviso/status/647408764505579520» https://twitter.com/taviso/status/649642030893633536
pentest vs. APT
» …каждый изобретателен по своему John McAfee: China Spies on Airline Passengers Using Covert Android App http://
news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-using-covert-android-app-492556.shtml
Работа команды APT (more)
» XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html
Работа команды APT (more and more)
» Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя?
» Сбор информации об информационной системе» Инвентаризация уязвимостей» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей» Повышение привилегий и сбор информации
» Достижение поставленных целей
Ликбез про внутренний пентест
» Развитие атаки с периметра или с рабочей станции пользователя?
» Сбор информации об информационной системе» Инвентаризация уязвимостей (только тихо)» (?) Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068)» Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации
» Достижение поставленных целей» Сокрытие своего присутствия
Работа команды APT во внутренней сети
» https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/
Работа команды APT
» АСЕПЫ: привилегии && сохранение сетевого доступа» Приложения (eq Active Directory)» ОС (файловая система, объекты…)» Биос (eq HDD/..)» Девайсы (eq камеры, сканеры, роутеры, …)» Мобилки» Облака (!)» …
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» АСЕПЫ -> Cisco (SYNful Knock)https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/
Работа команды APT: и такое бывает @Snowden
» NetIQ и все-все-все| http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html
http://devteev.blogspot.ru/2013/06/137.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» ТРАФИК» HTTP/S && DNSпример: https://github.com/m57/dnsteal
+1 proof: https://github.com/nxnrt/WindowsUploadToolkit+2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» C2 = VD$ || webSHELLs
https://blog.sucuri.net/2015/09/wordpress-malware-visitortracker-campaign-update.html
Работа команды APT: С&C
pentest vs. APT
pentest vs. APT
https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460
pentest vs. APT
Перспективные каналы выхода – HTTPS && легитимные сервисы
Пример:http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-for-command-control/
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» А как-же вай-фай??!
http://www.vesti.ru/doc.html?id=1146583
Работа команды APT и через вай-фай
» Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона.
» Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет.
» Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит
Резюме
? Спасибо за внимание!Вопросы?
[email protected]://devteev.blogspot.comhttps://twitter.com/devteev