Dobar, loš, zao
Click here to load reader
description
Transcript of Dobar, loš, zao
Sadržaj predavanja
1
Uvod
Loš Admin
Zaključak
Ostali problemi
Zao admin!
2 3 4 5
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Gdje je što? Samo „on” to zna!
Bezazlene igre
WINLOGONPodržava user authentication„Poseban” session u OSu…ali to je session i mogu ga preuzeti
IMAGE HIJACKSDodaje debugger na exe fileOS ne provjerava je li file debugger
Demo
WINLOGON – deleted account scenario
IMAGE HIJACKS – mapping the executable name to a different debugger source
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Task manager nije dovoljan
Task Manager je alat za kućne korisnike
Preporuka: - Process Explorer; vidimo sve procese- ListDlls; vidimo sve dll-ove u OS-u- LiveKD; što se nalazi unutar kernela
Demo...
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
Diagnostic and Recovery Toolset / DART
Curenje podataka
Administratori koriste prečice
Uvod
Explorer nije dovoljan
• Ako adminu maknete neka prava, neće biti impresioniran!
• AppLocker• SRP ?• Prava/ACL, (Access Control List)
– Moraju postojati pravila– Treba ih provjeravati
• BackupRead/ BackupWrite– Backup sistem/procedura je važnija od ACLs!
Under the Cover
• Pogledaj ono što ne smiješ vidjeti!
Demo…
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
MoveFileEx Function
• Dokumentirano na MSDNu: „Moves an existing file or directory, including its children, with various move options.”
• MOVEFILE_DELAY_UNTIL_REBOOT flag• Preimenuje i pobriše file prilikom sljedećeg
restarta– Nakon autochk-a– Sprema podatke u registry
(PendingFileRenameOperations)– Ignorira sistemske datoteke
Do sljedećeg restarta
• Misija: destroy….
demo…
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Diagnostic and Recovery Toolset / DaRT
• Dio MDOP paketa• DaRT 5.0, 6.0• DaRT 6.5 podržano za:
– Windows 7 – Windows Server 2008 R2
• Resetiranje local account lozinki• Pomaže prilikom dijagnostike i popravka sistema• Korisno za offline aktivnosti
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Curenje podataka
• Watchdog Service – admin uvijek radi!
• DNS Tunelling - zanimljiv put za slanje/primanje podataka
SAVJETI:• Redovita provjera infrastrukture
– Korisno u svim scenarijama– Aplikacije šalju povjerljive podatke preko žice
• Vršiti skeniranje portova na rubnim djelovima mreže– Bad admin osluškuje mrežu
Sada ih ima, pa ih nema!
• Gdje su nestali user & computer accounti?• Kako vratiti AD objekte?
demo…
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Administratori koriste prečice
• Tehnička snaga protiv administratora
• Ostali problemi i preporuke– Zakon– Pravila – Dokumentacija– Rotiranje poslova i odgovornosti– Treća strana
Bezazlene igre
Zaključak
Task Manager nije dovoljan
Explorer nije dovoljan
Misson: Uništiti sva računala! / MoveFileEx Function
MDOP - Diagnostic and Recovery Toolset / DaRT
Curenje podataka
Administratori koriste prečice
Uvod
Budi proaktivan!
• Infrastruktura mora biti dobro dokumentirana!
• Dijeljenje i rotiranje poslova između admina.• Izvršavanje periodičkih provjera
– Autoruns– Kernel Level Files– Network Traffic– Processes
Reference
• EZNamespaceExtensions.Net v2011• http://blogs.technet.com/b/plitpromicrosoft
com/• Thanks to:
– Paula Januszkiewicz, Enterprise Security
Reference
HVALA !
Nagradnoizvlačenje