Nya metoder för att upptäcka och förhindra exfiltration

Jonas LejonTriop AB

SUSEC 2016

Länk:https://vimeo.com/25118844

Om Jonas Lejon

• FRA, Försvarsmakten• Eget företag sedan 2013• Styrelseledamot IIS, ISOC-SE• Advisory board Holm Security

Definition

Tidslinje

OSINTHUMINTSIGINT

Intrång/leverans C&C Kartläggning Exfiltration Upprensning

X år

Skadlig kod

• Axplock av skadlig kod:– Careto• Krypterade filer med .GIF

– Flame• AutoCAD via SSH (puttys bibliotek)

– FrameworkPOS• DNS

– Duqu ”The mask”, Duqu 2.0• Krypterade filer med JPG-filändelse

Skadlig kod

• Projekt Sauron / Remsec

Flyga under radarn

• Steganografi• Nyttja kända domäner/tjänster– Twitter, Dropbox

• Installerade programvaror• Inga spår på hårddisk• Under lång tid• Flera destinationer• Kryptering• Modulärt

Flyga under radarn

• Situation awareness– Airgap

• Unikt för målsystemet– Environmental Keyed Payloads

• Domain fronting• Powershell, WMI och MSI• False-flag

Detektion 1

• In/utgångar• Stora mängder ut/flöden– Argus

• Minnesforensik• Loggning– Immunity El Jefe– Sysmon

Detektion 2

• IOC• MISP

• Honeytokens• Opentokens

• Spela in nätverkstrafik: PCAP (FIFO)• Google stenographer

• Facebook Osquery

Detektion 3

• Baseline• Regelbunden övning• Aktiv skanning• Nessus (med inloggning), OpenVAS• Holm Security

Poison Ivy C&C

• Snort

Exempel

Poison Ivy Metasploit

Twitter: @kryptera

jonas@triop.se

https://triop.sehttps://kryptera.se