Dmitry Evteev - Penetest VS. APT

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
October 03, 2015

Dmitry Evteev - Penetest VS. APT

DEFCON Moscow 10

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

October 03, 2015
Tweet

Transcript

  1. 2.

    APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность

    тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT
  2. 5.

    » Сбор информации об объекте тестирования с использованием публичных источников

    » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест
  3. 6.

    » Поиск имеющейся информации об интересующем объекте (аля select PRISM…

    select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT
  4. 7.

    » Подготовка и согласование состава проверок, основанных на социальной инженерии

    » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)
  5. 8.

    …фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка,

    социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)
  6. 10.

    » Фишинг + связка || Захок сайта + связка |..

    Работа команды APT («связка»)
  7. 12.

    » …каждый изобретателен по своему J John McAfee: China Spies

    on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)
  8. 14.

    » Развитие атаки с периметра или внутренний пентест с ноута?

    А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест
  9. 15.

    » Развитие атаки с периметра или с рабочей станции пользователя?

    » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети
  10. 17.

    » АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq

    Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  11. 19.

    » Американские хакеры нечаянно отключили интернет в Сирии в 2012-м

    году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает J @Snowden
  12. 21.

    » ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof:

    https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  13. 28.

    » Команды пентестеров не могут в полной мере использовать методики

    и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит J Резюме