Dmitry Evteev - Penetest VS. APT

Transcript

1. 1.

   Дмитрий Евтеев, HeadLight Security penetest VS. APT

2. 2.

   APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность

   тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT
3. 3.

   APT в широком представлении @Snowden

4. 4.

   » FireEye: https://github.com/fireeye/iocs » «Шалтай-Болтай» https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr » Карбанак, КиберБеркут, Анонимусы,

   Лулсеки… https://apt.securelist.com APT группы
5. 5.

   » Сбор информации об объекте тестирования с использованием публичных источников

   » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест
6. 6.

   » Поиск имеющейся информации об интересующем объекте (аля select PRISM…

   select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT
7. 7.

   » Подготовка и согласование состава проверок, основанных на социальной инженерии

   » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)
8. 8.

   …фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка,

   социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)
9. 9.

   » Зачем кого-то ломать, когда можно купить «точку входа»? Работа

   команды APT (все гораздо проще))
10. 10.

    » Фишинг + связка || Захок сайта + связка |..

    Работа команды APT («связка»)
11. 11.

    » https://twitter.com/taviso/status/647408764505579520 » https://twitter.com/taviso/status/649642030893633536 pentest vs. APT

12. 12.

    » …каждый изобретателен по своему J John McAfee: China Spies

    on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)
13. 13.

    » XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html Работа команды APT (more and more)

14. 14.

    » Развитие атаки с периметра или внутренний пентест с ноута?

    А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест
15. 15.

    » Развитие атаки с периметра или с рабочей станции пользователя?

    » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети
16. 16.

    » https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/ Работа команды APT

17. 17.

    » АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq

    Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
18. 18.

    » АСЕПЫ -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html APT: Сокрытие своего

    присутствия и ЗАКРЕПЛЕНИЕ
19. 19.

    » Американские хакеры нечаянно отключили интернет в Сирии в 2012-м

    году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает J @Snowden
20. 20.

    » NetIQ и все-все-все | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: Сокрытие своего

    присутствия и ЗАКРЕПЛЕНИЕ
21. 21.

    » ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof:

    https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
22. 22.

    » C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html Работа команды

    APT: С&C
23. 23.

    pentest vs. APT

24. 24.

    pentest vs. APT

25. 25.

    https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307 http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460 pentest vs. APT

26. 26.

    Перспективные каналы выхода – HTTPS && легитимные сервисы Пример: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-

    for-command-control/ APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
27. 27.

    » А как-же вай-фай??! http://www.vesti.ru/doc.html?id=1146583 Работа команды APT и через

    вай-фай
28. 28.

    » Команды пентестеров не могут в полной мере использовать методики

    и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит J Резюме
29. 29.

    ? Спасибо за внимание! Вопросы? devteev@hlsec.ru http://devteev.blogspot.co m https://twitter.com/devteev