Dmitry Evteev - Penetest VS. APT

Transcript

1. Дмитрий Евтеев, HeadLight Security penetest VS. APT

2. APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность

   тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT

3. APT в широком представлении @Snowden

4. » FireEye: https://github.com/fireeye/iocs » «Шалтай-Болтай» https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr » Карбанак, КиберБеркут, Анонимусы,

   Лулсеки… https://apt.securelist.com APT группы

5. » Сбор информации об объекте тестирования с использованием публичных источников

   » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест

6. » Поиск имеющейся информации об интересующем объекте (аля select PRISM…

   select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT

7. » Подготовка и согласование состава проверок, основанных на социальной инженерии

   » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)

8. …фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка,

   социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)

9. » Зачем кого-то ломать, когда можно купить «точку входа»? Работа

   команды APT (все гораздо проще))

10. » Фишинг + связка || Захок сайта + связка |..

    Работа команды APT («связка»)

11. » https://twitter.com/taviso/status/647408764505579520 » https://twitter.com/taviso/status/649642030893633536 pentest vs. APT

12. » …каждый изобретателен по своему J John McAfee: China Spies

    on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)

13. » XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html Работа команды APT (more and more)

14. » Развитие атаки с периметра или внутренний пентест с ноута?

    А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест

15. » Развитие атаки с периметра или с рабочей станции пользователя?

    » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети

16. » https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/ Работа команды APT

17. » АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq

    Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

18. » АСЕПЫ -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html APT: Сокрытие своего

    присутствия и ЗАКРЕПЛЕНИЕ

19. » Американские хакеры нечаянно отключили интернет в Сирии в 2012-м

    году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает J @Snowden

20. » NetIQ и все-все-все | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: Сокрытие своего

    присутствия и ЗАКРЕПЛЕНИЕ

21. » ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof:

    https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

22. » C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html Работа команды

    APT: С&C

23. pentest vs. APT

24. pentest vs. APT

25. https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307 http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460 pentest vs. APT

26. Перспективные каналы выхода – HTTPS && легитимные сервисы Пример: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-

    for-command-control/ APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

27. » А как-же вай-фай??! http://www.vesti.ru/doc.html?id=1146583 Работа команды APT и через

    вай-фай

28. » Команды пентестеров не могут в полной мере использовать методики

    и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит J Резюме

29. ? Спасибо за внимание! Вопросы? devteev@hlsec.ru http://devteev.blogspot.co m https://twitter.com/devteev