Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Studium przypadku: KNF (Bluenoroff)

Studium przypadku: KNF (Bluenoroff)

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

April 12, 2017
Tweet

Transcript

  1. Studium przypadku: KNF (Bluenoroff) Przemysław Skowron, 12.04.2017

  2. o White Cat Security (v2017) •  3 Głównych Konsultantów (Core

    Team) •  Klienci: ~połowa firm z indeksu WIG20 •  Dostarczamy to czego nam brakowało: •  Doświadczenie ze zwycięstw i porażek przy budowaniu SOC/CERT •  Wsparcie przy Obsłudze Incydentów •  Wywiad na temat zagrożeń (Threat Intelligence) •  [WKRÓTCE] Organizujemy Polowania (Hun]ng) •  [Na żądanie] Szkolimy z powyższych tematów •  Niezależność względem dostawców rozwiązań 2
  3. Agenda •  Założenia •  Bluenoroff: KNF •  Komentarz White Cat

    Security: Threat Intelligence Team •  Sesja Q&A 3
  4. Założenia •  Informacje pozyskane za pomocą takich metod jak: – 

    OSINT (Open Source Intelligence) –  HUMINT (Human Intelligence) •  NIE prezentujemy informacji, które zostały oznaczone jako poufne •  LUBIMY ciekawe pytania 4
  5. Bluenoroff: KNF •  Cel: –  Banki komercyjne –  Banki spółdzielcze

    –  Urzędy –  Operatorzy telekomunikacyjni –  Kto wie kto jeszcze schował się za adresacją IP 5
  6. Bluenoroff: KNF Motywacja 6

  7. Bluenoroff: KNF Ramy czasowe 7

  8. Bluenoroff: KNF 8

  9. Bluenoroff: KNF zobaczmy xls z IOC – OSINT 9

  10. Komentarz WCS: TIT Niezauważalna współpraca poza granicami kraju 10

  11. Komentarz WCS: TIT KNF mógłby posprzątać dokładniej (cache przeglądarek) 11

  12. Komentarz WCS: TIT •  Podatności używane przez napastników: –  CVE-2015-8651

    –  CVE-2016-1019 –  CVE-2016-4117 –  CVE-2016-0034 (MS16-006) Znane z popularnych Exploit Kitów 12
  13. Komentarz WCS: TIT •  Mnogość próbek ...: –  każdy mógł

    dostać inną –  podejrzenie o podpinanie się złośliwego kodu pod lsass.exe w celu kradzieży danych uwierzytelniających –  unikalność jest celowa (rekompilacja, inny paker, itp.) –  zmiany w kodzie są symboliczne by oślepić narzędzia jak Yara, szczególnie jeśli korzystasz z reguł wygenerowanych przez yaragenerator) 13
  14. Komentarz WCS: TIT Opracowane raporty opisują kilka wariantów postępowania napastników,

    ale nie wszystkie (oparte o próbki udostępnione przez z3s lub ofiary, z którymi współpracowali) 14
  15. Komentarz WCS: TIT Przed styczniem 2017 kampania była pod radarem

    (ok. 9-10 miesięcy) – nie możemy czekać na informacje odnośnie trwającej kampanii 15
  16. Komentarz WCS: TIT W trakcie analizy informacji przekazywanych przez vendorów

    oraz dostawców okazało się, że już na poziomie IOC w postaci hash pojawia się wyzwanie: md5|sha-1|sha-256 oraz udostępnianie IOC w formie sha-256 próbek, które inni opisują hashem md5 16
  17. Komentarz WCS: TIT Dlaczego tak trudno użyć tych IOC? Z

    czym porównać? - brak rozliczalności lub niska jakość zbieranych zdarzeń, retencja przechowywanych zdarzeń. Znalazłem i co to oznacza? – kontekst. Co teraz? – brak opisu TTP i trzeba szukać „czegoś“„gdzieś“. 17
  18. Komentarz WCS: TIT Plik z zebranymi IOC udostępniam każdej organizacji

    po wysłaniu do mnie maila ze skrzynki firmowej. 18
  19. Komentarz WCS: TIT •  Co chcemy wiedzieć o APT? – 

    Jakie grupa ma możliwości? –  Czy mają powód by nas zaatakować? –  Czy mają taki zamiar? –  ATRYBUCJA! 19
  20. Komentarz WCS: TIT 20

  21. Komentarz WCS: TIT 21 •  ATT&CK by MITRE (133 techniki

    na 04/2017) hyps://ayack.mitre.org/wiki/Technique_Matrix
  22. 22

  23. Komentarz WCS: TIT 23 •  Audyty by weryfikować zgodność (ATT&CK

    jako framework do badania zdolności do obrony, detekcji i reagowania) •  Red Teaming by sprawdzić ułamek TTP połączonych w łańcuch •  Hun]ng by zweryfikować czy komuś się nie udało włamać
  24. Odświeżone podejście 24 •  Obrona determinowana wiedzą i mądrością płynącą

    z wywiadu (threat intelligence) o zagrożeniach występujących na świecie •  Polowanie (hun-ng) by skrócić czas wykrycia incydentu bezpieczeństwa
  25. Odświeżone podejście 25 •  W Polsce takie podejście jest „dziwne”

    (?) – Brak lub niskiej jakości wymagania – Brak lub niska jakość dostarczanych informacji (nie mówiąc o wiedzy i mądrości) – Tylko czego można wymagać płacąc jak za dziurawą „jednorazówkę”?
  26. Odświeżone podejście 26 •  Przepis na TI Team: – 4-8 osób:

    •  1-2 liderów (potrafiących analizować ;)) •  1-2 inżynierów RE •  2-4 analityków – Budżet: 1-2 mln PLN / rocznie
  27. Odświeżone podejście 27 •  Przepis na to by mieć TI

    Team (realny): – Zdefiniuj wymagania (piramida bólu!) – Outsourcing wywiadu – Dywersyfikacja wywiadu – Skup się na konsekwentnej konsumpcji wywiadu oraz dialogu z jego dostawcą
  28. Sesja Q&A 28

  29. Sesja Q&A Dziękuję za aktywny udział! przemyslaw.skowron@whitecatsec.com (IOC po mailu

    do mnie) 29
  30. Źródła •  hyp://rcb.gov.pl/atak-teleinformatyczny-na-polski-sektor- finansowy/ •  inne wymienione w źródłach wymienionych

    w powyższym opracowaniu 30