Studium przypadku: KNF (Bluenoroff)

Transcript

1. Studium przypadku: KNF (Bluenoroff) Przemysław Skowron, 12.04.2017

2. o White Cat Security (v2017) •  3 Głównych Konsultantów (Core

   Team) •  Klienci: ~połowa firm z indeksu WIG20 •  Dostarczamy to czego nam brakowało: •  Doświadczenie ze zwycięstw i porażek przy budowaniu SOC/CERT •  Wsparcie przy Obsłudze Incydentów •  Wywiad na temat zagrożeń (Threat Intelligence) •  [WKRÓTCE] Organizujemy Polowania (Hun]ng) •  [Na żądanie] Szkolimy z powyższych tematów •  Niezależność względem dostawców rozwiązań 2

3. Agenda •  Założenia •  Bluenoroff: KNF •  Komentarz White Cat

   Security: Threat Intelligence Team •  Sesja Q&A 3

4. Założenia •  Informacje pozyskane za pomocą takich metod jak: – 

   OSINT (Open Source Intelligence) –  HUMINT (Human Intelligence) •  NIE prezentujemy informacji, które zostały oznaczone jako poufne •  LUBIMY ciekawe pytania 4

5. Bluenoroff: KNF •  Cel: –  Banki komercyjne –  Banki spółdzielcze

   –  Urzędy –  Operatorzy telekomunikacyjni –  Kto wie kto jeszcze schował się za adresacją IP 5

6. Bluenoroff: KNF Motywacja 6

7. Bluenoroff: KNF Ramy czasowe 7

8. Bluenoroff: KNF 8

9. Bluenoroff: KNF zobaczmy xls z IOC – OSINT 9

10. Komentarz WCS: TIT Niezauważalna współpraca poza granicami kraju 10

11. Komentarz WCS: TIT KNF mógłby posprzątać dokładniej (cache przeglądarek) 11

12. Komentarz WCS: TIT •  Podatności używane przez napastników: –  CVE-2015-8651

    –  CVE-2016-1019 –  CVE-2016-4117 –  CVE-2016-0034 (MS16-006) Znane z popularnych Exploit Kitów 12

13. Komentarz WCS: TIT •  Mnogość próbek ...: –  każdy mógł

    dostać inną –  podejrzenie o podpinanie się złośliwego kodu pod lsass.exe w celu kradzieży danych uwierzytelniających –  unikalność jest celowa (rekompilacja, inny paker, itp.) –  zmiany w kodzie są symboliczne by oślepić narzędzia jak Yara, szczególnie jeśli korzystasz z reguł wygenerowanych przez yaragenerator) 13

14. Komentarz WCS: TIT Opracowane raporty opisują kilka wariantów postępowania napastników,

    ale nie wszystkie (oparte o próbki udostępnione przez z3s lub ofiary, z którymi współpracowali) 14

15. Komentarz WCS: TIT Przed styczniem 2017 kampania była pod radarem

    (ok. 9-10 miesięcy) – nie możemy czekać na informacje odnośnie trwającej kampanii 15

16. Komentarz WCS: TIT W trakcie analizy informacji przekazywanych przez vendorów

    oraz dostawców okazało się, że już na poziomie IOC w postaci hash pojawia się wyzwanie: md5|sha-1|sha-256 oraz udostępnianie IOC w formie sha-256 próbek, które inni opisują hashem md5 16

17. Komentarz WCS: TIT Dlaczego tak trudno użyć tych IOC? Z

    czym porównać? - brak rozliczalności lub niska jakość zbieranych zdarzeń, retencja przechowywanych zdarzeń. Znalazłem i co to oznacza? – kontekst. Co teraz? – brak opisu TTP i trzeba szukać „czegoś“„gdzieś“. 17

18. Komentarz WCS: TIT Plik z zebranymi IOC udostępniam każdej organizacji

    po wysłaniu do mnie maila ze skrzynki firmowej. 18

19. Komentarz WCS: TIT •  Co chcemy wiedzieć o APT? – 

    Jakie grupa ma możliwości? –  Czy mają powód by nas zaatakować? –  Czy mają taki zamiar? –  ATRYBUCJA! 19

20. Komentarz WCS: TIT 20

21. Komentarz WCS: TIT 21 •  ATT&CK by MITRE (133 techniki

    na 04/2017) hyps://ayack.mitre.org/wiki/Technique_Matrix

22. 22

23. Komentarz WCS: TIT 23 •  Audyty by weryfikować zgodność (ATT&CK

    jako framework do badania zdolności do obrony, detekcji i reagowania) •  Red Teaming by sprawdzić ułamek TTP połączonych w łańcuch •  Hun]ng by zweryfikować czy komuś się nie udało włamać

24. Odświeżone podejście 24 •  Obrona determinowana wiedzą i mądrością płynącą

    z wywiadu (threat intelligence) o zagrożeniach występujących na świecie •  Polowanie (hun-ng) by skrócić czas wykrycia incydentu bezpieczeństwa

25. Odświeżone podejście 25 •  W Polsce takie podejście jest „dziwne”

    (?) – Brak lub niskiej jakości wymagania – Brak lub niska jakość dostarczanych informacji (nie mówiąc o wiedzy i mądrości) – Tylko czego można wymagać płacąc jak za dziurawą „jednorazówkę”?

26. Odświeżone podejście 26 •  Przepis na TI Team: – 4-8 osób:

    •  1-2 liderów (potrafiących analizować ;)) •  1-2 inżynierów RE •  2-4 analityków – Budżet: 1-2 mln PLN / rocznie

27. Odświeżone podejście 27 •  Przepis na to by mieć TI

    Team (realny): – Zdefiniuj wymagania (piramida bólu!) – Outsourcing wywiadu – Dywersyfikacja wywiadu – Skup się na konsekwentnej konsumpcji wywiadu oraz dialogu z jego dostawcą

28. Sesja Q&A 28

29. Sesja Q&A Dziękuję za aktywny udział! [email protected] (IOC po mailu

    do mnie) 29

30. Źródła •  hyp://rcb.gov.pl/atak-teleinformatyczny-na-polski-sektor- finansowy/ •  inne wymienione w źródłach wymienionych

    w powyższym opracowaniu 30