Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Studium przypadku: KNF (Bluenoroff)

Studium przypadku: KNF (Bluenoroff)

White Cat Security

April 12, 2017
Tweet

More Decks by White Cat Security

Other Decks in Research

Transcript

  1. o White Cat Security (v2017) •  3 Głównych Konsultantów (Core

    Team) •  Klienci: ~połowa firm z indeksu WIG20 •  Dostarczamy to czego nam brakowało: •  Doświadczenie ze zwycięstw i porażek przy budowaniu SOC/CERT •  Wsparcie przy Obsłudze Incydentów •  Wywiad na temat zagrożeń (Threat Intelligence) •  [WKRÓTCE] Organizujemy Polowania (Hun]ng) •  [Na żądanie] Szkolimy z powyższych tematów •  Niezależność względem dostawców rozwiązań 2
  2. Agenda •  Założenia •  Bluenoroff: KNF •  Komentarz White Cat

    Security: Threat Intelligence Team •  Sesja Q&A 3
  3. Założenia •  Informacje pozyskane za pomocą takich metod jak: – 

    OSINT (Open Source Intelligence) –  HUMINT (Human Intelligence) •  NIE prezentujemy informacji, które zostały oznaczone jako poufne •  LUBIMY ciekawe pytania 4
  4. Bluenoroff: KNF •  Cel: –  Banki komercyjne –  Banki spółdzielcze

    –  Urzędy –  Operatorzy telekomunikacyjni –  Kto wie kto jeszcze schował się za adresacją IP 5
  5. Komentarz WCS: TIT •  Podatności używane przez napastników: –  CVE-2015-8651

    –  CVE-2016-1019 –  CVE-2016-4117 –  CVE-2016-0034 (MS16-006) Znane z popularnych Exploit Kitów 12
  6. Komentarz WCS: TIT •  Mnogość próbek ...: –  każdy mógł

    dostać inną –  podejrzenie o podpinanie się złośliwego kodu pod lsass.exe w celu kradzieży danych uwierzytelniających –  unikalność jest celowa (rekompilacja, inny paker, itp.) –  zmiany w kodzie są symboliczne by oślepić narzędzia jak Yara, szczególnie jeśli korzystasz z reguł wygenerowanych przez yaragenerator) 13
  7. Komentarz WCS: TIT Opracowane raporty opisują kilka wariantów postępowania napastników,

    ale nie wszystkie (oparte o próbki udostępnione przez z3s lub ofiary, z którymi współpracowali) 14
  8. Komentarz WCS: TIT Przed styczniem 2017 kampania była pod radarem

    (ok. 9-10 miesięcy) – nie możemy czekać na informacje odnośnie trwającej kampanii 15
  9. Komentarz WCS: TIT W trakcie analizy informacji przekazywanych przez vendorów

    oraz dostawców okazało się, że już na poziomie IOC w postaci hash pojawia się wyzwanie: md5|sha-1|sha-256 oraz udostępnianie IOC w formie sha-256 próbek, które inni opisują hashem md5 16
  10. Komentarz WCS: TIT Dlaczego tak trudno użyć tych IOC? Z

    czym porównać? - brak rozliczalności lub niska jakość zbieranych zdarzeń, retencja przechowywanych zdarzeń. Znalazłem i co to oznacza? – kontekst. Co teraz? – brak opisu TTP i trzeba szukać „czegoś“„gdzieś“. 17
  11. Komentarz WCS: TIT Plik z zebranymi IOC udostępniam każdej organizacji

    po wysłaniu do mnie maila ze skrzynki firmowej. 18
  12. Komentarz WCS: TIT •  Co chcemy wiedzieć o APT? – 

    Jakie grupa ma możliwości? –  Czy mają powód by nas zaatakować? –  Czy mają taki zamiar? –  ATRYBUCJA! 19
  13. Komentarz WCS: TIT 21 •  ATT&CK by MITRE (133 techniki

    na 04/2017) hyps://ayack.mitre.org/wiki/Technique_Matrix
  14. 22

  15. Komentarz WCS: TIT 23 •  Audyty by weryfikować zgodność (ATT&CK

    jako framework do badania zdolności do obrony, detekcji i reagowania) •  Red Teaming by sprawdzić ułamek TTP połączonych w łańcuch •  Hun]ng by zweryfikować czy komuś się nie udało włamać
  16. Odświeżone podejście 24 •  Obrona determinowana wiedzą i mądrością płynącą

    z wywiadu (threat intelligence) o zagrożeniach występujących na świecie •  Polowanie (hun-ng) by skrócić czas wykrycia incydentu bezpieczeństwa
  17. Odświeżone podejście 25 •  W Polsce takie podejście jest „dziwne”

    (?) – Brak lub niskiej jakości wymagania – Brak lub niska jakość dostarczanych informacji (nie mówiąc o wiedzy i mądrości) – Tylko czego można wymagać płacąc jak za dziurawą „jednorazówkę”?
  18. Odświeżone podejście 26 •  Przepis na TI Team: – 4-8 osób:

    •  1-2 liderów (potrafiących analizować ;)) •  1-2 inżynierów RE •  2-4 analityków – Budżet: 1-2 mln PLN / rocznie
  19. Odświeżone podejście 27 •  Przepis na to by mieć TI

    Team (realny): – Zdefiniuj wymagania (piramida bólu!) – Outsourcing wywiadu – Dywersyfikacja wywiadu – Skup się na konsekwentnej konsumpcji wywiadu oraz dialogu z jego dostawcą