Catch Me If You CanEivind Utnes | Christian A. H. Hansen

HackCon#12

/> whoami

Eivind Utnes

Senior Sikkerhetsrådgiver

@0xPrime

Christian August Holm Hansen

Sikkerhetsrådgiver

Disclaimer

Dette foredraget tar for seg ekte hendelser, men eksemplene er fiktive, laget for å representere svakheter og nødvendige tiltak.

Navn, domener og IP adresser har blitt endret for å beskytte de skyldige, og enhver likhet med eksisterende systemer er helt tilfeldig.

Dette er vanlige feil, og dersom du kjenner deg igjen i noen av disse eksemplene er du ikke alene.

Men du burde kanskje fikse det. ;-)

Scope

Dette foredraget… • tar «Assume Breach» som et utgangspunkt

• tar for seg en ekstern (remote) angriper

• tar for et typisk norsk bedriftsnettverk (les: Windows)

• tar for seg vanlige feil som blir gjort i bedrifters nettverk

• tar for seg tiltak som avverget eller forsinket angrep

• tar ikke for seg hvordan tilgangen er oppnådd

MITRE ATT&CK

Adversarial Tactics, Techniques & Common Knowledge

Løst basert på Lockheed Martins Cyber Kill Chain

Vår metodikk er selvlaget, men fungerer parallelt med Mitres ATT&CK metodikk.

Recon Weaponize Deliver Exploit Control Execute Maintain

MITRE ATT&CK

Recon• Linkedin, Nettside, Facebook, Shodan, etc.

Weaponize• Makroer

Deliver• Phishing

Exploit• AV bypass

Recon Weaponize Deliver Exploit Control Execute Maintain

Phishing-statistikk 2016

Generisk

Ikke klikket Klikket på lenke/vedlegg

Spear-phishing

Ikke klikket Klikket på lenke/vedlegg

MITRE ATT&CK

Control ExecuteMaintain

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Lateral Movement

Execution

Collection

Exfiltration

Command and Control

Recon Weaponize Deliver Exploit Control Execute Maintain

Påstand

De fleste norske virksomheter vil bli totalt kompromittert dersom en sofistikert angriper setter seg dette som mål

First look + Persistence

• Nettverk

• Lokaladministrator

• Hardware

• Persistence (kanskje)

• Våre trojanere ligger i minnet

• Hvis maskinen med trojaneren blir slått av er vi ute

Discovery

LDAP+DNS=WIN• Domenekontrolleren vet «alt»

• Alle brukere har tilgang til «alle» objekter i Active Directory

• Maskinnavn

• Brukerkontoer

• Hvor er SQL-serveren?

• Hvor er brukerkonto X logget inn?

• Hvor har brukerkonto Y tilgang?

• Hvor er administratorbrukerne logget inn?

• Hva er korteste vei fra nåværende maskin til domeneadministrator?

Discovery

Defense Evasion + C&C

Bruker kjente protokoller til C&C• HTTPS med gyldige sertifikater

Bruker kjente protokoller internt• SMB

• RDP

• Få maskiner snakker ut til C&C

Lett å unngå å trigge overvåkning• Unngå portscanning

• Minimer spredning etter initiell infeksjon

• Bruk LDAP-spørringer til å velge mål

• SQL, Domain Admin etc.

Privilege Escalation

Lokaladministrator • Bypass UAC

• Infisert bruker er lokaladministrator angriper har alle tilganger på systemet

Brute force• Vinter2017

• Firmanavn1

• Passord == Brukernavn

• Brukes kun hvis vi MÅ

Sårbarheter• Svært sjelden

Credential Access

• Mimikatz - passord i minnet (< Windows 10)

• Passordhåndteringsverktøy

• Clipboard hijacking

• Keylogging

• Passord i minnet (KeePass)

• Passord lagret i nettleser

• Passord lagret på filshares/desktops

• Passord i AD description-felt

Credential Access

Credential Access

Lateral Movement

Manglende tilgangsstyring• En «vanlig» brukerkonto har tilgang til alle klientmaskiner

• En «vanlig» brukerkonto har tilgang til servermaskiner

Manglende segmentering• Flat nettverksstruktur

• Segmentering != subnetting

Målet er domain admin• Kan ta over hele nettverket, ting utenfor domenet blir før

eller siden logget inn på av en bruker, dette kan overvåkes.

Admin

Gjest

DMZ

Server

Klient

«Alt»

Gjest

2-3 Servere

Forventet

Faktisk

Lateral Movement

Execution/Collection/Exfiltration

Hvis domeneadministrator• Game over – «alt» kan hentes ut

• Angrepskode via Group Policy

Hvis ikke• Gå etter enkeltbrukere med rettigheter

Vi gjør vanligvis ikke dette, men går kun etter forhåndsbestemte mål

Så… hva gjør du?

Beskytt

Segmenter

Overvåk

Beskytt klientmaskiner

Patch, patch, patch?• 0-days, shcmerodays.

• Utdaterte systemer (XP/2000 == <3)

Begrense rettigheter• Lokaladministrator

• Powershell/CMD

Hvitelisting• Hvitelisting av applikasjoner

• Hvitelisting av trafikk

Deaktivering av makroer

Beskytt brukerkontoer

To-faktor auth• OWA

• VPN

• Etc

Tilby passordhåndteringsverktøy• Lastpass

• 1Password

Beskytt administratorkontoer

Domeneadministratorer• Hvem har disse rettighetene?

• Hva brukes de til?

• Hvor ofte brukes de?

• Hvilke maskiner logger de inn på?

Servicekontoer

Gruppemedlemskap

Gamle, glemte kontoer

Segmentering

Husk: Segmentering != subnetting

Begrense trafikk mellom nett• Klientmaskiner trenger ikke RDP-tilgang

til AD-servere

Isoler kritiske systemer

Blokker internettilgang • Domenekontrollere

• Servere

• Administrasjonssystemer

• Etc.

Overvåkning

Logg alt• Windows Events

• Firewall

• IDS

• Powershell

Alarmer• Vaktordning

• SIEM

Rutiner

Definer ansvarsområder• Hva gjøres når alarmen går

• Hvem skrur av servere/tjenester ved angrep

• Hvem skrur av produksjonsmiljø ved angrep

• Hvem kan kalle inn bistand

Oppsummering

Anta at nettverket alt er kompromittert.

• Fjern rettigheter fra brukere

• Begrens bruken av administratorbrukere

• 2FA på eksponerte tjenester

• Segmenter nettverket

• Overvåk alt!

/> contact

Eivind Utnes

eivind.utnes@watchcom.no

@0xPrime

Christian August Holm Hansen

christian.hansen@watchcom.no