Eivind Askeland – Revenue Manager, Hoff Hotels, Hvordan pakke byen med gjester?
Catch Me If You Can - HackCon - Eivind.pdf · 2017. 3. 1. · Catch Me If You Can Eivind Utnes |...
Transcript of Catch Me If You Can - HackCon - Eivind.pdf · 2017. 3. 1. · Catch Me If You Can Eivind Utnes |...
Catch Me If You CanEivind Utnes | Christian A. H. Hansen
HackCon#12
/> whoami
Eivind Utnes
Senior Sikkerhetsrådgiver
@0xPrime
Christian August Holm Hansen
Sikkerhetsrådgiver
Disclaimer
Dette foredraget tar for seg ekte hendelser, men eksemplene er fiktive, laget for å representere svakheter og nødvendige tiltak.
Navn, domener og IP adresser har blitt endret for å beskytte de skyldige, og enhver likhet med eksisterende systemer er helt tilfeldig.
Dette er vanlige feil, og dersom du kjenner deg igjen i noen av disse eksemplene er du ikke alene.
Men du burde kanskje fikse det. ;-)
Scope
Dette foredraget… • tar «Assume Breach» som et utgangspunkt
• tar for seg en ekstern (remote) angriper
• tar for et typisk norsk bedriftsnettverk (les: Windows)
• tar for seg vanlige feil som blir gjort i bedrifters nettverk
• tar for seg tiltak som avverget eller forsinket angrep
• tar ikke for seg hvordan tilgangen er oppnådd
MITRE ATT&CK
Adversarial Tactics, Techniques & Common Knowledge
Løst basert på Lockheed Martins Cyber Kill Chain
Vår metodikk er selvlaget, men fungerer parallelt med Mitres ATT&CK metodikk.
Recon Weaponize Deliver Exploit Control Execute Maintain
MITRE ATT&CK
Recon• Linkedin, Nettside, Facebook, Shodan, etc.
Weaponize• Makroer
Deliver• Phishing
Exploit• AV bypass
Recon Weaponize Deliver Exploit Control Execute Maintain
Phishing-statistikk 2016
Generisk
Ikke klikket Klikket på lenke/vedlegg
Spear-phishing
Ikke klikket Klikket på lenke/vedlegg
MITRE ATT&CK
Control ExecuteMaintain
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Execution
Collection
Exfiltration
Command and Control
Recon Weaponize Deliver Exploit Control Execute Maintain
Påstand
De fleste norske virksomheter vil bli totalt kompromittert dersom en sofistikert angriper setter seg dette som mål
First look + Persistence
• Nettverk
• Lokaladministrator
• Hardware
• Persistence (kanskje)
• Våre trojanere ligger i minnet
• Hvis maskinen med trojaneren blir slått av er vi ute
Discovery
LDAP+DNS=WIN• Domenekontrolleren vet «alt»
• Alle brukere har tilgang til «alle» objekter i Active Directory
• Maskinnavn
• Brukerkontoer
• Hvor er SQL-serveren?
• Hvor er brukerkonto X logget inn?
• Hvor har brukerkonto Y tilgang?
• Hvor er administratorbrukerne logget inn?
• Hva er korteste vei fra nåværende maskin til domeneadministrator?
Discovery
Defense Evasion + C&C
Bruker kjente protokoller til C&C• HTTPS med gyldige sertifikater
Bruker kjente protokoller internt• SMB
• RDP
• Få maskiner snakker ut til C&C
Lett å unngå å trigge overvåkning• Unngå portscanning
• Minimer spredning etter initiell infeksjon
• Bruk LDAP-spørringer til å velge mål
• SQL, Domain Admin etc.
Privilege Escalation
Lokaladministrator • Bypass UAC
• Infisert bruker er lokaladministrator angriper har alle tilganger på systemet
Brute force• Vinter2017
• Firmanavn1
• Passord == Brukernavn
• Brukes kun hvis vi MÅ
Sårbarheter• Svært sjelden
Credential Access
• Mimikatz - passord i minnet (< Windows 10)
• Passordhåndteringsverktøy
• Clipboard hijacking
• Keylogging
• Passord i minnet (KeePass)
• Passord lagret i nettleser
• Passord lagret på filshares/desktops
• Passord i AD description-felt
Credential Access
Credential Access
Lateral Movement
Manglende tilgangsstyring• En «vanlig» brukerkonto har tilgang til alle klientmaskiner
• En «vanlig» brukerkonto har tilgang til servermaskiner
Manglende segmentering• Flat nettverksstruktur
• Segmentering != subnetting
Målet er domain admin• Kan ta over hele nettverket, ting utenfor domenet blir før
eller siden logget inn på av en bruker, dette kan overvåkes.
Admin
Gjest
DMZ
Server
Klient
«Alt»
Gjest
2-3 Servere
Forventet
Faktisk
Lateral Movement
Execution/Collection/Exfiltration
Hvis domeneadministrator• Game over – «alt» kan hentes ut
• Angrepskode via Group Policy
Hvis ikke• Gå etter enkeltbrukere med rettigheter
Vi gjør vanligvis ikke dette, men går kun etter forhåndsbestemte mål
Så… hva gjør du?
Beskytt
Segmenter
Overvåk
Beskytt klientmaskiner
Patch, patch, patch?• 0-days, shcmerodays.
• Utdaterte systemer (XP/2000 == <3)
Begrense rettigheter• Lokaladministrator
• Powershell/CMD
Hvitelisting• Hvitelisting av applikasjoner
• Hvitelisting av trafikk
Deaktivering av makroer
Beskytt brukerkontoer
To-faktor auth• OWA
• VPN
• Etc
Tilby passordhåndteringsverktøy• Lastpass
• 1Password
Beskytt administratorkontoer
Domeneadministratorer• Hvem har disse rettighetene?
• Hva brukes de til?
• Hvor ofte brukes de?
• Hvilke maskiner logger de inn på?
Servicekontoer
Gruppemedlemskap
Gamle, glemte kontoer
Segmentering
Husk: Segmentering != subnetting
Begrense trafikk mellom nett• Klientmaskiner trenger ikke RDP-tilgang
til AD-servere
Isoler kritiske systemer
Blokker internettilgang • Domenekontrollere
• Servere
• Administrasjonssystemer
• Etc.
Overvåkning
Logg alt• Windows Events
• Firewall
• IDS
• Powershell
Alarmer• Vaktordning
• SIEM
Rutiner
Definer ansvarsområder• Hva gjøres når alarmen går
• Hvem skrur av servere/tjenester ved angrep
• Hvem skrur av produksjonsmiljø ved angrep
• Hvem kan kalle inn bistand
Oppsummering
Anta at nettverket alt er kompromittert.
• Fjern rettigheter fra brukere
• Begrens bruken av administratorbrukere
• 2FA på eksponerte tjenester
• Segmenter nettverket
• Overvåk alt!