Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
-
Upload
defcon-moscow -
Category
Technology
-
view
1.648 -
download
0
Transcript of Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
![Page 1: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/1.jpg)
Дмитрий Евтеев, HeadLight Security
penetest VS. APT
![Page 2: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/2.jpg)
APT (advanced persistent threat)
-«постоянно расширяемая угроза»-совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста)
pentest (penetration testing)
- один из методов проведения аудита информационной безопасности.
pentest vs. APT
![Page 3: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/3.jpg)
APT в широком представлении@Snowden
![Page 4: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/4.jpg)
» FireEye: https://github.com/fireeye/iocs
» «Шалтай-Болтай»https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr
» Карбанак, КиберБеркут, Анонимусы, Лулсеки…
https://apt.securelist.com
APT группы
![Page 5: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/5.jpg)
» Сбор информации об объекте тестирования с использованием публичных источников
» Инвентаризация уязвимостей внешнего периметра» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре» Повышение привилегий и сбор информации
Ликбез про внешний пентест
![Page 6: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/6.jpg)
» Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…)
» Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..)
» Анонимизация трафика (aka tor)» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed)
» (Повышение привилегий и )сбор информации» ЗАКРЕПЛЕНИЕ
Работа команды APT
![Page 7: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/7.jpg)
» Подготовка и согласование состава проверок, основанных на социальной инженерии
» Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе
Ликбез про внешний пентест (социалка)
![Page 8: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/8.jpg)
…фишинг, фишинг, социалка………социалка, социалка, фишинг...…фишинг, социалка, фишинг………социалка, социалка, фишинг...…фишинг, социалка, фишинг……
«91% APT-атак основано на фишинге.»http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/
Работа команды APT (социалка)
![Page 9: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/9.jpg)
» Зачем кого-то ломать, когда можно купить «точку входа»?
Работа команды APT (все гораздо проще))
![Page 10: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/10.jpg)
» Фишинг + связка || Захок сайта + связка |..
Работа команды APT («связка»)
![Page 11: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/11.jpg)
» https://twitter.com/taviso/status/647408764505579520» https://twitter.com/taviso/status/649642030893633536
pentest vs. APT
![Page 12: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/12.jpg)
» …каждый изобретателен по своему John McAfee: China Spies on Airline Passengers Using Covert Android App http://
news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-using-covert-android-app-492556.shtml
Работа команды APT (more)
![Page 13: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/13.jpg)
» XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html
Работа команды APT (more and more)
![Page 14: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/14.jpg)
» Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя?
» Сбор информации об информационной системе» Инвентаризация уязвимостей» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей» Повышение привилегий и сбор информации
» Достижение поставленных целей
Ликбез про внутренний пентест
![Page 15: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/15.jpg)
» Развитие атаки с периметра или с рабочей станции пользователя?
» Сбор информации об информационной системе» Инвентаризация уязвимостей (только тихо)» (?) Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068)» Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации
» Достижение поставленных целей» Сокрытие своего присутствия
Работа команды APT во внутренней сети
![Page 16: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/16.jpg)
» https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/
Работа команды APT
![Page 17: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/17.jpg)
» АСЕПЫ: привилегии && сохранение сетевого доступа» Приложения (eq Active Directory)» ОС (файловая система, объекты…)» Биос (eq HDD/..)» Девайсы (eq камеры, сканеры, роутеры, …)» Мобилки» Облака (!)» …
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
![Page 18: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/18.jpg)
» АСЕПЫ -> Cisco (SYNful Knock)https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
![Page 19: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/19.jpg)
» Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/
Работа команды APT: и такое бывает @Snowden
![Page 20: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/20.jpg)
» NetIQ и все-все-все| http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html
http://devteev.blogspot.ru/2013/06/137.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
![Page 21: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/21.jpg)
» ТРАФИК» HTTP/S && DNSпример: https://github.com/m57/dnsteal
+1 proof: https://github.com/nxnrt/WindowsUploadToolkit+2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
![Page 22: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/22.jpg)
» C2 = VD$ || webSHELLs
https://blog.sucuri.net/2015/09/wordpress-malware-visitortracker-campaign-update.html
Работа команды APT: С&C
![Page 23: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/23.jpg)
pentest vs. APT
![Page 24: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/24.jpg)
pentest vs. APT
![Page 25: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/25.jpg)
https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460
pentest vs. APT
![Page 26: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/26.jpg)
Перспективные каналы выхода – HTTPS && легитимные сервисы
Пример:http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-for-command-control/
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
![Page 27: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/27.jpg)
» А как-же вай-фай??!
http://www.vesti.ru/doc.html?id=1146583
Работа команды APT и через вай-фай
![Page 28: Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"](https://reader031.fdocuments.in/reader031/viewer/2022013004/58f1c6061a28abf9318b45b3/html5/thumbnails/28.jpg)
» Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона.
» Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет.
» Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит
Резюме