defcon moscow #0x0a - dmitry evteev "pentest vs. apt"

Дмитрий Евтеев, HeadLight Security

penetest VS. APT

APT (advanced persistent threat)

-«постоянно расширяемая угроза»-совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста)

pentest (penetration testing)

- один из методов проведения аудита информационной безопасности.

pentest vs. APT

APT в широком представлении@Snowden

» FireEye: https://github.com/fireeye/iocs

» «Шалтай-Болтай»https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr

» Карбанак, КиберБеркут, Анонимусы, Лулсеки…

https://apt.securelist.com

APT группы

» Сбор информации об объекте тестирования с использованием публичных источников

» Инвентаризация уязвимостей внешнего периметра» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в системах,

расположенных на внешнем периметре» Повышение привилегий и сбор информации

Ликбез про внешний пентест

» Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…)

» Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..)

» Анонимизация трафика (aka tor)» Поиск и эксплуатация уязвимостей в системах,

расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed)

» (Повышение привилегий и )сбор информации» ЗАКРЕПЛЕНИЕ

Работа команды APT

» Подготовка и согласование состава проверок, основанных на социальной инженерии

» Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе

Ликбез про внешний пентест (социалка)

…фишинг, фишинг, социалка………социалка, социалка, фишинг...…фишинг, социалка, фишинг………социалка, социалка, фишинг...…фишинг, социалка, фишинг……

«91% APT-атак основано на фишинге.»http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/

Работа команды APT (социалка)

» Зачем кого-то ломать, когда можно купить «точку входа»?

Работа команды APT (все гораздо проще))

» Фишинг + связка || Захок сайта + связка |..

Работа команды APT («связка»)

» https://twitter.com/taviso/status/647408764505579520» https://twitter.com/taviso/status/649642030893633536

pentest vs. APT

» …каждый изобретателен по своему John McAfee: China Spies on Airline Passengers Using Covert Android App http://

news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-using-covert-android-app-492556.shtml

Работа команды APT (more)

» XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html

Работа команды APT (more and more)

» Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя?

» Сбор информации об информационной системе» Инвентаризация уязвимостей» Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей» Повышение привилегий и сбор информации

» Достижение поставленных целей

Ликбез про внутренний пентест

» Развитие атаки с периметра или с рабочей станции пользователя?

» Сбор информации об информационной системе» Инвентаризация уязвимостей (только тихо)» (?) Подбор идентификаторов и паролей» Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068)» Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации

» Достижение поставленных целей» Сокрытие своего присутствия

Работа команды APT во внутренней сети

» https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/

Работа команды APT

» АСЕПЫ: привилегии && сохранение сетевого доступа» Приложения (eq Active Directory)» ОС (файловая система, объекты…)» Биос (eq HDD/..)» Девайсы (eq камеры, сканеры, роутеры, …)» Мобилки» Облака (!)» …

APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

» АСЕПЫ -> Cisco (SYNful Knock)https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html

APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

» Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/

Работа команды APT: и такое бывает @Snowden

» NetIQ и все-все-все| http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html

http://devteev.blogspot.ru/2013/06/137.html

APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

» ТРАФИК» HTTP/S && DNSпример: https://github.com/m57/dnsteal

+1 proof: https://github.com/nxnrt/WindowsUploadToolkit+2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html

APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

» C2 = VD$ || webSHELLs

https://blog.sucuri.net/2015/09/wordpress-malware-visitortracker-campaign-update.html

Работа команды APT: С&C

pentest vs. APT

pentest vs. APT

https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460

pentest vs. APT

Перспективные каналы выхода – HTTPS && легитимные сервисы

Пример:http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-for-command-control/

APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

» А как-же вай-фай??!

http://www.vesti.ru/doc.html?id=1146583

Работа команды APT и через вай-фай

» Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона.

» Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет.

» Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит

Резюме

? Спасибо за внимание!Вопросы?

devteev@hlsec.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev