Ivan Bütler, Compass Security. Compass Security AG

Transkript

1 Ivan Bütler, Compass Security Compass Security AG

2 Ivan Bütler, Compass Security Ivan Bütler Penetration Testing Forensic Analysis APT Detection National Cyber Security Strategy National Cyber Security Challenge Seite 2

3 Seite 3

4 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 4

5 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 5

6 Direkte Angriffe Hacker Attacken auf Web Anwendungen (Internet Facing) BLOCKED PASSED BLOCKED Seite 6

7 Indirekte Angriffe Diese umgehen die Perimeter Security PASSED Seite 7

8 Der USB Stick als Waffe Seite 8

9 Stuxnet basierte auf USB Stick Seite 9

10 Der Stick enthält ein Trojanisches Pferd Seite 10

11 Wie macht es Compass in Pentests? Covert Channels Lieferung als USB Stick Angreifer kontrolliert den PC des Opfers Start mit oder ohne Auto-Start Firmennetzwerk Internet Seite 11

12 Data Exfiltration & Covert Channel Einfache Exfiltrierung (Home Systeme) Corporate LAN Internet Seite 12

13 Data Exfiltration & Covert Channel Exfiltrierung aus Firmen heraus (Proxies) LAN Proxy Corporate LAN Internet DMZ Proxy Seite 13

14 Word Virus Mail Seite 14

15 Hardware Bot Clients Seite 15

16 Hardware Bot Clients GPRS/UMTS Covert Channel Seite 16

17 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 17

18 Seite 18

19 Advanced Persistent Threat Infection Persistence Exfiltration Privilege Elevation Exfiltration II Increase Network Access Seite 19

20 Advanced Persistent Threat Today Erstinfektion (no local admin) C&C Seite 20

21 Die Macht der Statistik 48 Tage Advisory is published Patch 54 days Exploit 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since Seite 21

22 Die Macht der 48 Tage Statistisch gesehen sind alle Firmen regelmässig während 48 Tagen verwundbar und diesen Zustand nützen die APT Angreifer aus! Compass Security AG

23 Advanced Persistent Threat Command & Control Communication Client C&C DNS Server Server POLL POLL POLL Command File Commands Execute commands Seite 23

24 Advanced Persistent Threat Today Erstinfektion (no local admin) Mit Zero-Day Exploit auf Local Admin C&C Seite 24

25 Advanced Persistent Threat Agent Agent Zombie Host Zombie Host C&C Server Agent Zombie Host Zombie Host Seite 25

26 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 26

27 Advanced Persistent Threat Reaktion auf APT? C&C Traffic Redirection Agent Agent Zombie Host Redirect Update Service Zombie Host C&C Server Agent Zombie Host Problems!!! Updates are Encrypted/ Signed Reverse Engineering required Anti-APT Zombie or C&C Host Zombie Host Seite 27

28 Schutzkonzepte Beten und nichts machen. Wird schon nichts passieren Versicherung abschliessen. Versicherung verlangt jedoch Nachweis, dass man Best Practice umgesetzt hat. Seite 28

29 Schutzkonzepte Trennung vom Internet der kritischen Systeme. Will man nicht wirklich, weil es aktuell so cool und geekig ist. Monitoring mit IDS/IPS Next Generation Seite 29

30 APT Detection mit Splunk FireEye basiert auch auf Splunk Compass Security AG

31 Seite 31

32 Seite 32

33 Seite 33

34 Splunk Installation in Hacking-Lab APT Intelligence Engine Seite 34

35 Splunk Installation in Hacking-Lab Lookup Database Seite 35

36 Splunk Screenshot Seite 36

37 Internet Lookups mit getwatchlist Malware Domains (DNS Source) Malware Domains getwatchlist relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true outputlookup malwaredomains.csv Mandiant Sources sourcetype=dns_query OR sourcetype=proxy [ inputlookup mandiant-apt1- indicators.csv MANDIANT-APT1-DOMAIN fields + $MANDIANT-APT1- DOMAIN ] ZeuS Tracker, Dshield, Spamhaus ZeuS tracker IP list DShield recommended block list Spamhaus DROP list Seite 37

38 Malwaredomains getwatchlist relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true proxyhost= proxyport=3128 outputlookup malwaredomains.csv Seite 38

39 Mandiant Source Seite 39

40 ZeuS Tracker getwatchlist download=ipblocklist proxyhost= proxyport=3128 outputlookup zeus.csv Seite 40

41 Malware Samples Malware Sample Acquisition Cycle Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser, DNS/ssdeep hashes extraction -> Splunk Source Seite 41

42 Open Indicators of Compromise (OpenIOC) Improvement trough modified samples ssdeep ( hashes for fuzzy detection of modified malware samples May be used for automatic generation of OpenIOC indicators ( Seite 42

43 OpenIOC XML File Format Seite 43

44 IP Reputation (Honeypot DB) Seite 44

45 Voraussetzungen für diese Analysen sind gute Logfiles Compass Security AG

46 Forensic Readiness Correlation across tier (Simplified illustration) Seite 46

47 Splunk Installation in Hacking-Lab Attachments Sandbox Infrastructure Lookup Database Seite 47

48 Live Analysis Cuckoo Sandboxing Analysis Seite 48

49 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 49

50 Bedrohungs Pyramide Most dangerous threats Probability of damage for high-value targets relativly high. Most frequent threats Just a Few Advanced Persistent Threat Professional actors, Cyber criminals Huge security market Traditional available Hacking threats, Development of tools Invest ion ressources Automate User of Hacking tools Seite 50

51 Seite 51

52 Seite 52

53 Seite 53

54 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 54

55 Wie müssen Penetration Tester Testing von APT ohne Schadware Unabhängig von Metasploit und allfälliger Viren Erkennung Unterstützung vieler verschieder Covert Channels Seite 55

56 Compass APT Testing Framework Seite 56

57 Compass APT Testing Framework Step Up Funktion Non-Admin zu Admin Erhöhung C&C Server Mit oder ohne Verschlüsselung Malware Client Anti Reverse Engineering Anti VM (Vmware, VirtualBox) Code Obfuscation Covert Channel HTTP Tunnel ICA Tunnel (Citrix) DNS Tunnel Seite 57

58 Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung Seite 58

59 Zusammenfassung Wir befinden uns aktuell in einem Cyber Wettrüsten Wir können uns nicht 100% schützen APT Detection Framework bieten den nächsten Schutzlevel an Funktionieren diese auch wie geplant? Compass Security bleibt für Sie am Ball (Angewandte Forschung) Wir unterstützen Sie bei professionellen Security Tests Wir entwickeln unsere Tests laufend weiter Wir freuen uns nun auf das kühle Bier! Seite 59