Advanced Persistent Threat

Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

Ethical Hacker / Penetration Tester Gründer & CEO Compass Security AG, Switzerland Lecturer @ University of Applied Science Rapperswil Lecturer @ University of Applied Science Lucerne Lecturer @ University of St.Gallen Speaker @ BlackHat Las Vegas 2008 SmartCard (In) Security Speaker @ IT Underground Warsaw 2009 Advanced Web Hacking Speaker @ Swiss IT Leadership Forum Nice 2009 Cyber Underground Founder Swiss Cyber Storm Sec Conference 12-15. May 2011 Board member of Information Security Society Switzerland (ISSS) Slide 2

How to Own the World Slide 3

Verseuchung I - Direkte Attacken Web Server Hacking VPN Zugänge Internet Angriffe Denial of Service Distributed Denial of Service, Spam BLOCKED PASSED BLOCKED Slide 4

Verseuchung II - Indirekte Attacken Malware Mobile Devices W-LAN Drive-by Infection Client Attack PASSED Slide 5

Versuchung II - Indirekte Attacken Covert Channel & Inside-Out Trojaner Lieferung auf USB Stick Angreifer überwacht das Opfer Start via Auto-Start Company Network Internet Slide 6

Covert Channels I - Direkt Simple Inside-Out Attack Corporate LAN Internet Direct Channels ACK tunnel TCP tunnel (pop, telnet, ssh) UDP tunnel (syslog, snmp) ICMP tunnel IPSEC, PPTP Slide 7

Covert Channels II - Proxified Advanced Inside-Out Attack LAN Proxy Corporate LAN Internet Proxified Channels Socks SSL tunnel HTTP/S tunnel (payload of http = tunnel) HTTP/S proxy CONNECT method tunnel DNS tunnel FTP tunnel Mail tunnel DMZ Proxy Slide 8

Advanced Persistent Threat Agent Agent Zombie Host Zombie Host C&C Server Agent Zombie Host Zombie Host Slide 9

Advanced Persistent Threat Command & Control Communication Client POLL DNS Server POLL POLL Commands Command File Commands 1. POLL 2. GET FILE TO CLIENT 3. PUT FILE TO SERVER 4. EXECUTE @ CLIENT 5. EXIT CLIENT Execute commands Slide 10

Zeitlicher Verlauf beim Patching Source: Symantec Internet Security Threat Report, H1, 2005 Vulnerability published Patch 54 days Exploit 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000 Slide 11

APT Design Pattern Erstinfektion Installation eines User Trojaner (Zombie Host oder Agent) Der Virus braucht keine Admin Rechte Der Virus versucht den C&C zu erreichen Bezug von Updates vom C&C ist das wichtigste! Wenn C&C nicht erreichbar Zerstörung/Vernichtung der Spuren Privilege Escalation Ausnützen einer 0-Day Sicherheitslücke Ausweitung der Privilegen (Local System) Keyboard Sniffer Encrypted Storage Evidence Protection Bezug von Update vom C&C ist wichtig Versand von Daten ist das wichtigste! Wenn C&C nicht erreichbar Sleep für 90 Tage Slide 12

Advanced Persistent Threat Agent Agent Zombie Host Redirect Update Service Zombie Host C&C Server Agent Zombie Host Problems!!! Updates are Encrypted / Signed Reverse Engineering required Anti-APT Zombie or C&C Host Zombie Host Slide 13

US Report Nov. 2008 China has an active cyber espionage program. Since China s current cyber operations capability is so advanced, it can engage in forms of cyber warfare so sophisticated that the United States may be unable to counteract or even detect the efforts. By some estimates, there are 250 hacker groups in China that are tolerated and may even be encouraged by the government to enter and disrupt computer networks Slide 14

Schlussfolgerungen Wir sind hochgradig verwundbar gegen Hacker Angriffe Wir bewegen uns im Blindflug und verlassen uns zu stark auf Firewall und Anti Virus Produkte Der Cyber Underground Markt entwickelt sich ständig Ich, Ivan Bütler gehe davon aus, dass wir in einer Phase der Verseuchung sind, damit wird der Roll-Out von schlagkräftigen APT Netzwerken gemeint. Wir befinden uns im Cyber Wettrüsten. Es wird nie mehr so einfach sein, sein APT Netz zu verteilen wie heute! Slide 15

Was tun für die Zukunft? Stellen Sie den Grundschutz vor Script Kiddies sicher. Identifizieren Sie die kritischen Faktoren für das Überleben des Unternehmen und sichern Sie diese speziell ab, selbst gegen interne Mitarbeiter (weil deren Computer von Hackern missbraucht werden könnten) Simulieren Sie Hacking Angriffe Penetration Tests Investieren Sie in Security Monitoring um Angriffe überhaupt erst detektieren zu können Korrelation der Ereignisse Vorbereitung Analyste Tools & Methoden für APT Bilden Sie ihre Mitarbeiter aus Swiss Cyber Storm 3 Konferenz vom 12-15. Mai 2011 Slide 16

Swiss Cyber Storm 3 Mai 2011 4 Day Security Conference www.swisscyberstorm.com Slide 17

www.swisscyberstorm.com Hacking-Lab Briefings: DO/FR 12./13. Mai 2011 Hacking-Lab Wargames & CTF: SA/SO 14./15. Mai 2011 Slide 18

Vielen Dank für Ihre Aufmerksamkeit Wir finden die Löcher Compass Security AG Penetration Tests Ethical Hacking Remote Security Lab Ivan Bütler www.csnc.ch Slide 19