Ivan Bütler, Compass Security Compass Security AG www.csnc.de www.hacking-lab.com
Ivan Bütler, Compass Security Ivan Bütler Penetration Testing Forensic Analysis APT Detection National Cyber Security Strategy National Cyber Security Challenge www.csnc.de Seite 2
www.csnc.de Seite 3
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 4
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 5
Direkte Angriffe Hacker Attacken auf Web Anwendungen (Internet Facing) BLOCKED PASSED BLOCKED www.csnc.de Seite 6
Indirekte Angriffe Diese umgehen die Perimeter Security PASSED www.csnc.de Seite 7
Der USB Stick als Waffe www.csnc.de Seite 8
Stuxnet basierte auf USB Stick www.csnc.de Seite 9
Der Stick enthält ein Trojanisches Pferd www.csnc.de Seite 10
Wie macht es Compass in Pentests? Covert Channels Lieferung als USB Stick Angreifer kontrolliert den PC des Opfers Start mit oder ohne Auto-Start Firmennetzwerk Internet www.csnc.de Seite 11
Data Exfiltration & Covert Channel Einfache Exfiltrierung (Home Systeme) Corporate LAN Internet www.csnc.de Seite 12
Data Exfiltration & Covert Channel Exfiltrierung aus Firmen heraus (Proxies) LAN Proxy Corporate LAN Internet DMZ Proxy www.csnc.de Seite 13
Word Virus Mail www.csnc.de Seite 14
Hardware Bot Clients www.csnc.de Seite 15
Hardware Bot Clients GPRS/UMTS Covert Channel www.csnc.de Seite 16
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 17
www.csnc.de Seite 18
Advanced Persistent Threat Infection Persistence Exfiltration Privilege Elevation Exfiltration II Increase Network Access www.csnc.de Seite 19
Advanced Persistent Threat 2007 2011 2009 Today Erstinfektion (no local admin) C&C www.csnc.de Seite 20
Die Macht der Statistik 48 Tage Advisory is published Patch 54 days Exploit 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000 www.csnc.de Seite 21
Die Macht der 48 Tage Statistisch gesehen sind alle Firmen regelmässig während 48 Tagen verwundbar und diesen Zustand nützen die APT Angreifer aus! Compass Security AG www.csnc.de www.hacking-lab.com
Advanced Persistent Threat Command & Control Communication Client C&C DNS Server Server POLL POLL POLL Command File Commands Execute commands www.csnc.de Seite 23
Advanced Persistent Threat 2007 2011 2009 Today Erstinfektion (no local admin) Mit Zero-Day Exploit auf Local Admin C&C www.csnc.de Seite 24
Advanced Persistent Threat Agent Agent Zombie Host Zombie Host C&C Server Agent Zombie Host Zombie Host www.csnc.de Seite 25
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 26
Advanced Persistent Threat Reaktion auf APT? C&C Traffic Redirection Agent Agent Zombie Host Redirect Update Service Zombie Host C&C Server Agent Zombie Host Problems!!! Updates are Encrypted/ Signed Reverse Engineering required Anti-APT Zombie or C&C Host Zombie Host www.csnc.de Seite 27
Schutzkonzepte Beten und nichts machen. Wird schon nichts passieren Versicherung abschliessen. Versicherung verlangt jedoch Nachweis, dass man Best Practice umgesetzt hat. www.csnc.de Seite 28
Schutzkonzepte Trennung vom Internet der kritischen Systeme. Will man nicht wirklich, weil es aktuell so cool und geekig ist. Monitoring mit IDS/IPS Next Generation www.csnc.de Seite 29
APT Detection mit Splunk FireEye basiert auch auf Splunk Compass Security AG www.csnc.de www.hacking-lab.com
www.csnc.de Seite 31
www.csnc.de Seite 32
www.csnc.de Seite 33
Splunk Installation in Hacking-Lab APT Intelligence Engine www.csnc.de Seite 34
Splunk Installation in Hacking-Lab Lookup Database www.csnc.de Seite 35
Splunk Screenshot www.csnc.de Seite 36
Internet Lookups mit getwatchlist Malware Domains (DNS Source) Malware Domains http://malwaredomains.com/ getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true outputlookup malwaredomains.csv Mandiant Sources http://www.joshd.ca/sites/default/files/mandiant-apt1-indicators-list.txt sourcetype=dns_query OR sourcetype=proxy [ inputlookup mandiant-apt1- indicators.csv MANDIANT-APT1-DOMAIN fields + $MANDIANT-APT1- DOMAIN ] ZeuS Tracker, Dshield, Spamhaus ZeuS tracker IP list http://www.abuse.ch/zeustracker/ DShield recommended block list http://dshield.org/ Spamhaus DROP list http://www.spamhaus.org/drop/ www.csnc.de Seite 37
Malwaredomains getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true proxyhost=192.168.200.204 proxyport=3128 outputlookup malwaredomains.csv www.csnc.de Seite 38
Mandiant Source www.csnc.de Seite 39
ZeuS Tracker getwatchlist http://www.abuse.ch/zeustracker/blocklist.php? download=ipblocklist proxyhost=192.168.200.204 proxyport=3128 outputlookup zeus.csv www.csnc.de Seite 40
Malware Samples Malware Sample Acquisition Cycle Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser, DNS/ssdeep hashes extraction -> Splunk Source www.csnc.de Seite 41
Open Indicators of Compromise (OpenIOC) Improvement trough modified samples ssdeep (http://ssdeep.sourceforge.net/) hashes for fuzzy detection of modified malware samples May be used for automatic generation of OpenIOC indicators (http://www.openioc.org/) www.csnc.de Seite 42
OpenIOC XML File Format www.csnc.de Seite 43
IP Reputation (Honeypot DB) www.csnc.de Seite 44
Voraussetzungen für diese Analysen sind gute Logfiles Compass Security AG www.csnc.de www.hacking-lab.com
Forensic Readiness Correlation across tier (Simplified illustration) www.csnc.de Seite 46
Splunk Installation in Hacking-Lab Attachments Sandbox Infrastructure Lookup Database www.csnc.de Seite 47
Live Analysis Cuckoo Sandboxing Analysis www.csnc.de Seite 48
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 49
Bedrohungs Pyramide Most dangerous threats Probability of damage for high-value targets relativly high. Most frequent threats Just a Few Advanced Persistent Threat Professional actors, Cyber criminals Huge security market Traditional available Hacking threats, Development of tools Invest ion ressources Automate User of Hacking tools www.csnc.de Seite 50
www.csnc.de Seite 51
www.csnc.de Seite 52
www.csnc.de Seite 53
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 54
Wie müssen Penetration Tester Testing von APT ohne Schadware Unabhängig von Metasploit und allfälliger Viren Erkennung Unterstützung vieler verschieder Covert Channels www.csnc.de Seite 55
Compass APT Testing Framework www.csnc.de Seite 56
Compass APT Testing Framework Step Up Funktion Non-Admin zu Admin Erhöhung C&C Server Mit oder ohne Verschlüsselung Malware Client Anti Reverse Engineering Anti VM (Vmware, VirtualBox) Code Obfuscation Covert Channel HTTP Tunnel ICA Tunnel (Citrix) DNS Tunnel www.csnc.de Seite 57
Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 58
Zusammenfassung Wir befinden uns aktuell in einem Cyber Wettrüsten Wir können uns nicht 100% schützen APT Detection Framework bieten den nächsten Schutzlevel an Funktionieren diese auch wie geplant? Compass Security bleibt für Sie am Ball (Angewandte Forschung) Wir unterstützen Sie bei professionellen Security Tests Wir entwickeln unsere Tests laufend weiter Wir freuen uns nun auf das kühle Bier! www.csnc.de Seite 59