Ivan Bütler, Compass Security. Compass Security AG www.csnc.de www.hacking-lab.com

Ivan Bütler, Compass Security Compass Security AG www.csnc.de www.hacking-lab.com

Ivan Bütler, Compass Security Ivan Bütler Penetration Testing Forensic Analysis APT Detection National Cyber Security Strategy National Cyber Security Challenge www.csnc.de Seite 2

www.csnc.de Seite 3

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 4

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 5

Direkte Angriffe Hacker Attacken auf Web Anwendungen (Internet Facing) BLOCKED PASSED BLOCKED www.csnc.de Seite 6

Indirekte Angriffe Diese umgehen die Perimeter Security PASSED www.csnc.de Seite 7

Der USB Stick als Waffe www.csnc.de Seite 8

Stuxnet basierte auf USB Stick www.csnc.de Seite 9

Der Stick enthält ein Trojanisches Pferd www.csnc.de Seite 10

Wie macht es Compass in Pentests? Covert Channels Lieferung als USB Stick Angreifer kontrolliert den PC des Opfers Start mit oder ohne Auto-Start Firmennetzwerk Internet www.csnc.de Seite 11

Data Exfiltration & Covert Channel Einfache Exfiltrierung (Home Systeme) Corporate LAN Internet www.csnc.de Seite 12

Data Exfiltration & Covert Channel Exfiltrierung aus Firmen heraus (Proxies) LAN Proxy Corporate LAN Internet DMZ Proxy www.csnc.de Seite 13

Word Virus Mail www.csnc.de Seite 14

Hardware Bot Clients www.csnc.de Seite 15

Hardware Bot Clients GPRS/UMTS Covert Channel www.csnc.de Seite 16

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 17

www.csnc.de Seite 18

Advanced Persistent Threat Infection Persistence Exfiltration Privilege Elevation Exfiltration II Increase Network Access www.csnc.de Seite 19

Advanced Persistent Threat 2007 2011 2009 Today Erstinfektion (no local admin) C&C www.csnc.de Seite 20

Die Macht der Statistik 48 Tage Advisory is published Patch 54 days Exploit 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000 www.csnc.de Seite 21

Die Macht der 48 Tage Statistisch gesehen sind alle Firmen regelmässig während 48 Tagen verwundbar und diesen Zustand nützen die APT Angreifer aus! Compass Security AG www.csnc.de www.hacking-lab.com

Advanced Persistent Threat Command & Control Communication Client C&C DNS Server Server POLL POLL POLL Command File Commands Execute commands www.csnc.de Seite 23

Advanced Persistent Threat 2007 2011 2009 Today Erstinfektion (no local admin) Mit Zero-Day Exploit auf Local Admin C&C www.csnc.de Seite 24

Advanced Persistent Threat Agent Agent Zombie Host Zombie Host C&C Server Agent Zombie Host Zombie Host www.csnc.de Seite 25

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 26

Advanced Persistent Threat Reaktion auf APT? C&C Traffic Redirection Agent Agent Zombie Host Redirect Update Service Zombie Host C&C Server Agent Zombie Host Problems!!! Updates are Encrypted/ Signed Reverse Engineering required Anti-APT Zombie or C&C Host Zombie Host www.csnc.de Seite 27

Schutzkonzepte Beten und nichts machen. Wird schon nichts passieren Versicherung abschliessen. Versicherung verlangt jedoch Nachweis, dass man Best Practice umgesetzt hat. www.csnc.de Seite 28

Schutzkonzepte Trennung vom Internet der kritischen Systeme. Will man nicht wirklich, weil es aktuell so cool und geekig ist. Monitoring mit IDS/IPS Next Generation www.csnc.de Seite 29

APT Detection mit Splunk FireEye basiert auch auf Splunk Compass Security AG www.csnc.de www.hacking-lab.com

www.csnc.de Seite 31

www.csnc.de Seite 32

www.csnc.de Seite 33

Splunk Installation in Hacking-Lab APT Intelligence Engine www.csnc.de Seite 34

Splunk Installation in Hacking-Lab Lookup Database www.csnc.de Seite 35

Splunk Screenshot www.csnc.de Seite 36

Internet Lookups mit getwatchlist Malware Domains (DNS Source) Malware Domains http://malwaredomains.com/ getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true outputlookup malwaredomains.csv Mandiant Sources http://www.joshd.ca/sites/default/files/mandiant-apt1-indicators-list.txt sourcetype=dns_query OR sourcetype=proxy [ inputlookup mandiant-apt1- indicators.csv MANDIANT-APT1-DOMAIN fields + $MANDIANT-APT1- DOMAIN ] ZeuS Tracker, Dshield, Spamhaus ZeuS tracker IP list http://www.abuse.ch/zeustracker/ DShield recommended block list http://dshield.org/ Spamhaus DROP list http://www.spamhaus.org/drop/ www.csnc.de Seite 37

Malwaredomains getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true proxyhost=192.168.200.204 proxyport=3128 outputlookup malwaredomains.csv www.csnc.de Seite 38

Mandiant Source www.csnc.de Seite 39

ZeuS Tracker getwatchlist http://www.abuse.ch/zeustracker/blocklist.php? download=ipblocklist proxyhost=192.168.200.204 proxyport=3128 outputlookup zeus.csv www.csnc.de Seite 40

Malware Samples Malware Sample Acquisition Cycle Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser, DNS/ssdeep hashes extraction -> Splunk Source www.csnc.de Seite 41

Open Indicators of Compromise (OpenIOC) Improvement trough modified samples ssdeep (http://ssdeep.sourceforge.net/) hashes for fuzzy detection of modified malware samples May be used for automatic generation of OpenIOC indicators (http://www.openioc.org/) www.csnc.de Seite 42

OpenIOC XML File Format www.csnc.de Seite 43

IP Reputation (Honeypot DB) www.csnc.de Seite 44

Voraussetzungen für diese Analysen sind gute Logfiles Compass Security AG www.csnc.de www.hacking-lab.com

Forensic Readiness Correlation across tier (Simplified illustration) www.csnc.de Seite 46

Splunk Installation in Hacking-Lab Attachments Sandbox Infrastructure Lookup Database www.csnc.de Seite 47

Live Analysis Cuckoo Sandboxing Analysis www.csnc.de Seite 48

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 49

Bedrohungs Pyramide Most dangerous threats Probability of damage for high-value targets relativly high. Most frequent threats Just a Few Advanced Persistent Threat Professional actors, Cyber criminals Huge security market Traditional available Hacking threats, Development of tools Invest ion ressources Automate User of Hacking tools www.csnc.de Seite 50

www.csnc.de Seite 51

www.csnc.de Seite 52

www.csnc.de Seite 53

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 54

Wie müssen Penetration Tester Testing von APT ohne Schadware Unabhängig von Metasploit und allfälliger Viren Erkennung Unterstützung vieler verschieder Covert Channels www.csnc.de Seite 55

Compass APT Testing Framework www.csnc.de Seite 56

Compass APT Testing Framework Step Up Funktion Non-Admin zu Admin Erhöhung C&C Server Mit oder ohne Verschlüsselung Malware Client Anti Reverse Engineering Anti VM (Vmware, VirtualBox) Code Obfuscation Covert Channel HTTP Tunnel ICA Tunnel (Citrix) DNS Tunnel www.csnc.de Seite 57

Agenda Einführung Direkte versus Indirekte Attacken Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung www.csnc.de Seite 58

Zusammenfassung Wir befinden uns aktuell in einem Cyber Wettrüsten Wir können uns nicht 100% schützen APT Detection Framework bieten den nächsten Schutzlevel an Funktionieren diese auch wie geplant? Compass Security bleibt für Sie am Ball (Angewandte Forschung) Wir unterstützen Sie bei professionellen Security Tests Wir entwickeln unsere Tests laufend weiter Wir freuen uns nun auf das kühle Bier! www.csnc.de Seite 59