2. APT (advanced persistent threat)
- «постоянно расширяемая угроза»
- совокупность тулов, технологий в
контексте реализации таргетированных
атак с непосредственным участием
человека (специалиста)
pentest (penetration testing)
- один из методов проведения
аудита информационной
безопасности.
pentest vs. APT
5. » Сбор информации об объекте тестирования с
использованием публичных источников
» Инвентаризация уязвимостей внешнего периметра
» Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре
» Повышение привилегий и сбор информации
Ликбез про внешний пентест
6. » Поиск имеющейся информации об интересующем объекте
(аля select PRISM… select KarmaPolice…)
» Инвентаризация уязвимостей внешнего периметра по
заранее собранным данным (select scans.io||shodan||..)
» Анонимизация трафика (aka tor)
» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре,
в т.ч. 0day (eq heartbleed)
» (Повышение привилегий и )сбор информации
» ЗАКРЕПЛЕНИЕ
Работа команды APT
7. » Подготовка и согласование состава проверок, основанных
на социальной инженерии
» Проведение согласованных проверок в отношении
сотрудников с целью получения доступа к их рабочим
станциям и/или получения их учетных записей в
информационной системе
Ликбез про внешний пентест (социалка)
8. …фишинг, фишинг, социалка……
…социалка, социалка, фишинг...
…фишинг, социалка, фишинг……
…социалка, социалка, фишинг...
…фишинг, социалка, фишинг……
«91% APT-атак основано на фишинге.»
http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/
Работа команды APT (социалка)
9. » Зачем кого-то ломать, когда можно купить «точку входа»?
Работа команды APT (все гораздо проще))
10. » Фишинг + связка || Захок сайта + связка |..
Работа команды APT («связка»)
12. » …каждый изобретателен по своему
John McAfee: China Spies on Airline Passengers Using Covert Android App
http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-
using-covert-android-app-492556.shtml
Работа команды APT (more)
14. » Развитие атаки с периметра или внутренний пентест с ноута?
А может внутренний пентест с рабочей станции
среднестатистического пользователя?
» Сбор информации об информационной системе
» Инвентаризация уязвимостей
» Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей
» Повышение привилегий и сбор информации
» Достижение поставленных целей
Ликбез про внутренний пентест
15. » Развитие атаки с периметра или с рабочей станции
пользователя?
» Сбор информации об информационной системе
» Инвентаризация уязвимостей (только тихо)
» (?) Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068)
» Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации
» Достижение поставленных целей
» Сокрытие своего присутствия
Работа команды APT во внутренней сети
18. » АСЕПЫ -> Cisco (SYNful Knock)
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
19. » Американские хакеры нечаянно отключили интернет в
Сирии в 2012-м году: http://habrahabr.ru/post/233331/
Работа команды APT: и такое бывает
@Snowden
20. » NetIQ и все-все-все
| http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html
http://devteev.blogspot.ru/2013/06/137.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
21. » ТРАФИК
» HTTP/S && DNS
пример: https://github.com/m57/dnsteal
+1 proof: https://github.com/nxnrt/WindowsUploadToolkit
+2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
22. » C2 = VD$ || webSHELLs
https://blog.sucuri.net/2015/09/wordpress-malware-
visitortracker-campaign-update.html
Работа команды APT: С&C
26. Перспективные каналы выхода – HTTPS && легитимные сервисы
Пример:
http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-
for-command-control/
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
27. » А как-же вай-фай??!
http://www.vesti.ru/doc.html?id=1146583
Работа команды APT и через вай-фай
28. » Команды пентестеров не могут в полной мере использовать
методики и инструменты команд APT не выходя за рамки закона.
» Явление APT нужно рассматривать гораздо шире, чем обычную
атаку через Интернет.
» Стоит ли при всем этом проводить регулярные пентесты?
» ДА! По-любому стоит
Резюме