Документ обсуждает различия между пентестами и атаками APT (Advanced Persistent Threats), акцентируя внимание на методах, технологиях и тактиках, используемых в целевых кибератаках. Обсуждаются различные стадии атаки, начиная с сбора информации и инвентаризации уязвимостей, вплоть до скрытия присутствия злоумышленников в системе. Также подчеркивается важность регулярного проведения пентестов для защиты от APT.

1. Дмитрий Евтеев, HeadLight Security
penetest VS. APT

2. APT (advanced persistent threat)
- «постоянно расширяемая угроза»
- совокупность тулов, технологий в
контексте реализации таргетированных
атак с непосредственным участием
человека (специалиста)
pentest (penetration testing)
- один из методов проведения
аудита информационной
безопасности.
pentest vs. APT

3. APT в широком представлении
@Snowden

4. » FireEye:
https://github.com/fireeye/iocs
» «Шалтай-Болтай»
https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr
» Карбанак, КиберБеркут, Анонимусы, Лулсеки…
https://apt.securelist.com
APT группы

5. » Сбор информации об объекте тестирования с
использованием публичных источников
» Инвентаризация уязвимостей внешнего периметра
» Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре
» Повышение привилегий и сбор информации
Ликбез про внешний пентест

6. » Поиск имеющейся информации об интересующем объекте
(аля select PRISM… select KarmaPolice…)
» Инвентаризация уязвимостей внешнего периметра по
заранее собранным данным (select scans.io||shodan||..)
» Анонимизация трафика (aka tor)
» Поиск и эксплуатация уязвимостей в системах,
расположенных на внешнем периметре,
в т.ч. 0day (eq heartbleed)
» (Повышение привилегий и )сбор информации
» ЗАКРЕПЛЕНИЕ
Работа команды APT

7. » Подготовка и согласование состава проверок, основанных
на социальной инженерии
» Проведение согласованных проверок в отношении
сотрудников с целью получения доступа к их рабочим
станциям и/или получения их учетных записей в
информационной системе
Ликбез про внешний пентест (социалка)

8. …фишинг, фишинг, социалка……
…социалка, социалка, фишинг...
…фишинг, социалка, фишинг……
…социалка, социалка, фишинг...
…фишинг, социалка, фишинг……
«91% APT-атак основано на фишинге.»
http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/
Работа команды APT (социалка)

9. » Зачем кого-то ломать, когда можно купить «точку входа»?
Работа команды APT (все гораздо проще))

10. » Фишинг + связка || Захок сайта + связка |..
Работа команды APT («связка»)

11. » https://twitter.com/taviso/status/647408764505579520
» https://twitter.com/taviso/status/649642030893633536
pentest vs. APT

12. » …каждый изобретателен по своему 
John McAfee: China Spies on Airline Passengers Using Covert Android App
http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-
using-covert-android-app-492556.shtml
Работа команды APT (more)

13. » XCodeGhost Malware
http://thehackernews.com/2015/09/ios-malware-cyber-attack.html
Работа команды APT (more and more)

14. » Развитие атаки с периметра или внутренний пентест с ноута?
А может внутренний пентест с рабочей станции
среднестатистического пользователя?
» Сбор информации об информационной системе
» Инвентаризация уязвимостей
» Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей
» Повышение привилегий и сбор информации
» Достижение поставленных целей
Ликбез про внутренний пентест

15. » Развитие атаки с периметра или с рабочей станции
пользователя?
» Сбор информации об информационной системе
» Инвентаризация уязвимостей (только тихо)
» (?) Подбор идентификаторов и паролей
» Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068)
» Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации
» Достижение поставленных целей
» Сокрытие своего присутствия
Работа команды APT во внутренней сети

16. » https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/
Работа команды APT

17. » АСЕПЫ: привилегии && сохранение сетевого доступа
» Приложения (eq Active Directory)
» ОС (файловая система, объекты…)
» Биос (eq HDD/..)
» Девайсы (eq камеры, сканеры, роутеры, …)
» Мобилки
» Облака (!)
» …
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

18. » АСЕПЫ -> Cisco (SYNful Knock)
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

19. » Американские хакеры нечаянно отключили интернет в
Сирии в 2012-м году: http://habrahabr.ru/post/233331/
Работа команды APT: и такое бывает 
@Snowden

20. » NetIQ и все-все-все
| http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html
http://devteev.blogspot.ru/2013/06/137.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

21. » ТРАФИК
» HTTP/S && DNS
пример: https://github.com/m57/dnsteal
+1 proof: https://github.com/nxnrt/WindowsUploadToolkit
+2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

22. » C2 = VD$ || webSHELLs
https://blog.sucuri.net/2015/09/wordpress-malware-
visitortracker-campaign-update.html
Работа команды APT: С&C

23. pentest vs. APT

24. pentest vs. APT

25. https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307
http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460
pentest vs. APT

26. Перспективные каналы выхода – HTTPS && легитимные сервисы
Пример:
http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail-
for-command-control/
APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ

27. » А как-же вай-фай??!
http://www.vesti.ru/doc.html?id=1146583
Работа команды APT и через вай-фай

28. » Команды пентестеров не могут в полной мере использовать
методики и инструменты команд APT не выходя за рамки закона.
» Явление APT нужно рассматривать гораздо шире, чем обычную
атаку через Интернет.
» Стоит ли при всем этом проводить регулярные пентесты?
» ДА! По-любому стоит 
Резюме

29. ?
Спасибо за внимание!
Вопросы?
devteev@hlsec.ru
http://devteev.blogspot.com
https://twitter.com/devteev