SlideShare a Scribd company logo

penetest VS. APT

Download as PPTX, PDF
HeadLightSecurity
HeadLightSecurity

DEFCON MOSCOW 0X0A

Education
1 of 29
Дмитрий Евтеев, HeadLight Security penetest VS. APT
APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT
APT в широком представлении @Snowden
» FireEye: https://github.com/fireeye/iocs » «Шалтай-Болтай» https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr » Карбанак, КиберБеркут, Анонимусы, Лулсеки… https://apt.securelist.com APT группы
» Сбор информации об объекте тестирования с использованием публичных источников » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест
» Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT
» Подготовка и согласование состава проверок, основанных на социальной инженерии » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)
…фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)
» Зачем кого-то ломать, когда можно купить «точку входа»? Работа команды APT (все гораздо проще))
» Фишинг + связка || Захок сайта + связка |.. Работа команды APT («связка»)
» https://twitter.com/taviso/status/647408764505579520 » https://twitter.com/taviso/status/649642030893633536 pentest vs. APT
» …каждый изобретателен по своему  John McAfee: China Spies on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)
» XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html Работа команды APT (more and more)
» Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест
» Развитие атаки с периметра или с рабочей станции пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети
» https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/ Работа команды APT
» АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» АСЕПЫ -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает  @Snowden
» NetIQ и все-все-все | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof: https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html Работа команды APT: С&C
pentest vs. APT
pentest vs. APT
https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307 http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460 pentest vs. APT
Перспективные каналы выхода – HTTPS && легитимные сервисы Пример: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail- for-command-control/ APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
» А как-же вай-фай??! http://www.vesti.ru/doc.html?id=1146583 Работа команды APT и через вай-фай
» Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит  Резюме
? Спасибо за внимание! Вопросы? devteev@hlsec.ru http://devteev.blogspot.com https://twitter.com/devteev

Recommended

Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 

Recommended

Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPCisco Russia
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagementRST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagementRussianStartupTour
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Kiberopastnost Sg
Kiberopastnost SgKiberopastnost Sg
Kiberopastnost Sganisol
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Denis Bezkorovayny
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложенийYandex
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)Julia Soldatenkova
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 

More Related Content

What's hot

Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPCisco Russia
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagementRST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagementRussianStartupTour
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Kiberopastnost Sg
Kiberopastnost SgKiberopastnost Sg
Kiberopastnost Sganisol
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Denis Bezkorovayny
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложенийYandex
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)Julia Soldatenkova
 

What's hot (20)

Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
 
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagementRST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
RST2014_Taganrog_AdaptiveInformationSecurityRiskManagement
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Kiberopastnost Sg
Kiberopastnost SgKiberopastnost Sg
Kiberopastnost Sg
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информации
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)выбор и хранение паролей(солдатенкова)
выбор и хранение паролей(солдатенкова)
 

Similar to penetest VS. APT

Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозыSergey Soldatov
 
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНРАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНAndrewaeva
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco Russia
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...Expolink
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordqqlan
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 

Similar to penetest VS. APT (20)

Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНРАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...
Fortinet. Алексей Мальцев "Стратегический подход к противодействию современны...
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 

penetest VS. APT

  • 1. Дмитрий Евтеев, HeadLight Security penetest VS. APT
  • 2. APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT
  • 3. APT в широком представлении @Snowden
  • 4. » FireEye: https://github.com/fireeye/iocs » «Шалтай-Болтай» https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr » Карбанак, КиберБеркут, Анонимусы, Лулсеки… https://apt.securelist.com APT группы
  • 5. » Сбор информации об объекте тестирования с использованием публичных источников » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест
  • 6. » Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT
  • 7. » Подготовка и согласование состава проверок, основанных на социальной инженерии » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)
  • 8. …фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)
  • 9. » Зачем кого-то ломать, когда можно купить «точку входа»? Работа команды APT (все гораздо проще))
  • 10. » Фишинг + связка || Захок сайта + связка |.. Работа команды APT («связка»)
  • 12. » …каждый изобретателен по своему  John McAfee: China Spies on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)
  • 14. » Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест
  • 15. » Развитие атаки с периметра или с рабочей станции пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети
  • 17. » АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  • 18. » АСЕПЫ -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  • 19. » Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает  @Snowden
  • 20. » NetIQ и все-все-все | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  • 21. » ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof: https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  • 22. » C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html Работа команды APT: С&C
  • 26. Перспективные каналы выхода – HTTPS && легитимные сервисы Пример: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail- for-command-control/ APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  • 27. » А как-же вай-фай??! http://www.vesti.ru/doc.html?id=1146583 Работа команды APT и через вай-фай
  • 28. » Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит  Резюме