Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.

155 views

Published on

Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.

  1. 1. Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych. Leszek Miś - IT Security Architect
  2. 2. Krótko o mnie ● IT Security Architect / Trener @ Defensive-Security ● VP, Cyber Security @ Collective-Sense ● Offensive Security Certified Professional (OSCP) ● Red Hat Certified Architect/RHCSS/RHCX/Sec+ ● Skupiam się głównie na : ○ Linux & Web Application Security ○ Penetration testing / security audits ○ Threat hunting ○ Hardened IT Infrastructure (SSO/IdM) ○ Virtualization/Cloud/automation envs
  3. 3. Zagrożenia kryją się wszędzie ● Eksploitacja OS / serwisów / usług / aplikacji ● Niepoprawna konfiguracja ● Krytyczne błędy w aplikacjach webowych ● Omijanie FW/AV/IDS ● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych ● Eksfiltracja danych oraz ukrywanie dostępu ● Niepoprawna architektura sieciowa ● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka ● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów) ● Socjotechnika
  4. 4. Proaktywna analiza i ocena zagrożeń ● Elementy tzw. “Threat huntingu”: ○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?” ■ Aktywna analiza logów i zdarzeń systemowych ■ Behawioralna analiza zachowań użytkowników ■ Wykrywanie podatności / identyfikacja ścieżek ataków ■ Okresowa analiza pamięci RAM ■ Wielopoziomowa analiza ruchu sieciowego
  5. 5. Proaktywna analiza i ocena zagrożeń ● Wielopoziomowa analiza ruchu sieciowego: ■ Packet_Headers → Full_Packet_Capture ■ Netflows ■ Passive_DNS / Passive_TLS ■ Passive_HTTP → HTTPS ■ Sygnatury / Security feeds / listy reputacyjne ■ SNMP ■ Periodyczne skanowanie portów ■ Whois_records / GEO
  6. 6. Źródła sygnałów dla Machine/Deep Learning Collectors Logs Netflows Deep Packet Inspection Delays DNS Records Active Compliance Scans Ingestion Real-time behavior model Anomaly Detection using DL High performance columnar storage Query engine UI Message Queue Real-time processing Storage and analytics
  7. 7. Eksfiltracja danych ● Element procesu posteksploitacyjnego: ○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych ○ “Pivoting” / “Forwarding” / “Routing” ○ Rootkitowanie / backdoorowanie systemów i usług ● Popularne metody i protokoły w użyciu: ○ DNS ○ ICMP ○ TCP / UDP ○ HTTP / HTTPS ○ SSH / SCP / SFTP ○ Gmail / Slack / Twitter ○ ...
  8. 8. Eksfiltracja danych - DNS ● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania: ○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ○ .onion // .exit ○ Rekordy whois ● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX? ● Narzędzia: ○ NSTX ○ Dns2tcp ○ Dnscat2 ○ Iodine ○ OzymanDNS ○ Dnsteal ○ Polecenie nslookup/dig w pętli for :)
  9. 9. Eksfiltracja danych - ICMP ● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’ ● ICMP echo requests: ○ Wyzwalacz startu: ^BOF ○ Wyzwalacz zakończenia: ^EOF ● Narzędzia: ○ ICMPtunnel ○ Icmpv6 ○ ICMP_exif / nping
  10. 10. Eksfiltracja danych - TCP / UDP ● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie: ○ 54321/udp ? ○ 12345/tcp ? ● Podstawowe wykrywanie TOR: ○ Aktualizowane listy IP exit-nodów ○ Port 900X/tcp ● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp
  11. 11. Eksfiltracja danych - HTTP ● Podstawowy protokół wykorzystywany w połączeniach C2 ● Forward SSL Proxy dla HTTPS → logi ● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS): ○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect ● Narzędzia: ○ Httptunnel ○ Tunna ○ XSShell / XSStunnel ○ Netcat relay
  12. 12. Eksfiltracja danych - pozostałe ● Bazujące na: ○ Powershell ○ Netsh ○ NAT ○ Meterpreter / metasploit → route / forward ○ SSH: ■ Local port forwarding ■ Remote port forwarding ■ Dynamic -> Socks / proxychains
  13. 13. Eksfiltracja danych - pozostałe ● Przykłady: ○ RDP poprzez SSH ○ HTTP poprzez SMB ○ HTTPS poprzez 64123/tcp ○ SMB poprzez SSH
  14. 14. Eksfiltracja danych - serwisy w cloudzie ● Gmail ● Slack ● Twitter ● Dropbox ● Pastebin ● Github ● Youtube ● ...
  15. 15. Niekompletne podsumowanie - co jeszcze istotne? ● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning ● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ ● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców internetowych, adresacji dostawców usług mobilnych ● Alexa Top 1 Milion najpopularniejszych domen → whitelist? ● Aktualizacja systemów i urządzeń → ale to oczywiste :> ● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji ● Fizyczna segmentacja infrastruktury ● Monitorowanie domen pod kątem: ○ Typosquatting ○ Bitsquatting ○ PunyCode
  16. 16. Co dalej z tymi danymi? ● Na sprzedaż: ○ Police Forum → 700k rekordów użytkowników ● Dla okupu: ○ Ransomware ● Dla wywiadu: ○ Upublicznianie exploitów ● Google dork: ○ ‘pastebin database dump’
  17. 17. Pytania? lm@collective-sense.com lm@defensive-security.com @cronym
  18. 18. Kod rabatowy 20%: ESD2017 Open Source Defensive Security Training 22-24.08 - Kraków 22-24.11 - Warszawa
  19. 19. ● Doskonała widoczność bazująca na wielu kolektorach ● Behawioralna analiza ruchu sieciowego ● Hybrydowe wykrywanie anomalii bazujące na ML/DL ● Moduł aktywnej ochrony typu 0-day ● Modularny, responsywny interfejs webowy ● www.collective-sense.com

×