SlideShare a Scribd company logo

Ht t19

S
SelectedPresentations
1 of 43
Download to read offline
Session ID: Session Classification: Eric M. Hutchins Lockheed Martin CIRT HT-T19 Intermediate CYBER KILL CHAIN: APPLYING IED TRADECRAFT TO COUNTER APT
vs
► The threats I’ve faced ► Battling advanced threats at LM since 2003 ► The friends I’ve made ► DoD, law enforcement, industry, telecom, energy, finance, etc... What’s shaped me most
KEY CONCEPTS
► Passing a malicious payload (device or human) through a trusted security boundary Intrusion
► Success or failure, they will try again and again ► Persistence requires: ► Playbooks ► Infrastructure, including automation ► Organizational structure ► Supply chain Persistence Persistence is the most significant factor in cyber security today
Intelligence/Operations Cycle Intelligence Ignorance Computer Net Defense Counter IED Compromise/Exfil Boom Proactive mitigation Proactive elimination
► Washington Post series in Sept 2007 on counter IED ► Left of Boom: “the concept of disrupting the bomb chain long before detonation” Left of Boom ► Original article series: http://wapo.st/UycLiI
CYBER KILL CHAIN™
Cyber Kill Chain™ Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Defender’s goal: understand each of the aggressor’s actions ► Intruder succeeds if, and only if, they reach CKC7 ► Our full paper: ► http://bit.ly/killchain [PDF]
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Target selection ► Email address harvesting ► Press releases, contract awards, conference websites
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc Inputs Output
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Convey malware to target ► Client-based: Email, “watering hole” websites ► Server-based: IIS, Apache, JSP, ColdFusion
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Gives execution to malware via software, hardware, (or human) vulnerability
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Create a point of persistence on victim system ► Service, AutoRun, etc
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Two-way communications to controllers, typically HTTP
Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► “Hands on Keyboard” access ► What happens next depends on who’s on the keyboard
Just one breaks the chain Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7
► First and foremost, it is an analytic framework ► A tool to help you understand intrusions and express risk It isn’t perfect
THOUGHT EXERCISE
► 29 October 2010: Authorities discover explosives inside laser printer cartridges on UPS & FedEx cargo planes bound from Yemen to Chicago Al Qaeda laser printer bomb ► See article: http://en.wikipedia.org/wiki/Cargo_planes_bomb_plot
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► 29 Oct: Explosive device embedded in toner cartridge discovered on cargo plane Citation: http://bit.ly/YHHitq
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How did this bomb go undetected? What enabled it to bypass security controls?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Explosive chemical PETN is difficult to discover due to low vapor pressure ► Even upon direct examinations, dogs did not initially discover explosives Citation: http://bit.ly/YHHitq
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Where was it sent from? To? ► When? ► Who paid for it?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► 27 Oct delivery via FedEx & UPS from Sana’a Yemen ► In contrast to suicide “underwear bomber” and “shoe bomber” ► 1 Nov arrival in Chicago, USA ► Identity of 22 y.o. woman used to send package ► Addressed to names of notorious historical names Citations: http://wapo.st/bp4LYl http://nyti.ms/12Up39f
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How was it built? ► Identifying characteristics? ► Common components or unique/exclusive?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Switch: Cell phone timer with light bulb filament ► Main charge: 400 grams of military grade PETN ► Container: Toner cartridges ► Power Supply: Cell phone battery, 3 to 4 days ► Initiator: Syringe w/ lead azide ► Same component used in underwear bomber ► Suspected builder: Saudi member of Al Qaeda in Yemen Citations: http://lat.ms/UF7y9Q http://bit.ly/YHHitq
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How was it set to go off? Altitude? Timer? Remote trigger?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citation: http://lat.ms/UF7y9Q ► Timer trigger on cell phone ► Lack of SIM chip precludes remote-dial trigger
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► What was the objective?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citation: http://lat.ms/UF7y9Q ► Timer trigger suggests objective was to explode cargo plane mid-air
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Was there a dry run? How many other packages sent from Yemen to Chicago?
Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citations: http://nyti.ms/UA9uzv http://on.wsj.com/cTLSL2 ► September test packages sent from Yemen to Chicago ► Jewish congregation website visited 83 times on one day by Egyptian IP addresses
COUNTER MEASURES
On malware “weaponization” Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc
Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc All of these components may be repeats: Block here How to block a “zero day” This is the “zero day”. This is hard to block. The two-edged sword of adversary supply chain
Understanding provenance Where?What? When? Who? Why? Backdoor Decoy doc
Use every part of the buffalo Recon Weapon Delivery Exploit Install ActionsC2 Recon Weapon Delivery Exploit Install ActionsC2 Detect Detect Analyze Analyze Synthesize Detect late: work all the way backwards Detect early: work backwards and forwards Find Fix Finish Exploit Analyze
Achieve resilience Detect Deny Disrupt Degrade Deceive Web analytics Firewall ACL NIDS NIPS Vigilant User Proxy filter Inline AV Email Queuing HIDS Vendor Patch EMET, DEP HIDS AV NIDS Firewall ACL NIPS Tarpit DNS redirect Audit log Quality of Service Honeypot
How to really be proactive Tsunami Warning • Trusted info sharing • Regimented intel consumption Farmers Almanac • Campaign tracking • Trending, forecasting Actual Early Warning • Mission partners, especially law enforcement & intel community !
► Intelligence is key to defeating persistent threats ► Approach: ► Understand adversary’s techniques, processes, supply chain ► Layer resilience against every component ► Trend and forecast to anticipate the next move Conclusion
THANK YOU

Recommended

Introduction To Terrorism
Introduction To TerrorismIntroduction To Terrorism
Introduction To TerrorismFaheem Ul Hasan
 
International Terrorism As a World Political Issue
International Terrorism As a World Political IssueInternational Terrorism As a World Political Issue
International Terrorism As a World Political Issuerandima Dulanjani
 
Project
ProjectProject
ProjectPooraniabirami
 
Global terrorism
Global terrorism Global terrorism
Global terrorism namaniitian
 
Cyber Crime And Security
Cyber Crime And Security Cyber Crime And Security
Cyber Crime And Security ritik shukla
 
Chapter 1 (performance management and reward systems) 2
Chapter 1 (performance management and reward systems) 2Chapter 1 (performance management and reward systems) 2
Chapter 1 (performance management and reward systems) 2Waqas Khichi
 
The Internet of Military Things: There Will Be Cyberwar
The Internet of Military Things: There Will Be CyberwarThe Internet of Military Things: There Will Be Cyberwar
The Internet of Military Things: There Will Be CyberwarRichard Stiennon
 
Exp r35
Exp r35Exp r35
Exp r35SelectedPresentations
 

Recommended

Introduction To Terrorism
Introduction To TerrorismIntroduction To Terrorism
Introduction To TerrorismFaheem Ul Hasan
 
International Terrorism As a World Political Issue
International Terrorism As a World Political IssueInternational Terrorism As a World Political Issue
International Terrorism As a World Political Issuerandima Dulanjani
 
Project
ProjectProject
ProjectPooraniabirami
 
Global terrorism
Global terrorism Global terrorism
Global terrorism namaniitian
 
Cyber Crime And Security
Cyber Crime And Security Cyber Crime And Security
Cyber Crime And Security ritik shukla
 
Chapter 1 (performance management and reward systems) 2
Chapter 1 (performance management and reward systems) 2Chapter 1 (performance management and reward systems) 2
Chapter 1 (performance management and reward systems) 2Waqas Khichi
 
The Internet of Military Things: There Will Be Cyberwar
The Internet of Military Things: There Will Be CyberwarThe Internet of Military Things: There Will Be Cyberwar
The Internet of Military Things: There Will Be CyberwarRichard Stiennon
 
Exp r35
Exp r35Exp r35
Exp r35SelectedPresentations
 
Exp w22 exp-w22
Exp w22 exp-w22Exp w22 exp-w22
Exp w22 exp-w22SelectedPresentations
 
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docxalinainglis
 
Lesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryptionLesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryptionLexume1
 
Spo2 w22
Spo2 w22Spo2 w22
Spo2 w22SelectedPresentations
 
Security Operations in the Cloud
Security Operations in the CloudSecurity Operations in the Cloud
Security Operations in the CloudArmor
 
Computer Attack Stratagems
Computer Attack StratagemsComputer Attack Stratagems
Computer Attack StratagemsKarl Wolfgang
 
Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016Greg Foss
 
Tech w23
Tech w23Tech w23
Tech w23SelectedPresentations
 
Stu t19 a
Stu t19 aStu t19 a
Stu t19 aSelectedPresentations
 
Airport security 2013 john mc carthy
Airport security 2013 john mc carthyAirport security 2013 john mc carthy
Airport security 2013 john mc carthyRussell Publishing
 
Cyber Threats
Cyber ThreatsCyber Threats
Cyber ThreatsProf John Walker FRSA Purveyor Dark Intelligence
 
An infosec watershed moment
An infosec watershed momentAn infosec watershed moment
An infosec watershed momentRob Ferrill
 
Future-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threatsFuture-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threatsSteven SIM Kok Leong
 
technical disaster
technical disastertechnical disaster
technical disasterkaushik_sutariya_
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)INSIGHT FORENSIC
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)INSIGHT FORENSIC
 
DerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven DefenseDerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven DefenseGreg Foss
 
Port security
Port securityPort security
Port securityborepatch
 
Keynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of SecurityKeynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of SecurityPriyanka Aash
 
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docxSpanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docxrafbolet0
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 

More Related Content

Similar to Ht t19

54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docxalinainglis
 
Lesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryptionLesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryptionLexume1
 
Security Operations in the Cloud
Security Operations in the CloudSecurity Operations in the Cloud
Security Operations in the CloudArmor
 
Computer Attack Stratagems
Computer Attack StratagemsComputer Attack Stratagems
Computer Attack StratagemsKarl Wolfgang
 
Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016Greg Foss
 
Airport security 2013 john mc carthy
Airport security 2013 john mc carthyAirport security 2013 john mc carthy
Airport security 2013 john mc carthyRussell Publishing
 
An infosec watershed moment
An infosec watershed momentAn infosec watershed moment
An infosec watershed momentRob Ferrill
 
Future-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threatsFuture-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threatsSteven SIM Kok Leong
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)INSIGHT FORENSIC
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)INSIGHT FORENSIC
 
DerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven DefenseDerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven DefenseGreg Foss
 
Port security
Port securityPort security
Port securityborepatch
 
Keynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of SecurityKeynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of SecurityPriyanka Aash
 
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docxSpanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docxrafbolet0
 

Similar to Ht t19 (20)

Exp w22 exp-w22
Exp w22 exp-w22Exp w22 exp-w22
Exp w22 exp-w22
 
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
54 Chapter 1 • The Threat EnvironmentFIGURE 1-18 Cyberwar .docx
 
Lesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryptionLesson2.9 o u2l6 who cares about encryption
Lesson2.9 o u2l6 who cares about encryption
 
Spo2 w22
Spo2 w22Spo2 w22
Spo2 w22
 
Security Operations in the Cloud
Security Operations in the CloudSecurity Operations in the Cloud
Security Operations in the Cloud
 
Computer Attack Stratagems
Computer Attack StratagemsComputer Attack Stratagems
Computer Attack Stratagems
 
Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016Deception Driven Defense - Infragard 2016
Deception Driven Defense - Infragard 2016
 
Tech w23
Tech w23Tech w23
Tech w23
 
Stu t19 a
Stu t19 aStu t19 a
Stu t19 a
 
Airport security 2013 john mc carthy
Airport security 2013 john mc carthyAirport security 2013 john mc carthy
Airport security 2013 john mc carthy
 
Cyber Threats
Cyber ThreatsCyber Threats
Cyber Threats
 
An infosec watershed moment
An infosec watershed momentAn infosec watershed moment
An infosec watershed moment
 
Future-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threatsFuture-proofing maritime ports against emerging cyber-physical threats
Future-proofing maritime ports against emerging cyber-physical threats
 
technical disaster
technical disastertechnical disaster
technical disaster
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
 
DerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven DefenseDerbyCon 5 - Tactical Diversion-Driven Defense
DerbyCon 5 - Tactical Diversion-Driven Defense
 
Port security
Port securityPort security
Port security
 
Keynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of SecurityKeynote Session : The Non - Evolution of Security
Keynote Session : The Non - Evolution of Security
 
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docxSpanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
Spanish1.jpgSpanish2.jpgSpanish3.jpgSpanish4.jpg.docx
 

More from SelectedPresentations

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваSelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийSelectedPresentations
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройствSelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиSelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхSelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 

More from SelectedPresentations (20)

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 

Ht t19

  • 1. Session ID: Session Classification: Eric M. Hutchins Lockheed Martin CIRT HT-T19 Intermediate CYBER KILL CHAIN: APPLYING IED TRADECRAFT TO COUNTER APT
  • 2. vs
  • 3. ► The threats I’ve faced ► Battling advanced threats at LM since 2003 ► The friends I’ve made ► DoD, law enforcement, industry, telecom, energy, finance, etc... What’s shaped me most
  • 5. ► Passing a malicious payload (device or human) through a trusted security boundary Intrusion
  • 6. ► Success or failure, they will try again and again ► Persistence requires: ► Playbooks ► Infrastructure, including automation ► Organizational structure ► Supply chain Persistence Persistence is the most significant factor in cyber security today
  • 7. Intelligence/Operations Cycle Intelligence Ignorance Computer Net Defense Counter IED Compromise/Exfil Boom Proactive mitigation Proactive elimination
  • 8. ► Washington Post series in Sept 2007 on counter IED ► Left of Boom: “the concept of disrupting the bomb chain long before detonation” Left of Boom ► Original article series: http://wapo.st/UycLiI
  • 10. Cyber Kill Chain™ Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Defender’s goal: understand each of the aggressor’s actions ► Intruder succeeds if, and only if, they reach CKC7 ► Our full paper: ► http://bit.ly/killchain [PDF]
  • 11. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Target selection ► Email address harvesting ► Press releases, contract awards, conference websites
  • 12. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc Inputs Output
  • 13. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Convey malware to target ► Client-based: Email, “watering hole” websites ► Server-based: IIS, Apache, JSP, ColdFusion
  • 14. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Gives execution to malware via software, hardware, (or human) vulnerability
  • 15. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Create a point of persistence on victim system ► Service, AutoRun, etc
  • 16. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Two-way communications to controllers, typically HTTP
  • 17. Seven gates to success Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► “Hands on Keyboard” access ► What happens next depends on who’s on the keyboard
  • 18. Just one breaks the chain Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7
  • 19. ► First and foremost, it is an analytic framework ► A tool to help you understand intrusions and express risk It isn’t perfect
  • 21. ► 29 October 2010: Authorities discover explosives inside laser printer cartridges on UPS & FedEx cargo planes bound from Yemen to Chicago Al Qaeda laser printer bomb ► See article: http://en.wikipedia.org/wiki/Cargo_planes_bomb_plot
  • 22. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► 29 Oct: Explosive device embedded in toner cartridge discovered on cargo plane Citation: http://bit.ly/YHHitq
  • 23. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How did this bomb go undetected? What enabled it to bypass security controls?
  • 24. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Explosive chemical PETN is difficult to discover due to low vapor pressure ► Even upon direct examinations, dogs did not initially discover explosives Citation: http://bit.ly/YHHitq
  • 25. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Where was it sent from? To? ► When? ► Who paid for it?
  • 26. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► 27 Oct delivery via FedEx & UPS from Sana’a Yemen ► In contrast to suicide “underwear bomber” and “shoe bomber” ► 1 Nov arrival in Chicago, USA ► Identity of 22 y.o. woman used to send package ► Addressed to names of notorious historical names Citations: http://wapo.st/bp4LYl http://nyti.ms/12Up39f
  • 27. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How was it built? ► Identifying characteristics? ► Common components or unique/exclusive?
  • 28. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Switch: Cell phone timer with light bulb filament ► Main charge: 400 grams of military grade PETN ► Container: Toner cartridges ► Power Supply: Cell phone battery, 3 to 4 days ► Initiator: Syringe w/ lead azide ► Same component used in underwear bomber ► Suspected builder: Saudi member of Al Qaeda in Yemen Citations: http://lat.ms/UF7y9Q http://bit.ly/YHHitq
  • 29. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► How was it set to go off? Altitude? Timer? Remote trigger?
  • 30. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citation: http://lat.ms/UF7y9Q ► Timer trigger on cell phone ► Lack of SIM chip precludes remote-dial trigger
  • 31. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► What was the objective?
  • 32. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citation: http://lat.ms/UF7y9Q ► Timer trigger suggests objective was to explode cargo plane mid-air
  • 33. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 ► Was there a dry run? How many other packages sent from Yemen to Chicago?
  • 34. Printer bomb step by step Reconnaissance1 Weaponization2 Delivery3 Exploitation4 Installation5 Command & Control6 Actions on Objectives7 Citations: http://nyti.ms/UA9uzv http://on.wsj.com/cTLSL2 ► September test packages sent from Yemen to Chicago ► Jewish congregation website visited 83 times on one day by Egyptian IP addresses
  • 36. On malware “weaponization” Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc
  • 37. Weaponized PDF, XLS, Doc.. Backdoor Exploit Dropper Decoy doc All of these components may be repeats: Block here How to block a “zero day” This is the “zero day”. This is hard to block. The two-edged sword of adversary supply chain
  • 38. Understanding provenance Where?What? When? Who? Why? Backdoor Decoy doc
  • 39. Use every part of the buffalo Recon Weapon Delivery Exploit Install ActionsC2 Recon Weapon Delivery Exploit Install ActionsC2 Detect Detect Analyze Analyze Synthesize Detect late: work all the way backwards Detect early: work backwards and forwards Find Fix Finish Exploit Analyze
  • 40. Achieve resilience Detect Deny Disrupt Degrade Deceive Web analytics Firewall ACL NIDS NIPS Vigilant User Proxy filter Inline AV Email Queuing HIDS Vendor Patch EMET, DEP HIDS AV NIDS Firewall ACL NIPS Tarpit DNS redirect Audit log Quality of Service Honeypot
  • 41. How to really be proactive Tsunami Warning • Trusted info sharing • Regimented intel consumption Farmers Almanac • Campaign tracking • Trending, forecasting Actual Early Warning • Mission partners, especially law enforcement & intel community !
  • 42. ► Intelligence is key to defeating persistent threats ► Approach: ► Understand adversary’s techniques, processes, supply chain ► Layer resilience against every component ► Trend and forecast to anticipate the next move Conclusion