Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

9,707 views

Published on

http://2013.infoforum.ru/master-class-evteev/

  • Follow the link, new dating source: ❶❶❶ http://bit.ly/39sFWPG ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/39sFWPG ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

  1. 1. История из жизни. Демонстрацияработы реального злоумышленникана примере атаки на крупнейшийудостоверяющий центр. Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  2. 2. О чем пойдет речь Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена ​банкротом после хакерской атаки. Подробнее: http://en.wikipedia.org/wiki/DigiNotar В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar. Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
  3. 3. Чем примечателен инцидент Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!) • TippingPoint 50 IPS • Nokia firewall appliance (Check Point Firewall-1 / VPN-1) • Балансировщик нагрузки • Инфраструктура на базе Microsoft Windows • RSA Certificate Manager (eq RSA Keon) • Symantec AntiVirus • Сегментация сети с подмножеством ДМЗ • Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия) • Реализованы процессы обеспечения непрерывности бизнеса • …
  4. 4. Архитектура информационной системы
  5. 5. Сетевая топология информационной системы
  6. 6. Но несмотря на реализованные контроли…
  7. 7. Разбираем подробно Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
  8. 8. С чего все началось Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070 = Padding Oracle Attack
  9. 9. Padding Oracle Attack Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером. Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and- the-net-padding-oracle-attack.html
  10. 10. Анализируй то Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
  11. 11. Анализируй это Июнь 2011 Август 2011 Июль 2011 Сентябрь 2010 Март 2008
  12. 12. «Реакция админов – такая реакция» (с)
  13. 13. В продолжение об уязвимостях DotNetNuke Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh arepoint_et_dotnetnuke/index.html
  14. 14. Внедрение внешних XML-сущностей:перспективный сценарий развития атаки Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. Подробнее: https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
  15. 15. Про веб-безопасность в цифрах (1/3) Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска http://www.ptsecurity.ru/download/статистика RU.pdf
  16. 16. Про веб-безопасность в цифрах (2/3) Сайты с различными типами CMS, содержащие критические уязвимости http://www.ptsecurity.ru/download/статистика RU.pdf
  17. 17. Про веб-безопасность в цифрах (3/3) Доли уязвимых сайтов из различных отраслей экономики http://www.ptsecurity.ru/download/статистика RU.pdf
  18. 18. Методы поиска уязвимостей в веб-приложениях «Черным-ящиком» • Инвентаризация известных уязвимостей • Fuzzing «Белым-ящиком» • Аудит используемых приложений и конфигураций • Ручной и автоматизированный поиск уязвимостей в коде
  19. 19. Пост-эксплуатация: выполнение команд Псевдотерминал • Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list) Интерактивный терминал • Пример: Tiny Shell (https://github.com/creaktive/tsh/) «Транспорт» • Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
  20. 20. Отступление: как это работает
  21. 21. Практическое занятие 1 Проведите атаку на веб-сервер с IP-адресом 192.168.0.10 Добейтесь возможности выполнения команд на пограничном веб-сервере
  22. 22. Сценарий атаки на DigiNotar: шаг 1
  23. 23. Пост-эксплуатация Текущие привилегии - IUSR_MachineName Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации Развитие атаки к другим хостам с имеющимися привилегиями
  24. 24. Пост-эксплуатация: повышение привилегий msf :: meterpreter :: MS09-012, MS10-015... Immunity CANVAS :: MOSDEF CORE Impact, SAINT Exploit Pack Другие источники: • public eq exploit-db.com • private …
  25. 25. Пост-эксплуатация: подбор паролей Список имеющихся идентификаторов + TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
  26. 26. Пост-эксплуатация: сбор доступной информации Такая безопасность является повсеместной (!)
  27. 27. Сценарий атаки на DigiNotar: шаг 2
  28. 28. Практическое занятие 2 Добейтесь повышения своих привилегий на пограничном веб-сервере Получите RDP-доступ к пограничному веб-серверу Подключитесь к СУБД MSSQL под пользователем Bapi01usr
  29. 29. Пост-эксплуатация Текущие привилегии – Пользователь на MSSQL 2005 Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации по базам данных
  30. 30. Пост-эксплуатация: повышение привилегий Например - MS09-004
  31. 31. Отступление: подозрительные файлы наскомпрометированном веб-сервере DigiNotar
  32. 32. Пост-эксплуатация: сбор информации о сети Из списка файлов (см. 4.3.3 Suspicious files): • nc.exe (аналог telnet) http://netcat.sourceforge.net/ • PortQry.exe (аналог nmap) http://support.microsoft.com/kb/310099/ru • putty.exe (потребовался ssh?) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
  33. 33. Пост-эксплуатация: организация «транспорта» TrojXX.exe Аналог – Revinetd (http://revinetd.sourceforge.net/)
  34. 34. Отступление: как это работает
  35. 35. Отступление: История из жизни
  36. 36. Практическое занятие 3 Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2 Получите RDP-доступ к серверу базы данных
  37. 37. Сценарий атаки на DigiNotar: шаг 3
  38. 38. Пост-эксплуатация Текущие привилегии – SYSTEM Использование привилегий для сбора доступной информации • SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage... «Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak- eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0 Развитие атаки к другим хостам с имеющимися знаниями Развитие атаки к другим хостам на более низком уровне
  39. 39. Пост-эксплуатация: использование привилегий Локальный администратор с идентичным паролем на разных серверах (!) Сценарии использования: • LM&NTLM hashes -> rainbow tables -> auto pwn • LM&NTLM hashes -> pass-the-hash -> auto pwn • plain password -> auto pwn Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
  40. 40. Пост-эксплуатация: сбор информации Из списка файлов (см. 4.3.3 Suspicious files): • cachedump.exe http://www.openwall.com/john/contrib/cachedump-1.2.zip • PwDump.exe http://www.foofus.net/~fizzgig/pwdump/ • mimi.zip http://blog.gentilkiwi.com/mimikatz
  41. 41. Отступление: cain & abel
  42. 42. Отступление: когда хватает привилегий MITM, прослушивание открытых протоколов, RDP… Понижение уровня проверки подлинности, Challenge Spoofing Authentication Capture (HTTP NTLM, …) Netbios spoofing Fake Update, ISR-evilgrade http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html http://www.infobyte.com.ar/
  43. 43. Отступление: Relay-атаки
  44. 44. Отступление: Relay-атаки нового поколения ZackAttack (https://github.com/zfasel/ZackAttack)
  45. 45. Пост-эксплуатация Злоумышленник всегда выберет наиболее простой сценарий атаки
  46. 46. И другие методы… Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
  47. 47. Практическое занятие 4 Получите права администратора домена DNPRODUCTIE Получите RDP-доступ к контроллеру домена
  48. 48. Сценарий атаки на DigiNotar: шаг 4
  49. 49. Пост-эксплуатация: использование привилегий Из списка файлов: • ldap.msi (LDAP-транспорт) • SQLServer2005_SSMSEE.msi (MSSQL-транспорт) • psexec.exe http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx • rsa_cm_68.zip (CA management) • darpi.zip (DigiNotar Abonnementen Registratie) • bapi.zip (Dutch tax administration)
  50. 50. Сценарий атаки на DigiNotar: шаг 5
  51. 51. Сценарий атаки на DigiNotar: game over
  52. 52. Как злоумышленники сумели выдать новыесертификаты?
  53. 53. Практическое занятие 5 Выпустите сертификат на доменное имя google.com 
  54. 54. Рассуждая про кибервойны и вселенские заговоры
  55. 55. Вместо заключения Основные мишени для достижения цели • «соседи» на хостинг площадках • партнерские и смежные сети регионов Основные пути проведения атаки • использование уязвимостей веб-приложений • подбор паролей Огромная проблема ИБ – повсеместная некомпетентность/халатность Многие атаки являются массовыми и носят случайных характер
  56. 56. Спасибо за внимание!devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev

×