Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

penetest VS. APT

11,973 views

Published on

Методическое сравнение APT-атак и тестов на проникновение.

Published in: Technology
  • Be the first to comment

penetest VS. APT

  1. 1. Дмитрий Евтеев, HeadLight Security penetest VS. APT
  2. 2. APT (advanced persistent threat) - «постоянно расширяемая угроза» - совокупность тулов, технологий в контексте реализации таргетированных атак с непосредственным участием человека (специалиста) pentest (penetration testing) - один из методов проведения аудита информационной безопасности. pentest vs. APT
  3. 3. APT в широком представлении @Snowden
  4. 4. » FireEye: https://github.com/fireeye/iocs » «Шалтай-Болтай» https://meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt-drugih-igr » Карбанак, КиберБеркут, Анонимусы, Лулсеки… https://apt.securelist.com APT группы
  5. 5. » Сбор информации об объекте тестирования с использованием публичных источников » Инвентаризация уязвимостей внешнего периметра » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре » Повышение привилегий и сбор информации Ликбез про внешний пентест
  6. 6. » Поиск имеющейся информации об интересующем объекте (аля select PRISM… select KarmaPolice…) » Инвентаризация уязвимостей внешнего периметра по заранее собранным данным (select scans.io||shodan||..) » Анонимизация трафика (aka tor) » Поиск и эксплуатация уязвимостей в системах, расположенных на внешнем периметре, в т.ч. 0day (eq heartbleed) » (Повышение привилегий и )сбор информации » ЗАКРЕПЛЕНИЕ Работа команды APT
  7. 7. » Подготовка и согласование состава проверок, основанных на социальной инженерии » Проведение согласованных проверок в отношении сотрудников с целью получения доступа к их рабочим станциям и/или получения их учетных записей в информационной системе Ликбез про внешний пентест (социалка)
  8. 8. …фишинг, фишинг, социалка…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… …социалка, социалка, фишинг... …фишинг, социалка, фишинг…… «91% APT-атак основано на фишинге.» http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ Работа команды APT (социалка)
  9. 9. » Зачем кого-то ломать, когда можно купить «точку входа»? Работа команды APT (все гораздо проще))
  10. 10. » Фишинг + связка || Захок сайта + связка |.. Работа команды APT («связка»)
  11. 11. » https://twitter.com/taviso/status/647408764505579520 » https://twitter.com/taviso/status/649642030893633536 pentest vs. APT
  12. 12. » …каждый изобретателен по своему  John McAfee: China Spies on Airline Passengers Using Covert Android App http://news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers- using-covert-android-app-492556.shtml Работа команды APT (more)
  13. 13. » XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html Работа команды APT (more and more)
  14. 14. » Развитие атаки с периметра или внутренний пентест с ноута? А может внутренний пентест с рабочей станции среднестатистического пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей » Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей » Повышение привилегий и сбор информации » Достижение поставленных целей Ликбез про внутренний пентест
  15. 15. » Развитие атаки с периметра или с рабочей станции пользователя? » Сбор информации об информационной системе » Инвентаризация уязвимостей (только тихо) » (?) Подбор идентификаторов и паролей » Поиск и эксплуатация уязвимостей в т.ч. 0day (eq MS14-068) » Повышение привилегий, ЗАКРЕПЛЕНИЕ и сбор информации » Достижение поставленных целей » Сокрытие своего присутствия Работа команды APT во внутренней сети
  16. 16. » https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/ Работа команды APT
  17. 17. » АСЕПЫ: привилегии && сохранение сетевого доступа » Приложения (eq Active Directory) » ОС (файловая система, объекты…) » Биос (eq HDD/..) » Девайсы (eq камеры, сканеры, роутеры, …) » Мобилки » Облака (!) » … APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  18. 18. » АСЕПЫ -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  19. 19. » Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году: http://habrahabr.ru/post/233331/ Работа команды APT: и такое бывает  @Snowden
  20. 20. » NetIQ и все-все-все | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  21. 21. » ТРАФИК » HTTP/S && DNS пример: https://github.com/m57/dnsteal +1 proof: https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  22. 22. » C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html Работа команды APT: С&C
  23. 23. pentest vs. APT
  24. 24. pentest vs. APT
  25. 25. https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307 http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460 pentest vs. APT
  26. 26. Перспективные каналы выхода – HTTPS && легитимные сервисы Пример: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail- for-command-control/ APT: Сокрытие своего присутствия и ЗАКРЕПЛЕНИЕ
  27. 27. » А как-же вай-фай??! http://www.vesti.ru/doc.html?id=1146583 Работа команды APT и через вай-фай
  28. 28. » Команды пентестеров не могут в полной мере использовать методики и инструменты команд APT не выходя за рамки закона. » Явление APT нужно рассматривать гораздо шире, чем обычную атаку через Интернет. » Стоит ли при всем этом проводить регулярные пентесты? » ДА! По-любому стоит  Резюме
  29. 29. ? Спасибо за внимание! Вопросы? devteev@hlsec.ru http://devteev.blogspot.com https://twitter.com/devteev

×