Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Exfiltration av data 
Jonas Lejon 
Kryptera.se 
Internetdagarna 2014
Definition
Tidslinje 
OSINT Intrång/leverans C&C Kartläggning Exfiltration Upprensning 
X år
Skadlig kod 
• Axplock av skadlig kod: 
– Careto 
• Krypterade filer med .GIF 
– Flame 
• AutoCAD via SSH (puttys bibliote...
Flyga under radarn 
• Steganografi 
• Nyttja kända domäner/tjänster 
– Twitter, Dropbox 
• Installerade programvaror 
• In...
Flyga under radarn 
• Situation awareness 
– Airgap 
• Unikt för målsystemet 
– Sökväg till progamvara som invärde till 
n...
Detektion 
• Ändpunkter 
• Stora mängder ut/flöden 
– Argus 
• Minnesforensik 
• Loggning 
– Immunity El Jefe 
• IOC 
• Ho...
Exempel 
Poison Ivy Metasploit
Poison Ivy C&C 
• Snort
Twitter: @kryptera 
https://kryptera.se 
https://triop.se
Upcoming SlideShare
Loading in …5
×

Exfiltration av data (information)

4,370 views

Published on

Hur genomför skadlig kod exfiltration av information/data? Samt hur kan företag och organisationer detektera när data har exfiltrerats.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Exfiltration av data (information)

  1. 1. Exfiltration av data Jonas Lejon Kryptera.se Internetdagarna 2014
  2. 2. Definition
  3. 3. Tidslinje OSINT Intrång/leverans C&C Kartläggning Exfiltration Upprensning X år
  4. 4. Skadlig kod • Axplock av skadlig kod: – Careto • Krypterade filer med .GIF – Flame • AutoCAD via SSH (puttys bibliotek) – FrameworkPOS • DNS – Duqu ”The mask” • Krypterade filer med JPG-filändelse
  5. 5. Flyga under radarn • Steganografi • Nyttja kända domäner/tjänster – Twitter, Dropbox • Installerade programvaror • Inga spår på hårddisk • Under lång tid • Flera destinationer • Kryptering • Modulärt
  6. 6. Flyga under radarn • Situation awareness – Airgap • Unikt för målsystemet – Sökväg till progamvara som invärde till nyckelderiveringsfunktion såsom scrypt – MAC • Tor Hidden Services – Meek transport (domain fronting) –
  7. 7. Detektion • Ändpunkter • Stora mängder ut/flöden – Argus • Minnesforensik • Loggning – Immunity El Jefe • IOC • Honeytokens • Spela in nätverkstrafik (FIFO)
  8. 8. Exempel Poison Ivy Metasploit
  9. 9. Poison Ivy C&C • Snort
  10. 10. Twitter: @kryptera https://kryptera.se https://triop.se

×