Successfully reported this slideshow.
Your SlideShare is downloading. ×

Exfiltration av data (information)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 10 Ad

More Related Content

Advertisement

Exfiltration av data (information)

  1. 1. Exfiltration av data Jonas Lejon Kryptera.se Internetdagarna 2014
  2. 2. Definition
  3. 3. Tidslinje OSINT Intrång/leverans C&C Kartläggning Exfiltration Upprensning X år
  4. 4. Skadlig kod • Axplock av skadlig kod: – Careto • Krypterade filer med .GIF – Flame • AutoCAD via SSH (puttys bibliotek) – FrameworkPOS • DNS – Duqu ”The mask” • Krypterade filer med JPG-filändelse
  5. 5. Flyga under radarn • Steganografi • Nyttja kända domäner/tjänster – Twitter, Dropbox • Installerade programvaror • Inga spår på hårddisk • Under lång tid • Flera destinationer • Kryptering • Modulärt
  6. 6. Flyga under radarn • Situation awareness – Airgap • Unikt för målsystemet – Sökväg till progamvara som invärde till nyckelderiveringsfunktion såsom scrypt – MAC • Tor Hidden Services – Meek transport (domain fronting) –
  7. 7. Detektion • Ändpunkter • Stora mängder ut/flöden – Argus • Minnesforensik • Loggning – Immunity El Jefe • IOC • Honeytokens • Spela in nätverkstrafik (FIFO)
  8. 8. Exempel Poison Ivy Metasploit
  9. 9. Poison Ivy C&C • Snort
  10. 10. Twitter: @kryptera https://kryptera.se https://triop.se

Editor's Notes

  • Ej insider, kan vara dock. Stadsunderstödda attacker med någon form av kod inblandad. Kvalificerade angrepp eller APT med mycket resurser i form av tid, kompetens, finansiering. Automatiserat
  • OSINT= Open Source Intelligence. Insamling av information via öppna källor. Såsom whois, E-post, anställda och deras fritidsintressen och förehavanden på sociala medier
    Intrång/leverans= Utskick av .doc, USB-minne via E-post eller bakdörrad hårdvara. Ändra hårdvara in-transit hos FedEx/UPS etc
    C&C= Command and control, dvs kontrollkanal. Inte alltid nödvändig. Vet vi innan vad vi vill exfiltrera så kan vi hålla en lägre nivå
    Kartläggning= Var finns det vi är ute efter? Måste fler system komprometteras
    Exfiltration= Skicka ut dokument, källkod, privata nycklar eller annat som antagonisten är ute efter. Ändra/lägga till information
    Upprensning= Rensa spåren. Skriv aldrig till disk och nyttja helst redan befintliga komponenter i systemen
  • Careto – Mot Spansktalande länder
    Flame - Mellanöstern

×