Offensive Defense Description

1. ‫تهاجمی‬ ‫دفاع‬
Offensive Defense
‫ی‬‫سایبر‬ ‫حمالت‬ ‫بر‬ ‫هوشمندانه‬ ‫ی‬‫ر‬‫و‬‫مر‬

3. •‫حمله‬ ‫انجام‬ ‫سه‬‫و‬‫پر‬ ‫ل‬‫طو‬‫در‬ ‫تالفی‬(Massive Retaliation)
• Honeynets, NSM’s, Redirect Attacks, DrDoSs
•‫از‬ ‫انتقام‬‫ی‬‫سایبر‬‫مجرمان‬(Striking back against adversaries)
• Hacking the Hacking Team in UK
• Hacking the NSA
• Hacking the DarkWebs
• HoneyTraps
Active Defense (Cont.)

4. • CrowdStriks, Cylance, Facebook, …
•‫کمپانی‬‫ا‬‫ر‬‫اخی‬‫ا‬‫ر‬‫ای‬ ‫ر‬‫کشو‬ ‫علیه‬ ‫بر‬ ‫تهاجمی‬ ‫دفاع‬ ‫ر‬‫تصو‬ ‫با‬‫ا‬‫ر‬ ‫فعال‬ ‫و‬ ‫هوشمندانه‬ ‫اقدام‬ ‫یک‬‫ن‬
‫عنوان‬ ‫تحت‬Operation Cleaver‫است‬ ‫نموده‬‫آغاز‬ ‫کننده‬ ‫قطع‬ ‫عملیات‬ ‫یا‬.
5468696e6b204576696c2c20446f2
Iran_Cyber_Power
•‫ش‬‫ر‬‫ا‬‫ز‬‫گ‬ ‫ی‬ ‫س‬‫ر‬‫بر‬
Active Defense

5. •‫اند‬‫شده‬ ‫تبدیل‬ ‫اینترنتی‬‫مجرمان‬ ‫ای‬‫ر‬‫ب‬‫ر‬‫سودآو‬ ‫کار‬ ‫و‬‫کسب‬ ‫یک‬ ‫به‬ ‫ها‬‫ر‬‫ا‬‫ز‬‫بداف‬.
• Pay-Per-Install (PPI) Clients (RogueAV, Spambod, BlackEnergy, Keylogger)
•
Malware Distribution Networks
(MDNs)

6. Kit Exploit-as-a-Service

7. APT : Nation-States
Typical Malware vs. Stuxnet/Flamer

8. •‫آسیب‬‫ی‬‫پذیر‬‫محرمانه‬1:‫مشکل‬‫امنیتی‬‫در‬‫ش‬‫ز‬‫پردا‬‫فایل‬‫های‬LNK‫که‬‫ه‬‫ز‬‫اجا‬‫ای‬‫ر‬‫اج‬DLL‫دلخواه‬.‫این‬DLL
‫امکان‬‫ای‬‫ر‬‫اج‬‫فایل‬‫مخرب‬‫داخل‬‫فلش‬‫ا‬‫ر‬‫می‬‫دهد‬.
•‫آسیب‬‫ی‬‫پذیر‬‫محرمانه‬2:‫مشکل‬‫امنیتی‬‫در‬‫جهت‬‫ایش‬‫ز‬‫اف‬‫سطح‬‫ی‬ ‫دسترس‬‫در‬Task scheduler‫ز‬‫ویندو‬
•‫آسیب‬‫ی‬‫پذیر‬‫محرمانه‬3:‫مشکل‬‫امنیتی‬‫در‬Keyboard Layout‫و‬‫امکان‬‫ایش‬‫ز‬‫اف‬‫سطح‬‫ی‬ ‫دسترس‬
•‫آسیب‬‫ی‬‫پذیر‬‫محرمانه‬4:‫یک‬‫مشکل‬‫امنیتی‬‫بر‬‫ی‬‫و‬‫ر‬print spooler‫ز‬‫ویندو‬‫که‬‫امکان‬‫سال‬‫ر‬‫ا‬‫ار‬‫ز‬‫بداف‬
Stuxnet‫ا‬‫ر‬‫بر‬‫ی‬‫و‬‫ر‬‫ر‬‫ایو‬‫ر‬‫د‬‫ت‬‫ر‬‫کا‬‫شبکه‬‫میسر‬‫می‬‫ساخت‬.
Stuxnet infras

9. ‫شبکه‬ ‫به‬‫نفوذ‬ ‫و‬ ‫نت‬ ‫استاکس‬ ‫عملکرد‬ ‫نحوه‬ ‫ی‬ ‫س‬‫ر‬‫بر‬:
•‫طریق‬ ‫از‬ ‫شبکه‬ ‫به‬ ‫انتقال‬ ‫قابلیت‬USB‫آلوده‬
•‫ی‬ ‫دسترس‬ ‫حق‬ ‫ایجاد‬Admin‫ی‬‫پذیر‬ ‫آسیب‬ ‫طریق‬ ‫از‬ ‫ها‬ ‫ایانه‬‫ر‬ ‫سایر‬ ‫به‬‫ر‬‫مذکو‬ ‫ها‬
•‫مدیریت‬ ‫های‬ ‫برنامه‬ ‫کننده‬ ‫ا‬‫ر‬‫اج‬ ‫های‬ ‫سیستم‬ ‫یافتن‬ ‫ای‬‫ر‬‫ب‬ ‫تالش‬:
• SiemensSIMATICWinCC
• pcs7scada
•‫در‬‫های‬‫ی‬‫پذیر‬ ‫آسیب‬ ‫از‬ ‫یکی‬ ‫طریق‬ ‫از‬ ‫ها‬ ‫برنامه‬ ‫این‬ ‫ل‬‫کنتر‬ ‫گرفتن‬ ‫دست‬PrintSpooler‫یا‬
•MS08-067
•‫پیش‬ ‫ر‬‫عبو‬ ‫مز‬‫ر‬ ‫مایش‬‫ز‬‫آ‬‫یمنس‬‫ز‬ ‫فرض‬‫ار‬‫ز‬‫اف‬ ‫نرم‬ ‫گرفتن‬ ‫اختیار‬ ‫در‬ ‫ای‬‫ر‬‫ب‬SCADA
• Server = .wincc--vid = winccconect--pwd= 2wsxcder
Stuxnet “How to Operates”

10. APT : Nation-States

11. •Flame‫پیچیده‬‫ترین‬‫ی‬‫ار‬‫ز‬‫بداف‬‫که‬‫تا‬‫سال‬2013‫کشف‬‫شده‬–‫ش‬‫ر‬‫ا‬‫ز‬‫گ‬‫تحلیلی‬60‫صفحه‬‫ای‬!
http://www.crysys.hu/skywiper/skywiper.pdf
•‫نام‬SkyWiper‫از‬‫نام‬~KWI‫که‬‫ای‬‫ر‬‫ب‬‫فرمت‬‫فایل‬‫هایی‬‫که‬‫به‬‫ت‬‫ر‬‫صو‬temporary‫از‬‫آن‬‫استفاده‬‫میشد‬
‫برداشته‬‫شده‬‫است‬.
•‫حجم‬‫این‬‫س‬‫و‬‫ویر‬‫در‬‫حالت‬Full-modules‫معادل‬6‫مگابایت‬‫بود‬.
•‫داده‬‫ها‬‫اگر‬‫امکان‬‫سال‬‫ر‬‫ا‬‫مستقیم‬‫نداشتند‬‫در‬SQLite‫ذخیره‬‫می‬‫شدند‬.
•‫انتقال‬‫اطالعات‬‫از‬‫طریق‬TCP/IP‫و‬USB Drives
•‫آلوده‬‫کردن‬‫کامپیوتر‬‫ها‬‫از‬‫طریق‬Windows Update‫و‬‫استفاده‬‫از‬Fake Certificates‫مشابه‬
Microsoft Cerificates
SkyWiper Details (Count.)

12. SkyWiper Details (Count.)
•‫تعداد‬‫یادی‬‫ز‬Injection-point‫در‬‫ل‬‫طو‬‫سه‬‫و‬‫پر‬startup‫وجود‬‫ند‬‫ر‬‫دا‬‫که‬‫تنها‬advnetcfg323‫بار‬‫به‬
‫سه‬‫و‬‫پر‬explorer.exe‫یق‬‫ر‬‫تز‬‫می‬‫شود‬.‫ز‬‫هنو‬‫علت‬‫اینکه‬‫ا‬‫ر‬‫چ‬‫این‬‫یق‬‫ر‬‫تز‬‫به‬‫چندین‬‫سه‬‫و‬‫پر‬‫انجام‬‫می‬‫شود‬‫کش‬‫ف‬
‫نشده‬‫است‬.‫تصویر‬‫یر‬‫ز‬‫شماتیکی‬‫از‬winlogon.exe‫هست‬.

13. Smart Defense
Current State of Malware Defense (Tech.)

14. ‫دفاعی‬ ‫های‬ ‫الیه‬

15. Heuristics (Count.)
•‫ام‬‫ز‬‫ال‬‫در‬‫تشخیص‬‫و‬‫استفاده‬‫از‬‫قابلیت‬‫اکتشافی‬‫در‬‫ی‬ ‫شناس‬‫ر‬‫فتا‬‫ر‬‫ار‬‫ز‬‫بداف‬‫ها‬‫در‬‫ر‬‫موتو‬‫آنتی‬‫س‬‫و‬‫ویر‬‫ها‬
•‫ر‬‫موتو‬‫پلی‬‫فیک‬‫ر‬‫مو‬:
•‫تشخیص‬‫بدنه‬‫کد‬‫ار‬‫ز‬‫بداف‬‫چنانچه‬‫از‬‫یتم‬‫ر‬‫الگو‬‫های‬‫ی‬‫مزنگار‬‫ر‬‫تصادفی‬‫در‬‫هر‬runtime‫استفاده‬‫می‬‫کند‬.
•‫ر‬‫موتو‬‫فیک‬‫ر‬‫متامو‬:
•‫تشخیص‬‫کدهای‬‫مبهم‬‫از‬‫کدهای‬‫ی‬‫مزنگار‬‫ر‬‫شده‬‫تکنیک‬‫های‬:junk insertion‫و‬equivalent
instruction

16. Heuristics
•‫تکنیک‬‫های‬‫کلیدی‬‫در‬‫متد‬،‫اکتشافی‬‫ی‬ ‫شناس‬‫ر‬‫فتا‬‫ر‬
Emulation, API hooking, sand-boxing, file anomalies and other analysis
techniques
•Emulation, API hooking, sand-boxing, file anomalies and other analysis
techniques
Rule A
Rule B
Rule C
IF Rule A then Rule B then Rule C then Poison Ivy

17. •‫بود؟‬ ‫خواهیم‬ ‫موفق‬ ‫چه‬ ‫تا‬
‫ار‬‫ز‬‫بداف‬ ‫تشخیص‬
33%!

18. ‫سنجی‬‫ر‬‫اعتبا‬AV‫ها‬
–AV-Test
• AV-Comparatives
• ICSA Labs
• NSS Labs
• EICAR
• Etc.

19. •‫بود؟‬ ‫خواهیم‬ ‫موفق‬ ‫چه‬ ‫تا‬
‫ها‬‫ر‬‫ا‬‫ز‬‫بداف‬ ‫با‬‫جنگ‬ ‫آینده‬
Network
File System
Physical Memory
Inspection Point

20. •‫کنید‬ ‫یافت‬‫ر‬‫د‬‫ا‬‫ر‬ ‫ها‬ ‫نمونه‬
• Private logs, Setting up Honeypots, Infected machines, Private
Security Mailing lists
• Open Malware - http://offensivecomputing.net/
• Myself and another researcher are working on an API…
• Research websites e.g. malr, zeustracker, Crysis
• DMZ’d / replicated network
• Establish a role for Security Architect
• Hire a Consulting Firm to architect a security framework for your
organization
Test defenses on your network

21. •‫شبک‬ ‫امنیتی‬ ‫پدافندهای‬‫گسیختن‬ ‫هم‬‫از‬‫در‬‫سعی‬ ‫باید‬‫شود‬ ‫می‬ ‫انجام‬‫که‬ ‫هایی‬ ‫ن‬‫مو‬‫ز‬‫آ‬ ‫و‬‫ها‬ ‫تست‬‫ه‬/‫ار‬‫ز‬‫اف‬ ‫نرم‬
‫باشد‬‫شما‬.
• External reconnaissance
• Penetration
• Internal reconnaissance
• Infiltration
•‫می‬ ‫ایجاد‬‫شما‬ ‫شبکه‬ ‫در‬ ‫محدودیت‬ ‫سطحی‬ ‫چه‬ ‫تا‬ ‫امنیتی‬‫های‬ ‫ی‬‫ژ‬‫تکنولو‬‫از‬ ‫هرکدام‬ ‫بدانید‬ ‫اینکه‬‫کنند‬
‫تصمیم‬‫امنیتی‬ ‫های‬‫سیاست‬‫اعمال‬‫ه‬‫ر‬‫با‬‫در‬ ‫میتوانید‬‫بگیرید‬ ‫ی‬‫تر‬‫صحیح‬.
• OS – ASLR, DEP, HIPS, FIREWALL, etc.
• NETWORK - FILTERING, IPS, IDS, FIREWALL, etc.
• LOGGING and CORRELATION
‫ی‬‫گیر‬ ‫نتیجه‬

22. ‫ی‬‫گیر‬ ‫نتیجه‬
If security strategy is successful:
via your layered defenses the attack is stopped
before exfiltration of data can happen.

23. ‫سواالت؟‬!
questions.py:
while len(questions) > 0:
if time <= 0:
break
print
answers[questions.pop()]