"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi” Esitetty Terveysteknologia 2014 tapahtumassa 19.11.2013 (c) Nixu Oy, Jussi Perälampi.
2. Kuka & mistä
§ Jussi Perälampi
–
–
–
–
–
Windows-ympäristöjä ja niiden tietoturvaa vuodesta 1999
GIAC Certified Incident Hander (GCIH)
GIAC Reverse engineering Malware (GREM)
CISSP
Senior Security Consultant
DFIR-tiimi (keskittynyt tietoturvapoikkeamien hallintaan)
– Twitter: @jussiperalampi
§ Työnantaja Nixu Oy Espoossa, 25-vuotias
tietoturvakonsultointitalo
§ Pohjoismaiden suurin tietoturvan asiantuntijayritys, yli 100
asiantuntijaa
§ Tietotekniikan liiton alaisen Tietoturva ry:n yhteisöjäsen,
jossa roolissa tapahtumassa
3. Agenda
§ Hyökkääjät ja hyökkäyksen vaiheet
§ Hyökkäysdemo
§ Kun kone on saatu haltuun
§ Suojautuminen ja tietoturvapoikkeamien hallinta
4. Hyökkääjät sekä hyökkäyksen vaiheet
§ Jaetaan hyökkääjät karkeasti kahteen ryhmään:
– Opportinistiset hyökkääjät
– Järjestelmälliset kohdistetut hyökkääjät (APT)
§ Hyökkäyksessä on 7 askelta*
–
–
–
–
–
–
–
Tiedustelu (Reconnaissance)
Aseistuminen (Weaponization)
Toimittaminen (Delivery)
Hyväksikäyttö (Exploitation)
Asennus (Installation)
Komento & kontrolli (Command & Control)
Toimet kohteessa (Actions on Objectives)
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
Lockheed Martin
8. Agenda
§ Hyökkääjät ja hyökkäyksen vaiheet
§ Hyökkäysdemo
§ Kun kone on saatu haltuun
§ Suojautuminen ja tietoturvapoikkeamien hallinta
9. Alkutilanne
§ KALI Linux (Paha hakkeri)
§ Windows 7 (Työasema johon domain admin on kirjautunut
aikaisemmin)
§ Windows Server 2008 R2 (Domain Controller)
14. Agenda
§ Hyökkääjät ja hyökkäyksen vaiheet
§ Hyökkäysdemo
§ Kun kone on saatu haltuun
§ Suojautuminen ja tietoturvapoikkeamien hallinta
15. Kun hyökkääjä pääsee sisään
§ Hyökkääjä yrittää nostattaa oikeutensa Administrator tai
SYSTEM tasolle (Yleensä)
– Kohdistetussa hyökkäyksessä saattaa käyttäjän oikeudet olla
ne mitä haluttiinkin
§ Local privilege escalation / muut tavat
§ Luodaan persistenssi à kyetään hallitsemaan konetta
vaikka se esimerkiksi uudelleen käynnistetään
16. Etenemiseen tarvitaan apuja
§ Kun hyökkääjä on päässyt yhteen koneeseen…
– Hyökkääjä voi dumpata käyttäjätunnuksen JA salasanan
selkokielisenä muistista
– Hash:en varastaminen ja hyväksikäyttö ”Pass the Hash”
hyökkäyksessä
– Impersonoituminen ja delekointi
– Dumpata muistista esim. bitlocker tai truecrypt avaimet
– Houkutella admin kirjautumaan koneeseen
– Jos ympäristössä on CA, yrittää hakea sertifikaattia
– Aloittaa tiedustelun kuten:
§ Active Directory -hakemiston läpikäynti
(tavallisella käyttäjälläkin on lukuoikeudet AD:hen)
§ Läpikäydä verkkojen levyjakoja
17. Vahvan tunnistuksen ohittaminen
§ Toimikortti, kertakäyttösalasana SMS:nä, laitepohjainen
ratkaisu
§ Esimerkiksi, toimikortti suojaa interaktiivista kirjautumista
§ Ei hakata päätä toimikortin vahvuuksiin vaan
hyväksikäytetään alla olevaa toiminnallisuutta
§ Pass The Hash
§ Impersonointi ja Delekointi
§ Kerberos salauksen manipulointi à verkkoliikenteessä
18. Persistenssi
§ Kun on päästy sisään, siellä halutaan myös pysyä
§ Windows Service
§ Autorun paikat
§ DLL loading order highjack
§ Puuttuvien DLL:en, latauksen hyväksikäyttö
§ Ajastetut tehtävät
§ Internet Explorer -selaimeen kuuluva ns. Browser Helper
Object (BHO)
§ Rootkitit
§ DATA
§ Tietokoneen komponenttien oma firmware
§ BIOS
19. Pivotointi
§ Pivotointi eli hyökkäyksen levittäminen sisäverkossa
§ Hyvin usein kaikissa koneissa on sama pääkäyttäjän
salasana
§ Koneiden omat hallintatyökalut
§ Levyjaot
§ Normaalit haavoittuvuudet
§ Aikaisemmin saadut käyttäjäoikeudet
20. Varastetun tiedon siirtäminen
§ Yleisin tapa TCP Portti 80
– Ei kuitenkaan välttämättä HTTP
§ FTP ja muut koneelle jätetyt antiikkiset
tiedonsiirtoprotokollat
§ Dropbox tai pilvipalvelut yleensä
21. Agenda
§ Hyökkääjät ja hyökkäyksen vaiheet
§ Hyökkäysdemo
§ Kun kone on saatu haltuun
§ Suojautuminen ja tietoturvapoikkeamien hallinta
22. Windows tietoturva 101 ja verkot
§ Päivitä kaikki ja tarkista toisella tuotteella
§ Vain User-tason oikeudet käyttäjille
§ Kaikille koneille uniikki paikallinen admin salasana, kaikille
§ Whitelisting työkalut
§ Ympäristön tekninen kovennus
§ Verkon segmentointi
– Host to Host, Host to server, server to server ja admin verkko
§ Lokien kerääminen ja analysointi
§ Netflow
§ Advanced threat Detection and Prevention
23. Tietoturvapoikkeamien hallinta vs. forensiikka
§ Tietoturvapoikkeamien hallinta – tulipalon sammutus
– Tilanteen haltuunotto
– Vahinkojen minimointi
– Tilanteen normalisointi
§ Tietomurtojen tutkinta / forensiikka - palosyyntutkinta
–
–
–
–
Mitä tapahtui?
Mihin tietoon päästy käsiksi?
Milloin tapahtui?
Kenen toimesta?
§ Poikkeamienhallinnan aikainen forensiikka
– Nopeita tarkastuksia kuten muistivedosten läpikäynti
§ Oikein tehtynä poikkeamien hallinta voidaan tehdä niin, että
myöhemmin voidaan suorittaa forensiikkatutkimus
24. Toiminta tietoturvapoikkeama epäilyssä - yleistä
§ Talteenotto tulee tehdä aloittaen helpoiten häviävistä
todistusaineistoista:
1. Muistivedos
2. (Verkkoliikenteen talteenotto)
3. Levykuva
§ Jos mahdollista, niin muistivedos tulisi tehdä koneen ollessa
verkossa
– Antaa näkyvyyden verkon käyttöön
– Koneen verkkoyhteyden katkaisu osana poikkeamanhallintaa on
järkevää
– Muistivedoksen teon ajaksi kone voidaan liittää esimerkiksi eristettyyn
verkkosegmenttiin
25. Thank you!
Nixu Oy
www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam
P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland
Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com