SlideShare a Scribd company logo

"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”

Nixu Corporation
Nixu Corporation

"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi” Esitetty Terveysteknologia 2014 tapahtumassa 19.11.2013 (c) Nixu Oy, Jussi Perälampi.

Technology
1 of 25
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
Kuka & mistä §  Jussi Perälampi –  –  –  –  –  Windows-ympäristöjä ja niiden tietoturvaa vuodesta 1999 GIAC Certified Incident Hander (GCIH) GIAC Reverse engineering Malware (GREM) CISSP Senior Security Consultant DFIR-tiimi (keskittynyt tietoturvapoikkeamien hallintaan) –  Twitter: @jussiperalampi §  Työnantaja Nixu Oy Espoossa, 25-vuotias tietoturvakonsultointitalo §  Pohjoismaiden suurin tietoturvan asiantuntijayritys, yli 100 asiantuntijaa §  Tietotekniikan liiton alaisen Tietoturva ry:n yhteisöjäsen, jossa roolissa tapahtumassa
Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
Hyökkääjät sekä hyökkäyksen vaiheet §  Jaetaan hyökkääjät karkeasti kahteen ryhmään: –  Opportinistiset hyökkääjät –  Järjestelmälliset kohdistetut hyökkääjät (APT) §  Hyökkäyksessä on 7 askelta* –  –  –  –  –  –  –  Tiedustelu (Reconnaissance) Aseistuminen (Weaponization) Toimittaminen (Delivery) Hyväksikäyttö (Exploitation) Asennus (Installation) Komento & kontrolli (Command & Control) Toimet kohteessa (Actions on Objectives) Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains Lockheed Martin
Hyökkäysaskeleista §  Tiedustelu (Reconnaissance) –  Sähköposti osoitteiden kerääminen, SOME, hakukoneet, porttiskannaukset §  Aseistautuminen (Weaponization) –  Kehitetään hyökkäyskoodi eli exploitti, haitakkeet, toimitus järjestelmä, syötit §  Toimittaminen (Delivery) –  Uskottavasti muotoiltu sähköposti, infektoitu web-sivu, USB §  Hyväksikäyttö (Exploitation) –  Aktivointi, koodin ajaminen, sillanpään luominen, 3. osapuolen hakkerointi
Hyökkäysaskeleista §  Asennus (Installation) –  Troijalainen tai takaovi, hyökkääjän oikeuksien korottaminen, rootkit, persistenssi §  Komento & kontrolli (Command & Control) –  C&C kanava, pivotointi, sisäinen tiedustelu, persistenssin vahvistaminen §  Toimet kohteessa (Actions on Objectives) –  Persistenssin syventäminen, läsnäolon laajentaminen, uusien kohteiden tunnistaminen –  Datan ulos siirtäminen §  Tiedon kerääminen, salaaminen ja ulos lähettäminen
Yleisimmät hyökkäystavat §  Sähköposti §  Selaimet §  USB-laitteet
Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
Alkutilanne §  KALI Linux (Paha hakkeri) §  Windows 7 (Työasema johon domain admin on kirjautunut aikaisemmin) §  Windows Server 2008 R2 (Domain Controller)
Hyökkäyksen valmistelu
Windows 7 surffaa web-sivulle
Hyökkäyksen eteneminen
Eikä siinä vielä kaikki
Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
Kun hyökkääjä pääsee sisään §  Hyökkääjä yrittää nostattaa oikeutensa Administrator tai SYSTEM tasolle (Yleensä) –  Kohdistetussa hyökkäyksessä saattaa käyttäjän oikeudet olla ne mitä haluttiinkin §  Local privilege escalation / muut tavat §  Luodaan persistenssi à kyetään hallitsemaan konetta vaikka se esimerkiksi uudelleen käynnistetään
Etenemiseen tarvitaan apuja §  Kun hyökkääjä on päässyt yhteen koneeseen… –  Hyökkääjä voi dumpata käyttäjätunnuksen JA salasanan selkokielisenä muistista –  Hash:en varastaminen ja hyväksikäyttö ”Pass the Hash” hyökkäyksessä –  Impersonoituminen ja delekointi –  Dumpata muistista esim. bitlocker tai truecrypt avaimet –  Houkutella admin kirjautumaan koneeseen –  Jos ympäristössä on CA, yrittää hakea sertifikaattia –  Aloittaa tiedustelun kuten: §  Active Directory -hakemiston läpikäynti (tavallisella käyttäjälläkin on lukuoikeudet AD:hen) §  Läpikäydä verkkojen levyjakoja
Vahvan tunnistuksen ohittaminen §  Toimikortti, kertakäyttösalasana SMS:nä, laitepohjainen ratkaisu §  Esimerkiksi, toimikortti suojaa interaktiivista kirjautumista §  Ei hakata päätä toimikortin vahvuuksiin vaan hyväksikäytetään alla olevaa toiminnallisuutta §  Pass The Hash §  Impersonointi ja Delekointi §  Kerberos salauksen manipulointi à verkkoliikenteessä
Persistenssi §  Kun on päästy sisään, siellä halutaan myös pysyä §  Windows Service §  Autorun paikat §  DLL loading order highjack §  Puuttuvien DLL:en, latauksen hyväksikäyttö §  Ajastetut tehtävät §  Internet Explorer -selaimeen kuuluva ns. Browser Helper Object (BHO) §  Rootkitit §  DATA §  Tietokoneen komponenttien oma firmware §  BIOS
Pivotointi §  Pivotointi eli hyökkäyksen levittäminen sisäverkossa §  Hyvin usein kaikissa koneissa on sama pääkäyttäjän salasana §  Koneiden omat hallintatyökalut §  Levyjaot §  Normaalit haavoittuvuudet §  Aikaisemmin saadut käyttäjäoikeudet
Varastetun tiedon siirtäminen §  Yleisin tapa TCP Portti 80 –  Ei kuitenkaan välttämättä HTTP §  FTP ja muut koneelle jätetyt antiikkiset tiedonsiirtoprotokollat §  Dropbox tai pilvipalvelut yleensä
Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
Windows tietoturva 101 ja verkot §  Päivitä kaikki ja tarkista toisella tuotteella §  Vain User-tason oikeudet käyttäjille §  Kaikille koneille uniikki paikallinen admin salasana, kaikille §  Whitelisting työkalut §  Ympäristön tekninen kovennus §  Verkon segmentointi –  Host to Host, Host to server, server to server ja admin verkko §  Lokien kerääminen ja analysointi §  Netflow §  Advanced threat Detection and Prevention
Tietoturvapoikkeamien hallinta vs. forensiikka §  Tietoturvapoikkeamien hallinta – tulipalon sammutus –  Tilanteen haltuunotto –  Vahinkojen minimointi –  Tilanteen normalisointi §  Tietomurtojen tutkinta / forensiikka - palosyyntutkinta –  –  –  –  Mitä tapahtui? Mihin tietoon päästy käsiksi? Milloin tapahtui? Kenen toimesta? §  Poikkeamienhallinnan aikainen forensiikka –  Nopeita tarkastuksia kuten muistivedosten läpikäynti §  Oikein tehtynä poikkeamien hallinta voidaan tehdä niin, että myöhemmin voidaan suorittaa forensiikkatutkimus
Toiminta tietoturvapoikkeama epäilyssä - yleistä §  Talteenotto tulee tehdä aloittaen helpoiten häviävistä todistusaineistoista: 1.  Muistivedos 2.  (Verkkoliikenteen talteenotto) 3.  Levykuva §  Jos mahdollista, niin muistivedos tulisi tehdä koneen ollessa verkossa –  Antaa näkyvyyden verkon käyttöön –  Koneen verkkoyhteyden katkaisu osana poikkeamanhallintaa on järkevää –  Muistivedoksen teon ajaksi kone voidaan liittää esimerkiksi eristettyyn verkkosegmenttiin
Thank you! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com

Recommended

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 

Recommended

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More Related Content

More from Nixu Corporation

Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More from Nixu Corporation (13)

Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutokset
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”

  • 2. Kuka & mistä §  Jussi Perälampi –  –  –  –  –  Windows-ympäristöjä ja niiden tietoturvaa vuodesta 1999 GIAC Certified Incident Hander (GCIH) GIAC Reverse engineering Malware (GREM) CISSP Senior Security Consultant DFIR-tiimi (keskittynyt tietoturvapoikkeamien hallintaan) –  Twitter: @jussiperalampi §  Työnantaja Nixu Oy Espoossa, 25-vuotias tietoturvakonsultointitalo §  Pohjoismaiden suurin tietoturvan asiantuntijayritys, yli 100 asiantuntijaa §  Tietotekniikan liiton alaisen Tietoturva ry:n yhteisöjäsen, jossa roolissa tapahtumassa
  • 3. Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
  • 4. Hyökkääjät sekä hyökkäyksen vaiheet §  Jaetaan hyökkääjät karkeasti kahteen ryhmään: –  Opportinistiset hyökkääjät –  Järjestelmälliset kohdistetut hyökkääjät (APT) §  Hyökkäyksessä on 7 askelta* –  –  –  –  –  –  –  Tiedustelu (Reconnaissance) Aseistuminen (Weaponization) Toimittaminen (Delivery) Hyväksikäyttö (Exploitation) Asennus (Installation) Komento & kontrolli (Command & Control) Toimet kohteessa (Actions on Objectives) Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains Lockheed Martin
  • 5. Hyökkäysaskeleista §  Tiedustelu (Reconnaissance) –  Sähköposti osoitteiden kerääminen, SOME, hakukoneet, porttiskannaukset §  Aseistautuminen (Weaponization) –  Kehitetään hyökkäyskoodi eli exploitti, haitakkeet, toimitus järjestelmä, syötit §  Toimittaminen (Delivery) –  Uskottavasti muotoiltu sähköposti, infektoitu web-sivu, USB §  Hyväksikäyttö (Exploitation) –  Aktivointi, koodin ajaminen, sillanpään luominen, 3. osapuolen hakkerointi
  • 6. Hyökkäysaskeleista §  Asennus (Installation) –  Troijalainen tai takaovi, hyökkääjän oikeuksien korottaminen, rootkit, persistenssi §  Komento & kontrolli (Command & Control) –  C&C kanava, pivotointi, sisäinen tiedustelu, persistenssin vahvistaminen §  Toimet kohteessa (Actions on Objectives) –  Persistenssin syventäminen, läsnäolon laajentaminen, uusien kohteiden tunnistaminen –  Datan ulos siirtäminen §  Tiedon kerääminen, salaaminen ja ulos lähettäminen
  • 8. Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
  • 9. Alkutilanne §  KALI Linux (Paha hakkeri) §  Windows 7 (Työasema johon domain admin on kirjautunut aikaisemmin) §  Windows Server 2008 R2 (Domain Controller)
  • 11. Windows 7 surffaa web-sivulle
  • 14. Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
  • 15. Kun hyökkääjä pääsee sisään §  Hyökkääjä yrittää nostattaa oikeutensa Administrator tai SYSTEM tasolle (Yleensä) –  Kohdistetussa hyökkäyksessä saattaa käyttäjän oikeudet olla ne mitä haluttiinkin §  Local privilege escalation / muut tavat §  Luodaan persistenssi à kyetään hallitsemaan konetta vaikka se esimerkiksi uudelleen käynnistetään
  • 16. Etenemiseen tarvitaan apuja §  Kun hyökkääjä on päässyt yhteen koneeseen… –  Hyökkääjä voi dumpata käyttäjätunnuksen JA salasanan selkokielisenä muistista –  Hash:en varastaminen ja hyväksikäyttö ”Pass the Hash” hyökkäyksessä –  Impersonoituminen ja delekointi –  Dumpata muistista esim. bitlocker tai truecrypt avaimet –  Houkutella admin kirjautumaan koneeseen –  Jos ympäristössä on CA, yrittää hakea sertifikaattia –  Aloittaa tiedustelun kuten: §  Active Directory -hakemiston läpikäynti (tavallisella käyttäjälläkin on lukuoikeudet AD:hen) §  Läpikäydä verkkojen levyjakoja
  • 17. Vahvan tunnistuksen ohittaminen §  Toimikortti, kertakäyttösalasana SMS:nä, laitepohjainen ratkaisu §  Esimerkiksi, toimikortti suojaa interaktiivista kirjautumista §  Ei hakata päätä toimikortin vahvuuksiin vaan hyväksikäytetään alla olevaa toiminnallisuutta §  Pass The Hash §  Impersonointi ja Delekointi §  Kerberos salauksen manipulointi à verkkoliikenteessä
  • 18. Persistenssi §  Kun on päästy sisään, siellä halutaan myös pysyä §  Windows Service §  Autorun paikat §  DLL loading order highjack §  Puuttuvien DLL:en, latauksen hyväksikäyttö §  Ajastetut tehtävät §  Internet Explorer -selaimeen kuuluva ns. Browser Helper Object (BHO) §  Rootkitit §  DATA §  Tietokoneen komponenttien oma firmware §  BIOS
  • 19. Pivotointi §  Pivotointi eli hyökkäyksen levittäminen sisäverkossa §  Hyvin usein kaikissa koneissa on sama pääkäyttäjän salasana §  Koneiden omat hallintatyökalut §  Levyjaot §  Normaalit haavoittuvuudet §  Aikaisemmin saadut käyttäjäoikeudet
  • 20. Varastetun tiedon siirtäminen §  Yleisin tapa TCP Portti 80 –  Ei kuitenkaan välttämättä HTTP §  FTP ja muut koneelle jätetyt antiikkiset tiedonsiirtoprotokollat §  Dropbox tai pilvipalvelut yleensä
  • 21. Agenda §  Hyökkääjät ja hyökkäyksen vaiheet §  Hyökkäysdemo §  Kun kone on saatu haltuun §  Suojautuminen ja tietoturvapoikkeamien hallinta
  • 22. Windows tietoturva 101 ja verkot §  Päivitä kaikki ja tarkista toisella tuotteella §  Vain User-tason oikeudet käyttäjille §  Kaikille koneille uniikki paikallinen admin salasana, kaikille §  Whitelisting työkalut §  Ympäristön tekninen kovennus §  Verkon segmentointi –  Host to Host, Host to server, server to server ja admin verkko §  Lokien kerääminen ja analysointi §  Netflow §  Advanced threat Detection and Prevention
  • 23. Tietoturvapoikkeamien hallinta vs. forensiikka §  Tietoturvapoikkeamien hallinta – tulipalon sammutus –  Tilanteen haltuunotto –  Vahinkojen minimointi –  Tilanteen normalisointi §  Tietomurtojen tutkinta / forensiikka - palosyyntutkinta –  –  –  –  Mitä tapahtui? Mihin tietoon päästy käsiksi? Milloin tapahtui? Kenen toimesta? §  Poikkeamienhallinnan aikainen forensiikka –  Nopeita tarkastuksia kuten muistivedosten läpikäynti §  Oikein tehtynä poikkeamien hallinta voidaan tehdä niin, että myöhemmin voidaan suorittaa forensiikkatutkimus
  • 24. Toiminta tietoturvapoikkeama epäilyssä - yleistä §  Talteenotto tulee tehdä aloittaen helpoiten häviävistä todistusaineistoista: 1.  Muistivedos 2.  (Verkkoliikenteen talteenotto) 3.  Levykuva §  Jos mahdollista, niin muistivedos tulisi tehdä koneen ollessa verkossa –  Antaa näkyvyyden verkon käyttöön –  Koneen verkkoyhteyden katkaisu osana poikkeamanhallintaa on järkevää –  Muistivedoksen teon ajaksi kone voidaan liittää esimerkiksi eristettyyn verkkosegmenttiin
  • 25. Thank you! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com