Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
2. Fifty shades of greylist
● Logy firewallu všech
routerů jsou
vyhodnocovány na
centrálním serveru
● Sledování zdrojových
adres, cílových portů a
množství požadavků
● Týdenní generování
veřejného greylistu:
https://www.turris.cz/greylist-data/
3. We've been naughty
● Zatím je málo pokrytá komunikace iniciovaná na
straně sítě za Turrisem, typicky komunikace
infikovaných strojů s C&C servery
● Jsou využívány volně dostupné blacklisty
● Botnet trackery (např. Zeus), Malc0de, atd.
● Nové zdroje vyhodnocujeme a zvažujeme jejich
zařazení
4. Laters, baby!
● Vlastní detekce infikovaných strojů na základě
analýzy podezřelého odchozího provozu
● Vyhledávání anomálií v provozu odcházejícího
z Turrisů – obohacení dat o ASN a geolokaci
● Verifikace podezřelého provozu a odstranění
false positives - PassiveDNS, VirusTotal
- Detekce anomálií zaměřená zejména na výskyt různých portů v provozu
- Anomálie jsou v první fázi detekovány na každém routeru zvlášť a následně na jsou data porovnávána centrálně napříč všemi routery
- Týdenní agregace všech dat a vygenerování greylistu včetně tagů, geolokace a asn
- Všechny záznamy v greylistu jsou tagovány, taxonomie je popsána v souboru legend.txt také na odkazu výše
- Většina malwaru dnes iniciuje komunikaci ze strany klienta na portech 80 a 443
- Častým způsobem infekce je komunikace http/s, nezřídka i na „důvěryhodných“ webech
- social engineering na sociálních sítích
- skrze reklamní služby
- Současně zařazené blacklisty zvládají detekovat a blokovat některou komunikaci malwaru nebo prvotní infekci
- Rádi bychom detekovali více incidentů než jenom ty, se kterými pomáhají existující blacklisty
- Pracujeme na vyhledávání anomálního klientského provozu, který může ukazovat na prvotní infekce nebo komunikaci s C&C servery
- Zatím se orientujeme v datech pomocí ELK (elasticsearch, logstash, kibana)
- anomální provoz ověřujeme vůči PassiveDNS a VirusTotal, abychom ověřili, zda se nejedná o false positive
- vše je na úplném začátku a bude se hodně měnit a upravovat