View
312
Download
0
Category
Preview:
Citation preview
Nya metoder för att upptäcka och förhindra exfiltration
Jonas LejonTriop AB
SUSEC 2016
Länk:https://vimeo.com/25118844
Om Jonas Lejon
• FRA, Försvarsmakten• Eget företag sedan 2013• Styrelseledamot IIS, ISOC-SE• Advisory board Holm Security
Definition
Tidslinje
OSINTHUMINTSIGINT
Intrång/leverans C&C Kartläggning Exfiltration Upprensning
X år
Skadlig kod
• Axplock av skadlig kod:– Careto• Krypterade filer med .GIF
– Flame• AutoCAD via SSH (puttys bibliotek)
– FrameworkPOS• DNS
– Duqu ”The mask”, Duqu 2.0• Krypterade filer med JPG-filändelse
Skadlig kod
• Projekt Sauron / Remsec
Flyga under radarn
• Steganografi• Nyttja kända domäner/tjänster– Twitter, Dropbox
• Installerade programvaror• Inga spår på hårddisk• Under lång tid• Flera destinationer• Kryptering• Modulärt
Flyga under radarn
• Situation awareness– Airgap
• Unikt för målsystemet– Environmental Keyed Payloads
• Domain fronting• Powershell, WMI och MSI• False-flag
Detektion 1
• In/utgångar• Stora mängder ut/flöden– Argus
• Minnesforensik• Loggning– Immunity El Jefe– Sysmon
Detektion 2
• IOC• MISP
• Honeytokens• Opentokens
• Spela in nätverkstrafik: PCAP (FIFO)• Google stenographer
• Facebook Osquery
Detektion 3
• Baseline• Regelbunden övning• Aktiv skanning• Nessus (med inloggning), OpenVAS• Holm Security
Poison Ivy C&C
• Snort
Exempel
Poison Ivy Metasploit
Twitter: @kryptera
jonas@triop.se
https://triop.sehttps://kryptera.se
Recommended