Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.

Leszek Miś - IT Security Architect

Krótko o mnie● IT Security Architect / Trener @ Defensive-Security

● VP, Cyber Security @ Collective-Sense

● Offensive Security Certified Professional (OSCP)

● Red Hat Certified Architect/RHCSS/RHCX/Sec+

● Skupiam się głównie na :

○ Linux & Web Application Security

○ Penetration testing / security audits

○ Threat hunting

○ Hardened IT Infrastructure (SSO/IdM)

○ Virtualization/Cloud/automation envs

Zagrożenia kryją się wszędzie● Eksploitacja OS / serwisów / usług / aplikacji

● Niepoprawna konfiguracja

● Krytyczne błędy w aplikacjach webowych

● Omijanie FW/AV/IDS

● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych

● Eksfiltracja danych oraz ukrywanie dostępu

● Niepoprawna architektura sieciowa

● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka

● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów)

● Socjotechnika

Proaktywna analiza i ocena zagrożeń● Elementy tzw. “Threat huntingu”:

○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?”

■ Aktywna analiza logów i zdarzeń systemowych

■ Behawioralna analiza zachowań użytkowników

■ Wykrywanie podatności / identyfikacja ścieżek ataków

■ Okresowa analiza pamięci RAM

■ Wielopoziomowa analiza ruchu sieciowego

Proaktywna analiza i ocena zagrożeń● Wielopoziomowa analiza ruchu sieciowego:

■ Packet_Headers → Full_Packet_Capture

■ Netflows

■ Passive_DNS / Passive_TLS

■ Passive_HTTP → HTTPS

■ Sygnatury / Security feeds / listy reputacyjne

■ SNMP

■ Periodyczne skanowanie portów

■ Whois_records / GEO

Źródła sygnałów dla Machine/Deep Learning

Collectors

Logs

Netflows

Deep Packet Inspection

Delays

DNS Records

Active Compliance

ScansIngestion

Real-time behavior model

Anomaly Detection using DL

High performance columnar storage

Query engine

UI

Message Queue

Real-time processing

Storage and analytics

Eksfiltracja danych● Element procesu posteksploitacyjnego:

○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych

○ “Pivoting” / “Forwarding” / “Routing”

○ Rootkitowanie / backdoorowanie systemów i usług

● Popularne metody i protokoły w użyciu:

○ DNS

○ ICMP

○ TCP / UDP

○ HTTP / HTTPS

○ SSH / SCP / SFTP

○ Gmail / Slack / Twitter

○ ...

Eksfiltracja danych - DNS● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania:

○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

○ .onion // .exit

○ Rekordy whois

● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX?

● Narzędzia:

○ NSTX

○ Dns2tcp

○ Dnscat2

○ Iodine

○ OzymanDNS

○ Dnsteal

○ Polecenie nslookup/dig w pętli for :)

Eksfiltracja danych - ICMP● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’

● ICMP echo requests:

○ Wyzwalacz startu: ^BOF

○ Wyzwalacz zakończenia: ^EOF

● Narzędzia:

○ ICMPtunnel

○ Icmpv6

○ ICMP_exif / nping

Eksfiltracja danych - TCP / UDP● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie:

○ 54321/udp ?

○ 12345/tcp ?

● Podstawowe wykrywanie TOR:

○ Aktualizowane listy IP exit-nodów

○ Port 900X/tcp

● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp

Eksfiltracja danych - HTTP● Podstawowy protokół wykorzystywany w połączeniach C2

● Forward SSL Proxy dla HTTPS → logi

● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS):

○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect

● Narzędzia:

○ Httptunnel

○ Tunna

○ XSShell / XSStunnel

○ Netcat relay

Eksfiltracja danych - pozostałe● Bazujące na:

○ Powershell

○ Netsh

○ NAT

○ Meterpreter / metasploit → route / forward

○ SSH:

■ Local port forwarding

■ Remote port forwarding

■ Dynamic -> Socks / proxychains

Eksfiltracja danych - pozostałe● Przykłady:

○ RDP poprzez SSH

○ HTTP poprzez SMB

○ HTTPS poprzez 64123/tcp

○ SMB poprzez SSH

Eksfiltracja danych - serwisy w cloudzie● Gmail

● Slack

● Twitter

● Dropbox

● Pastebin

● Github

● Youtube

● ...

Niekompletne podsumowanie - co jeszcze istotne?● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning

● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ

● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców

internetowych, adresacji dostawców usług mobilnych

● Alexa Top 1 Milion najpopularniejszych domen → whitelist?

● Aktualizacja systemów i urządzeń → ale to oczywiste :>

● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji

● Fizyczna segmentacja infrastruktury

● Monitorowanie domen pod kątem:

○ Typosquatting

○ Bitsquatting

○ PunyCode

Co dalej z tymi danymi?● Na sprzedaż:

○ Police Forum → 700k rekordów użytkowników

● Dla okupu:

○ Ransomware

● Dla wywiadu:

○ Upublicznianie exploitów

● Google dork:

○ ‘pastebin database dump’

Pytania?

lm@collective-sense.com lm@defensive-security.com

@cronym

Kod rabatowy 20%: ESD2017

Open Source Defensive Security Training

22-24.08 - Kraków22-24.11 - Warszawa

● Doskonała widoczność bazująca na wielu kolektorach● Behawioralna analiza ruchu sieciowego● Hybrydowe wykrywanie anomalii bazujące na ML/DL● Moduł aktywnej ochrony typu 0-day● Modularny, responsywny interfejs webowy

●

www.collective-sense.com