Upload
leszek-mi
View
117
Download
0
Embed Size (px)
Citation preview
Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.
Leszek Miś - IT Security Architect
Krótko o mnie● IT Security Architect / Trener @ Defensive-Security
● VP, Cyber Security @ Collective-Sense
● Offensive Security Certified Professional (OSCP)
● Red Hat Certified Architect/RHCSS/RHCX/Sec+
● Skupiam się głównie na :
○ Linux & Web Application Security
○ Penetration testing / security audits
○ Threat hunting
○ Hardened IT Infrastructure (SSO/IdM)
○ Virtualization/Cloud/automation envs
Zagrożenia kryją się wszędzie● Eksploitacja OS / serwisów / usług / aplikacji
● Niepoprawna konfiguracja
● Krytyczne błędy w aplikacjach webowych
● Omijanie FW/AV/IDS
● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych
● Eksfiltracja danych oraz ukrywanie dostępu
● Niepoprawna architektura sieciowa
● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka
● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów)
● Socjotechnika
Proaktywna analiza i ocena zagrożeń● Elementy tzw. “Threat huntingu”:
○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?”
■ Aktywna analiza logów i zdarzeń systemowych
■ Behawioralna analiza zachowań użytkowników
■ Wykrywanie podatności / identyfikacja ścieżek ataków
■ Okresowa analiza pamięci RAM
■ Wielopoziomowa analiza ruchu sieciowego
Proaktywna analiza i ocena zagrożeń● Wielopoziomowa analiza ruchu sieciowego:
■ Packet_Headers → Full_Packet_Capture
■ Netflows
■ Passive_DNS / Passive_TLS
■ Passive_HTTP → HTTPS
■ Sygnatury / Security feeds / listy reputacyjne
■ SNMP
■ Periodyczne skanowanie portów
■ Whois_records / GEO
Źródła sygnałów dla Machine/Deep Learning
Collectors
Logs
Netflows
Deep Packet Inspection
Delays
DNS Records
Active Compliance
ScansIngestion
Real-time behavior model
Anomaly Detection using DL
High performance columnar storage
Query engine
UI
Message Queue
Real-time processing
Storage and analytics
Eksfiltracja danych● Element procesu posteksploitacyjnego:
○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych
○ “Pivoting” / “Forwarding” / “Routing”
○ Rootkitowanie / backdoorowanie systemów i usług
● Popularne metody i protokoły w użyciu:
○ DNS
○ ICMP
○ TCP / UDP
○ HTTP / HTTPS
○ SSH / SCP / SFTP
○ Gmail / Slack / Twitter
○ ...
Eksfiltracja danych - DNS● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania:
○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
○ .onion // .exit
○ Rekordy whois
● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX?
● Narzędzia:
○ NSTX
○ Dns2tcp
○ Dnscat2
○ Iodine
○ OzymanDNS
○ Dnsteal
○ Polecenie nslookup/dig w pętli for :)
Eksfiltracja danych - ICMP● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’
● ICMP echo requests:
○ Wyzwalacz startu: ^BOF
○ Wyzwalacz zakończenia: ^EOF
● Narzędzia:
○ ICMPtunnel
○ Icmpv6
○ ICMP_exif / nping
Eksfiltracja danych - TCP / UDP● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie:
○ 54321/udp ?
○ 12345/tcp ?
● Podstawowe wykrywanie TOR:
○ Aktualizowane listy IP exit-nodów
○ Port 900X/tcp
● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp
Eksfiltracja danych - HTTP● Podstawowy protokół wykorzystywany w połączeniach C2
● Forward SSL Proxy dla HTTPS → logi
● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS):
○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect
● Narzędzia:
○ Httptunnel
○ Tunna
○ XSShell / XSStunnel
○ Netcat relay
Eksfiltracja danych - pozostałe● Bazujące na:
○ Powershell
○ Netsh
○ NAT
○ Meterpreter / metasploit → route / forward
○ SSH:
■ Local port forwarding
■ Remote port forwarding
■ Dynamic -> Socks / proxychains
Eksfiltracja danych - pozostałe● Przykłady:
○ RDP poprzez SSH
○ HTTP poprzez SMB
○ HTTPS poprzez 64123/tcp
○ SMB poprzez SSH
Eksfiltracja danych - serwisy w cloudzie● Gmail
● Slack
● Dropbox
● Pastebin
● Github
● Youtube
● ...
Niekompletne podsumowanie - co jeszcze istotne?● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning
● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ
● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców
internetowych, adresacji dostawców usług mobilnych
● Alexa Top 1 Milion najpopularniejszych domen → whitelist?
● Aktualizacja systemów i urządzeń → ale to oczywiste :>
● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji
● Fizyczna segmentacja infrastruktury
● Monitorowanie domen pod kątem:
○ Typosquatting
○ Bitsquatting
○ PunyCode
Co dalej z tymi danymi?● Na sprzedaż:
○ Police Forum → 700k rekordów użytkowników
● Dla okupu:
○ Ransomware
● Dla wywiadu:
○ Upublicznianie exploitów
● Google dork:
○ ‘pastebin database dump’
Kod rabatowy 20%: ESD2017
Open Source Defensive Security Training
22-24.08 - Kraków22-24.11 - Warszawa
● Doskonała widoczność bazująca na wielu kolektorach● Behawioralna analiza ruchu sieciowego● Hybrydowe wykrywanie anomalii bazujące na ML/DL● Moduł aktywnej ochrony typu 0-day● Modularny, responsywny interfejs webowy
●
www.collective-sense.com