Upload
jonas-lejon
View
312
Download
0
Embed Size (px)
Citation preview
Nya metoder för att upptÀcka och förhindra exfiltration
Jonas LejonTriop AB
SUSEC 2016
LĂ€nk:https://vimeo.com/25118844
Om Jonas Lejon
⹠FRA, Försvarsmakten⹠Eget företag sedan 2013⹠Styrelseledamot IIS, ISOC-SE⹠Advisory board Holm Security
Definition
Tidslinje
OSINTHUMINTSIGINT
IntrÄng/leverans C&C KartlÀggning Exfiltration Upprensning
X Ă„r
Skadlig kod
âą Axplock av skadlig kod:â Caretoâą Krypterade filer med .GIF
â Flameâą AutoCAD via SSH (puttys bibliotek)
â FrameworkPOSâą DNS
â Duqu âThe maskâ, Duqu 2.0âą Krypterade filer med JPG-filĂ€ndelse
Skadlig kod
âą Projekt Sauron / Remsec
Flyga under radarn
âą Steganografiâą Nyttja kĂ€nda domĂ€ner/tjĂ€nsterâ Twitter, Dropbox
⹠Installerade programvaror⹠Inga spÄr pÄ hÄrddisk⹠Under lÄng tid⹠Flera destinationer⹠Kryptering⹠ModulÀrt
Flyga under radarn
âą Situation awarenessâ Airgap
âą Unikt för mĂ„lsystemetâ Environmental Keyed Payloads
âą Domain frontingâą Powershell, WMI och MSIâą False-flag
Detektion 1
âą In/utgĂ„ngarâą Stora mĂ€ngder ut/flödenâ Argus
âą Minnesforensikâą Loggningâ Immunity El Jefeâ Sysmon
Detektion 2
âą IOCâą MISP
âą Honeytokensâą Opentokens
⹠Spela in nÀtverkstrafik: PCAP (FIFO)⹠Google stenographer
âą Facebook Osquery
Detektion 3
⹠Baseline⹠Regelbunden övning⹠Aktiv skanning⹠Nessus (med inloggning), OpenVAS⹠Holm Security
Poison Ivy C&C
âą Snort
Exempel
Poison Ivy Metasploit