17-18 listopada, Warszawa

Transkrypt

1 17-18 listopada, Warszawa Tomasz Wilczyński EY Advanced Security Center Cyberatak. Jak w tydzień przejąć kontrolę nad organizacją?

2 Plan prezentacji 1 Cyberbezpieczeństwo dziś 2 Przebieg ataku 3 Co dalej?

3 Najważniejsze podatności i zagrożenia w 2015 Najczęstsze źródła ataków 0% 10% 20% 30% 40% 50% 60% 70% Zorganizowane grupy Criminal cyberprzestępców syndicates Pracownik Employee Haktywiści Hacktivists 54% 56% 59% Indywidualny Lone Wolf hacker haker 43% External Podwykonawca contractor pracujący working on w our firmie site State Organizacje sponsored rządowe attacker 36% 35% Dostawca Supplier Inny Other partner business biznesowy partner Klient Customer 14% 13% 12% Other (please specify) Inne 3%

4 Najważniejsze podatności i zagrożenia w 2015 Główne podatności Główne zagrożenia 18% Niefrasobliwi lub nieświadomi pracownicy 19% Phishing 15% Przestarzałe mechanizmy bezpieczeństwa 16% Złośliwe oprogramowanie 10% Nieautoryzowany dostęp 16% Ataki zero-day 10% Przetwarzanie w chmurze 15% Cyberataki nakierowane na kradzież środków finansowych 9% Wykorzystanie technologii mobilnych 15% Cyberataki wymierzone w reputację i działania organizacji

5 Organizacje nie są gotowe stawić czoła dzisiejszym atakom nie mówiąc o przyszłych 36% organizacji uważa, że jest mało prawdopodobne by była w stanie wykryć zaawansowany atak 34% organizacji ocenia swoją funkcję monitorowania bezpieczeństwa jako dojrzałą

6 Zmienia się podejście do cyberbezpieczeństwa 1 Zbieranie informacji 5 Kradzież danych APT 2 Szukanie punktów wejścia 4 Eskalacja uprawnień 3 Command & control

7

8 Mamy zabezpieczenia! Tradycyjne mechanizmy zabezpieczeń NIE uchronią organizacji przed złożonym atakiem

9 Jak dochodzi do ataku?

10 Aby uzyskać dostęp do organizacji, wystarczy przejąć kontrolę nad 1 systemem w sieci

11 Phishing połączony z cybersquattingiem

12 Kliknięcie w spreparowany link może oznaczać przejęcie kontroli nad systemem przez hakera

13 Atak drive-by download Pliki, które pojedynczo nie stanowią zagrożenia i nie są wykrywane tradycyjnymi metodami, jednakże razem tworzą APT. APT sprawdza czy docelowe środowisko jest podatne APT zapisuje część swojego kodu w pamięci przeglądarki APT umieszcza się w pamięci, jednak szkodliwy kod nadal nie jest wykonywany APT oczekuje na instrukcje (krok 5), wczytuje i wykonuje je wykorzystując przy tym wcześniej nieznaną podatność (tzw. 0-day) Sprawdzenie środowiska Zapisanie zakodowanego złośliwego kodu w pamięci cache przeglądarki Użycie techniki heap spray w celu załadowania kodu do pamięci Wczytanie pliku tekstowego z kodem javascript i wykonanie go Wykorzystanie podatności w IE8 w celu wykonania Shellcode u 7 6 Pobranie ostatniej części złośliwego kodu Shellcode dekoduje i wykonuje złośliwy kod JS służący do sprawdzania środowiska Zakodowany złośliwy kod Shellcode załadowany do pamięci JS wczytujący i dekodujący kod exploita JS służący do wykonania exploita 0-day

14 A może nośnik danych

15 zawierający dedykowany malware

16 Albo wpięcie komputera z modułem komunikacji

17 Zostało jeszcze kilka kroków do przejęcia pełnej kontroli nad infrastrukturą organizacji

18 1 krytyczna słabość może pozwolić na przejęcie pełnej kontroli nad infrastrukturą organizacji

19 Identyfikacja celów ataku

20 Zdobycie danych uwierzytelniających do kont pozwalających na realizację celu ataku Najprostsze metody są skuteczne: Gadżety (np. keylogger) Ogólnodostępne katalogi Żółte karteczki (sklerotki) Niezablokowane komputery Bazy zawierające wycieki haseł

21 ? Czy sprawdzali Państwo w dostępnych bazach, czy Państwa konta nie zostały złamane?

22 NBNS Spoofing

23 Podatność polityk GPP (MS14-025) \\domain\sysvol\domain\policies\{*}\machine\preferences\groups\groups.xml <?xml version= 1.0 encoding= utf-8?> <Groups clsid= {3125E937-EB16-4b4c FC6D24D26} > <User clsid= {DF5F E5-4d24-8B1A-D9BDE98BA1D1} name= LocalTestUser image= 0 changed= :07:13 uid= {47F B58-4C48-A EAC84669} > <Properties action= C fullname= description= cpassword= sfwojzou7bjicaqvmd+kaen0o4rcpxxmlwnk7s7zgnr+j ijwosa+dlu3kaidxc1ww5nkrijie9midbujhvqfgbcns873bdk2nbqbqpydkjbspxv0hrp pq96phie6n9tn4nf3kyyswokkdnj8gvuyzbxqog94ml8m1iq7/jhe37ehjizgyi5ibopuc fkpurj2 changelogon= 0 nochange= 0 neverexpires= 0 acctdisabled= 0 username= LocalTestUser /> </User> </Groups>

24 Zdobycie hashy net use \\ \Admin$ Haslo1234 /u:abc\jankowalski psexec \\ sfc qpwdump.exe dhdc

25 lub hasła zapisanego czystym tekstem PsLoggedon.exe -l -x \\ psexec \\ sfc procdump.exe -accepteula -ma lsass.exe Dump.dmp

26 Pass the hash

27 Gotowe narzędzia automatyzujące CredCrack Domain Administrator Credentials in 17 seconds CrackMapExec swiss army knife for pentesting Windows/Active Directory environments

28 Cel zrealizowany Kontrola nad Infrastrukturą informatyczną zostaje przejęta

29 Czy Państwa organizacja jest gotowa stawić czoła takim zagrożeniom??

30 Czy Państwa organizacja utrudnia działania cyberprzestępców w sieci wewnętrznej? Pytanie [T/N] Czy w Państwa organizacji blokowany jest dostęp sieciowy do stacji roboczych przy użyciu lokalnych kont administracyjnych? Czy w Państwa organizacji blokowana jest możliwość nawiązywania sesji zerowych z systemami w sieci? Czy w Państwa organizacji wyłączone jest rozsyłanie zapytań przez stacje w sieci przy użyciu protokołu NetBIOS oraz LLMNR w celu ograniczenia możliwości przechwycenia skrótów haseł w sieci wewnętrznej? Czy w Państwa organizacji zmienione są wszystkie domyślne dane uwierzytelniające? Czy w Państwa organizacji wykorzystywane są wyłącznie silne hasła (15 znaków oraz złożoność), które są okresowo zmieniane, a konta blokowane po kilku nieudanych próbach logowania? Czy w Państwa organizacji regularnie dokonywane są testy mające na celu identyfikację przestarzałego lub nie posiadającego najnowszych poprawek bezpieczeństwa oprogramowania? Czy w Państwa organizacji wyłączone jest ustawianie haseł administracyjnych przy użyciu polityk GPO? Czy w Państwa organizacji używane są inne hasła administracyjne do wszystkich systemów? Czy w Państwa organizacji wdrożona została segmentacja sieci, która ogranicza możliwy zasięg działań cyberprzestępców w przypadku nieautoryzowanego dostępu do sieci? Czy w Państwa organizacji dla wszystkich możliwych systemów wyłączone jest zapisywanie w pamięci skrótów haseł? Czy w Państwa organizacji włączone jest automatyczne wylogowywanie sesji terminalowych? Czy w Państwa organizacji wykorzystywane są konta typu Managed Service Accounts lub group Managed Service Accounts, na których działają usługi? Czy w Państwa organizacji administratorzy domeny posiadają trzy osobne konta (do codziennych prac, do administracji serwerami oraz do administracji domeną)?

31

32 Wyprzedzić cyberprzestępczość Utrudnianie Skłonność do ryzyka Zagrożenia Zwiększenie cyberbezpieczeństwa Wyprzedzanie Edukacja Organizacj a Wykrywanie Priorytety biznesowe Reagowanie

33 17-18 listopada, Warszawa Dziękuje za uwagę!