Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

Transkrypt

1

2 Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

3

4 Firma Aupticon została zdestabilizowana, zaszyfrowano treści, wstrzymano systemy

5 Ale zacznijmy od początku

6

7 #1 Reconnaissance aka RECON

8 #2 Initial compromise

9

10 #3 Command and control (C&C)

11 Internal Systems Attacker Firewall Internet Access from inside Command & Control exec Victim

12 #4 Toolset installation Scanners Scripts cracks sniffers Spoofing deamons decryptors

13

14 #5 Czym jest flat network?

15 Internal Systems Firewall Internet User devices WiFi AP Smarphones

16 Co możemy zrobić na poziomie sieci?

17 Łakome kąski: #Know how #Lista klientów #Payroll / Wynagrodzenia #Corruption / Disruption

18 Skanujemy sieć uzyskując listę podatności i systemów Słabe hasła Wersje systemów Podatności

19 Z know how było łatwo hasło admin/admin123 FTP z dokumentacją techniczną Dictionary attack

20 Ok, znaleźliśmy system księgowy, ale hasło jest silne System księgowy aaaa:aaaa:aaaa Użytkownik systemu księgowego Spoof: bbbb:bbbb:bbbb Spoof: bbbb:bbbb:bbbb bbbb:bbbb:bbbb ARP Spoofing cccc:cccc:cccc Ok! is now bbbb:bbbb:bbbb

21 Jak nazywa się atak, w którym atakujący znajduje się na ścieżce między nadawcą, a odbiorcą?

22 Teraz system księgowy myśli, że użytkownik jest pod nowym MAC, i odwrotnie System księgowy Użytkownik systemu księgowego Man in the Middle Przyglądamy się ruchowi i po kilku minutach mamy użytkownika i hasło!

23 Inny przykład MITM aplikowany łatwo w sieciach Wifi DHCP + DNS spoofing System księgowy Legitimate DHCP Server DHCP Discover Użytkownik systemu księgowego Man in the Middle DHCP Offer DHCP Req DHCP ACK

24 Czy jesteście pewni, że DNS, który dostajecie w ramach Hot Spot, nie jest podstawiony?

25 Czemu oni tyle zarabiają?

26 Z listą klientów to było tak path traversal

27 Łakome kąski co mamy?: #Know how #Lista klientów #Payroll / Wynagrodzenia #Corruption / Disruption

28 Destabilizacja sieci i systemów

29 Denial of Service na urządzenia sieciowe CPU attack Sending large ICMP Large volume of fragments

30 Jak nazywa się atak, w którym w kierunku ofiary wysyłany jest strumień pakietów typu ICMP?

31 Wewnętrzny DDoS wycelowany w system

32 DDoS na poziomie sieci smurf attack Flood with directed broadcast to large segment Spoofing the source of victim Replies ICMP: Src: Dst:

33 Distributed DoS na e-commerce

34 E-commerce DDoS od środka Half-open conns flood Half-open TCP flood DMZ

35 Blacklisting, czyli problem z reputacją

36 Source spoofing - blacklisting Company B PI: /28 Replies SRC: Internet PI: /28 Company C

37 Botnets & RTBF SP A Botnets filtering Internet SP B

38 A nasz bohater szyfruje dane kompletnie destabilizując prace firmy

39

40 Czy jest jakaś odpowiedź na te ataki? ARP Spoofing vs Dynamic ARP inspection Scanning vs VLAN segmentation Network infra DoS vs CoPP/CoPPr TCP flood vs firewall inspection Botnets vs firewall + RTBH Source spoofing vs urpf + iacl Network level DDoS (Smurf) vs IPSG Malware vs Anti-malware + NGIPS

41 Jak planować karierę? 1 milion miejsc pracy w cybersecurity w Every year in the U.S., 40,000 jobs for information security analysts go unfilled - Forbes Specjalizacje Network Security Engineering 5 9k PLN netto Systems Security Architect 9 14k PLN netto Application Security Tester 6 12k PLN netto Network Security Tester 6 11k PLN netto Chief Security Officer 14 20k PLN netto Cybersecurity Analyst 9 16k PLN netto

42 Więcej techniki i szkoleń na