Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW

Transkrypt

1 Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control Ireneusz Tarnowski

2 whoami work :: specjalista w Dziale Usług Sieciowych Wrocławskiego Centrum Sieciowo-Superkomputerowego ITSec :: pasjonat bezpieczeństwa komputerowego i procedur ochrony informacji infrastructure Architect :: projektant zorientowanych na bezpieczeństwo oraz wysokodostępnych architektur IT sysadmin :: administrator systemów serwerowych, baz danych, usług sieciowych (pasjonat Sun/Oracle Solaris) member :: ISACA, Zespół Bezpieczeństwa Informacji WCSS, PIONIER CERT, Technology Risk & Information Security, IKB edu :: wykształcenie: Informatyka, Cyber Security Management ireneusz.tarnowski@bluecyberspace.eu

3 O czym będzie mowa Anatomia atak komputerowego Obrona - kiedy i jak wykrywać atak Dostarczanie malware ofierze (metody, jak wykrywać i przeciwdziałać ewolucje) Komunikacja ofiara C2 (jak wykryć i przeciwdziałać ewolucja) Perspektywy TLP: GREEN

4 Jak wygląda atak model kill chain Rozpoznanie, rekonesans (ang. Reconnaissance) Uzbrojenie (ang. Weaponization) Dostarczenie (ang. Delivery) Włamanie, eksploitacja (ang. Exploitation) Instalacja (ang. Installation) Kontrola (ang. Command and Control) Akcja (ang. Actions on Objective)

5 Kill chain - Dostarczenie

6 Kill chain Command and Control

7 Przerwać atak Cel atakującego uniknąć wykrycia, przejść do kolejnej fazy ataku Cel broniącego wykryć atak, przerwać łańcuch

8 KC-3 Delivery Jak ukrywa się malware na etapie DOSTARCZENIA Jak dostarczać na nośniku w usługę sieciową strony WWW system pocztowy Jak wykrywać i zneutralizować ochrona użytkowników AV, HIPS, IDS, FW, NGFW, AntyMalware, regulacje, użytkownik ochrona sieciowa NIPS, IDS, FW, NGFW, AV, AntyMalware, regulacje

9 KC-3 Delivery Pendrive, płyta. Po prostu otwórz plik sprawdź

10 KC-3 Delivery Wykorzystanie usługi sieciowej Dostarczenie wprost do portu sieciowego usługi Sasser (2004) WannaCry (2017) Problem dla obrony: brak interakcji z użytkownikiem, omijanie AV

11 KC-3 Delivery Niebezpieczne WWW Dystrybucja poprzez zaufane strony - m.in. metoda wodopoju (Bluenoroff - KNF) Dystrybucja poprzez przejęte serwisy WWW - m.in. skompromitowane portale WP Liczne domeny ( podobne ) Problemy: nieaktualizowane wtyczki drive-by-download szyfrowanie ruchu HTTP

12 KC-3 Delivery System pocztowy Dystrybucja poprzez wprost socjotechnika + Załącznik z makro szyfrowany załącznik załącznik wprost odnośnik do strony z malware

13 KC-3 Delivery Man In The Cel: ominięcie AV + ASPAM na serwerze

14 KC-3 Delivery Man In The socjotechnika problem finansowy przesyłka w drodze popularne formaty plików (doc, xls, pdf) uwaga makra (na pozór niegroźne)

15 KC-3 Delivery Man In The

16 KC-3 Delivery Man In The

17 KC-3 Delivery Man In The

18 KC-3 Delivery Man In The

19 KC-3 Delivery Man In The Zaszyfrowane załączniki Cel uniemożliwić skanowanie

20 KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2) IRC HTTP HTTPS Social media język naturalny DNS (tunelowanie w protokole, dystrybucja w sieci NS) CDN media społecznościowe (TT, FB)

21 KC-6 C2 Tunelowanie ruchu DNS - Feederbot [50 bytes].[chunk-id].[qdparam].0.f2.[tld]. IN TXT xmtwhyryzu/z4qbhbkzivwvpbfiugn+jb1wqxtzn7pr9wf0sfnaqxdojd9lgmwffau Go6fdtgZ0lIQyAx1VWJw+vzdHdxMpHu6xfMRq8sVSfqwPvI9TEIV8pkXw4P4TCSH05 BAO1LGPMQ+XD+TYLY2woxM1j06mCMhrNjWzI8WbmCBlj2/dpR73KBnDl/DRmheKWMJ x2dutp4ifmh4n9kxjeoyis

22 KC-6 C2 Tunelowanie ruchu DNS - Moto Hardcodowane domeny Brak rekordu A Zapytania tylko rekord TXT Wskaźnik na plik do pobrania i uruchomienia [MALICIOUS ADDRESS]/160.rar

23 KC-6 C2 Tunelowanie ruchu DNS - Varhese

24 KC-6 C2 Tunelowanie ruchu DNS - Varhese

25 KC-6 C2 Tunelowanie ruchu DNS

26 KC-6 C2 Tunelowanie ruchu DNS

27 KC-6 C2 Tunelowanie ruchu DNS

28 KC-6 C2 Tunelowanie ruchu DNS

29 KC-6 C2 Tunelowanie ruchu DNS

30 KC-6 C2 Tunelowanie ruchu DNS

31 KC-6 C2 Tunelowanie ruchu DNS Kto blokuje ruch DNS?? Kto monitoruje ruch DNS???

32 KC-6 C2 Tunelowanie ruchu DNS Jak wykryć podejrzany ruch DNS Analiza payload u Analiza ruchu 1. monitorowanie wielkości zapytań i odpowiedzi DNS (ruch tunelowany > 64 znaki) 2. wykrywanie dużej liczby zapytań o pole TXT 3. ustawienie poziomów alertów systemów klasy SIEM (ew. NG FW) jeśli: - liczba zapytań DNS z jednego źródła jest duża - liczba zapytań w jednej domenie jest duża - duża jest liczba wpisów w domenie 4. użycie wewnętrznego DNS PROXY z widomi i regułami umiejącymi filtrować podejrzane zapytania 5. analiza entropii nazw domenowych

33 KC-6 C2 Tunelowanie ruchu DNS Jak wykryć podejrzany ruch DNS Wykorzystać DNS zaufane świadczące usługę NS jako bezpieczną 1. Content filtering 2. Blokowanie stron zawierających Malware i phishing 3. Ochrona przed znanymi bootnetami 4. Korekta błędów typo w URL

34 KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2)

35 KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2) Media społecznościowe jako serwery C2

36 Jak ukryć komunikację ofiary z atakującym (C2)

37 Otwarte pytania Jak się bronić? Jak wykrywać działanie malware w organizacji? Jak rozpoznawać nowe zagrożenia? Jak budować wiedzę? Czy stare zagrożenia są nadal groźne? Jak wprowadzać nowe polityki czy można ufać dostawcom usług (CDN, chmura, whitelistowanie adresów)

38 Wnioski perspektywy analiza zagrożeń TIA -- Thread Intelligence Analysis, badanie możliwości przeprowadzenia ataku, analiza podatności i wektorów ataku, jakie się pojawiają, działalność wywiadowcza wśród grup hackerskich (+darknet). nie ma starych metod (taktyk) ataku wszystkie metody są dobre i ważne, bo po kilku latach wracają w nowej odsłonie

39 Wnioski perspektywy TI Taktyczny: metody ataku, narzędzia i taktyka, oparta na wystarczających zasobach wiedza o potencjalnych atakujących (infiltracja środowiska atakującego) TI Techniczny: wskaźniki/identyfikatory zagrożeń (malware) TI Operacyjny: szczegóły nadchodzących ataków, szacowanie organizacyjnych możliwości w określaniu przyszłych zagrożeń cybernetycznych TI Strategiczny: Informacje na wysokim poziomie o zmianie ryzyk, dokładne określenie oceny krytycznych zagrożeń

40 Źródła

41 Traffic Light Protocol Znaczenie kolorów TLP dla odbiorców wiadomości Znaczenie kolorów TLP dla autorów wiadomości

42 Ireneusz Tarnowski