17-18 listopada, Warszawa Tomasz Wilczyński EY Advanced Security Center Cyberatak. Jak w tydzień przejąć kontrolę nad organizacją?
Plan prezentacji 1 Cyberbezpieczeństwo dziś 2 Przebieg ataku 3 Co dalej?
Najważniejsze podatności i zagrożenia w 2015 Najczęstsze źródła ataków 0% 10% 20% 30% 40% 50% 60% 70% Zorganizowane grupy Criminal cyberprzestępców syndicates Pracownik Employee Haktywiści Hacktivists 54% 56% 59% Indywidualny Lone Wolf hacker haker 43% External Podwykonawca contractor pracujący working on w our firmie site State Organizacje sponsored rządowe attacker 36% 35% Dostawca Supplier Inny Other partner business biznesowy partner Klient Customer 14% 13% 12% Other (please specify) Inne 3%
Najważniejsze podatności i zagrożenia w 2015 Główne podatności Główne zagrożenia 18% Niefrasobliwi lub nieświadomi pracownicy 19% Phishing 15% Przestarzałe mechanizmy bezpieczeństwa 16% Złośliwe oprogramowanie 10% Nieautoryzowany dostęp 16% Ataki zero-day 10% Przetwarzanie w chmurze 15% Cyberataki nakierowane na kradzież środków finansowych 9% Wykorzystanie technologii mobilnych 15% Cyberataki wymierzone w reputację i działania organizacji
Organizacje nie są gotowe stawić czoła dzisiejszym atakom nie mówiąc o przyszłych 36% organizacji uważa, że jest mało prawdopodobne by była w stanie wykryć zaawansowany atak 34% organizacji ocenia swoją funkcję monitorowania bezpieczeństwa jako dojrzałą
Zmienia się podejście do cyberbezpieczeństwa 1 Zbieranie informacji 5 Kradzież danych APT 2 Szukanie punktów wejścia 4 Eskalacja uprawnień 3 Command & control 1990 2000 2010
Mamy zabezpieczenia! Tradycyjne mechanizmy zabezpieczeń NIE uchronią organizacji przed złożonym atakiem
Jak dochodzi do ataku?
Aby uzyskać dostęp do organizacji, wystarczy przejąć kontrolę nad 1 systemem w sieci
Phishing połączony z cybersquattingiem
Kliknięcie w spreparowany link może oznaczać przejęcie kontroli nad systemem przez hakera www.stronahakera.pl
Atak drive-by download Pliki, które pojedynczo nie stanowią zagrożenia i nie są wykrywane tradycyjnymi metodami, jednakże razem tworzą APT. APT sprawdza czy docelowe środowisko jest podatne APT zapisuje część swojego kodu w pamięci przeglądarki APT umieszcza się w pamięci, jednak szkodliwy kod nadal nie jest wykonywany APT oczekuje na instrukcje (krok 5), wczytuje i wykonuje je wykorzystując przy tym wcześniej nieznaną podatność (tzw. 0-day) 1 2 3 4 5 Sprawdzenie środowiska Zapisanie zakodowanego złośliwego kodu w pamięci cache przeglądarki Użycie techniki heap spray w celu załadowania kodu do pamięci Wczytanie pliku tekstowego z kodem javascript i wykonanie go Wykorzystanie podatności w IE8 w celu wykonania Shellcode u 7 6 Pobranie ostatniej części złośliwego kodu Shellcode dekoduje i wykonuje złośliwy kod JS służący do sprawdzania środowiska Zakodowany złośliwy kod Shellcode załadowany do pamięci JS wczytujący i dekodujący kod exploita JS służący do wykonania exploita 0-day
A może nośnik danych
zawierający dedykowany malware
Albo wpięcie komputera z modułem komunikacji
Zostało jeszcze kilka kroków do przejęcia pełnej kontroli nad infrastrukturą organizacji
1 krytyczna słabość może pozwolić na przejęcie pełnej kontroli nad infrastrukturą organizacji
Identyfikacja celów ataku
Zdobycie danych uwierzytelniających do kont pozwalających na realizację celu ataku Najprostsze metody są skuteczne: Gadżety (np. keylogger) Ogólnodostępne katalogi Żółte karteczki (sklerotki) Niezablokowane komputery Bazy zawierające wycieki haseł
? Czy sprawdzali Państwo w dostępnych bazach, czy Państwa konta nie zostały złamane?
NBNS Spoofing
Podatność polityk GPP (MS14-025) \\domain\sysvol\domain\policies\{*}\machine\preferences\groups\groups.xml <?xml version= 1.0 encoding= utf-8?> <Groups clsid= {3125E937-EB16-4b4c-9934-544FC6D24D26} > <User clsid= {DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1} name= LocalTestUser image= 0 changed= 2013-07-04 00:07:13 uid= {47F24835-4B58-4C48-A749-5747EAC84669} > <Properties action= C fullname= description= cpassword= sfwojzou7bjicaqvmd+kaen0o4rcpxxmlwnk7s7zgnr+j ijwosa+dlu3kaidxc1ww5nkrijie9midbujhvqfgbcns873bdk2nbqbqpydkjbspxv0hrp pq96phie6n9tn4nf3kyyswokkdnj8gvuyzbxqog94ml8m1iq7/jhe37ehjizgyi5ibopuc fkpurj2 changelogon= 0 nochange= 0 neverexpires= 0 acctdisabled= 0 username= LocalTestUser /> </User> </Groups>
Zdobycie hashy net use \\192.168.1.6\Admin$ Haslo1234 /u:abc\jankowalski psexec \\192.168.1.6 -sfc qpwdump.exe dhdc
lub hasła zapisanego czystym tekstem PsLoggedon.exe -l -x \\192.168.1.6 psexec \\192.168.1.6 -sfc procdump.exe -accepteula -ma lsass.exe Dump.dmp
Pass the hash
Gotowe narzędzia automatyzujące CredCrack Domain Administrator Credentials in 17 seconds CrackMapExec swiss army knife for pentesting Windows/Active Directory environments
Cel zrealizowany Kontrola nad Infrastrukturą informatyczną zostaje przejęta
Czy Państwa organizacja jest gotowa stawić czoła takim zagrożeniom??
Czy Państwa organizacja utrudnia działania cyberprzestępców w sieci wewnętrznej? Pytanie [T/N] Czy w Państwa organizacji blokowany jest dostęp sieciowy do stacji roboczych przy użyciu lokalnych kont administracyjnych? Czy w Państwa organizacji blokowana jest możliwość nawiązywania sesji zerowych z systemami w sieci? Czy w Państwa organizacji wyłączone jest rozsyłanie zapytań przez stacje w sieci przy użyciu protokołu NetBIOS oraz LLMNR w celu ograniczenia możliwości przechwycenia skrótów haseł w sieci wewnętrznej? Czy w Państwa organizacji zmienione są wszystkie domyślne dane uwierzytelniające? Czy w Państwa organizacji wykorzystywane są wyłącznie silne hasła (15 znaków oraz złożoność), które są okresowo zmieniane, a konta blokowane po kilku nieudanych próbach logowania? Czy w Państwa organizacji regularnie dokonywane są testy mające na celu identyfikację przestarzałego lub nie posiadającego najnowszych poprawek bezpieczeństwa oprogramowania? Czy w Państwa organizacji wyłączone jest ustawianie haseł administracyjnych przy użyciu polityk GPO? Czy w Państwa organizacji używane są inne hasła administracyjne do wszystkich systemów? Czy w Państwa organizacji wdrożona została segmentacja sieci, która ogranicza możliwy zasięg działań cyberprzestępców w przypadku nieautoryzowanego dostępu do sieci? Czy w Państwa organizacji dla wszystkich możliwych systemów wyłączone jest zapisywanie w pamięci skrótów haseł? Czy w Państwa organizacji włączone jest automatyczne wylogowywanie sesji terminalowych? Czy w Państwa organizacji wykorzystywane są konta typu Managed Service Accounts lub group Managed Service Accounts, na których działają usługi? Czy w Państwa organizacji administratorzy domeny posiadają trzy osobne konta (do codziennych prac, do administracji serwerami oraz do administracji domeną)?
Wyprzedzić cyberprzestępczość Utrudnianie Skłonność do ryzyka Zagrożenia Zwiększenie cyberbezpieczeństwa Wyprzedzanie Edukacja Organizacj a Wykrywanie Priorytety biznesowe Reagowanie
17-18 listopada, Warszawa Dziękuje za uwagę!