Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW

Podobne dokumenty
Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Bezpieczeństwo danych w sieciach elektroenergetycznych

Palo Alto firewall nowej generacji

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

BEZPIECZEŃSTWO W SIECIACH

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Podstawy bezpieczeństwa

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Deklaracja zgodności z wymaganiami Zamawiającego stanowi treść oferty i tym samym nie podlega uzupełnieniu w toku postępowania.

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

n6: otwarta wymiana danych

Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS

Problemy z bezpieczeństwem w sieci lokalnej

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

KARTA KURSU. Administracja serwerami WWW

Metody zabezpieczania transmisji w sieci Ethernet

Metody ochrony przed zaawansowanymi cyberatakami

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Botnet Hamweq - analiza

Ransomware w 15 minut czyli jak zarobić na advanced malwarze, nie mając o nim pojęcia

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki LogicalTrust

Marek Krauze

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Internet Explorer. Okres

DLP i monitorowanie ataków on-line

Network Forensic Co mówią złapane pakiety?

Agent ds. cyberprzestępczości

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Analiza Trojana NotCompatible.C

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

GDPR wdrożenie krok po kroku. Jakub Manikowski Presales Engineer

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

Z/DZP/110/2019 Warszawa, dnia r.

Marek Damaszek. TAURON Polska Energia S.A.

Adres IP

Robaki sieciowe. + systemy IDS/IPS

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Laboratorium - Obserwacja procesu tłumaczenia nazw DNS

Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

9:45 Powitanie. 12:30 13:00 Lunch

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Zarządzanie incydentami jako probierz dojrzałości organizacyjnej. MAREK DAMASZEK

OCHRONA PRZED RANSOMWARE

Kaspersky Hosted Security

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

SOC/NOC Efektywne zarządzanie organizacją

Internet to ogólnoświatowy zbiór wzajemnie połączonych ze sobą sieci komputerowych (lokalnych LAN i rozległych WAN). Za datę powstania Internetu

Wykrywanie i odpieranie ataków socjotechnicznych oraz cybernetycznych - jak zaatakować napastnika? Grzegorz Wróbel

Opis przedmiotu zamówienia

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Przełączanie i Trasowanie w Sieciach Komputerowych

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

PUBLIC / TLP: WHITE 1 / 7. Przygotowany przez: Jarosław Stasiak Zatwierdzony przez: Jarosław Górski Data Wydanie Autor Zmiana

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Portal Security - ModSec Enterprise

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Pełna specyfikacja usługi Kreator WWW

Opis przedmiotu zamówienia

Metody ataków sieciowych

Sieci komputerowe. Wykład 7: Warstwa zastosowań: DNS, FTP, HTTP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Badanie bezpieczeństwa infrastruktury sieciowej

Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

PARAMETRY TECHNICZNE I FUNKCJONALNE

Bezpieczeństwo IT w środowisku uczelni

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Audytowane obszary IT

Wykrywanie i analiza złośliwych stron WWW. Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:

Ochrona biznesu w cyfrowej transformacji

FIREWALL TO ZA MAŁO. JAK SKUTECZNIE CHRONIĆ URZĘDOWĄ SIEĆ W DOBIE ATAKÓW TYPU APT I RANSOMWARE?

Malware przegląd zagrożeń i środków zaradczych

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Integracja systemów bezpieczeństwa Security Connected. Piotr Boetzel Territory Account Manager

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

WSTĘP CYKL ŻYCIA ATAKU

Technologia Automatyczne zapobieganie exploitom

Transkrypt:

Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control Ireneusz Tarnowski

whoami work :: specjalista w Dziale Usług Sieciowych Wrocławskiego Centrum Sieciowo-Superkomputerowego ITSec :: pasjonat bezpieczeństwa komputerowego i procedur ochrony informacji infrastructure Architect :: projektant zorientowanych na bezpieczeństwo oraz wysokodostępnych architektur IT sysadmin :: administrator systemów serwerowych, baz danych, usług sieciowych (pasjonat Sun/Oracle Solaris) member :: ISACA, Zespół Bezpieczeństwa Informacji WCSS, PIONIER CERT, Technology Risk & Information Security, IKB edu :: wykształcenie: Informatyka, Cyber Security Management ireneusz.tarnowski@bluecyberspace.eu

O czym będzie mowa Anatomia atak komputerowego Obrona - kiedy i jak wykrywać atak Dostarczanie malware ofierze (metody, jak wykrywać i przeciwdziałać ewolucje) Komunikacja ofiara C2 (jak wykryć i przeciwdziałać ewolucja) Perspektywy TLP: GREEN

Jak wygląda atak model kill chain Rozpoznanie, rekonesans (ang. Reconnaissance) Uzbrojenie (ang. Weaponization) Dostarczenie (ang. Delivery) Włamanie, eksploitacja (ang. Exploitation) Instalacja (ang. Installation) Kontrola (ang. Command and Control) Akcja (ang. Actions on Objective)

Kill chain - Dostarczenie

Kill chain Command and Control

Przerwać atak Cel atakującego uniknąć wykrycia, przejść do kolejnej fazy ataku Cel broniącego wykryć atak, przerwać łańcuch

KC-3 Delivery Jak ukrywa się malware na etapie DOSTARCZENIA Jak dostarczać na nośniku w usługę sieciową strony WWW system pocztowy Jak wykrywać i zneutralizować ochrona użytkowników AV, HIPS, IDS, FW, NGFW, AntyMalware, regulacje, użytkownik ochrona sieciowa NIPS, IDS, FW, NGFW, AV, AntyMalware, regulacje

KC-3 Delivery Pendrive, płyta. Po prostu otwórz plik sprawdź

KC-3 Delivery Wykorzystanie usługi sieciowej Dostarczenie wprost do portu sieciowego usługi Sasser (2004) WannaCry (2017) Problem dla obrony: brak interakcji z użytkownikiem, omijanie AV

KC-3 Delivery Niebezpieczne WWW Dystrybucja poprzez zaufane strony - m.in. metoda wodopoju (Bluenoroff - KNF) Dystrybucja poprzez przejęte serwisy WWW - m.in. skompromitowane portale WP Liczne domeny ( podobne ) Problemy: nieaktualizowane wtyczki drive-by-download szyfrowanie ruchu HTTP

KC-3 Delivery System pocztowy Dystrybucja poprzez email wprost socjotechnika + Załącznik z makro szyfrowany załącznik załącznik wprost odnośnik do strony z malware

KC-3 Delivery Man In The Email Cel: ominięcie AV + ASPAM na serwerze

KC-3 Delivery Man In The Email socjotechnika problem finansowy przesyłka w drodze popularne formaty plików (doc, xls, pdf) uwaga makra (na pozór niegroźne)

KC-3 Delivery Man In The Email

KC-3 Delivery Man In The Email

KC-3 Delivery Man In The Email

KC-3 Delivery Man In The Email

KC-3 Delivery Man In The Email Zaszyfrowane załączniki Cel uniemożliwić skanowanie

KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2) IRC HTTP HTTPS Social media język naturalny DNS (tunelowanie w protokole, dystrybucja w sieci NS) CDN media społecznościowe (TT, FB)

KC-6 C2 Tunelowanie ruchu DNS - Feederbot [50 bytes].[chunk-id].[qdparam].0.f2.[tld]. IN TXT xmtwhyryzu/z4qbhbkzivwvpbfiugn+jb1wqxtzn7pr9wf0sfnaqxdojd9lgmwffau Go6fdtgZ0lIQyAx1VWJw+vzdHdxMpHu6xfMRq8sVSfqwPvI9TEIV8pkXw4P4TCSH05 BAO1LGPMQ+XD+TYLY2woxM1j06mCMhrNjWzI8WbmCBlj2/dpR73KBnDl/DRmheKWMJ x2dutp4ifmh4n9kxjeoyis

KC-6 C2 Tunelowanie ruchu DNS - Moto Hardcodowane domeny Brak rekordu A Zapytania tylko rekord TXT Wskaźnik na plik do pobrania i uruchomienia [MALICIOUS ADDRESS]/160.rar

KC-6 C2 Tunelowanie ruchu DNS - Varhese

KC-6 C2 Tunelowanie ruchu DNS - Varhese

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS

KC-6 C2 Tunelowanie ruchu DNS Kto blokuje ruch DNS?? Kto monitoruje ruch DNS???

KC-6 C2 Tunelowanie ruchu DNS Jak wykryć podejrzany ruch DNS Analiza payload u Analiza ruchu 1. monitorowanie wielkości zapytań i odpowiedzi DNS (ruch tunelowany > 64 znaki) 2. wykrywanie dużej liczby zapytań o pole TXT 3. ustawienie poziomów alertów systemów klasy SIEM (ew. NG FW) jeśli: - liczba zapytań DNS z jednego źródła jest duża - liczba zapytań w jednej domenie jest duża - duża jest liczba wpisów w domenie 4. użycie wewnętrznego DNS PROXY z widomi i regułami umiejącymi filtrować podejrzane zapytania 5. analiza entropii nazw domenowych

KC-6 C2 Tunelowanie ruchu DNS Jak wykryć podejrzany ruch DNS Wykorzystać DNS zaufane świadczące usługę NS jako bezpieczną 1. Content filtering 2. Blokowanie stron zawierających Malware i phishing 3. Ochrona przed znanymi bootnetami 4. Korekta błędów typo w URL

KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2)

KC-6 C2 Jak ukryć komunikację ofiary z atakującym (C2) Media społecznościowe jako serwery C2

Jak ukryć komunikację ofiary z atakującym (C2)

Otwarte pytania Jak się bronić? Jak wykrywać działanie malware w organizacji? Jak rozpoznawać nowe zagrożenia? Jak budować wiedzę? Czy stare zagrożenia są nadal groźne? Jak wprowadzać nowe polityki czy można ufać dostawcom usług (CDN, chmura, whitelistowanie adresów)

Wnioski perspektywy analiza zagrożeń TIA -- Thread Intelligence Analysis, badanie możliwości przeprowadzenia ataku, analiza podatności i wektorów ataku, jakie się pojawiają, działalność wywiadowcza wśród grup hackerskich (+darknet). nie ma starych metod (taktyk) ataku wszystkie metody są dobre i ważne, bo po kilku latach wracają w nowej odsłonie

Wnioski perspektywy TI Taktyczny: metody ataku, narzędzia i taktyka, oparta na wystarczających zasobach wiedza o potencjalnych atakujących (infiltracja środowiska atakującego) TI Techniczny: wskaźniki/identyfikatory zagrożeń (malware) TI Operacyjny: szczegóły nadchodzących ataków, szacowanie organizacyjnych możliwości w określaniu przyszłych zagrożeń cybernetycznych TI Strategiczny: Informacje na wysokim poziomie o zmianie ryzyk, dokładne określenie oceny krytycznych zagrożeń

Źródła http://blog.talosintelligence.com/2017/03/dnsmessenger.html https://www.sans.org/reading-room/whitepapers/dns/detecting-dns-tunneling-34152 http://blog.cj2s.de/archives/28-feederbot-a-bot-using-dns-as-carrier-for-its-cc.html https://www.symantec.com/connect/blogs/morto-worm-sets-dns-record https://paulmakowski.wordpress.com/2009/08/16/a-closer-look-at-the-twitter-controlled-botnet-part-1/

Traffic Light Protocol Znaczenie kolorów TLP dla odbiorców wiadomości Znaczenie kolorów TLP dla autorów wiadomości

Ireneusz Tarnowski ireneusz.tarnowski@bluecyberspace.eu

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres