modern deception techniques in the age of failing prevention...2017/11/02 · anatomie eines...
TRANSCRIPT
Modern Deception Techniquesin the Age of Failing Prevention
Stefan Schwandter
Übersicht
• Opportunistische Angriffe vs. zielgerichtete Angriffe
• Zielgerichtete Angriffe: 4 Herausforderungen
• Deception als Antwort
• Case Study
• Forschungsaktivitäten
2
Opportunistische Angriffe
• Opportunist: ergreift Gelegenheiten - ohne Skrupel
• Beispiel: WannaCry Ransomware (2017)• Infizierte Windows-PCs und verschlüsselt Festplatte, verlangt Lösegeld
• Breitete sich in 5 Tagen auf 150 Länder aus
• Benutzte Schwachstellen waren in aktuellen Windows-Versionen behoben, aber viele Systeme noch nicht up-to-date
3
Gezielte vs. Opportunistische Angriffe
4
Zielgerichtete Angriffe
• Beispiel: Stuxnet (entdeckt 2010)• Ziel: iranisches Atomprogramm (Steuerungs-SW der Zentrifugen)
• Mehrere zero-day exploits
• Wurde nur auf Systemen mit Siemens Software aktiv
• Infiziert höchstens 3 weitere Hosts
• Löschte sich selbst zu bestimmten Datum
• Yahoo, JP Morgan, Equifax Breach (?), …
5
Gezielte vs. Opportunistische Angriffe
6
Anatomie eines zielgerichteten Angriffs
Initial Compromise
Establish Foothold
Escalate Privileges
InternalRecon
Move Laterally
MaintainPresence
Initial Recon Complete Mission
7
Zielgerichtete Angriffe – Herausforderung #1
• Typische Zeitspanne bis zur Erkennung:mehrere Monate bis Jahre
• Konventionelles Überwachen und Reagieren ist ressourcenintensiv und teuer
Wie reduzieren wir die Zeit bis zur Erkennung?
8
Zielgerichtete Angriffe – Herausforderung #2
• Zielgerichtete Angreifer suchen nach wertvollen Assets (Informationen, Verfügbarkeit von Services, …)
• Diese brauchen besonderen Schutz
• Security-Budget ist begrenzt: Schutz sollte gezielt sein
Welche Ziele verfolgen die Angreifer?
9
Zielgerichtete Angriffe – Herausforderung #3
• Hinter Angriffen stehen Menschen
• Zielgerichtete Angriffe sind oft Auftragsarbeiten
Wer sind die Auftraggeber?
10
Zielgerichtete Angriffe – Herausforderung #4
• Zielgerichtete Angreifer verfolgen hartnäckig ihre Ziele
• Auch die beste Verteidigung ist nicht 100%ig
Wie gehen wir mit dem Restrisiko um?
11
Deception als Antwort
Deception (Täuschung) – Konstruktion einer Scheinwelt für den Angreifer
12
CyberTrap Deception Scenario
Decoys
13
Produktivsysteme
Wie locken wir Angreifer in die Falle?
Initial Compromise
Establish Foothold
Escalate Privileges
Internal Recon
Move Laterally
MaintainPresence
Initial Recon Complete Mission
14
Köder: Zeiger auf Services
Operating System
SMB
(File Share)
Hidden Fileshare
Cached Credentials
Active Network
Connection
TrackDown Documents
RDP
Credential Manager
OS
FTP
Credentials in Ini-File
TrackDown Documents
Telnet / SSH
Scripts
OS
Web-Server
Custom
…
Custom
Serv
ice
Kö
de
rD
eco
y
15
Köder: weitere Beispiele
• Login-Daten für verschiedene Systeme und Applikationen
• Cached Credentials (z.B. Kerberos-Tickets)
• Anwendungs-Shortcuts
• Browser-Favoriten
• Browser-Verlauf
• Browser-Cookies und -Credentials
• Dokumente
• Event-Logs
• Installierte Anwendungen
• Datenbanken
• Connection-Strings für Datenbanken
• Netzwerk-Verbindungen
• Netzwerklaufwerk-Zuordnungen
• Netzwerk-Freigaben
• Telnet und File Transfer Protocol (FTP)-Shortcuts
• SSH-Shortcuts
• Registry-Einträge, …
16
#1 Wie reduzieren wir die Zeit bis zur Angriffserkennung?
• Angreifer bewegen sich im Netz von Host zu Host
• Köder locken sie auf Decoys
• Aktivität auf Decoy führt zu Alert
17
#2 Welche Ziele verfolgen die Angreifer?
• Auf den Decoys werden ihre Handlungen überwacht
• Überwachung erlaubt Nachvollziehen der Such-Aktivitäten• Scan nach weiteren IT-Systemen
• Scan nach Schwachstellen auf einem bestimmten Host
• Konkrete Suche nach bestimmten Dateien, Dateiinhalten
18
#3 Wer sind die Auftraggeber?
• TrackDown Service: Dokumente „telefonieren nach Hause“
19
TrackDown Service
• Informationen:• Client IP
• Windows Username + Hostname
• NTLMv2 Hash -> Passwort
=> Hat bereits mehrfach zu Ermittlungserfolgen geführt!
20
#4 Wie gehen wir mit dem Restrisiko um?
• In dem wir soviel wie möglich über die Angreifer erfahren
=> Threat Intelligence sammeln
21
Arten der Threat Intelligence
22TTPs: Tactics, Techniques and Procedures
Case Study
23
Case Study (1)
• Initial Recon: RDP Dictionary Attacks auf Decoy, von 3 IP-Adressen aus
• Nach 26h: Initial Compromise via RDP
24
Case Study (2)
• Establish Foothold: Erstellung eines Windows Benutzersnet user Default ZUftzyfc9Z /add
net localgroup Administrators Default /add
net localgroup "Remote Desktop Users" Default /add
net accounts /maxpwage:unlimited
• Upload von 01_RDP Admin Restore.exe, zum Platzieren von Backdoors
25
Case Study (3)
Installation „WindowsCertificateService“ (Backdoor)WRITE \windows\media\long\certsvc.exe
WRITE \windows\media\long\paths.cfg
net start WindowsCertificateService
Installation von “WinMediaService” (Backdoor)WRITE \windows\msapss\bin\msapp.exe
net start WinMediaService
26
Case Study (3)
• Löschen von 01_rdp admin restore.exe
• Ausgehende Connections durch msapp.exe zu Command & Control Servern
• Aufruf von wevtutil.exe um die Windows-Logs zu löschen
27
Case Study (4)
• 2 Wochen später: Angreifer kommt von anderer IP zurück und legt sich weitere User an.net user Regi RLhFe73b /add
net user Projeta MuFK4f3g /add
net user Ethan 7hEyUf4P /add
net user Ftptest vH3MskH7 /add
net user Ahha Mt37dYtK /add
28
Case Study (6)
• Nächste Tage: Angreifer loggt sich als „Ahha“ von der IP 178.137.89.8 ein.findstr /m login.yahoo.com *
findstr /m mail.live.com *
findstr /m accounts.google.com *
findstr /m meetme.com *
findstr /m meetic.com *
findstr /m datehookup.com *
findstr /m cupid.com *
29
Case Study (7)
• Angreifer loggt sich als „Projeta“ von der IP 206.248.173.168ein.
• Installiert und started BitcoinMiner
Nscpuminer.exe
• Miner-Start-Skript verrät Emailadresse [email protected]
30
Case Study: Zusammenfassung
• Einbruch über brute-force RDP-Attacke (automatisiert)
• Später weitere Benutzer angelegt -> vermutlich verkauft
• Verschiedene Benutzer mit jeweils eigenen Agenden• User 1: Suche nach Login-Daten
• User 2: Installiert und startet Bitcoin-Miner
• …
31
Case Study: Gesammelte Threat Intelligence
• Hashes von Malware-Files• IP-Adressen der Angreifer• Domains• Network Artefacts: C&C-Kommunikation• Tools: Malware-Executables• Tactics, Techniques & Procedures (TTP):
• Brute-force RDP-Scans (automatisiert)
• Anlegen weiterer Benutzer
• Wahrscheinlich Weiterverkaufen der Login-Daten
32
Durch Forschung bereit für zukünftige Angriffe
• Partner im Josef Ressel Zentrumfür konsolidierte Erkennung gezielter Angriffe (TARGET)an der FH Sankt Pölten
https://jrz-target.at
33
JRZ TARGETJOSEF RESSEL CENTERFOR UNIFIED THREAT INTELLIGENCE ON TARGETED ATTACKS
Josef Ressel Zentrum (TARGET)
• Erlaubt wissenschaftliche Verknüpfung von theoretischen Ansätzen mit praktischen Daten
• Aktive Einbindung Studierender:Forschungswerkstatt, Praktika, Abschlussarbeiten, …
34
Danke für Ihre Aufmerksamkeit!
CyberTrap Software GmbH
Komarigasse 14/1
A-2700 Wr. Neustadt
Austria
M +43 676 840 301 720
T +43 1 890 47 00