Modern Deception Techniquesin the Age of Failing Prevention

Stefan Schwandter

Übersicht

• Opportunistische Angriffe vs. zielgerichtete Angriffe

• Zielgerichtete Angriffe: 4 Herausforderungen

• Deception als Antwort

• Case Study

• Forschungsaktivitäten

2

Opportunistische Angriffe

• Opportunist: ergreift Gelegenheiten - ohne Skrupel

• Beispiel: WannaCry Ransomware (2017)• Infizierte Windows-PCs und verschlüsselt Festplatte, verlangt Lösegeld

• Breitete sich in 5 Tagen auf 150 Länder aus

• Benutzte Schwachstellen waren in aktuellen Windows-Versionen behoben, aber viele Systeme noch nicht up-to-date

3

Gezielte vs. Opportunistische Angriffe

4

Zielgerichtete Angriffe

• Beispiel: Stuxnet (entdeckt 2010)• Ziel: iranisches Atomprogramm (Steuerungs-SW der Zentrifugen)

• Mehrere zero-day exploits

• Wurde nur auf Systemen mit Siemens Software aktiv

• Infiziert höchstens 3 weitere Hosts

• Löschte sich selbst zu bestimmten Datum

• Yahoo, JP Morgan, Equifax Breach (?), …

5

Gezielte vs. Opportunistische Angriffe

6

Anatomie eines zielgerichteten Angriffs

Initial Compromise

Establish Foothold

Escalate Privileges

InternalRecon

Move Laterally

MaintainPresence

Initial Recon Complete Mission

7

Zielgerichtete Angriffe – Herausforderung #1

• Typische Zeitspanne bis zur Erkennung:mehrere Monate bis Jahre

• Konventionelles Überwachen und Reagieren ist ressourcenintensiv und teuer

Wie reduzieren wir die Zeit bis zur Erkennung?

8

Zielgerichtete Angriffe – Herausforderung #2

• Zielgerichtete Angreifer suchen nach wertvollen Assets (Informationen, Verfügbarkeit von Services, …)

• Diese brauchen besonderen Schutz

• Security-Budget ist begrenzt: Schutz sollte gezielt sein

Welche Ziele verfolgen die Angreifer?

9

Zielgerichtete Angriffe – Herausforderung #3

• Hinter Angriffen stehen Menschen

• Zielgerichtete Angriffe sind oft Auftragsarbeiten

Wer sind die Auftraggeber?

10

Zielgerichtete Angriffe – Herausforderung #4

• Zielgerichtete Angreifer verfolgen hartnäckig ihre Ziele

• Auch die beste Verteidigung ist nicht 100%ig

Wie gehen wir mit dem Restrisiko um?

11

Deception als Antwort

Deception (Täuschung) – Konstruktion einer Scheinwelt für den Angreifer

12

CyberTrap Deception Scenario

Decoys

13

Produktivsysteme

Wie locken wir Angreifer in die Falle?

Initial Compromise

Establish Foothold

Escalate Privileges

Internal Recon

Move Laterally

MaintainPresence

Initial Recon Complete Mission

14

Köder: Zeiger auf Services

Operating System

SMB

(File Share)

Hidden Fileshare

Cached Credentials

Active Network

Connection

TrackDown Documents

RDP

Credential Manager

OS

FTP

Credentials in Ini-File

TrackDown Documents

Telnet / SSH

Scripts

OS

Web-Server

Custom

…

Custom

Serv

ice

Kö

de

rD

eco

y

15

Köder: weitere Beispiele

• Login-Daten für verschiedene Systeme und Applikationen

• Cached Credentials (z.B. Kerberos-Tickets)

• Anwendungs-Shortcuts

• Browser-Favoriten

• Browser-Verlauf

• Browser-Cookies und -Credentials

• Dokumente

• Event-Logs

• Installierte Anwendungen

• Datenbanken

• Connection-Strings für Datenbanken

• Netzwerk-Verbindungen

• Netzwerklaufwerk-Zuordnungen

• Netzwerk-Freigaben

• Telnet und File Transfer Protocol (FTP)-Shortcuts

• SSH-Shortcuts

• Registry-Einträge, …

16

#1 Wie reduzieren wir die Zeit bis zur Angriffserkennung?

• Angreifer bewegen sich im Netz von Host zu Host

• Köder locken sie auf Decoys

• Aktivität auf Decoy führt zu Alert

17

#2 Welche Ziele verfolgen die Angreifer?

• Auf den Decoys werden ihre Handlungen überwacht

• Überwachung erlaubt Nachvollziehen der Such-Aktivitäten• Scan nach weiteren IT-Systemen

• Scan nach Schwachstellen auf einem bestimmten Host

• Konkrete Suche nach bestimmten Dateien, Dateiinhalten

18

#3 Wer sind die Auftraggeber?

• TrackDown Service: Dokumente „telefonieren nach Hause“

19

TrackDown Service

• Informationen:• Client IP

• Windows Username + Hostname

• NTLMv2 Hash -> Passwort

=> Hat bereits mehrfach zu Ermittlungserfolgen geführt!

20

#4 Wie gehen wir mit dem Restrisiko um?

• In dem wir soviel wie möglich über die Angreifer erfahren

=> Threat Intelligence sammeln

21

Arten der Threat Intelligence

22TTPs: Tactics, Techniques and Procedures

Case Study

23

Case Study (1)

• Initial Recon: RDP Dictionary Attacks auf Decoy, von 3 IP-Adressen aus

• Nach 26h: Initial Compromise via RDP

24

Case Study (2)

• Establish Foothold: Erstellung eines Windows Benutzersnet user Default ZUftzyfc9Z /add

net localgroup Administrators Default /add

net localgroup "Remote Desktop Users" Default /add

net accounts /maxpwage:unlimited

• Upload von 01_RDP Admin Restore.exe, zum Platzieren von Backdoors

25

Case Study (3)

Installation „WindowsCertificateService“ (Backdoor)WRITE \windows\media\long\certsvc.exe

WRITE \windows\media\long\paths.cfg

net start WindowsCertificateService

Installation von “WinMediaService” (Backdoor)WRITE \windows\msapss\bin\msapp.exe

net start WinMediaService

26

Case Study (3)

• Löschen von 01_rdp admin restore.exe

• Ausgehende Connections durch msapp.exe zu Command & Control Servern

• Aufruf von wevtutil.exe um die Windows-Logs zu löschen

27

Case Study (4)

• 2 Wochen später: Angreifer kommt von anderer IP zurück und legt sich weitere User an.net user Regi RLhFe73b /add

net user Projeta MuFK4f3g /add

net user Ethan 7hEyUf4P /add

net user Ftptest vH3MskH7 /add

net user Ahha Mt37dYtK /add

28

Case Study (6)

• Nächste Tage: Angreifer loggt sich als „Ahha“ von der IP 178.137.89.8 ein.findstr /m login.yahoo.com *

findstr /m mail.live.com *

findstr /m accounts.google.com *

findstr /m meetme.com *

findstr /m meetic.com *

findstr /m datehookup.com *

findstr /m cupid.com *

29

Case Study (7)

• Angreifer loggt sich als „Projeta“ von der IP 206.248.173.168ein.

• Installiert und started BitcoinMiner

Nscpuminer.exe

• Miner-Start-Skript verrät Emailadresse vehhh@gmail.com

30

Case Study: Zusammenfassung

• Einbruch über brute-force RDP-Attacke (automatisiert)

• Später weitere Benutzer angelegt -> vermutlich verkauft

• Verschiedene Benutzer mit jeweils eigenen Agenden• User 1: Suche nach Login-Daten

• User 2: Installiert und startet Bitcoin-Miner

• …

31

Case Study: Gesammelte Threat Intelligence

• Hashes von Malware-Files• IP-Adressen der Angreifer• Domains• Network Artefacts: C&C-Kommunikation• Tools: Malware-Executables• Tactics, Techniques & Procedures (TTP):

• Brute-force RDP-Scans (automatisiert)

• Anlegen weiterer Benutzer

• Wahrscheinlich Weiterverkaufen der Login-Daten

32

Durch Forschung bereit für zukünftige Angriffe

• Partner im Josef Ressel Zentrumfür konsolidierte Erkennung gezielter Angriffe (TARGET)an der FH Sankt Pölten

https://jrz-target.at

33

JRZ TARGETJOSEF RESSEL CENTERFOR UNIFIED THREAT INTELLIGENCE ON TARGETED ATTACKS

Josef Ressel Zentrum (TARGET)

• Erlaubt wissenschaftliche Verknüpfung von theoretischen Ansätzen mit praktischen Daten

• Aktive Einbindung Studierender:Forschungswerkstatt, Praktika, Abschlussarbeiten, …

34

Danke für Ihre Aufmerksamkeit!

CyberTrap Software GmbH

Komarigasse 14/1

A-2700 Wr. Neustadt

Austria

info@cybertrap.com

M +43 676 840 301 720

T +43 1 890 47 00