Compass Security AGwww.csnc.de www.hacking-lab.com

Ivan Bütler, Compass Security

www.csnc.de Seite 2© Compass Security AG

Ivan Bütler, Compass Security

Ivan Bütler

Penetration Testing

Forensic Analysis

APT Detection

National Cyber Security Strategy

National Cyber Security Challenge

www.csnc.de Seite 3© Compass Security AG

www.csnc.de Seite 4© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 5© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 6© Compass Security AG

Hacker Attacken auf Web Anwendungen (Internet Facing)

Direkte Angriffe

BLOCKED

PASSED

BLOCKED

www.csnc.de Seite 7© Compass Security AG

Diese umgehen die Perimeter Security

Indirekte Angriffe

PASSED

www.csnc.de Seite 8© Compass Security AG

Der USB Stick als Waffe

www.csnc.de Seite 9© Compass Security AG

Stuxnet basierte auf USB Stick

www.csnc.de Seite 10© Compass Security AG

Der Stick enthält ein Trojanisches Pferd

www.csnc.de Seite 11© Compass Security AG

Covert Channels

Wie macht es Compass in Pentests?

InternetFirmennetzwerk

Lieferung als USB Stick

Start mit oder ohne Auto-Start

Angreifer kontrolliert den PC des Opfers

www.csnc.de Seite 12© Compass Security AG

Data Exfiltration & Covert Channel

Einfache Exfiltrierung (Home Systeme)

Corporate LAN Internet

www.csnc.de Seite 13© Compass Security AG

Corporate LAN Internet

LAN Proxy

DMZ Proxy

Data Exfiltration & Covert Channel

Exfiltrierung aus Firmen heraus (Proxies)

www.csnc.de Seite 14© Compass Security AG

Word Virus

Mail

www.csnc.de Seite 15© Compass Security AG

Hardware Bot Clients

www.csnc.de Seite 16© Compass Security AG

Hardware Bot Clients

GPRS/UMTS

Covert Channel

www.csnc.de Seite 17© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 18© Compass Security AG

www.csnc.de Seite 19© Compass Security AG

Advanced Persistent Threat

Infection Persistence ExfiltrationPrivilege Elevation

Exfiltration II

Increase Network Access

www.csnc.de Seite 20© Compass Security AG

Advanced Persistent Threat

2007 20112009 Today

Erstinfektion

(no local

admin)

C&C

www.csnc.de Seite 21© Compass Security AG

Die Macht der Statistik – 48 Tage

[3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000

Advisory ispublished

54 days

Exploit 6 days

Patch

Compass Security AGwww.csnc.de www.hacking-lab.com

Statistisch gesehen sind alle Firmen regelmässigwährend 48 Tagen verwundbar und diesen Zustandnützen die APT Angreifer aus!

Die Macht der 48 Tage

www.csnc.de Seite 23© Compass Security AG

Advanced Persistent Threat

Command & Control Communication

Client DNS Server

Command File

POLL

Commands

POLL

POLL

Execute commands

C&C

Server

www.csnc.de Seite 24© Compass Security AG

Advanced Persistent Threat

2007 20112009 Today

Erstinfektion

(no local

admin)

C&C

Mit Zero-Day Exploit auf Local Admin

www.csnc.de Seite 25© Compass Security AG

Advanced Persistent Threat

Zombie Host

Zombie Host

Zombie Host

Agent

Agent

Agent

Zombie Host

C&C Server

www.csnc.de Seite 26© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 27© Compass Security AG

Advanced Persistent Threat

Reaktion auf APT ? – C&C Traffic Redirection

Zombie Host

Zombie Host

Zombie Host

Agent

Agent

Agent

Zombie Host

C&C Server

Anti-APT Zombie or C&C Host

RedirectUpdate Service

Problems!!! Updates areEncrypted / SignedReverse Engineering required

www.csnc.de Seite 28© Compass Security AG

Schutzkonzepte

Beten und nichts machen. Wird schonnichts passieren

Versicherung abschliessen. Versicherungverlangt jedoch Nachweis, dass man Best Practice umgesetzt hat.

www.csnc.de Seite 29© Compass Security AG

Schutzkonzepte

Trennung vom Internet der kritischenSysteme. Will man nicht wirklich, weiles aktuell so cool und geekig ist.

Monitoring mit IDS/IPS Next Generation

Compass Security AGwww.csnc.de www.hacking-lab.com

FireEye basiert auch auf Splunk

APT Detection mit Splunk

www.csnc.de Seite 31© Compass Security AG

www.csnc.de Seite 32© Compass Security AG

www.csnc.de Seite 33© Compass Security AG

www.csnc.de Seite 34© Compass Security AG

Splunk Installation in Hacking-Lab

APT Intelligence Engine

www.csnc.de Seite 35© Compass Security AG

Splunk Installation in Hacking-Lab

Lookup Database

www.csnc.de Seite 36© Compass Security AG

Splunk Screenshot

www.csnc.de Seite 37© Compass Security AG

Internet Lookups mit getwatchlist

Malware Domains (DNS Source)� Malware Domains http://malwaredomains.com/

� | getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true | outputlookup malwaredomains.csv

Mandiant Sources� http://www.joshd.ca/sites/default/files/mandiant-apt1-indicators-list.txt

� sourcetype=dns_query OR sourcetype=proxy [ | inputlookup mandiant-apt1-indicators.csv MANDIANT-APT1-DOMAIN | fields + $MANDIANT-APT1-DOMAIN ]

ZeuS Tracker, Dshield, Spamhaus� ZeuS tracker IP list http://www.abuse.ch/zeustracker/

� DShield recommended block list http://dshield.org/

� Spamhaus DROP list http://www.spamhaus.org/drop/

www.csnc.de Seite 38© Compass Security AG

Malwaredomains

| getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true proxyHost=192.168.200.204 proxyPort=3128 | outputlookup malwaredomains.csv

www.csnc.de Seite 39© Compass Security AG

Mandiant Source

www.csnc.de Seite 40© Compass Security AG

ZeuS Tracker

| getwatchlist http://www.abuse.ch/zeustracker/blocklist.php? download=ipblocklist proxyHost=192.168.200.204 proxyPort=3128 | outputlookup zeus.csv

www.csnc.de Seite 41© Compass Security AG

Malware Samples

Malware Sample Acquisition Cycle � Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser,

DNS/ssdeep hashes extraction -> Splunk Source

www.csnc.de Seite 42© Compass Security AG

Open Indicators of Compromise (OpenIOC)

Improvement trough modified samples� ssdeep (http://ssdeep.sourceforge.net/) hashes for fuzzy detection of modified

malware samples

� May be used for automatic generation of OpenIOC indicators (http://www.openioc.org/)

www.csnc.de Seite 43© Compass Security AG

OpenIOC XML File Format

www.csnc.de Seite 44© Compass Security AG

IP Reputation (Honeypot DB)

Compass Security AGwww.csnc.de www.hacking-lab.com

Voraussetzungen für dieseAnalysen sind ‘gute’ Logfiles

www.csnc.de Seite 46© Compass Security AG

Forensic Readiness

Correlation across tier (Simplified illustration)

www.csnc.de Seite 47© Compass Security AG

Splunk Installation in Hacking-Lab

Lookup DatabaseSandbox

Infrastructure

Attachments

www.csnc.de Seite 48© Compass Security AG

Live Analysis

Cuckoo Sandboxing Analysis

www.csnc.de Seite 49© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 50© Compass Security AG

Bedrohungs Pyramide

„Justa Few“

AdvancedPersistent Threat

Professional actors,

Cyber criminals

Traditional Hacking threats, Development of tools

User of Hacking tools

Most frequent threats

Huge security market available

Au

tom

ate

Most dangerous threats

Probability of damage for high-value

targets relativly high.

Inv

es

t ion

res

so

urc

es

www.csnc.de Seite 51© Compass Security AG

www.csnc.de Seite 52© Compass Security AG

www.csnc.de Seite 53© Compass Security AG

www.csnc.de Seite 54© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

� Zusammenfassung

www.csnc.de Seite 55© Compass Security AG

Wie müssen Penetration Tester

� Testing von APT ohne “Schadware”

� Unabhängig von Metasploit und allfälligerViren Erkennung

� Unterstützung vieler verschieder Covert Channels

www.csnc.de Seite 56© Compass Security AG

Compass APT Testing Framework

www.csnc.de Seite 57© Compass Security AG

Compass APT Testing Framework

Step Up Funktion� Non-Admin zu Admin Erhöhung

C&C Server� Mit oder ohne Verschlüsselung

Malware Client� Anti Reverse Engineering

� Anti VM (Vmware, VirtualBox)

� Code Obfuscation

Covert Channel� HTTP Tunnel

� ICA Tunnel (Citrix)

� DNS Tunnel

www.csnc.de Seite 58© Compass Security AG

Agenda

� Einführung “Direkte versus Indirekte Attacken”

� Was ist ein APT Angriff?

� Welche Schutzkonzepte bieten sich an?

� Braucht Deutschland Cyber Security Spezialisten?

� Wie sieht der Penetration Test NG aus?

�Zusammenfassung

www.csnc.de Seite 59© Compass Security AG

Zusammenfassung

� Wir befinden uns aktuell in einem Cyber Wettrüsten

� Wir können uns nicht 100% schützen

� APT Detection Framework bieten den nächsten Schutzlevel an

� Funktionieren diese auch wie geplant?

� Compass Security bleibt für Sie am Ball (Angewandte Forschung)

� Wir unterstützen Sie bei professionellen Security Tests

� Wir entwickeln unsere Tests laufend weiter

� Wir freuen uns nun auf das kühle Bier!