APT Compass Security V2.0 delivery · Compass Security AG Ivan Bütler, Compass Security
Transcript of APT Compass Security V2.0 delivery · Compass Security AG Ivan Bütler, Compass Security
Compass Security AGwww.csnc.de www.hacking-lab.com
Ivan Bütler, Compass Security
www.csnc.de Seite 2© Compass Security AG
Ivan Bütler, Compass Security
Ivan Bütler
Penetration Testing
Forensic Analysis
APT Detection
National Cyber Security Strategy
National Cyber Security Challenge
www.csnc.de Seite 3© Compass Security AG
www.csnc.de Seite 4© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 5© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 6© Compass Security AG
Hacker Attacken auf Web Anwendungen (Internet Facing)
Direkte Angriffe
BLOCKED
PASSED
BLOCKED
www.csnc.de Seite 7© Compass Security AG
Diese umgehen die Perimeter Security
Indirekte Angriffe
PASSED
www.csnc.de Seite 8© Compass Security AG
Der USB Stick als Waffe
www.csnc.de Seite 9© Compass Security AG
Stuxnet basierte auf USB Stick
www.csnc.de Seite 10© Compass Security AG
Der Stick enthält ein Trojanisches Pferd
www.csnc.de Seite 11© Compass Security AG
Covert Channels
Wie macht es Compass in Pentests?
InternetFirmennetzwerk
Lieferung als USB Stick
Start mit oder ohne Auto-Start
Angreifer kontrolliert den PC des Opfers
www.csnc.de Seite 12© Compass Security AG
Data Exfiltration & Covert Channel
Einfache Exfiltrierung (Home Systeme)
Corporate LAN Internet
www.csnc.de Seite 13© Compass Security AG
Corporate LAN Internet
LAN Proxy
DMZ Proxy
Data Exfiltration & Covert Channel
Exfiltrierung aus Firmen heraus (Proxies)
www.csnc.de Seite 14© Compass Security AG
Word Virus
www.csnc.de Seite 15© Compass Security AG
Hardware Bot Clients
www.csnc.de Seite 16© Compass Security AG
Hardware Bot Clients
GPRS/UMTS
Covert Channel
www.csnc.de Seite 17© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 18© Compass Security AG
www.csnc.de Seite 19© Compass Security AG
Advanced Persistent Threat
Infection Persistence ExfiltrationPrivilege Elevation
Exfiltration II
Increase Network Access
www.csnc.de Seite 20© Compass Security AG
Advanced Persistent Threat
2007 20112009 Today
Erstinfektion
(no local
admin)
C&C
www.csnc.de Seite 21© Compass Security AG
Die Macht der Statistik – 48 Tage
[3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000
Advisory ispublished
54 days
Exploit 6 days
Patch
Compass Security AGwww.csnc.de www.hacking-lab.com
Statistisch gesehen sind alle Firmen regelmässigwährend 48 Tagen verwundbar und diesen Zustandnützen die APT Angreifer aus!
Die Macht der 48 Tage
www.csnc.de Seite 23© Compass Security AG
Advanced Persistent Threat
Command & Control Communication
Client DNS Server
Command File
POLL
Commands
POLL
POLL
Execute commands
C&C
Server
www.csnc.de Seite 24© Compass Security AG
Advanced Persistent Threat
2007 20112009 Today
Erstinfektion
(no local
admin)
C&C
Mit Zero-Day Exploit auf Local Admin
www.csnc.de Seite 25© Compass Security AG
Advanced Persistent Threat
Zombie Host
Zombie Host
Zombie Host
Agent
Agent
Agent
Zombie Host
C&C Server
www.csnc.de Seite 26© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 27© Compass Security AG
Advanced Persistent Threat
Reaktion auf APT ? – C&C Traffic Redirection
Zombie Host
Zombie Host
Zombie Host
Agent
Agent
Agent
Zombie Host
C&C Server
Anti-APT Zombie or C&C Host
RedirectUpdate Service
Problems!!! Updates areEncrypted / SignedReverse Engineering required
www.csnc.de Seite 28© Compass Security AG
Schutzkonzepte
Beten und nichts machen. Wird schonnichts passieren
Versicherung abschliessen. Versicherungverlangt jedoch Nachweis, dass man Best Practice umgesetzt hat.
www.csnc.de Seite 29© Compass Security AG
Schutzkonzepte
Trennung vom Internet der kritischenSysteme. Will man nicht wirklich, weiles aktuell so cool und geekig ist.
Monitoring mit IDS/IPS Next Generation
Compass Security AGwww.csnc.de www.hacking-lab.com
FireEye basiert auch auf Splunk
APT Detection mit Splunk
www.csnc.de Seite 31© Compass Security AG
www.csnc.de Seite 32© Compass Security AG
www.csnc.de Seite 33© Compass Security AG
www.csnc.de Seite 34© Compass Security AG
Splunk Installation in Hacking-Lab
APT Intelligence Engine
www.csnc.de Seite 35© Compass Security AG
Splunk Installation in Hacking-Lab
Lookup Database
www.csnc.de Seite 36© Compass Security AG
Splunk Screenshot
www.csnc.de Seite 37© Compass Security AG
Internet Lookups mit getwatchlist
Malware Domains (DNS Source)� Malware Domains http://malwaredomains.com/
� | getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true | outputlookup malwaredomains.csv
Mandiant Sources� http://www.joshd.ca/sites/default/files/mandiant-apt1-indicators-list.txt
� sourcetype=dns_query OR sourcetype=proxy [ | inputlookup mandiant-apt1-indicators.csv MANDIANT-APT1-DOMAIN | fields + $MANDIANT-APT1-DOMAIN ]
ZeuS Tracker, Dshield, Spamhaus� ZeuS tracker IP list http://www.abuse.ch/zeustracker/
� DShield recommended block list http://dshield.org/
� Spamhaus DROP list http://www.spamhaus.org/drop/
www.csnc.de Seite 38© Compass Security AG
Malwaredomains
| getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true proxyHost=192.168.200.204 proxyPort=3128 | outputlookup malwaredomains.csv
www.csnc.de Seite 39© Compass Security AG
Mandiant Source
www.csnc.de Seite 40© Compass Security AG
ZeuS Tracker
| getwatchlist http://www.abuse.ch/zeustracker/blocklist.php? download=ipblocklist proxyHost=192.168.200.204 proxyPort=3128 | outputlookup zeus.csv
www.csnc.de Seite 41© Compass Security AG
Malware Samples
Malware Sample Acquisition Cycle � Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser,
DNS/ssdeep hashes extraction -> Splunk Source
www.csnc.de Seite 42© Compass Security AG
Open Indicators of Compromise (OpenIOC)
Improvement trough modified samples� ssdeep (http://ssdeep.sourceforge.net/) hashes for fuzzy detection of modified
malware samples
� May be used for automatic generation of OpenIOC indicators (http://www.openioc.org/)
www.csnc.de Seite 43© Compass Security AG
OpenIOC XML File Format
www.csnc.de Seite 44© Compass Security AG
IP Reputation (Honeypot DB)
Compass Security AGwww.csnc.de www.hacking-lab.com
Voraussetzungen für dieseAnalysen sind ‘gute’ Logfiles
www.csnc.de Seite 46© Compass Security AG
Forensic Readiness
Correlation across tier (Simplified illustration)
www.csnc.de Seite 47© Compass Security AG
Splunk Installation in Hacking-Lab
Lookup DatabaseSandbox
Infrastructure
Attachments
www.csnc.de Seite 48© Compass Security AG
Live Analysis
Cuckoo Sandboxing Analysis
www.csnc.de Seite 49© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 50© Compass Security AG
Bedrohungs Pyramide
„Justa Few“
AdvancedPersistent Threat
Professional actors,
Cyber criminals
Traditional Hacking threats, Development of tools
User of Hacking tools
Most frequent threats
Huge security market available
Au
tom
ate
Most dangerous threats
Probability of damage for high-value
targets relativly high.
Inv
es
t ion
res
so
urc
es
www.csnc.de Seite 51© Compass Security AG
www.csnc.de Seite 52© Compass Security AG
www.csnc.de Seite 53© Compass Security AG
www.csnc.de Seite 54© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
� Zusammenfassung
www.csnc.de Seite 55© Compass Security AG
Wie müssen Penetration Tester
� Testing von APT ohne “Schadware”
� Unabhängig von Metasploit und allfälligerViren Erkennung
� Unterstützung vieler verschieder Covert Channels
www.csnc.de Seite 56© Compass Security AG
Compass APT Testing Framework
www.csnc.de Seite 57© Compass Security AG
Compass APT Testing Framework
Step Up Funktion� Non-Admin zu Admin Erhöhung
C&C Server� Mit oder ohne Verschlüsselung
Malware Client� Anti Reverse Engineering
� Anti VM (Vmware, VirtualBox)
� Code Obfuscation
Covert Channel� HTTP Tunnel
� ICA Tunnel (Citrix)
� DNS Tunnel
www.csnc.de Seite 58© Compass Security AG
Agenda
� Einführung “Direkte versus Indirekte Attacken”
� Was ist ein APT Angriff?
� Welche Schutzkonzepte bieten sich an?
� Braucht Deutschland Cyber Security Spezialisten?
� Wie sieht der Penetration Test NG aus?
�Zusammenfassung
www.csnc.de Seite 59© Compass Security AG
Zusammenfassung
� Wir befinden uns aktuell in einem Cyber Wettrüsten
� Wir können uns nicht 100% schützen
� APT Detection Framework bieten den nächsten Schutzlevel an
� Funktionieren diese auch wie geplant?
� Compass Security bleibt für Sie am Ball (Angewandte Forschung)
� Wir unterstützen Sie bei professionellen Security Tests
� Wir entwickeln unsere Tests laufend weiter
� Wir freuen uns nun auf das kühle Bier!