APT Detection mit Splunk (Beer-Talk Jona, Ivan
Transcrição
APT Detection mit Splunk (Beer-Talk Jona, Ivan
Ivan Bütler, Compass Security Compass Security AG www.csnc.de www.hacking-lab.com Ivan Bütler, Compass Security Ivan Bütler Penetration Testing Forensic Analysis APT Detection National Cyber Security Strategy National Cyber Security Challenge © Compass Security AG www.csnc.de Seite 2 © Compass Security AG www.csnc.de Seite 3 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 4 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 5 Direkte Angriffe Hacker Attacken auf Web Anwendungen (Internet Facing) BLOCKED PASSED BLOCKED © Compass Security AG www.csnc.de Seite 6 Indirekte Angriffe Diese umgehen die Perimeter Security PASSED © Compass Security AG www.csnc.de Seite 7 Der USB Stick als Waffe © Compass Security AG www.csnc.de Seite 8 Stuxnet basierte auf USB Stick © Compass Security AG www.csnc.de Seite 9 Der Stick enthält ein Trojanisches Pferd © Compass Security AG www.csnc.de Seite 10 Wie macht es Compass in Pentests? Covert Channels Lieferung als USB Stick Angreifer kontrolliert den PC des Opfers Start mit oder ohne Auto-Start Firmennetzwerk © Compass Security AG Internet www.csnc.de Seite 11 Data Exfiltration & Covert Channel Einfache Exfiltrierung (Home Systeme) Internet Corporate LAN © Compass Security AG www.csnc.de Seite 12 Data Exfiltration & Covert Channel Exfiltrierung aus Firmen heraus (Proxies) LAN Proxy Corporate LAN Internet DMZ Proxy © Compass Security AG www.csnc.de Seite 13 Word Virus Mail © Compass Security AG www.csnc.de Seite 14 Hardware Bot Clients © Compass Security AG www.csnc.de Seite 15 Hardware Bot Clients GPRS/UMTS Covert Channel © Compass Security AG www.csnc.de Seite 16 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 17 © Compass Security AG www.csnc.de Seite 18 Advanced Persistent Threat Infection Persistence © Compass Security AG Exfiltration Privilege Elevation www.csnc.de Exfiltration II Increase Network Access Seite 19 Advanced Persistent Threat 2007 2011 2009 Today Erstinfektion (no local admin) C&C © Compass Security AG www.csnc.de Seite 20 Die Macht der Statistik – 48 Tage Advisory is published Patch Exploit 54 days 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since 2000 © Compass Security AG www.csnc.de Seite 21 Die Macht der 48 Tage Statistisch gesehen sind alle Firmen regelmässig während 48 Tagen verwundbar und diesen Zustand nützen die APT Angreifer aus! Compass Security AG www.csnc.de www.hacking-lab.com Advanced Persistent Threat Command & Control Communication C&C Server DNS Server Client POLL POLL POLL Command File Commands Execute commands © Compass Security AG www.csnc.de Seite 23 Advanced Persistent Threat 2007 Erstinfektion (no local admin) 2011 2009 Today Mit Zero-Day Exploit auf Local Admin C&C © Compass Security AG www.csnc.de Seite 24 Advanced Persistent Threat Agent Zombie Host Zombie Host Agent C&C Server Agent Zombie Host © Compass Security AG Zombie Host www.csnc.de Seite 25 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 26 Advanced Persistent Threat Reaktion auf APT ? – C&C Traffic Redirection Agent Zombie Host Zombie Host Agent Redirect Update Service C&C Server Agent Zombie Host Problems!!! Updates are Encrypted / Signed Reverse Engineering required © Compass Security AG Zombie Host Anti-APT Zombie or C&C Host www.csnc.de Seite 27 Schutzkonzepte Beten und nichts machen. Wird schon nichts passieren Versicherung abschliessen. Versicherung verlangt jedoch Nachweis, dass man Best Practice umgesetzt hat. © Compass Security AG www.csnc.de Seite 28 Schutzkonzepte Trennung vom Internet der kritischen Systeme. Will man nicht wirklich, weil es aktuell so cool und geekig ist. Monitoring mit IDS/IPS Next Generation © Compass Security AG www.csnc.de Seite 29 APT Detection mit Splunk FireEye basiert auch auf Splunk Compass Security AG www.csnc.de www.hacking-lab.com © Compass Security AG www.csnc.de Seite 31 © Compass Security AG www.csnc.de Seite 32 © Compass Security AG www.csnc.de Seite 33 Splunk Installation in Hacking-Lab APT Intelligence Engine © Compass Security AG www.csnc.de Seite 34 Splunk Installation in Hacking-Lab Lookup Database © Compass Security AG www.csnc.de Seite 35 Splunk Screenshot © Compass Security AG www.csnc.de Seite 36 Internet Lookups mit getwatchlist Malware Domains (DNS Source) Malware Domains http://malwaredomains.com/ | getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true | outputlookup malwaredomains.csv Mandiant Sources http://www.joshd.ca/sites/default/files/mandiant-apt1-indicators-list.txt sourcetype=dns_query OR sourcetype=proxy [ | inputlookup mandiant-apt1indicators.csv MANDIANT-APT1-DOMAIN | fields + $MANDIANT-APT1DOMAIN ] ZeuS Tracker, Dshield, Spamhaus ZeuS tracker IP list http://www.abuse.ch/zeustracker/ DShield recommended block list http://dshield.org/ Spamhaus DROP list http://www.spamhaus.org/drop/ © Compass Security AG www.csnc.de Seite 37 Malwaredomains | getwatchlist http://mirror1.malwaredomains.com/files/domains.txt relevantFieldName="domain" relevantFieldCol=3 categoryCol=4 referenceCol=5 dateCol=6 isbad=true proxyHost=192.168.200.204 proxyPort=3128 | outputlookup malwaredomains.csv © Compass Security AG www.csnc.de Seite 38 Mandiant Source © Compass Security AG www.csnc.de Seite 39 ZeuS Tracker | getwatchlist http://www.abuse.ch/zeustracker/blocklist.php? download=ipblocklist proxyHost=192.168.200.204 proxyPort=3128 | outputlookup zeus.csv © Compass Security AG www.csnc.de Seite 40 Malware Samples Malware Sample Acquisition Cycle Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser, DNS/ssdeep hashes extraction -> Splunk Source © Compass Security AG www.csnc.de Seite 41 Open Indicators of Compromise (OpenIOC) Improvement trough modified samples ssdeep (http://ssdeep.sourceforge.net/) hashes for fuzzy detection of modified malware samples May be used for automatic generation of OpenIOC indicators (http://www.openioc.org/) © Compass Security AG www.csnc.de Seite 42 OpenIOC XML File Format © Compass Security AG www.csnc.de Seite 43 IP Reputation (Honeypot DB) © Compass Security AG www.csnc.de Seite 44 Voraussetzungen für diese Analysen sind ‘gute’ Logfiles Compass Security AG www.csnc.de www.hacking-lab.com Forensic Readiness Correlation across tier (Simplified illustration) © Compass Security AG www.csnc.de Seite 46 Splunk Installation in Hacking-Lab Attachments Sandbox Infrastructure © Compass Security AG Lookup Database www.csnc.de Seite 47 Live Analysis Cuckoo Sandboxing Analysis © Compass Security AG www.csnc.de Seite 48 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 49 Bedrohungs Pyramide Most dangerous threats „Just a Few“ Advanced Persistent Threat Professional actors, Most frequent threats Cyber criminals Automate Huge security market available Traditional Hacking threats, Development of tools Invest ion ressources Probability of damage for high-value targets relativly high. User of Hacking tools © Compass Security AG www.csnc.de Seite 50 © Compass Security AG www.csnc.de Seite 51 © Compass Security AG www.csnc.de Seite 52 © Compass Security AG www.csnc.de Seite 53 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 54 Wie müssen Penetration Tester Testing von APT ohne “Schadware” Unabhängig von Metasploit und allfälliger Viren Erkennung Unterstützung vieler verschieder Covert Channels © Compass Security AG www.csnc.de Seite 55 Compass APT Testing Framework © Compass Security AG www.csnc.de Seite 56 Compass APT Testing Framework Step Up Funktion Non-Admin zu Admin Erhöhung C&C Server Mit oder ohne Verschlüsselung Malware Client Anti Reverse Engineering Anti VM (Vmware, VirtualBox) Code Obfuscation Covert Channel HTTP Tunnel ICA Tunnel (Citrix) DNS Tunnel © Compass Security AG www.csnc.de Seite 57 Agenda Einführung “Direkte versus Indirekte Attacken” Was ist ein APT Angriff? Welche Schutzkonzepte bieten sich an? Braucht Deutschland Cyber Security Spezialisten? Wie sieht der Penetration Test NG aus? Zusammenfassung © Compass Security AG www.csnc.de Seite 58 Zusammenfassung Wir befinden uns aktuell in einem Cyber Wettrüsten Wir können uns nicht 100% schützen APT Detection Framework bieten den nächsten Schutzlevel an Funktionieren diese auch wie geplant? Compass Security bleibt für Sie am Ball (Angewandte Forschung) Wir unterstützen Sie bei professionellen Security Tests Wir entwickeln unsere Tests laufend weiter Wir freuen uns nun auf das kühle Bier! © Compass Security AG www.csnc.de Seite 59