Embed Size (px)
Citation preview
Zen y el arte de pescar APTs
Antonio Sanz
Information Security Consultant
@antoniosanzalc
http://www.securityartwork.es
http://www.s2grupo.es
#neocom2015
http://bit.ly/1zvNTKh
1. ¿ Qué es una APT ?
APTs: Advanced Persistent Threats
Atacantes con capacidad, recursos y un objetivo
Capacidades, recursos y objetivos
Financiadas por estados o grupos importantes
Ej de APT: (Buscar). Entrar hasta la cocina y llevarse hasta los yogures caducados
Ej APT: Lockheed Martin + F 35
Preparación
Detección
Contención
Preservación
Análisis
Erradicación
Lecciones aprendidas
Basado en hechos (casi)
reales
2. Preparación
Llaman a los bomberos (nosotros)
Equipo de dirección
La fuga sale del equipo directivo
Arquitectura de seguridad correcta
Han hecho bien las cosas
en seguridad
3. Detección
Recogemos logs
Correo Proxy Antivirus VPN Eventos Windows
Últimos 3 meses: 200 Gb
Detección de anomalías Detección de anomalías
Generamos una
baseline
Filtrado de resultados
Examinamos lo que destaca
2014-11-05 14:44:58 UTC 192.168.39.134:49260 XXX.XXX.XXX.XXX:80
www.period1co.es POST /nacional/noticias/comentarios.php
POST – Director de ventas
IP: Director de marketing
2014-11-01 12:34:18 UTC 192.168.39.134:34320 XXX.XXX.XXX.XXX:80 www.period1co.es GET /imagenes/nacional/logo.jpg
Creamos reglas de Snort para detectar el dominio y la imagen
4. Contención
No hacemos nada … por ahora
VLAN separada + SPAN
Creamos VLAN + Habilitamos SPAN
5. Preservación
Hay que tener en cuenta la
legalidad vigente
Volcado de RAM -> DumpIT Volcamos la RAM con DumpIT
Para el disco Clonadora hardware
Portátil unibody LiveCD ( SIFT ) + dcfldd
6. Análisis
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
Recuperamos logo.jpg de la
caché del navegador
La imagen tiene datos extra ocultos !Esteganografía!
Analizamos el volcado de
la RAM con Volatility
pslist, psscan, connections -> dlllist + dlldump
Offset(P) Local Address Remote Address Pid --------- -------------------- ----------------------- ------ 0x0ea7a1 192.168.39.134:49260 XXX.XXX.XXX.XXX:80 2136
Base Size Path ------------------ ------------ --- 0x000000ff53000 0x23000 C:\Windows\kernel32.dll
Pid 2136 = svchost.exe
Generamos un IoC IocFinder
Desplegamos el IoC vía GPO
.dll Reversing
Capturamos POST del pc infectado
Lorem ,ZGwg ipsum ,dGV4f ad, G8ZX his ,MgbG scripta ,EgY2 blandit
Lorem ,ZGwg ipsum ,dGV4f ad ,G8ZX his ,MgbG scripta ,EgY2 blandit
ZWwgdGV4dG8gZXMg bGEgY29udHJhc2XDsWENCg ==
Lorem ,ZGwg ipsum ,dGV4f ad ,G8ZX his ,MgbG scripta ,EgY2 blandit
Resultados del reversing
- Uso de Schannel.dll - Cadena AKCMDDC4-B2132 - ComputerName
Desciframos POST: CREDENCIALES (OWA, VPN) Keylogger
Credenciales OWA y VPN
Revocamos accesos del director de marketing
Desciframos logo.jpg SendPass
Logo.jpg SendPass
Objetivo: Pasar
desapercibidos
Los “malos” han instalado un Keylogger en el equipo del director de marketing
Keylogger en el equipo del director de marketing
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
Repasamos logs OWA y VPN Portátil con 3G
Rastreamos accesos Equipo con 3G
Inicios de sesión en Windows Anomalías
Accesos anómalos Bilocación
VPN rusa ( VPN over VPN )
Acceso a OWA / VPN en horario laboral
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
El buzón de correo está limpio
Las pasarelas de correo dicen otra cosa
Exfiltración de correos con documentos (y un affair)
Exfiltración usando correos similares
CMS = Sharepoint ( logging ON )
Extraemos de la imagen forense el NTuser.dat
MRU = Most Recent Used items
Se han llevado TODO
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
Timeline de eventos
Primera descarga de logo.jpg
Primera comunicación POST contra www.period1co.es
Accesos desde la VPN al OWA
Accesos desde la VPN al Sharepoint
Dos meses trufados
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
Revisamos el portátil de cabo a rabo
0-day ?
¿ Han usado un 0-day ?
Obtenemos el SYSTEM del
registro USBDeview
Buscando en el despacho del director …
Buscando en el despacho del director …
¿Cómo?
¿Dónde?
¿Qué?
¿Cuándo?
¿Quién?
¿Por qué?
Elección del blanco más sencillo
Envío del paquete como merchandising
Dominio comprado con tarjetas falsas
Datos de VPN imposibles de obtener
La VPN no se puede rastrear
Se elige no denunciar
Se elige no denunciar
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
No podemos demostrar quién ha sido
( por mucho que nos j… )
7. Erradicación
Se da otro PC al director de marketing
Destruímos el equipo
Controlamos todos los USB conectados
Cambiamos las contraseñas
8. Lecciones aprendidas
Amenazas cada vez más complejas
Hay que controlar todos los caminos
Detección avanzada:
Sistemas de correlación
Detección de anomalias
Hay que detectar las anomalías
Ten un responsable de seguridad
@antoniosanzalc - http://bit.ly/1zvNTKh
Trust no one
