Catch Me If You Can. Eivind Utnes Christian A. H. Hansen HackCon#12

Transkript

1 Catch Me If You Can Eivind Utnes Christian A. H. Hansen HackCon#12

2 /> whoami Eivind Utnes Senior Christian August Holm Hansen Sikkerhetsrådgiver

3 Disclaimer Dette foredraget tar for seg ekte hendelser, men eksemplene er fiktive, laget for å representere svakheter og nødvendige tiltak. Navn, domener og IP adresser har blitt endret for å beskytte de skyldige, og enhver likhet med eksisterende systemer er helt tilfeldig. Dette er vanlige feil, og dersom du kjenner deg igjen i noen av disse eksemplene er du ikke alene. Men du burde kanskje fikse det. ;-)

4 Scope Dette foredraget tar «Assume Breach» som et utgangspunkt tar for seg en ekstern (remote) angriper tar for et typisk norsk bedriftsnettverk (les: Windows) tar for seg vanlige feil som blir gjort i bedrifters nettverk tar for seg tiltak som avverget eller forsinket angrep tar ikke for seg hvordan tilgangen er oppnådd

5 MITRE ATT&CK Adversarial Tactics, Techniques & Common Knowledge Recon Weaponize Deliver Exploit Control Execute Maintain Løst basert på Lockheed Martins Cyber Kill Chain Vår metodikk er selvlaget, men fungerer parallelt med Mitres ATT&CK metodikk.

6 MITRE ATT&CK Recon Weaponize Deliver Exploit Control Execute Maintain Recon Linkedin, Nettside, Facebook, Shodan, etc. Weaponize Makroer Deliver Phishing Exploit AV bypass

7 Phishing-statistikk 2016 Generisk Spear-phishing Ikke klikket Klikket på lenke/vedlegg Ikke klikket Klikket på lenke/vedlegg

8 MITRE ATT&CK Recon Weaponize Deliver Exploit Control Execute Maintain Control Execute Maintain Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Execution Collection Exfiltration Command and Control

9 Påstand De fleste norske virksomheter vil bli totalt kompromittert dersom en sofistikert angriper setter seg dette som mål

10 First look + Persistence Nettverk Lokaladministrator Hardware Persistence (kanskje) Våre trojanere ligger i minnet Hvis maskinen med trojaneren blir slått av er vi ute

11 Discovery LDAP+DNS=WIN Domenekontrolleren vet «alt» Alle brukere har tilgang til «alle» objekter i Active Directory Maskinnavn Brukerkontoer Hvor er SQL-serveren? Hvor er brukerkonto X logget inn? Hvor har brukerkonto Y tilgang? Hvor er administratorbrukerne logget inn? Hva er korteste vei fra nåværende maskin til domeneadministrator?

12 Discovery

13 Defense Evasion + C&C Bruker kjente protokoller til C&C HTTPS med gyldige sertifikater Bruker kjente protokoller internt SMB RDP Få maskiner snakker ut til C&C Lett å unngå å trigge overvåkning Unngå portscanning Minimer spredning etter initiell infeksjon Bruk LDAP-spørringer til å velge mål SQL, Domain Admin etc.

14 Privilege Escalation Lokaladministrator Bypass UAC Infisert bruker er lokaladministrator angriper har alle tilganger på systemet Brute force Vinter2017 Firmanavn1 Passord == Brukernavn Brukes kun hvis vi MÅ Sårbarheter Svært sjelden

15 Credential Access Mimikatz - passord i minnet (< Windows 10) Passordhåndteringsverktøy Clipboard hijacking Keylogging Passord i minnet (KeePass) Passord lagret i nettleser Passord lagret på filshares/desktops Passord i AD description-felt

16 Credential Access

17 Credential Access

18 Lateral Movement Forventet Gjest Manglende tilgangsstyring En «vanlig» brukerkonto har tilgang til alle klientmaskiner En «vanlig» brukerkonto har tilgang til servermaskiner Manglende segmentering Flat nettverksstruktur Segmentering!= subnetting Klient Admin Server DMZ Faktisk Gjest «Alt» Målet er domain admin Kan ta over hele nettverket, ting utenfor domenet blir før eller siden logget inn på av en bruker, dette kan overvåkes. 2-3 Servere

19 Lateral Movement

20 Execution/Collection/Exfiltration Hvis domeneadministrator Game over «alt» kan hentes ut Angrepskode via Group Policy Hvis ikke Gå etter enkeltbrukere med rettigheter Vi gjør vanligvis ikke dette, men går kun etter forhåndsbestemte mål

21 Så hva gjør du? Beskytt Segmenter Overvåk

22 Beskytt klientmaskiner Patch, patch, patch? 0-days, shcmerodays. Utdaterte systemer (XP/2000 == <3) Begrense rettigheter Lokaladministrator Powershell/CMD Hvitelisting Hvitelisting av applikasjoner Hvitelisting av trafikk Deaktivering av makroer

23 Beskytt brukerkontoer To-faktor auth OWA VPN Etc Tilby passordhåndteringsverktøy Lastpass 1Password

24 Beskytt administratorkontoer Domeneadministratorer Hvem har disse rettighetene? Hva brukes de til? Hvor ofte brukes de? Hvilke maskiner logger de inn på? Servicekontoer Gruppemedlemskap Gamle, glemte kontoer

25 Segmentering Husk: Segmentering!= subnetting Begrense trafikk mellom nett Klientmaskiner trenger ikke RDP-tilgang til AD-servere Isoler kritiske systemer Blokker internettilgang Domenekontrollere Servere Administrasjonssystemer Etc.

26 Overvåkning Logg alt Windows Events Firewall IDS Powershell Alarmer Vaktordning SIEM

27 Rutiner Definer ansvarsområder Hva gjøres når alarmen går Hvem skrur av servere/tjenester ved angrep Hvem skrur av produksjonsmiljø ved angrep Hvem kan kalle inn bistand

28 Oppsummering Anta at nettverket alt er kompromittert. Fjern rettigheter fra brukere Begrens bruken av administratorbrukere 2FA på eksponerte tjenester Segmenter nettverket Overvåk alt!

29 /> contact Eivind Christian August Holm Hansen