際際滷

際際滷Share a Scribd company logo

Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"

Download as PPT, PDF
Defcon Moscow
Defcon Moscow

DC7499

1 of 29
Downloaded 10 times
仄亳亳亶 于亠亠于, HeadLight Security penetest VS. APT
APT (advanced persistent threat) -束仗仂仂礌仆仂 舒亳磳仄舒 亞仂亰舒損 -仂于仂从仗仆仂 仍仂于, 亠仆仂仍仂亞亳亶 于 从仂仆亠从亠 亠舒仍亳亰舒亳亳 舒亞亠亳仂于舒仆仆 舒舒从 仆亠仗仂亠亟于亠仆仆仄 舒亳亠仄 亠仍仂于亠从舒 (仗亠亳舒仍亳舒) pentest (penetration testing) - 仂亟亳仆 亳亰 仄亠仂亟仂于 仗仂于亠亟亠仆亳 舒亟亳舒 亳仆仂仄舒亳仂仆仆仂亶 弍亠亰仂仗舒仆仂亳. pentest vs. APT
APT 于 亳仂从仂仄 仗亠亟舒于仍亠仆亳亳 @Snowden
損 FireEye: https://github.com/fireeye/iocs 損 束丿舒仍舒亶-仂仍舒亶損 https:// meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt- 損 舒弍舒仆舒从, 亳弍亠亠从, 仆仂仆亳仄, 仍亠从亳 https://apt.securelist.com APT 亞仗仗
損 弌弍仂 亳仆仂仄舒亳亳 仂弍 仂弍亠从亠 亠亳仂于舒仆亳 亳仗仂仍亰仂于舒仆亳亠仄 仗弍仍亳仆 亳仂仆亳从仂于 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 于仆亠仆亠亞仂 仗亠亳仄亠舒 損 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 亳亠仄舒, 舒仗仂仍仂亢亠仆仆 仆舒 于仆亠仆亠仄 仗亠亳仄亠亠 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 弍仂 亳仆仂仄舒亳亳 亳从弍亠亰 仗仂 于仆亠仆亳亶 仗亠仆亠
損 仂亳从 亳仄亠ム亠亶 亳仆仂仄舒亳亳 仂弍 亳仆亠亠ム亠仄 仂弍亠从亠 (舒仍 select PRISM select KarmaPolice) 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 于仆亠仆亠亞仂 仗亠亳仄亠舒 仗仂 亰舒舒仆亠亠 仂弍舒仆仆仄 亟舒仆仆仄 (select scans.io||shodan||..) 損 仆仂仆亳仄亳亰舒亳 舒亳从舒 (aka tor) 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 亳亠仄舒, 舒仗仂仍仂亢亠仆仆 仆舒 于仆亠仆亠仄 仗亠亳仄亠亠, 于 .. 0day (eq heartbleed) 損 (仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 )弍仂 亳仆仂仄舒亳亳 損 舒弍仂舒 从仂仄舒仆亟 APT
損 仂亟亞仂仂于从舒 亳 仂亞仍舒仂于舒仆亳亠 仂舒于舒 仗仂于亠仂从, 仂仆仂于舒仆仆 仆舒 仂亳舒仍仆仂亶 亳仆亢亠仆亠亳亳 損 仂于亠亟亠仆亳亠 仂亞仍舒仂于舒仆仆 仗仂于亠仂从 于 仂仆仂亠仆亳亳 仂亟仆亳从仂于 亠仍 仗仂仍亠仆亳 亟仂仗舒 从 亳 舒弍仂亳仄 舒仆亳礆 亳/亳仍亳 仗仂仍亠仆亳 亳 亠仆 亰舒仗亳亠亶 于 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 亳从弍亠亰 仗仂 于仆亠仆亳亶 仗亠仆亠 (仂亳舒仍从舒)
ρ亳亳仆亞, 亳亳仆亞, 仂亳舒仍从舒 ρ仂亳舒仍从舒, 仂亳舒仍从舒, 亳亳仆亞... ρ亳亳仆亞, 仂亳舒仍从舒, 亳亳仆亞 ρ仂亳舒仍从舒, 仂亳舒仍从舒, 亳亳仆亞... ρ亳亳仆亞, 仂亳舒仍从舒, 亳亳仆亞 束91% APT-舒舒从 仂仆仂于舒仆仂 仆舒 亳亳仆亞亠.損 http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ 舒弍仂舒 从仂仄舒仆亟 APT (仂亳舒仍从舒)
損 舒亠仄 从仂亞仂-仂 仍仂仄舒, 从仂亞亟舒 仄仂亢仆仂 从仗亳 束仂从 于仂亟舒損? 舒弍仂舒 从仂仄舒仆亟 APT (于亠 亞仂舒亰亟仂 仗仂亠))
損 个亳亳仆亞 + 于磶从舒 || 舒仂从 舒亶舒 + 于磶从舒 |.. 舒弍仂舒 从仂仄舒仆亟 APT (束于磶从舒損)
損 https://twitter.com/taviso/status/647408764505579520 損 https://twitter.com/taviso/status/649642030893633536 pentest vs. APT
損 π歳夷勤観亶 亳亰仂弍亠舒亠仍亠仆 仗仂 于仂亠仄 John McAfee: China Spies on Airline Passengers Using Covert Android App http:// news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-using-covert-an 舒弍仂舒 从仂仄舒仆亟 APT (more)
損 XCodeGhost Malware http://thehackernews.com/2015/09/ios-malware-cyber-attack.html 舒弍仂舒 从仂仄舒仆亟 APT (more and more)
損 舒亰于亳亳亠 舒舒从亳 仗亠亳仄亠舒 亳仍亳 于仆亠仆仆亳亶 仗亠仆亠 仆仂舒? 仄仂亢亠 于仆亠仆仆亳亶 仗亠仆亠 舒弍仂亠亶 舒仆亳亳 亠亟仆亠舒亳亳亠从仂亞仂 仗仂仍亰仂于舒亠仍? 損 弌弍仂 亳仆仂仄舒亳亳 仂弍 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 損 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 弍仂 亳仆仂仄舒亳亳 損 仂亳亢亠仆亳亠 仗仂舒于仍亠仆仆 亠仍亠亶 亳从弍亠亰 仗仂 于仆亠仆仆亳亶 仗亠仆亠
損 舒亰于亳亳亠 舒舒从亳 仗亠亳仄亠舒 亳仍亳 舒弍仂亠亶 舒仆亳亳 仗仂仍亰仂于舒亠仍? 損 弌弍仂 亳仆仂仄舒亳亳 仂弍 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 (仂仍从仂 亳仂) 損 (?) 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 .. 0day (eq MS14-068) 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶, 亳 弍仂 亳仆仂仄舒亳亳 損 仂亳亢亠仆亳亠 仗仂舒于仍亠仆仆 亠仍亠亶 損 弌仂从亳亠 于仂亠亞仂 仗亳于亳 舒弍仂舒 从仂仄舒仆亟 APT 于仂 于仆亠仆仆亠亶 亠亳
損 https://blog.kaspersky.ru/billion-dollar-apt-carbanak/6950/ 舒弍仂舒 从仂仄舒仆亟 APT
損 弌乘: 仗亳于亳仍亠亞亳亳 && 仂舒仆亠仆亳亠 亠亠于仂亞仂 亟仂仗舒 損 亳仍仂亢亠仆亳 (eq Active Directory) 損 弌 (舒亶仍仂于舒 亳亠仄舒, 仂弍亠从) 損 亳仂 (eq HDD/..) 損 亠于舒亶 (eq 从舒仄亠, 从舒仆亠, 仂亠, ) 損 仂弍亳仍从亳 損 弍仍舒从舒 (!) 損 APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
損 弌乘 -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_kno acis.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
損 仄亠亳从舒仆从亳亠 舒从亠 仆亠舒礌仆仂 仂从仍ム亳仍亳 亳仆亠仆亠 于 弌亳亳亳 于 2012-仄 亞仂亟: http://habrahabr.ru/post/233331/ 舒弍仂舒 从仂仄舒仆亟 APT: 亳 舒从仂亠 弍于舒亠 @Snowden
損 NetIQ 亳 于亠-于亠-于亠 | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
損 丐个 損 HTTP/S && DNS 仗亳仄亠: https://github.com/m57/dnsteal +1 proof: https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
損 C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html 舒弍仂舒 从仂仄舒仆亟 APT: 弌&C
pentest vs. APT
pentest vs. APT
https://www.sans.org/reading-room/whitepapers/detection/60-seconds-wire-malicious-traffic-34307 http://www.sans.org/reading-room/whitepapers/detection/http-header-heuristics-malware-detection-34460 pentest vs. APT
亠仗亠从亳于仆亠 从舒仆舒仍 于仂亟舒 HTTPS && 仍亠亞亳亳仄仆亠 亠于亳 亳仄亠: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail- for-command-control/ APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
損 从舒从-亢亠 于舒亶-舒亶??! http://www.vesti.ru/doc.html?id=1146583 舒弍仂舒 从仂仄舒仆亟 APT 亳 亠亠亰 于舒亶-舒亶
損 仂仄舒仆亟 仗亠仆亠亠仂于 仆亠 仄仂亞 于 仗仂仍仆仂亶 仄亠亠 亳仗仂仍亰仂于舒 仄亠仂亟亳从亳 亳 亳仆仄亠仆 从仂仄舒仆亟 APT 仆亠 于仂亟 亰舒 舒仄从亳 亰舒从仂仆舒. 損 亊于仍亠仆亳亠 APT 仆亢仆仂 舒仄舒亳于舒 亞仂舒亰亟仂 亳亠, 亠仄 仂弍仆 舒舒从 亠亠亰 仆亠仆亠. 損 弌仂亳 仍亳 仗亳 于亠仄 仂仄 仗仂于仂亟亳 亠亞仍仆亠 仗亠仆亠? 損 ! 仂-仍ミ頴笑煮 仂亳 亠亰ミ斜
? 弌仗舒亳弍仂 亰舒 于仆亳仄舒仆亳亠! 仂仗仂? devteev@hlsec.ru http://devteev.blogspot.co m https://twitter.com/devteev

More Related Content

Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"

  • 1. 仄亳亳亶 于亠亠于, HeadLight Security penetest VS. APT
  • 2. APT (advanced persistent threat) -束仗仂仂礌仆仂 舒亳磳仄舒 亞仂亰舒損 -仂于仂从仗仆仂 仍仂于, 亠仆仂仍仂亞亳亶 于 从仂仆亠从亠 亠舒仍亳亰舒亳亳 舒亞亠亳仂于舒仆仆 舒舒从 仆亠仗仂亠亟于亠仆仆仄 舒亳亠仄 亠仍仂于亠从舒 (仗亠亳舒仍亳舒) pentest (penetration testing) - 仂亟亳仆 亳亰 仄亠仂亟仂于 仗仂于亠亟亠仆亳 舒亟亳舒 亳仆仂仄舒亳仂仆仆仂亶 弍亠亰仂仗舒仆仂亳. pentest vs. APT
  • 3. APT 于 亳仂从仂仄 仗亠亟舒于仍亠仆亳亳 @Snowden
  • 4. 損 FireEye: https://github.com/fireeye/iocs 損 束丿舒仍舒亶-仂仍舒亶損 https:// meduza.io/feature/2015/01/13/shaltay-boltay-pobochnyy-produkt- 損 舒弍舒仆舒从, 亳弍亠亠从, 仆仂仆亳仄, 仍亠从亳 https://apt.securelist.com APT 亞仗仗
  • 5. 損 弌弍仂 亳仆仂仄舒亳亳 仂弍 仂弍亠从亠 亠亳仂于舒仆亳 亳仗仂仍亰仂于舒仆亳亠仄 仗弍仍亳仆 亳仂仆亳从仂于 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 于仆亠仆亠亞仂 仗亠亳仄亠舒 損 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 亳亠仄舒, 舒仗仂仍仂亢亠仆仆 仆舒 于仆亠仆亠仄 仗亠亳仄亠亠 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 弍仂 亳仆仂仄舒亳亳 亳从弍亠亰 仗仂 于仆亠仆亳亶 仗亠仆亠
  • 6. 損 仂亳从 亳仄亠ム亠亶 亳仆仂仄舒亳亳 仂弍 亳仆亠亠ム亠仄 仂弍亠从亠 (舒仍 select PRISM select KarmaPolice) 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 于仆亠仆亠亞仂 仗亠亳仄亠舒 仗仂 亰舒舒仆亠亠 仂弍舒仆仆仄 亟舒仆仆仄 (select scans.io||shodan||..) 損 仆仂仆亳仄亳亰舒亳 舒亳从舒 (aka tor) 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 亳亠仄舒, 舒仗仂仍仂亢亠仆仆 仆舒 于仆亠仆亠仄 仗亠亳仄亠亠, 于 .. 0day (eq heartbleed) 損 (仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 )弍仂 亳仆仂仄舒亳亳 損 舒弍仂舒 从仂仄舒仆亟 APT
  • 7. 損 仂亟亞仂仂于从舒 亳 仂亞仍舒仂于舒仆亳亠 仂舒于舒 仗仂于亠仂从, 仂仆仂于舒仆仆 仆舒 仂亳舒仍仆仂亶 亳仆亢亠仆亠亳亳 損 仂于亠亟亠仆亳亠 仂亞仍舒仂于舒仆仆 仗仂于亠仂从 于 仂仆仂亠仆亳亳 仂亟仆亳从仂于 亠仍 仗仂仍亠仆亳 亟仂仗舒 从 亳 舒弍仂亳仄 舒仆亳礆 亳/亳仍亳 仗仂仍亠仆亳 亳 亠仆 亰舒仗亳亠亶 于 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 亳从弍亠亰 仗仂 于仆亠仆亳亶 仗亠仆亠 (仂亳舒仍从舒)
  • 8. ρ亳亳仆亞, 亳亳仆亞, 仂亳舒仍从舒 ρ仂亳舒仍从舒, 仂亳舒仍从舒, 亳亳仆亞... ρ亳亳仆亞, 仂亳舒仍从舒, 亳亳仆亞 ρ仂亳舒仍从舒, 仂亳舒仍从舒, 亳亳仆亞... ρ亳亳仆亞, 仂亳舒仍从舒, 亳亳仆亞 束91% APT-舒舒从 仂仆仂于舒仆仂 仆舒 亳亳仆亞亠.損 http://resources.infosecinstitute.com/whats-worse-apts-or-spear-phishing/ 舒弍仂舒 从仂仄舒仆亟 APT (仂亳舒仍从舒)
  • 9. 損 舒亠仄 从仂亞仂-仂 仍仂仄舒, 从仂亞亟舒 仄仂亢仆仂 从仗亳 束仂从 于仂亟舒損? 舒弍仂舒 从仂仄舒仆亟 APT (于亠 亞仂舒亰亟仂 仗仂亠))
  • 10. 損 个亳亳仆亞 + 于磶从舒 || 舒仂从 舒亶舒 + 于磶从舒 |.. 舒弍仂舒 从仂仄舒仆亟 APT (束于磶从舒損)
  • 12. 損 π歳夷勤観亶 亳亰仂弍亠舒亠仍亠仆 仗仂 于仂亠仄 John McAfee: China Spies on Airline Passengers Using Covert Android App http:// news.softpedia.com/news/john-mcafee-china-spies-on-airline-passengers-using-covert-an 舒弍仂舒 从仂仄舒仆亟 APT (more)
  • 14. 損 舒亰于亳亳亠 舒舒从亳 仗亠亳仄亠舒 亳仍亳 于仆亠仆仆亳亶 仗亠仆亠 仆仂舒? 仄仂亢亠 于仆亠仆仆亳亶 仗亠仆亠 舒弍仂亠亶 舒仆亳亳 亠亟仆亠舒亳亳亠从仂亞仂 仗仂仍亰仂于舒亠仍? 損 弌弍仂 亳仆仂仄舒亳亳 仂弍 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 損 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶 亳 弍仂 亳仆仂仄舒亳亳 損 仂亳亢亠仆亳亠 仗仂舒于仍亠仆仆 亠仍亠亶 亳从弍亠亰 仗仂 于仆亠仆仆亳亶 仗亠仆亠
  • 15. 損 舒亰于亳亳亠 舒舒从亳 仗亠亳仄亠舒 亳仍亳 舒弍仂亠亶 舒仆亳亳 仗仂仍亰仂于舒亠仍? 損 弌弍仂 亳仆仂仄舒亳亳 仂弍 亳仆仂仄舒亳仂仆仆仂亶 亳亠仄亠 損 仆于亠仆舒亳亰舒亳 磶于亳仄仂亠亶 (仂仍从仂 亳仂) 損 (?) 仂亟弍仂 亳亟亠仆亳亳从舒仂仂于 亳 仗舒仂仍亠亶 損 仂亳从 亳 从仗仍舒舒亳 磶于亳仄仂亠亶 于 .. 0day (eq MS14-068) 損 仂于亠仆亳亠 仗亳于亳仍亠亞亳亶, 亳 弍仂 亳仆仂仄舒亳亳 損 仂亳亢亠仆亳亠 仗仂舒于仍亠仆仆 亠仍亠亶 損 弌仂从亳亠 于仂亠亞仂 仗亳于亳 舒弍仂舒 从仂仄舒仆亟 APT 于仂 于仆亠仆仆亠亶 亠亳
  • 17. 損 弌乘: 仗亳于亳仍亠亞亳亳 && 仂舒仆亠仆亳亠 亠亠于仂亞仂 亟仂仗舒 損 亳仍仂亢亠仆亳 (eq Active Directory) 損 弌 (舒亶仍仂于舒 亳亠仄舒, 仂弍亠从) 損 亳仂 (eq HDD/..) 損 亠于舒亶 (eq 从舒仄亠, 从舒仆亠, 仂亠, ) 損 仂弍亳仍从亳 損 弍仍舒从舒 (!) 損 APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
  • 18. 損 弌乘 -> Cisco (SYNful Knock) https://www.fireeye.com/blog/threat-research/2015/09/synful_kno acis.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
  • 19. 損 仄亠亳从舒仆从亳亠 舒从亠 仆亠舒礌仆仂 仂从仍ム亳仍亳 亳仆亠仆亠 于 弌亳亳亳 于 2012-仄 亞仂亟: http://habrahabr.ru/post/233331/ 舒弍仂舒 从仂仄舒仆亟 APT: 亳 舒从仂亠 弍于舒亠 @Snowden
  • 20. 損 NetIQ 亳 于亠-于亠-于亠 | http://devteev.blogspot.ru/2012/03/backdoor-active-directory-iii.html http://devteev.blogspot.ru/2013/06/137.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
  • 21. 損 丐个 損 HTTP/S && DNS 仗亳仄亠: https://github.com/m57/dnsteal +1 proof: https://github.com/nxnrt/WindowsUploadToolkit +2 proof: http://devteev.blogspot.ru/2014/04/binary-backdoor-in-active-directory.html APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
  • 22. 損 C2 = VD$ || webSHELLs https://blog.sucuri.net/2015/09/wordpress-malware- visitortracker-campaign-update.html 舒弍仂舒 从仂仄舒仆亟 APT: 弌&C
  • 26. 亠仗亠从亳于仆亠 从舒仆舒仍 于仂亟舒 HTTPS && 仍亠亞亳亳仄仆亠 亠于亳 亳仄亠: http://www.darknet.org.uk/2015/09/gcat-python-backdoor-using-gmail- for-command-control/ APT: 弌仂从亳亠 于仂亠亞仂 仗亳于亳 亳
  • 27. 損 从舒从-亢亠 于舒亶-舒亶??! http://www.vesti.ru/doc.html?id=1146583 舒弍仂舒 从仂仄舒仆亟 APT 亳 亠亠亰 于舒亶-舒亶
  • 28. 損 仂仄舒仆亟 仗亠仆亠亠仂于 仆亠 仄仂亞 于 仗仂仍仆仂亶 仄亠亠 亳仗仂仍亰仂于舒 仄亠仂亟亳从亳 亳 亳仆仄亠仆 从仂仄舒仆亟 APT 仆亠 于仂亟 亰舒 舒仄从亳 亰舒从仂仆舒. 損 亊于仍亠仆亳亠 APT 仆亢仆仂 舒仄舒亳于舒 亞仂舒亰亟仂 亳亠, 亠仄 仂弍仆 舒舒从 亠亠亰 仆亠仆亠. 損 弌仂亳 仍亳 仗亳 于亠仄 仂仄 仗仂于仂亟亳 亠亞仍仆亠 仗亠仆亠? 損 ! 仂-仍ミ頴笑煮 仂亳 亠亰ミ斜