ݺߣ

ݺߣShare a Scribd company logo

Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.

L
Leszek Mi?

Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.

1 of 19
Download to read offline
Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych. Leszek Miś - IT Security Architect
Krótko o mnie ● IT Security Architect / Trener @ Defensive-Security ● VP, Cyber Security @ Collective-Sense ● Offensive Security Certified Professional (OSCP) ● Red Hat Certified Architect/RHCSS/RHCX/Sec+ ● Skupiam się głównie na : ○ Linux & Web Application Security ○ Penetration testing / security audits ○ Threat hunting ○ Hardened IT Infrastructure (SSO/IdM) ○ Virtualization/Cloud/automation envs
Zagrożenia kryją się wszędzie ● Eksploitacja OS / serwisów / usług / aplikacji ● Niepoprawna konfiguracja ● Krytyczne błędy w aplikacjach webowych ● Omijanie FW/AV/IDS ● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych ● Eksfiltracja danych oraz ukrywanie dostępu ● Niepoprawna architektura sieciowa ● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka ● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów) ● Socjotechnika
Proaktywna analiza i ocena zagrożeń ● Elementy tzw. “Threat huntingu”: ○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?” ■ Aktywna analiza logów i zdarzeń systemowych ■ Behawioralna analiza zachowań użytkowników ■ Wykrywanie podatności / identyfikacja ścieżek ataków ■ Okresowa analiza pamięci RAM ■ Wielopoziomowa analiza ruchu sieciowego
Proaktywna analiza i ocena zagrożeń ● Wielopoziomowa analiza ruchu sieciowego: ■ Packet_Headers → Full_Packet_Capture ■ Netflows ■ Passive_DNS / Passive_TLS ■ Passive_HTTP → HTTPS ■ Sygnatury / Security feeds / listy reputacyjne ■ SNMP ■ Periodyczne skanowanie portów ■ Whois_records / GEO
Źródła sygnałów dla Machine/Deep Learning Collectors Logs Netflows Deep Packet Inspection Delays DNS Records Active Compliance Scans Ingestion Real-time behavior model Anomaly Detection using DL High performance columnar storage Query engine UI Message Queue Real-time processing Storage and analytics
Eksfiltracja danych ● Element procesu posteksploitacyjnego: ○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych ○ “Pivoting” / “Forwarding” / “Routing” ○ Rootkitowanie / backdoorowanie systemów i usług ● Popularne metody i protokoły w użyciu: ○ DNS ○ ICMP ○ TCP / UDP ○ HTTP / HTTPS ○ SSH / SCP / SFTP ○ Gmail / Slack / Twitter ○ ...
Eksfiltracja danych - DNS ● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania: ○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ○ .onion // .exit ○ Rekordy whois ● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX? ● Narzędzia: ○ NSTX ○ Dns2tcp ○ Dnscat2 ○ Iodine ○ OzymanDNS ○ Dnsteal ○ Polecenie nslookup/dig w pętli for :)
Eksfiltracja danych - ICMP ● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’ ● ICMP echo requests: ○ Wyzwalacz startu: ^BOF ○ Wyzwalacz zakończenia: ^EOF ● Narzędzia: ○ ICMPtunnel ○ Icmpv6 ○ ICMP_exif / nping
Eksfiltracja danych - TCP / UDP ● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie: ○ 54321/udp ? ○ 12345/tcp ? ● Podstawowe wykrywanie TOR: ○ Aktualizowane listy IP exit-nodów ○ Port 900X/tcp ● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp
Eksfiltracja danych - HTTP ● Podstawowy protokół wykorzystywany w połączeniach C2 ● Forward SSL Proxy dla HTTPS → logi ● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS): ○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect ● Narzędzia: ○ Httptunnel ○ Tunna ○ XSShell / XSStunnel ○ Netcat relay
Eksfiltracja danych - pozostałe ● Bazujące na: ○ Powershell ○ Netsh ○ NAT ○ Meterpreter / metasploit → route / forward ○ SSH: ■ Local port forwarding ■ Remote port forwarding ■ Dynamic -> Socks / proxychains
Eksfiltracja danych - pozostałe ● Przykłady: ○ RDP poprzez SSH ○ HTTP poprzez SMB ○ HTTPS poprzez 64123/tcp ○ SMB poprzez SSH
Eksfiltracja danych - serwisy w cloudzie ● Gmail ● Slack ● Twitter ● Dropbox ● Pastebin ● Github ● Youtube ● ...
Niekompletne podsumowanie - co jeszcze istotne? ● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning ● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ ● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców internetowych, adresacji dostawców usług mobilnych ● Alexa Top 1 Milion najpopularniejszych domen → whitelist? ● Aktualizacja systemów i urządzeń → ale to oczywiste :> ● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji ● Fizyczna segmentacja infrastruktury ● Monitorowanie domen pod kątem: ○ Typosquatting ○ Bitsquatting ○ PunyCode
Co dalej z tymi danymi? ● Na sprzedaż: ○ Police Forum → 700k rekordów użytkowników ● Dla okupu: ○ Ransomware ● Dla wywiadu: ○ Upublicznianie exploitów ● Google dork: ○ ‘pastebin database dump’
Pytania? lm@collective-sense.com lm@defensive-security.com @cronym
Kod rabatowy 20%: ESD2017 Open Source Defensive Security Training 22-24.08 - Kraków 22-24.11 - Warszawa
● Doskonała widoczność bazująca na wielu kolektorach ● Behawioralna analiza ruchu sieciowego ● Hybrydowe wykrywanie anomalii bazujące na ML/DL ● Moduł aktywnej ochrony typu 0-day ● Modularny, responsywny interfejs webowy ● www.collective-sense.com

Recommended

NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
Leszek Mi?
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Leszek Mi?
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PROIDEA
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PROIDEA
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Michał Smereczyński
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PROIDEA
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
PROIDEA
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
Logicaltrust pl
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PROIDEA
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Grzegorz Gałęzowski
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
OWASP
Devops security
Devops securityDevops security
Devops security
Logicaltrust pl
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
👨🏻‍💻 Albert Wolszon
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
Logicaltrust pl
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTP
XSolve
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Leszek Mi?
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"
Pawel Krawczyk
Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4
Piotr Szmielew
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PROIDEA
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL version
Maciej Lasyk
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PROIDEA
DTrace
DTraceDTrace
DTrace
Marcin Kula
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
Kamil Grabowski
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
Piotr Kaźmierczak
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
LeszekMis

More Related Content

What's hot (16)

Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
Logicaltrust pl
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PROIDEA
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Grzegorz Gałęzowski
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
OWASP
Devops security
Devops securityDevops security
Devops security
Logicaltrust pl
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
👨🏻‍💻 Albert Wolszon
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
Logicaltrust pl
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTP
XSolve
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Leszek Mi?
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"
Pawel Krawczyk
Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4
Piotr Szmielew
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PROIDEA
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL version
Maciej Lasyk
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
Logicaltrust pl
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PROIDEA
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Grzegorz Gałęzowski
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
OWASP
Devops security
Devops securityDevops security
Devops security
Logicaltrust pl
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
👨🏻‍💻 Albert Wolszon
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
Logicaltrust pl
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Logicaltrust pl
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTP
XSolve
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Leszek Mi?
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"
Pawel Krawczyk
Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych - wykład 4
Piotr Szmielew
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PROIDEA
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL version
Maciej Lasyk

Similar to Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych. (20)

Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PROIDEA
DTrace
DTraceDTrace
DTrace
Marcin Kula
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
Kamil Grabowski
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
Piotr Kaźmierczak
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
LeszekMis
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Sektor 3.0
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Krzysztof Binkowski
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl
3camp
It od kuchni w nokaut.pl
It od kuchni w nokaut.plIt od kuchni w nokaut.pl
It od kuchni w nokaut.pl
Przemyslaw Wroblewski
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
PROIDEA
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PROIDEA
Space Wars Hack - Class #1
Space Wars Hack - Class #1Space Wars Hack - Class #1
Space Wars Hack - Class #1
Piotr Pawlak
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące Internet
Katedra Informatyki Ekonomicznej UG
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierci
Divante
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PROIDEA
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
PROIDEA
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PROIDEA
DTrace
DTraceDTrace
DTrace
Marcin Kula
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
Kamil Grabowski
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
Piotr Kaźmierczak
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
LeszekMis
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Sektor 3.0
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Krzysztof Binkowski
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl IT od kuchni w Nokaut.pl
IT od kuchni w Nokaut.pl
3camp
It od kuchni w nokaut.pl
It od kuchni w nokaut.plIt od kuchni w nokaut.pl
It od kuchni w nokaut.pl
Przemyslaw Wroblewski
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
PROIDEA
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PLNOG 8: Maciej Kubat - Nowe możliwości w zarządzaniu sieciami
PROIDEA
Space Wars Hack - Class #1
Space Wars Hack - Class #1Space Wars Hack - Class #1
Space Wars Hack - Class #1
Piotr Pawlak
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące Internet
Katedra Informatyki Ekonomicznej UG
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierci
Divante
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PROIDEA
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
4Developers2016: Artur Kalinowski Wyciek Danych w aplikacjach
PROIDEA

Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.

  • 1. Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych. Leszek Miś - IT Security Architect
  • 2. Krótko o mnie ● IT Security Architect / Trener @ Defensive-Security ● VP, Cyber Security @ Collective-Sense ● Offensive Security Certified Professional (OSCP) ● Red Hat Certified Architect/RHCSS/RHCX/Sec+ ● Skupiam się głównie na : ○ Linux & Web Application Security ○ Penetration testing / security audits ○ Threat hunting ○ Hardened IT Infrastructure (SSO/IdM) ○ Virtualization/Cloud/automation envs
  • 3. Zagrożenia kryją się wszędzie ● Eksploitacja OS / serwisów / usług / aplikacji ● Niepoprawna konfiguracja ● Krytyczne błędy w aplikacjach webowych ● Omijanie FW/AV/IDS ● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych ● Eksfiltracja danych oraz ukrywanie dostępu ● Niepoprawna architektura sieciowa ● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka ● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów) ● Socjotechnika
  • 4. Proaktywna analiza i ocena zagrożeń ● Elementy tzw. “Threat huntingu”: ○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?” ■ Aktywna analiza logów i zdarzeń systemowych ■ Behawioralna analiza zachowań użytkowników ■ Wykrywanie podatności / identyfikacja ścieżek ataków ■ Okresowa analiza pamięci RAM ■ Wielopoziomowa analiza ruchu sieciowego
  • 5. Proaktywna analiza i ocena zagrożeń ● Wielopoziomowa analiza ruchu sieciowego: ■ Packet_Headers → Full_Packet_Capture ■ Netflows ■ Passive_DNS / Passive_TLS ■ Passive_HTTP → HTTPS ■ Sygnatury / Security feeds / listy reputacyjne ■ SNMP ■ Periodyczne skanowanie portów ■ Whois_records / GEO
  • 6. Źródła sygnałów dla Machine/Deep Learning Collectors Logs Netflows Deep Packet Inspection Delays DNS Records Active Compliance Scans Ingestion Real-time behavior model Anomaly Detection using DL High performance columnar storage Query engine UI Message Queue Real-time processing Storage and analytics
  • 7. Eksfiltracja danych ● Element procesu posteksploitacyjnego: ○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych ○ “Pivoting” / “Forwarding” / “Routing” ○ Rootkitowanie / backdoorowanie systemów i usług ● Popularne metody i protokoły w użyciu: ○ DNS ○ ICMP ○ TCP / UDP ○ HTTP / HTTPS ○ SSH / SCP / SFTP ○ Gmail / Slack / Twitter ○ ...
  • 8. Eksfiltracja danych - DNS ● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania: ○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ○ .onion // .exit ○ Rekordy whois ● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX? ● Narzędzia: ○ NSTX ○ Dns2tcp ○ Dnscat2 ○ Iodine ○ OzymanDNS ○ Dnsteal ○ Polecenie nslookup/dig w pętli for :)
  • 9. Eksfiltracja danych - ICMP ● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’ ● ICMP echo requests: ○ Wyzwalacz startu: ^BOF ○ Wyzwalacz zakończenia: ^EOF ● Narzędzia: ○ ICMPtunnel ○ Icmpv6 ○ ICMP_exif / nping
  • 10. Eksfiltracja danych - TCP / UDP ● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie: ○ 54321/udp ? ○ 12345/tcp ? ● Podstawowe wykrywanie TOR: ○ Aktualizowane listy IP exit-nodów ○ Port 900X/tcp ● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp
  • 11. Eksfiltracja danych - HTTP ● Podstawowy protokół wykorzystywany w połączeniach C2 ● Forward SSL Proxy dla HTTPS → logi ● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS): ○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect ● Narzędzia: ○ Httptunnel ○ Tunna ○ XSShell / XSStunnel ○ Netcat relay
  • 12. Eksfiltracja danych - pozostałe ● Bazujące na: ○ Powershell ○ Netsh ○ NAT ○ Meterpreter / metasploit → route / forward ○ SSH: ■ Local port forwarding ■ Remote port forwarding ■ Dynamic -> Socks / proxychains
  • 13. Eksfiltracja danych - pozostałe ● Przykłady: ○ RDP poprzez SSH ○ HTTP poprzez SMB ○ HTTPS poprzez 64123/tcp ○ SMB poprzez SSH
  • 14. Eksfiltracja danych - serwisy w cloudzie ● Gmail ● Slack ● Twitter ● Dropbox ● Pastebin ● Github ● Youtube ● ...
  • 15. Niekompletne podsumowanie - co jeszcze istotne? ● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning ● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ ● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców internetowych, adresacji dostawców usług mobilnych ● Alexa Top 1 Milion najpopularniejszych domen → whitelist? ● Aktualizacja systemów i urządzeń → ale to oczywiste :> ● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji ● Fizyczna segmentacja infrastruktury ● Monitorowanie domen pod kątem: ○ Typosquatting ○ Bitsquatting ○ PunyCode
  • 16. Co dalej z tymi danymi? ● Na sprzedaż: ○ Police Forum → 700k rekordów użytkowników ● Dla okupu: ○ Ransomware ● Dla wywiadu: ○ Upublicznianie exploitów ● Google dork: ○ ‘pastebin database dump’
  • 18. Kod rabatowy 20%: ESD2017 Open Source Defensive Security Training 22-24.08 - Kraków 22-24.11 - Warszawa
  • 19. ● Doskonała widoczność bazująca na wielu kolektorach ● Behawioralna analiza ruchu sieciowego ● Hybrydowe wykrywanie anomalii bazujące na ML/DL ● Moduł aktywnej ochrony typu 0-day ● Modularny, responsywny interfejs webowy ● www.collective-sense.com