Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.

1. Niech dane pozostaną z Tobą!
Sieciowe techniki eksfiltracji danych.
Leszek Miś - IT Security Architect

2. Krótko o mnie
● IT Security Architect / Trener @ Defensive-Security
● VP, Cyber Security @ Collective-Sense
● Offensive Security Certified Professional (OSCP)
● Red Hat Certified Architect/RHCSS/RHCX/Sec+
● Skupiam się głównie na :
○ Linux & Web Application Security
○ Penetration testing / security audits
○ Threat hunting
○ Hardened IT Infrastructure (SSO/IdM)
○ Virtualization/Cloud/automation envs

3. Zagrożenia kryją się wszędzie
● Eksploitacja OS / serwisów / usług / aplikacji
● Niepoprawna konfiguracja
● Krytyczne błędy w aplikacjach webowych
● Omijanie FW/AV/IDS
● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych
● Eksfiltracja danych oraz ukrywanie dostępu
● Niepoprawna architektura sieciowa
● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka
● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów)
● Socjotechnika

4. Proaktywna analiza i ocena zagrożeń
● Elementy tzw. “Threat huntingu”:
○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?”
■ Aktywna analiza logów i zdarzeń systemowych
■ Behawioralna analiza zachowań użytkowników
■ Wykrywanie podatności / identyfikacja ścieżek ataków
■ Okresowa analiza pamięci RAM
■ Wielopoziomowa analiza ruchu sieciowego

5. Proaktywna analiza i ocena zagrożeń
● Wielopoziomowa analiza ruchu sieciowego:
■ Packet_Headers → Full_Packet_Capture
■ Netflows
■ Passive_DNS / Passive_TLS
■ Passive_HTTP → HTTPS
■ Sygnatury / Security feeds / listy reputacyjne
■ SNMP
■ Periodyczne skanowanie portów
■ Whois_records / GEO

6. Źródła sygnałów dla Machine/Deep Learning
Collectors
Logs
Netflows
Deep Packet
Inspection
Delays
DNS Records
Active
Compliance
Scans
Ingestion
Real-time
behavior model
Anomaly Detection
using DL
High performance
columnar storage
Query engine
UI
Message
Queue
Real-time
processing
Storage and
analytics

7. Eksfiltracja danych
● Element procesu posteksploitacyjnego:
○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych
○ “Pivoting” / “Forwarding” / “Routing”
○ Rootkitowanie / backdoorowanie systemów i usług
● Popularne metody i protokoły w użyciu:
○ DNS
○ ICMP
○ TCP / UDP
○ HTTP / HTTPS
○ SSH / SCP / SFTP
○ Gmail / Slack / Twitter
○ ...

8. Eksfiltracja danych - DNS
● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania:
○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
○ .onion // .exit
○ Rekordy whois
● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX?
● Narzędzia:
○ NSTX
○ Dns2tcp
○ Dnscat2
○ Iodine
○ OzymanDNS
○ Dnsteal
○ Polecenie nslookup/dig w pętli for :)

9. Eksfiltracja danych - ICMP
● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’
● ICMP echo requests:
○ Wyzwalacz startu: ^BOF
○ Wyzwalacz zakończenia: ^EOF
● Narzędzia:
○ ICMPtunnel
○ Icmpv6
○ ICMP_exif / nping

10. Eksfiltracja danych - TCP / UDP
● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie:
○ 54321/udp ?
○ 12345/tcp ?
● Podstawowe wykrywanie TOR:
○ Aktualizowane listy IP exit-nodów
○ Port 900X/tcp
● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp

11. Eksfiltracja danych - HTTP
● Podstawowy protokół wykorzystywany w połączeniach C2
● Forward SSL Proxy dla HTTPS → logi
● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS):
○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect
● Narzędzia:
○ Httptunnel
○ Tunna
○ XSShell / XSStunnel
○ Netcat relay

12. Eksfiltracja danych - pozostałe
● Bazujące na:
○ Powershell
○ Netsh
○ NAT
○ Meterpreter / metasploit → route / forward
○ SSH:
■ Local port forwarding
■ Remote port forwarding
■ Dynamic -> Socks / proxychains

13. Eksfiltracja danych - pozostałe
● Przykłady:
○ RDP poprzez SSH
○ HTTP poprzez SMB
○ HTTPS poprzez 64123/tcp
○ SMB poprzez SSH

14. Eksfiltracja danych - serwisy w cloudzie
● Gmail
● Slack
● Twitter
● Dropbox
● Pastebin
● Github
● Youtube
● ...

15. Niekompletne podsumowanie - co jeszcze istotne?
● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning
● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ
● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców
internetowych, adresacji dostawców usług mobilnych
● Alexa Top 1 Milion najpopularniejszych domen → whitelist?
● Aktualizacja systemów i urządzeń → ale to oczywiste :>
● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji
● Fizyczna segmentacja infrastruktury
● Monitorowanie domen pod kątem:
○ Typosquatting
○ Bitsquatting
○ PunyCode

16. Co dalej z tymi danymi?
● Na sprzedaż:
○ Police Forum → 700k rekordów użytkowników
● Dla okupu:
○ Ransomware
● Dla wywiadu:
○ Upublicznianie exploitów
● Google dork:
○ ‘pastebin database dump’

17. Pytania?
lm@collective-sense.com
lm@defensive-security.com
@cronym

18. Kod rabatowy 20%: ESD2017
Open Source Defensive Security Training
22-24.08 - Kraków
22-24.11 - Warszawa

19. ● Doskonała widoczność bazująca na wielu kolektorach
● Behawioralna analiza ruchu sieciowego
● Hybrydowe wykrywanie anomalii bazujące na ML/DL
● Moduł aktywnej ochrony typu 0-day
● Modularny, responsywny interfejs webowy
●
www.collective-sense.com