Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki eksfiltracji danych.
1. Niech dane pozostaną z Tobą!
Sieciowe techniki eksfiltracji danych.
Leszek Miś - IT Security Architect
2. Krótko o mnie
● IT Security Architect / Trener @ Defensive-Security
● VP, Cyber Security @ Collective-Sense
● Offensive Security Certified Professional (OSCP)
● Red Hat Certified Architect/RHCSS/RHCX/Sec+
● Skupiam się głównie na :
○ Linux & Web Application Security
○ Penetration testing / security audits
○ Threat hunting
○ Hardened IT Infrastructure (SSO/IdM)
○ Virtualization/Cloud/automation envs
3. Zagrożenia kryją się wszędzie
● Eksploitacja OS / serwisów / usług / aplikacji
● Niepoprawna konfiguracja
● Krytyczne błędy w aplikacjach webowych
● Omijanie FW/AV/IDS
● Publiczny/łatwy nieautoryzowany dostęp do zasobów prywatnych
● Eksfiltracja danych oraz ukrywanie dostępu
● Niepoprawna architektura sieciowa
● Błędy bezpieczeństwa w środowisku desktopowym: Office / przeglądarka
● Kieszenie pełne błędów : urządzenia mobilne (Armia ARMów)
● Socjotechnika
4. Proaktywna analiza i ocena zagrożeń
● Elementy tzw. “Threat huntingu”:
○ “Kto? Co? Gdzie? Kiedy? Jak? Dlaczego?”
■ Aktywna analiza logów i zdarzeń systemowych
■ Behawioralna analiza zachowań użytkowników
■ Wykrywanie podatności / identyfikacja ścieżek ataków
■ Okresowa analiza pamięci RAM
■ Wielopoziomowa analiza ruchu sieciowego
6. Źródła sygnałów dla Machine/Deep Learning
Collectors
Logs
Netflows
Deep Packet
Inspection
Delays
DNS Records
Active
Compliance
Scans
Ingestion
Real-time
behavior model
Anomaly Detection
using DL
High performance
columnar storage
Query engine
UI
Message
Queue
Real-time
processing
Storage and
analytics
7. Eksfiltracja danych
● Element procesu posteksploitacyjnego:
○ Tunelowanie ruchu sieciowego → ukrywanie przesyłanych danych
○ “Pivoting” / “Forwarding” / “Routing”
○ Rootkitowanie / backdoorowanie systemów i usług
● Popularne metody i protokoły w użyciu:
○ DNS
○ ICMP
○ TCP / UDP
○ HTTP / HTTPS
○ SSH / SCP / SFTP
○ Gmail / Slack / Twitter
○ ...
8. Eksfiltracja danych - DNS
● Wewnętrzne serwery DNS w użyciu → analiza klientów i ich zachowania:
○ Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
○ .onion // .exit
○ Rekordy whois
● Śledzenie zapytań DNS pod kątem typów rekordów → TXT / MX?
● Narzędzia:
○ NSTX
○ Dns2tcp
○ Dnscat2
○ Iodine
○ OzymanDNS
○ Dnsteal
○ Polecenie nslookup/dig w pętli for :)
9. Eksfiltracja danych - ICMP
● Protokół kojarzący się zazwyczaj z narzędziem ‘ping’
● ICMP echo requests:
○ Wyzwalacz startu: ^BOF
○ Wyzwalacz zakończenia: ^EOF
● Narzędzia:
○ ICMPtunnel
○ Icmpv6
○ ICMP_exif / nping
10. Eksfiltracja danych - TCP / UDP
● Dlaczego stacja X łączy się do publicznego adresu IP na ‘egzotycznym’ porcie:
○ 54321/udp ?
○ 12345/tcp ?
● Podstawowe wykrywanie TOR:
○ Aktualizowane listy IP exit-nodów
○ Port 900X/tcp
● Ograniczenie ruch wychodzącego tylko do portów 80/443/tcp
11. Eksfiltracja danych - HTTP
● Podstawowy protokół wykorzystywany w połączeniach C2
● Forward SSL Proxy dla HTTPS → logi
● Wykrywanie żądań HTTP/HTTPS bezpośrednio do adresu IP (bez DNS):
○ „egzotyczne” QUERY_URI, specyficzne zapytania, Open Redirect
● Narzędzia:
○ Httptunnel
○ Tunna
○ XSShell / XSStunnel
○ Netcat relay
12. Eksfiltracja danych - pozostałe
● Bazujące na:
○ Powershell
○ Netsh
○ NAT
○ Meterpreter / metasploit → route / forward
○ SSH:
■ Local port forwarding
■ Remote port forwarding
■ Dynamic -> Socks / proxychains
13. Eksfiltracja danych - pozostałe
● Przykłady:
○ RDP poprzez SSH
○ HTTP poprzez SMB
○ HTTPS poprzez 64123/tcp
○ SMB poprzez SSH
15. Niekompletne podsumowanie - co jeszcze istotne?
● Moduł aktywnej ochrony bazujący na Machine Learning/Deep Learning
● Listy kontroli dostępu na FW/NGFW, bramkach, serwerach proxy, DNS RPZ
● Blokowanie dostępu wychodzącego do adresacji DSL, lokalnych dostawców
internetowych, adresacji dostawców usług mobilnych
● Alexa Top 1 Milion najpopularniejszych domen → whitelist?
● Aktualizacja systemów i urządzeń → ale to oczywiste :>
● Aktywne skanowanie pod kątem CVE / niepoprawnej konfiguracji
● Fizyczna segmentacja infrastruktury
● Monitorowanie domen pod kątem:
○ Typosquatting
○ Bitsquatting
○ PunyCode
16. Co dalej z tymi danymi?
● Na sprzedaż:
○ Police Forum → 700k rekordów użytkowników
● Dla okupu:
○ Ransomware
● Dla wywiadu:
○ Upublicznianie exploitów
● Google dork:
○ ‘pastebin database dump’