SlideShare a Scribd company logo

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

Download as PPTX, PDF
Dmitry Evteev
Dmitry Evteev

http://2013.infoforum.ru/master-class-evteev/

Related slideshows

Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
1 of 56
История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр. Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
О чем пойдет речь Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена ​банкротом после хакерской атаки. Подробнее: http://en.wikipedia.org/wiki/DigiNotar В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar. Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
Чем примечателен инцидент Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!) • TippingPoint 50 IPS • Nokia firewall appliance (Check Point Firewall-1 / VPN-1) • Балансировщик нагрузки • Инфраструктура на базе Microsoft Windows • RSA Certificate Manager (eq RSA Keon) • Symantec AntiVirus • Сегментация сети с подмножеством ДМЗ • Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия) • Реализованы процессы обеспечения непрерывности бизнеса • …
Архитектура информационной системы
Сетевая топология информационной системы
Но несмотря на реализованные контроли…
Разбираем подробно Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
С чего все началось Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070 = Padding Oracle Attack
Padding Oracle Attack Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером. Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and- the-net-padding-oracle-attack.html
Анализируй то Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
Анализируй это Июнь 2011 Август 2011 Июль 2011 Сентябрь 2010 Март 2008
«Реакция админов – такая реакция» (с)
В продолжение об уязвимостях DotNetNuke Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh arepoint_et_dotnetnuke/index.html
Внедрение внешних XML-сущностей: перспективный сценарий развития атаки Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. Подробнее: https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
Про веб-безопасность в цифрах (1/3) Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (2/3) Сайты с различными типами CMS, содержащие критические уязвимости http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (3/3) Доли уязвимых сайтов из различных отраслей экономики http://www.ptsecurity.ru/download/статистика RU.pdf
Методы поиска уязвимостей в веб-приложениях «Черным-ящиком» • Инвентаризация известных уязвимостей • Fuzzing «Белым-ящиком» • Аудит используемых приложений и конфигураций • Ручной и автоматизированный поиск уязвимостей в коде
Пост-эксплуатация: выполнение команд Псевдотерминал • Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list) Интерактивный терминал • Пример: Tiny Shell (https://github.com/creaktive/tsh/) «Транспорт» • Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
Отступление: как это работает
Практическое занятие 1 Проведите атаку на веб-сервер с IP-адресом 192.168.0.10 Добейтесь возможности выполнения команд на пограничном веб-сервере
Сценарий атаки на DigiNotar: шаг 1
Пост-эксплуатация Текущие привилегии - IUSR_MachineName Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации Развитие атаки к другим хостам с имеющимися привилегиями
Пост-эксплуатация: повышение привилегий msf :: meterpreter :: MS09-012, MS10-015... Immunity CANVAS :: MOSDEF CORE Impact, SAINT Exploit Pack Другие источники: • public eq exploit-db.com • private …
Пост-эксплуатация: подбор паролей Список имеющихся идентификаторов + TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
Пост-эксплуатация: сбор доступной информации Такая безопасность является повсеместной (!)
Сценарий атаки на DigiNotar: шаг 2
Практическое занятие 2 Добейтесь повышения своих привилегий на пограничном веб-сервере Получите RDP-доступ к пограничному веб-серверу Подключитесь к СУБД MSSQL под пользователем Bapi01usr
Пост-эксплуатация Текущие привилегии – Пользователь на MSSQL 2005 Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации по базам данных
Пост-эксплуатация: повышение привилегий Например - MS09-004
Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar
Пост-эксплуатация: сбор информации о сети Из списка файлов (см. 4.3.3 Suspicious files): • nc.exe (аналог telnet) http://netcat.sourceforge.net/ • PortQry.exe (аналог nmap) http://support.microsoft.com/kb/310099/ru • putty.exe (потребовался ssh?) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Пост-эксплуатация: организация «транспорта» TrojXX.exe Аналог – Revinetd (http://revinetd.sourceforge.net/)
Отступление: как это работает
Отступление: История из жизни
Практическое занятие 3 Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2 Получите RDP-доступ к серверу базы данных
Сценарий атаки на DigiNotar: шаг 3
Пост-эксплуатация Текущие привилегии – SYSTEM Использование привилегий для сбора доступной информации • SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage... «Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak- eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0 Развитие атаки к другим хостам с имеющимися знаниями Развитие атаки к другим хостам на более низком уровне
Пост-эксплуатация: использование привилегий Локальный администратор с идентичным паролем на разных серверах (!) Сценарии использования: • LM&NTLM hashes -> rainbow tables -> auto pwn • LM&NTLM hashes -> pass-the-hash -> auto pwn • plain password -> auto pwn Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
Пост-эксплуатация: сбор информации Из списка файлов (см. 4.3.3 Suspicious files): • cachedump.exe http://www.openwall.com/john/contrib/cachedump-1.2.zip • PwDump.exe http://www.foofus.net/~fizzgig/pwdump/ • mimi.zip http://blog.gentilkiwi.com/mimikatz
Отступление: cain & abel
Отступление: когда хватает привилегий MITM, прослушивание открытых протоколов, RDP… Понижение уровня проверки подлинности, Challenge Spoofing Authentication Capture (HTTP NTLM, …) Netbios spoofing Fake Update, ISR-evilgrade http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html http://www.infobyte.com.ar/
Отступление: Relay-атаки
Отступление: Relay-атаки нового поколения ZackAttack (https://github.com/zfasel/ZackAttack)
Пост-эксплуатация Злоумышленник всегда выберет наиболее простой сценарий атаки
И другие методы… Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
Практическое занятие 4 Получите права администратора домена DNPRODUCTIE Получите RDP-доступ к контроллеру домена
Сценарий атаки на DigiNotar: шаг 4
Пост-эксплуатация: использование привилегий Из списка файлов: • ldap.msi (LDAP-транспорт) • SQLServer2005_SSMSEE.msi (MSSQL-транспорт) • psexec.exe http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx • rsa_cm_68.zip (CA management) • darpi.zip (DigiNotar Abonnementen Registratie) • bapi.zip (Dutch tax administration)
Сценарий атаки на DigiNotar: шаг 5
Сценарий атаки на DigiNotar: game over
Как злоумышленники сумели выдать новые сертификаты?
Практическое занятие 5 Выпустите сертификат на доменное имя google.com 
Рассуждая про кибервойны и вселенские заговоры
Вместо заключения Основные мишени для достижения цели • «соседи» на хостинг площадках • партнерские и смежные сети регионов Основные пути проведения атаки • использование уязвимостей веб-приложений • подбор паролей Огромная проблема ИБ – повсеместная некомпетентность/халатность Многие атаки являются массовыми и носят случайных характер
Спасибо за внимание! devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev

More Related Content

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

  • 1. История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр. Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  • 2. О чем пойдет речь Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена ​банкротом после хакерской атаки. Подробнее: http://en.wikipedia.org/wiki/DigiNotar В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar. Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
  • 3. Чем примечателен инцидент Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!) • TippingPoint 50 IPS • Nokia firewall appliance (Check Point Firewall-1 / VPN-1) • Балансировщик нагрузки • Инфраструктура на базе Microsoft Windows • RSA Certificate Manager (eq RSA Keon) • Symantec AntiVirus • Сегментация сети с подмножеством ДМЗ • Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия) • Реализованы процессы обеспечения непрерывности бизнеса • …
  • 6. Но несмотря на реализованные контроли…
  • 7. Разбираем подробно Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
  • 8. С чего все началось Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070 = Padding Oracle Attack
  • 9. Padding Oracle Attack Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером. Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and- the-net-padding-oracle-attack.html
  • 10. Анализируй то Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
  • 11. Анализируй это Июнь 2011 Август 2011 Июль 2011 Сентябрь 2010 Март 2008
  • 12. «Реакция админов – такая реакция» (с)
  • 13. В продолжение об уязвимостях DotNetNuke Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh arepoint_et_dotnetnuke/index.html
  • 14. Внедрение внешних XML-сущностей: перспективный сценарий развития атаки Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. Подробнее: https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
  • 15. Про веб-безопасность в цифрах (1/3) Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска http://www.ptsecurity.ru/download/статистика RU.pdf
  • 16. Про веб-безопасность в цифрах (2/3) Сайты с различными типами CMS, содержащие критические уязвимости http://www.ptsecurity.ru/download/статистика RU.pdf
  • 17. Про веб-безопасность в цифрах (3/3) Доли уязвимых сайтов из различных отраслей экономики http://www.ptsecurity.ru/download/статистика RU.pdf
  • 18. Методы поиска уязвимостей в веб-приложениях «Черным-ящиком» • Инвентаризация известных уязвимостей • Fuzzing «Белым-ящиком» • Аудит используемых приложений и конфигураций • Ручной и автоматизированный поиск уязвимостей в коде
  • 19. Пост-эксплуатация: выполнение команд Псевдотерминал • Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list) Интерактивный терминал • Пример: Tiny Shell (https://github.com/creaktive/tsh/) «Транспорт» • Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
  • 21. Практическое занятие 1 Проведите атаку на веб-сервер с IP-адресом 192.168.0.10 Добейтесь возможности выполнения команд на пограничном веб-сервере
  • 22. Сценарий атаки на DigiNotar: шаг 1
  • 23. Пост-эксплуатация Текущие привилегии - IUSR_MachineName Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации Развитие атаки к другим хостам с имеющимися привилегиями
  • 24. Пост-эксплуатация: повышение привилегий msf :: meterpreter :: MS09-012, MS10-015... Immunity CANVAS :: MOSDEF CORE Impact, SAINT Exploit Pack Другие источники: • public eq exploit-db.com • private …
  • 25. Пост-эксплуатация: подбор паролей Список имеющихся идентификаторов + TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
  • 26. Пост-эксплуатация: сбор доступной информации Такая безопасность является повсеместной (!)
  • 27. Сценарий атаки на DigiNotar: шаг 2
  • 28. Практическое занятие 2 Добейтесь повышения своих привилегий на пограничном веб-сервере Получите RDP-доступ к пограничному веб-серверу Подключитесь �� СУБД MSSQL под пользователем Bapi01usr
  • 29. Пост-эксплуатация Текущие привилегии – Пользователь на MSSQL 2005 Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации по базам данных
  • 31. Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar
  • 32. Пост-эксплуатация: сбор информации о сети Из списка файлов (см. 4.3.3 Suspicious files): • nc.exe (аналог telnet) http://netcat.sourceforge.net/ • PortQry.exe (аналог nmap) http://support.microsoft.com/kb/310099/ru • putty.exe (потребовался ssh?) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
  • 33. Пост-эксплуатация: организация «транспорта» TrojXX.exe Аналог – Revinetd (http://revinetd.sourceforge.net/)
  • 36. Практическое занятие 3 Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2 Получите RDP-доступ к серверу базы данных
  • 37. Сценарий атаки на DigiNotar: шаг 3
  • 38. Пост-эксплуатация Текущие привилегии – SYSTEM Использование привилегий для сбора доступной информации • SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage... «Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak- eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0 Развитие атаки к другим хостам с имеющимися знаниями Развитие атаки к другим хостам на более низком уровне
  • 39. Пост-эксплуатация: использование привилегий Локальный администратор с идентичным паролем на разных серверах (!) Сценарии использования: • LM&NTLM hashes -> rainbow tables -> auto pwn • LM&NTLM hashes -> pass-the-hash -> auto pwn • plain password -> auto pwn Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
  • 40. Пост-эксплуатация: сбор информации Из списка файлов (см. 4.3.3 Suspicious files): • cachedump.exe http://www.openwall.com/john/contrib/cachedump-1.2.zip • PwDump.exe http://www.foofus.net/~fizzgig/pwdump/ • mimi.zip http://blog.gentilkiwi.com/mimikatz
  • 42. Отступление: когда хватает привилегий MITM, прослушивание открытых протоколов, RDP… Понижение уровня проверки подлинности, Challenge Spoofing Authentication Capture (HTTP NTLM, …) Netbios spoofing Fake Update, ISR-evilgrade http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html http://www.infobyte.com.ar/
  • 44. Отступление: Relay-атаки нового поколения ZackAttack (https://github.com/zfasel/ZackAttack)
  • 45. Пост-эксплуатация Злоумышленник всегда выберет наиболее простой сценарий атаки
  • 46. И другие методы… Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
  • 47. Практическое занятие 4 Получите права администратора домена DNPRODUCTIE Получите RDP-доступ к контроллеру домена
  • 48. Сценарий атаки на DigiNotar: шаг 4
  • 49. Пост-эксплуатация: использование привилегий Из списка файлов: • ldap.msi (LDAP-транспорт) • SQLServer2005_SSMSEE.msi (MSSQL-транспорт) • psexec.exe http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx • rsa_cm_68.zip (CA management) • darpi.zip (DigiNotar Abonnementen Registratie) • bapi.zip (Dutch tax administration)
  • 50. Сценарий атаки на DigiNotar: шаг 5
  • 51. Сценарий атаки на DigiNotar: game over
  • 52. ��ак злоумышленники сумели выдать новые сертификаты?
  • 53. Практическое занятие 5 Выпустите сертификат на доменное имя google.com 
  • 54. Рассуждая про кибервойны и вселенские заговоры
  • 55. Вместо заключения Основные мишени для достижения цели • «соседи» на хостинг площадках • партнерские и смежные сети регионов Основные пути проведения атаки • использование уязвимостей веб-приложений • подбор паролей Огромная проблема ИБ – повсеместная некомпетентность/халатность Многие атаки являются массовыми и носят случайных характер