Reálný útok a jeho detekce v OMS a vlastní inteligence pack ATA

Transkript

1 Reálný útok a jeho detekce v OMS a vlastní inteligence pack ATA Daniel Hejda MCSD: Azure Solutions Architect MCSE: Cloud Platform and Infrastructure MCSE: Productivity hejda@kpcs.cz daniel.hejda@defense-ops.com

2 Operation Management Suite není jen log management Nástroj pro monitoring infrastruktury Azure Nástroj pro monitoring infrastruktury OnPrem Bezpečnostní centrum s online pohledem na data i z mobilního zařízení Nástroj pro automatizaci Nástroj pro aplikační analýzu Komplexní sběr logů ze serverů Built-In konektory pro sběr dat Nástroj pro kapacitní plánování Nástroj pro sledování zatížení sítě Nástroj pro kontrolu SQL serverů A mnoho dalšího.

3 Introducing Operations Management Suite Operations Management Suite Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Linux (Guest) Private clouds (Azure Stack, Hyper-V, VMware, OpenStack)

4

5

6 Bezpečnost musí být komplexní

7 Microsoft Security Products Advanced Threat Analytics Cloud App Security Intune W indows Server 2016 SQL Server 2016 W indows Trust Boot Privileged Identity Management Credential Guard Microsof t Passport W indows Hello Windows Defender ATP Azure Active Directory Azure Security Center Azure Storage Service Encryption Azure Key Vault Azure Inf ormation Protection Operation Management Suite Advanced Threat Protection Anti-Spam / Anti-Malware Message Encryption Data Loss Prevention Threat Intelligence Advanced Security Management Windows Update for Business Windows Information Protection

8 Nebojte se a odpovězte Logujete na serverech a klientech? Sbíráte logy centrálně? Vyhodnocujete logy? Jak dlouho vám trvá jejich vyhodnocení? Víte, že se někdo pokouší zaútočit na vaši infrastrukturu?

9 Co nás čeká nebo bude čekat Brute Force na HTTPS a jeho detekce Brute Force na RDP a jeho detekce Vytěžení dat ze Skype klienta Další obecné detekce (new user, add member to group, atd..) Detekce vytvoření Hide Enterprise administrator Detekce průzkumu DNS Brute Force na LDAP Simple Bind Detekce autorizovaného LDAP dotazu Honey Token - návnada Detekce Pass-the-hash Detekce Pass-the-ticket Detekce útoku na Golden ticket (Encryption downgrade aktivity a Malicious replication)

10 Co nás čeká nebo bude čekat Brute Force na HTTPS a jeho detekce Brute Force na RDP a jeho detekce Vytěžení dat ze Skype klienta Další obecné detekce (new user, add member to group, atd..) Detekce vytvoření Hide Enterprise administrator Detekce průzkumu DNS Brute Force na LDAP Simple Bind Detekce autorizovaného LDAP dotazu Honey Token - návnada Detekce Pass-the-hash Detekce Pass-the-ticket Detekce útoku na Golden ticket (Encryption downgrade aktivity a Malicious replication) D N E S OMS ATA

11 Uživatel (CxO) Montgomery Burns IT správce Homer Simpson Hacker Sideshow Bob

12 Aktuální situace Infrastruktura v Praze (DEFENSE-OPS) Exch, WebAppProxy, AD, Hyper-V Cluster, System Center, RDGW, Router, ATA, PKI, atd.. Útočník Linux VM a Windows VM v internetu, Windows VM v lokální síti super místo je třeba zasedací místnost obsahující telefon připojený do LAN sítě wifi dostupná před firmou Publikované služby do internetu Exchange OWA/ECP, RDGW, RDP na Exchange, Router, Sharepoint,atd.. Infrastruktura je připojena do Cloudu Využívá integrace s Advanced Thread Analytics a Operation management Suite Nastavení logování v systémech

13 Jak Homer nastavuje svou síť Nastavil na routeru NAT 1:1 na Exchange CAS server (specifikovat pravidla je moc náročné a muselo by se to někde dokumentovat) Zapomněl upravit pravidla na firewallu (ponechal By Default) Ponechal vypnuté UAC na Terminálových serverech (ono by to přeci obtěžovalo uživatele) Používá slabá hesla Nepoužívá se Windows 10 Nepoužívá se Applocker, Device guard

14 Krok 1 mapování prostředí neinvazivně Kontrola dokumentů dostupných z internetu Nalezeny ové adresy Kontrola sociálních sítí Nalezena jména uživatelů pracujících ve společnosti Sociální inženýring Zjištění, kdo pracuje na pozici CxO (důležitá data a informace) Internetové stránky Nalezeny kontakty do společnosti Shodan Kontrola dostupných služeb z internetu Nmap scan, Acunetix Scan, atd.. Nalezení portů a zranitelností Atd..

15 Detekce pomocí OMS

16 Krok 2 Útok z internetu Brute Force na heslo v OWA/ECP - powershell Možná stejný login jako ová adresa (kdyby používali Office365) Brute Force na RDP Exchange serveru THC-Hydra Metasploit a payload SMB Metasploit Framework Kopie adresáře Skype do připraveného Share v internetu Vyhledání hesla ve Skype komunikaci

17

18

19 Detekce Brute Force HTTPS v OMS 30 sekund na detekci Zdroj a cíl v jediném Query Type=SecurityEvent AccountType=user EventID=4625

20

21 Demo Útok a detekce

22 Brute Force na RDP pomocí KALI

23 Detekce Brute Force RDP v OMS 30 sekund na detekci

25 Vytěžení dat ze Skype klienta Zkopírování dat do útočníkova PC (nebo do nějaké prostředníka nějaký zombie) Spuštění jednoduchého nástroje Vždy stejné místo C:\Users\<username>\AppData\Roaming\Skype Vždy v prostém textu Už máme práva na RDP, ale my chceme být méně nápadní Nalezení dat, komunikace, hesel Ale také například tajnou komunikaci s asistentkou Materiály k vydírání

26 Detekce vytěžování dat Zapnout auditování file systému (opatrně) Šifrovat data Sbírat logy na centrální místo Operation Management Suite SCOM Audit Collection Services

27 DEMO: vytěžení dat ze Skype klienta - Vytěžení dat ze Skype

28 Detekce vytvoření Hide Enterprise administrator Cíl: Vytvořit nenápadný účet zařazený do skupiny Domain Admins nebo Enterprise Admins. S nízkou možností smazání ze strany skutečného administrátora. Postup: Založení účtu Nastavení práv na objekt v AD Vytvořit kontejner a přesunout do CN=Program Data Odebrat práva Přejmenuji skutečnou skupinu Enterprise Admins Vytvořím novou skupinu Enteprise Admins Skupinu přidám do přejmenované skupiny Atd..

29 DEMO: Vytvoření skrytého administrátora - ukázka a popis powershellu - ukázka detekce v OMS

30 Detekce v OMS

31 Detekce v OMS

32 Další detekce v OMS Jakákoliv vlastní query v přehledovém dashboardu

33 Další detekce v OMS

37

38

39 Demo Ukázka Solution Packů v OMS

40 Požadavky a dema V prostředí monitorováno celkem 26 serverů Odesílání do 6 samostatných OMS workspace v testu zatížení DEMO OMS:

41 Advanced Threat Analytics

42 Jak se útočník pohybuje po síti V případě proniknutí do sítě provede útočník Mapování sítě Nalezení doménových řadičů Nalezení DNS Serverů Detekování privilegovaných účtů Průzkum global catalogu v AD Následně je zahájen útok na vnitřní infrastrukturu

43 Co je ATA Detekuje získávání informací z vnitřní infrastruktury Detekuje podezřelé chování v síti/doméně ATA vyhledává Škodlivé kódy Nestandardní chování Bezpečnostní problémy a rizika

44 Co ATA umí detekovat Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash Forged PAC (MS14-068) Zlatý lístek Škodlivé replikace Rekognoskace Hrubá síla Vzdálené spuštění A spoustu dalších

45 Novinky ve verzi 1.7 Rekognoskace pomocí výčtu adresářových služeb Vylepšení proti útoku typu Pass-the-Hash Vylepšení proti útoku typu Pass-the-Ticket Vylepšení proti nestandardnímu chování Vylepšení proti neobvyklé implementaci protokolu Management Řízení přístupu na základě role Podpora Windows Serveru 2016 a Windows Server Core

46 Architektura

47 Sběry dat a informací

48 Pozor na výkon ATA Center

49 Pozor na výkon ATA Lightweight Gateway ATA Gateway

50 ATA Sizing Tool ATA Sizing Tool -

51 Kritéria provozu služby Agregované maximum snímků za sekundu 20% volného místa vždy Pokud 20% nebo 100GB začnou se staré kolekce odmazávat až do 5% nebo 50GB volného místa pak se služba zastaví Latence na disku Read/Write < 10ms Power Management High Performance Zakázat NUMA, pokud běží server na fyzickém HW

52 MongoDB

53 Instalace a nasazení

54 Instalace

55 Detekce pomocí ATA

56 Útok z vnitřní sítě Základní předpoklady Máme přístup k počítači v doméně Máme heslo administrátora Máme heslo doménového uživatele Doménový řadiče/řadiče je/jsou napojeny na ATA Center

57 Detekce průzkumu DNS Cíl: Získat z DNS umístěného na doménovém řadiči informaci o počítačích v síti a jejich IP Popis: Použít nslookup a dotázat se na jméno serveru Výsledek: Dotaz do DNS nepovolen ATA zastavila požadavek jako podezřelé chování Odhadovaný čas detekce: 20 sekund

59 Detekce průzkumu DNS

60 Brute Force na LDAP Simple Bind Cíl: Cílem je na kompromitovaném PC zahájit Brute Force útok na LDAP Popis: Získat jména z Global Catalogu (veřejná informace) Získat slovník hesel Spustit script Čekat na výsledek Výsledek: Zjištění hesla se po nějaké době povede a heslo bude prolomeno, nicméně délka zjištění hesla bude v řádu hodin dní, pokud budou použita slabá hesla Odhadovaný čas detekce:

62 Brute Force na LDAP Simple Bind

63 Detekce autorizovaného LDAP dotazu Cíl: Prolomení hesla se povedlo, ale účet dělá dotaz do DNS, který je nestandartním chováním uživatele Popis: Na kompromitovaném PC spustit ldp.exe Connection-Connect (Port: 389) Connection Bind (Type: Simple Bind, User: defense-ops:user1 Password: ***************** Výsledek: Přístup do systému je povolen, nicméně vše je zaznamenáno do systému. V systému se objeví Sensitive Account credentials exposed Odhadovaný čas detekce: 20 sekund

65 Detekce autorizovaného LDAP dotazu

66 Honey Token - návnada Cíl: Útočník se snaží získat heslo k nějakému zajímavému účtu (CxO nebo Spravce, Admin, atd..) Popis: Administrátor označil účty, které slouží jako návnada, účty jsou zakázány a nesmí přistupovat do sítě. Útočník našel zajímavý účet (SuperUser, atd..) Útočník nemá heslo k danému účtu, ale pokusí se s ním přistoupit do sítě Výsledek: Systém detekoval, že se někdo snaží přistupovat do sítě pomocí Honey Tokenu, účtu který byl nastražen pro útočníka Odhadovaný čas detekce: 20 sekund

68 Honey Token - návnada

69 Detekce Pass-the-hash Cíl: Útočník se pokusí přistoupit s uživatelským oprávněním na doménový řadič, poté co získá NTLM Hash uživatele v doméně Popis: Pokus o otevření a přístup na doménový řadič Zajištění NTLM Hashe z počítače Otevření sdílení s NTLM Hashem Výsledek: Útočníkovi se přístup povede, získá přístup do sdílení na doménovém řadiči, ale jeho počin je detekován Odhadovaný čas detekce: 2,5 minuty

71 Detekce Pass-the-hash

72

73 ATA Demo v Microsoftu Ukázka základní konzole Omezené funkcionality DEMO:

74 Závěrečná doporučení Věnujte se anomáliím Nasazujte bezpečnostní systémy komplexně Pamatujte, že útok přijde spíše z vnitřní sítě než z internetu Logy, procesy, autorizace Myslíte to s bezpečnostní vážně? KPCS ATOM

75