Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

Transkript

1 Phishing Postup při řešení incidentu Aleš Padrta Radomír Orkáč 1

2 Úvodní připomenutí 2

3 Phishing? Phishing! 2. polovina 2018 kampaně s tématem Office 365 3

4 Phishing? Phishing! a mnoho různých dalších 4

5 Typy phishingu 5

6 Druhy phishingu A) vyžadující odpověď 6

7 Druhy phishingu B) s odkazem na podvodnou stránku 7

8 Druhy phishingu C) se závadnou přílohou 8

9 Celkové schéma 9

10 Řešení incidentu 10

11 Postup pro řešení incidentu 11

12 Příprava 12

13 Proč příprava? Give me six hours to chop down a tree and I will spend the first four sharpening the axe. By failing to prepare, you are preparing to fail. Při právě probíhajícím plošném útoku zahrnujícím 1000 kompromitovaných identit je pozdě řešit otázku co s tím. 13

14 Příprava na incident Přínosy správné přípravy Minimalizace pravděpodobnosti výskytu incidentu Minimalizace dopadů při výskytu incidentu Snadnější řešení / průběh incidentu méně práce Oblasti pro přípravu Politické aspekty Technické aspekty Komunikační aspekty Základ = dobře nastavené prostředí CESNET best practice 14

15 Politické aspekty Definice pravomocí při řešení incidentu CSIRT Interní legislativa (směrnice) Další upřesnění (pokyny ředitele IT) Samostatnost při rozhodování Nebezpečí z prodlení Oblasti Monitoring sítě Logování provozně lokalizačních údajů Blokování uživatelských kont Odpojování zařízení 15

16 Ukázka 16

17 Správa incidentu Používání systému pro správu požadavků Přehlednost, historie, časy, Nejen pro incidenty Request Tracker, OTRS, Zaměřeno na phishing Samostatný lístek (ticket) Koordinační lístek (ticket) Jednotlivá hlášení (notifikace od uživatelů) Jednotlivé kompromitace (blokace) Interní komunikace Jasná dokumentace průběhu 17

18 Dokumentace Pracovní postupy / Standardní operační postupy Šablony Pro běžné úkony Pro důležité + méně časté události Dostupné např. na interní wiki Průběžná aktualizace Vzorové y Seznamy údajů pro získání Přehledové koordinační tabulky Ušetření času + menší riziko chyb 18

19 Logování Kdo používá naši síť Vazba IP čas uživatel ( MAC) DHCP, registrační systém 802.1x Radius,... Co se děje v naší síti Toky v sítích (Netflow) Podrobnější informace Logy aplikací Logy SSO 19

20 Monitoring Anomálie v síti Podezřelé chování zařízení Podezřelé chování uživatelů Posílání spamu Přihlašování uživatelů ke službám Scan / bruteforce RDP, SSH, SMB,... Anomální časy přihlášení Zdrojové IP přihlašování Zajímavé služby Single sign-on (SSO) smtp, imap, pop3, webové rozhraní Vzdálený přístup rdp, ssh 20

21 Možnosti reakce Příprava sítě hraniční firewall Blokace IP Blokace domén Využití reputační databáze domén Blokace dle geolokace Příprava sítě IP blackhole routing Zabezpečení koncových stanic Centrální správa (!) Lokální firewall (IP, domény) Lokální web control (URL, kategorizace webu) 21

22 Další dobré rady Změna hesla na dálku Aktualizace Připravený postup (osvědčené: tel. číslo + číslice z RČ/ID) OS, Aplikace, Zabezpečení koncových stanic Neskrývat přípony známých typů (MS Windows) Nepovolit spouštění souborů v tmp lokacích Uživatel pracuje s uživatelskými právy Pravidlo minimálního přístupu VPN přístup pro uživatele... 22

23 Komunikace Interní Koordinace součástí řešících incident Koordinátor incidentu CSIRT Správci sítě Správci koncových zařízení / organizačních jednotek Uživatelská podpora Zvlášť u malých CSIRT Využití sdíleného dokumentu Asynchronní zpracování Přehled aktuálního stavu 23

24 Komunikace Interní Ukázka koordinační dokument Komunikace s podvodnou stránkou CSIRT + uživatelské podpora 24

25 Komunikace Vnější Eskalace (šíření informací) CSIRT > Ředitel IT > Vedení organizace CSIRT > Manažer bezpečnosti > Vedení organizace Uživatelé Obecné výzvy a upozornění Pracoviště uživatelské podpory Stránky uživatelské podpory Sociální sítě ové konference Oslovení konkrétních uživatelů Osobně Telefonicky em 25

26 Vztah s uživateli Dlouhodobé budování Příznaky dobrých vztahů Uživatel se nebojí zeptat Uživatel se nebojí nahlásit problém IT je na straně uživatele (proti útočníkovi) Informovanost Přehledný web Školení Semináře Možnost získat potřebné informace 26

27 Zjištění a nahlášení phishingu 27

28 Zjištění a nahlášení phishingu Phishingová kampaň Automaticky Vedená na uživatele organizace Vedená na službu organizace Není efektivní Certificate Transparency Sekundární projevy (anti-fraud system) Založeno na adresátech Členové CSIRT / IT oddělení Malý počet schránek Běžní (vzdělaní) uživatelé Velký počet schránek 28

29 Zjištění a nahlášení phishingu Práce s lidskými detektory Vzdělávání Povzbuzení k další spolupráci Schopnost poznat podvod Znalost kam nahlásit Znalost jak nahlásit (včetně hlaviček) Důležitost hlášení Součást bezpečnosti Poděkovat, pochválit,... Místo k nahlášení Uživatelská podpora / CSIRT kontakt abuse@<domain> Systém pro správu požadavků Jistota (automatické) odpovědi 29

30 Posouzení a analýza 30

31 Posouzení Posouzení (Triage) Závisí (nejen) na zkušenostech Vyhodnocení závažnosti Stanovení dalšího postupu Hodnocená kritéria Rozpoznatelnost Rozsah Jak snadné poznat podvod? Kolik % uživatelů jej pozná? Počet adresátů Odhad podle počtu hlášení Možnosti reakce Jak je možné situaci zlepšit 31

32 Analýza Vyhodnocení: závažný incident Provedení analýzy Získání detailních informací Efektivní reakce na phishing Cíle Znemožnění dalších útoků Ochrana dosud čistých uživatelů Nalézt kompromitované účty / zařízení Pomoc obětem 32

33 Analýza Zjištění dalších klíčových informací Vlastními silami Partnery (např. Forenzní laboratoř CESNET) Co je důležité Typ A: cílová adresa pro odpověď (reply-to) Uvedeno v doručených zprávách Typ B: odkazovaná doména (IP adresy) Doména uvedena ve zprávě, možné redirecty IP adresa DNS (fast flux passive DNS) Typ C: vlastnosti přílohy (malware) Indikátory kompromitace (IoC) Předpoklady pro fungování 33

34 Izolování a neutralizace 34

35 Izolování a neutralizace Zamezit dalšímu šíření Žádné další reakce Zamezit zneužití (napadených) Odpojení napadených zařízení Blokace napadených účtů Návrat do provozního stavu Reinstalace zařízení Změna hesel / certifikátů Odstranění činnosti útočníka 35

36 Připomenutí celkové schéma 36

37 Typ A (Odpověď na ) Informování uživatelů Standardními kanály Úprava konfigurace mail serveru Přesměrování odpovědí vyhrazená ová adresa (může obsahovat hesla) Efekt Zabránění v odeslání útočníkovi Detekce nepoučených uživatelů Úskalí Přeposílání pošty (na fre ) + odpověď mimo organizaci 37

38 Typ A (Odpověď na ) 38

39 Typ B (Odkaz na podvodnou stránku) Informování uživatelů Standardními kanály Zablokování přístupu k webu Modifikace interních DNS (doménové jméno) Síťový firewall (IP, doménové jméno) Lokální firewall (IP, doménové jméno) Lokální Web Control (URL) Webový prohlížeč (blacklisty) Nahlásit závadnou stránku phishtank.com safebrowsing.google.com 39

40 Typ B (Odkaz na podvodnou stránku) 40

41 Typ C ( se závadnou přílohou) Informování uživatelů Zamezení spuštění Zabezpečení koncových stanic (vlastní pravidla) Zamezení komunikace Standardními kanály Síťový firewall (IP, doménové jméno) Lokální firewall (IP, doménové jméno) Zamezení jiné činnosti Omezení zápisu do adresáře Zákaz spouštění v dočasných adresářích Další omezení dle analýzy malware 41

42 Typ C ( se závadnou přílohou) 42

43 Nahlášení phishingu Cíl: Dostat phishingovou stránku na blacklist Kam hlásit safebrowsing.google.com Chrome (+ other ), Android, Gmail, Google Search, Google Ads Interní prověřování Mozilla, Opera, McAfee, Kaspersky, Yahoo,... Ověřování přes členy (celosvětové) komunity Čeština málo známá, skoro nikdo neumí Česká CESNETí komunita cz.nic hlášení zneužitých webů vlastníkům domén.cz 43

44 Nahlášení phishingu 44

45 Neutralizace škod Odstranit už napáchané škody Reagující uživatelé Kompromitované účty Kompromitovaná zařízení Najít, zablokovat Změnit heslo, reinstalovat zařízení Jak najít kompromitovaná zařízení Analýza malware Doménová jména Doménová jména + passive DNS IP adresy IP adresy + Netflow Napadená zařízení 45

46 Neutralizace škod Jak najít kompromitované účty Uživatel zjistí sám (informace o phishingu, problém,...) Anti-fraud systémy jednotlivých služeb Rozesílání spamu (velikost mailové fronty,...) Telefonáty na nevhodná čísla Masivní export dat Obecně: Anomálie v provozu (logy) Návštěva phishingové stránky Doménové jméno, IP adresa, Netflow Zařízení, ze kterých bylo komunikováno Vazba IP + čas uživatel Cílené upozornění / dotaz 46

47 Upozornění uživatele Přístup k phishingové stránce - <uživatel>,<pracoviště> Dobrý den, v rámci phishingové kampaně (viz novinka na stránkách uživatelské podpory byla již řada uživatelských kont zneužita k rozesílání spamu. Při analýze přístupů k podvodné phishingové stránce, která poměrně věrohodně simuluje stránku jednotného přihlašování, bylo zjištěno, že jste Tuto stránku také navštívil(a). Víme, že samotná návštěva stránky neznamená, že jste podvod nepoznal(a) a zadal(a) své přístupové údaje. Pokud se tak ale stalo, změňte si, prosím, Ihned své heslo standardním způsobem (potřebujete s tímto úkonem pomoci kontaktujete Pracoviště uživatelské podpory). V případě dalších dotazů nás neváhejte kontaktovat. Předem děkuji a přeji pěkný den Ing. Leopold Pšenička, CSc. CSIRT-EX 47

48 O-metoda detekce zneužitých účtů 1) Vytvoření sledovacího uživatele Omezená práva Příprava monitoringu činnosti 2) Použití během phishingové kampaně Sledovací uživatel podlehne a zadá své údaje 3) Zneužití útočníkem Zjištění IP adresy útočníka Případně další charakteristiky 4) Vyhledání dalších zneužitých účtů Stejné charakteristiky (IP adresa,...) Doporučení: Sada sledovacích uživatelů Odlišení jednotlivých kampaní 48

49 O-metoda detekce zneužitých účtů Rozšíření metody Získávání IP adres útočníka Honeypot webmail (uživatelé neznají přihlašuje se jen útočník) Zneužitá konta (posílání spamu, ) Využití IP adres útočníka Vytvoření blacklistu Monitoring nových přihlášení iptables pro smtp 49

50 O-metoda detekce zneužitých účtů Monitoring: Úspěšné přihlášení na honeypot honeymail.domain.cz Jan 28 22:26:36 HORDE [error] [imp] SUCCESS LOGIN for vomacka [xxx.215.xxx.xxx] to {imap.domain.cz:143 [imap/notls]} [pid 6936 on line 139 of "/var/www/horde.domain.cz/443/horde/imp/lib/auth/imp.php"] Použita honeypot identita koutny s em frantisek.koutny@domain.cz Monitoring: Neúspěšné přihlášení (hádání loginu) na realmail.domain.cz T19:54 UTC frantisek.koutny@domain.cz [xxx.175.xxx.xxx] T19:54 UTC koutny@domain.cz [xxx.175.xxx.xxx] T19:55 UTC frantisek.koutny [xxx.175.xxx.xxx] Ruční prohledání logu: reportovaná IP adresy xxx.175.xxx.xxx # grep xxx.175.xxx.xxx /var/log/mail.log Jan 29 21:27:28 imap.domain.cz dovecot: imap-login: Login: user=<brabcova>, method=plain, rip=xxx.175.xxx.xxx Jan 29 21:28:30 imap.domain.cz dovecot: imap-login: Login: user=<blahutova>, method=plain, rip=xxx.175.xxx.xxx Jan 29 21:29:32 imap.domain.cz dovecot: imap-login: Login: user=<hrachovcova>, method=plain, rip=xxx.175.xxx.xxx Monitoring: Úspěšné přihlášení na realmail.domain.cz (IP adresa z blacklistu) T07:56 UTC kryl [xxx.215.xxx.xxx] 50

51 Závěrečná činnost 51

52 Závěrečná činnost Poučení z průběhu (lesson learned) Zhodnocení přípravy Zhodnocení průběhu Zjištění slabých míst Mentální cvičení co bychom dělali, kdyby... Modifikace pro příště (konvergence k optimu) Další prověřování O-metodou Kompromitovaná konta mohou být Obchodována Používána postupně Ke zneužití může dojít i několik měsíců po phishingu Procházet logy ještě pár týdnů 52

53 Shrnutí 53

54 Shrnutí Phishing byl, je a bude Postup řešení incidentu Prevence Reakce na incident Příprava Zjištění a nahlášení Vyhodnocení a analýza Izolace a neutralizace Závěrečná činnost Co nás čeká v budoucnu? Záleží na vás... 54

55 Prostor pro dotazy??? 55