Reálný útok a jeho detekce v OMS a vlastní inteligence pack ATA

Podobné dokumenty
Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Zabezpečení infrastruktury

Petr Vlk Project Manager KPCS CZ

Intune a možnosti správy koncových zařízení online

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Dalibor Kačmář

Ondřej Soukup, DAQUAS Radek Žalud, DAQUAS

Praktické využití Windows Server 2012 Essentials ve firmě. Jan Pilař, MVP

Jan Pilař Microsoft MCP MCTS MCSA

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Komentáře CISO týkající se ochrany dat


Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

Petr Vlk KPCS CZ. WUG Days října 2016

CineStar Černý Most Praha

Petr Vlk KPCS CZ. WUG Days října 2016

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Radim Dolák Gymnázium a Obchodní akademie Orlová

Představení Kerio Control

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Příprava k certifikaci , TS: Windows 7, Configuring

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

WINDOWS Nastavení GPO - ukázky

Google Apps. Administrace

Active Directory organizační jednotky, uživatelé a skupiny

Správa stanic a uživatelského desktopu

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Synchronizujte své identity a využijte je pro všechny podnikové online služby Microsoftu i vaše aplikace

Praha, Martin Beran

Zabezpečení koncových zařízení vašich uživatelů. Jan Pilař Windows TSP

Licencování a přehled Cloud Suites

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Daniela Lišková Solution Specialist Windows Client.

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Možnosti využití cloudových služeb pro provoz IT

The Digital Enablers

OCHRANA PRIVILEGOVANÝCH ÚČTŮ V PRAXI

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

Jan Pilař VISION DAY Technologický specialista- Modern Desktop

ICZ - Sekce Bezpečnost

Hands-on-Lab. System Center Essentials learning.wbi.cz. Jan Marek. blog: jmarek.wordpress.com

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Tomáš Kantůrek. IT Evangelist, Microsoft

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Instalace Windows 2012 Správa účtů počítačů

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Kybernetické hrozby - existuje komplexní řešení?

Zabezpečení organizace v pohybu

Správa klientů pomocí Windows Intune

Windows Server Novinky. Petr Špetlík Cloud & Server PTA

Diagnostika webových aplikací v Azure

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Systém detekce a pokročilé analýzy KBU napříč státní správou

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

PRODUKTOVÝ LIST. Zabezpečení a správa firemních mobilních zařízení

Microsoft Azure Workshop

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Jan Pilař MVP, MCP, MCTS KPCS CZ

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

Serverové systémy Microsoft Windows

Dohledové systémy Microsoft vs. cesta k vyšší produktivitě IT

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Michal Hroch Server Product Manager Microsoft Česká republika

Brno. 30. května 2014

Migrace Windows Small Business 2011 do Windows Server 2012 Essentials

PETR MAZÁNEK Senior systemový administrátor C# Developer

Lepší efektivita IT & produktivita

Novinky v RHEV 3.1 Představení Red Hat Identity Managementu Radek Langkramer, konzultant

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Identifikátor materiálu: ICT-2-05

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Microsoft System Center Configuration Manager Jan Lukele

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Windows 2008 R2 - úvod. Lumír Návrat

Petr Vlk KPCS CZ. WUG Days října 2016

Zákon o kybernetické bezpečnosti: kdo je připraven?

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

PV176 Správa systémů MS Windows II

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Řízení privilegovaný účtů

Produktové portfolio

Enterprise Mobility Management & GDPR AirWatch - představení řešení

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

SAP a SUSE - dokonalá symbióza s open source. Martin Zikmund Technical Account Manager

Tabulka Nabídková cena za předmět plnění *uchazeč vyplní cenu za celý kurz nebo cenu za 1 účastníka dle zadávací dokumentace a nabídky uchazeče

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o.

AD RMS - přehledně MS. Jan Pilař KPCS CZ MCP MVP MCTS pilar@kpcs.cz

Instalace Active Directory

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

AD RMS - přehledně MS. Jan Pilař KPCS CZ MCP MVP MCTS pilar@kpcs.cz

McAfee EMM Jan Pergler Pre-Sales Engineer I

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

KONVENČNÍ BEZPEČNOSTNÍ TESTY SCADA ČEZ ICT SERVICES

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Transkript:

Reálný útok a jeho detekce v OMS a vlastní inteligence pack ATA Daniel Hejda MCSD: Azure Solutions Architect MCSE: Cloud Platform and Infrastructure MCSE: Productivity hejda@kpcs.cz daniel.hejda@defense-ops.com www.defense-ops.com

Operation Management Suite není jen log management Nástroj pro monitoring infrastruktury Azure Nástroj pro monitoring infrastruktury OnPrem Bezpečnostní centrum s online pohledem na data i z mobilního zařízení Nástroj pro automatizaci Nástroj pro aplikační analýzu Komplexní sběr logů ze serverů Built-In konektory pro sběr dat Nástroj pro kapacitní plánování Nástroj pro sledování zatížení sítě Nástroj pro kontrolu SQL serverů A mnoho dalšího.

Introducing Operations Management Suite Operations Management Suite Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Linux (Guest) Private clouds (Azure Stack, Hyper-V, VMware, OpenStack)

Bezpečnost musí být komplexní

Microsoft Security Products Advanced Threat Analytics Cloud App Security Intune W indows Server 2016 SQL Server 2016 W indows Trust Boot Privileged Identity Management Credential Guard Microsof t Passport W indows Hello Windows Defender ATP Azure Active Directory Azure Security Center Azure Storage Service Encryption Azure Key Vault Azure Inf ormation Protection Operation Management Suite Advanced Threat Protection Anti-Spam / Anti-Malware Message Encryption Data Loss Prevention Threat Intelligence Advanced Security Management Windows Update for Business Windows Information Protection

Nebojte se a odpovězte Logujete na serverech a klientech? Sbíráte logy centrálně? Vyhodnocujete logy? Jak dlouho vám trvá jejich vyhodnocení? Víte, že se někdo pokouší zaútočit na vaši infrastrukturu?

Co nás čeká nebo bude čekat Brute Force na HTTPS a jeho detekce Brute Force na RDP a jeho detekce Vytěžení dat ze Skype klienta Další obecné detekce (new user, add member to group, atd..) Detekce vytvoření Hide Enterprise administrator Detekce průzkumu DNS Brute Force na LDAP Simple Bind Detekce autorizovaného LDAP dotazu Honey Token - návnada Detekce Pass-the-hash Detekce Pass-the-ticket Detekce útoku na Golden ticket (Encryption downgrade aktivity a Malicious replication)

Co nás čeká nebo bude čekat Brute Force na HTTPS a jeho detekce Brute Force na RDP a jeho detekce Vytěžení dat ze Skype klienta Další obecné detekce (new user, add member to group, atd..) Detekce vytvoření Hide Enterprise administrator Detekce průzkumu DNS Brute Force na LDAP Simple Bind Detekce autorizovaného LDAP dotazu Honey Token - návnada Detekce Pass-the-hash Detekce Pass-the-ticket Detekce útoku na Golden ticket (Encryption downgrade aktivity a Malicious replication) D N E S OMS ATA

Uživatel (CxO) Montgomery Burns IT správce Homer Simpson Hacker Sideshow Bob

Aktuální situace Infrastruktura v Praze (DEFENSE-OPS) Exch, WebAppProxy, AD, Hyper-V Cluster, System Center, RDGW, Router, ATA, PKI, atd.. Útočník Linux VM a Windows VM v internetu, Windows VM v lokální síti super místo je třeba zasedací místnost obsahující telefon připojený do LAN sítě wifi dostupná před firmou Publikované služby do internetu Exchange OWA/ECP, RDGW, RDP na Exchange, Router, Sharepoint,atd.. Infrastruktura je připojena do Cloudu Využívá integrace s Advanced Thread Analytics a Operation management Suite Nastavení logování v systémech

Jak Homer nastavuje svou síť Nastavil na routeru NAT 1:1 na Exchange CAS server (specifikovat pravidla je moc náročné a muselo by se to někde dokumentovat) Zapomněl upravit pravidla na firewallu (ponechal By Default) Ponechal vypnuté UAC na Terminálových serverech (ono by to přeci obtěžovalo uživatele) Používá slabá hesla Nepoužívá se Windows 10 Nepoužívá se Applocker, Device guard

Krok 1 mapování prostředí neinvazivně Kontrola dokumentů dostupných z internetu Nalezeny emailové adresy Kontrola sociálních sítí Nalezena jména uživatelů pracujících ve společnosti Sociální inženýring Zjištění, kdo pracuje na pozici CxO (důležitá data a informace) Internetové stránky Nalezeny kontakty do společnosti Shodan Kontrola dostupných služeb z internetu Nmap scan, Acunetix Scan, atd.. Nalezení portů a zranitelností Atd..

Detekce pomocí OMS

Krok 2 Útok z internetu Brute Force na heslo v OWA/ECP - powershell Možná stejný login jako emailová adresa (kdyby používali Office365) Brute Force na RDP Exchange serveru THC-Hydra Metasploit a payload SMB Metasploit Framework Kopie adresáře Skype do připraveného Share v internetu Vyhledání hesla ve Skype komunikaci

Detekce Brute Force HTTPS v OMS 30 sekund na detekci Zdroj a cíl v jediném Query Type=SecurityEvent AccountType=user EventID=4625

Demo Útok a detekce

Brute Force na RDP pomocí KALI

Detekce Brute Force RDP v OMS 30 sekund na detekci

Demo Útok a detekce

Vytěžení dat ze Skype klienta Zkopírování dat do útočníkova PC (nebo do nějaké prostředníka nějaký zombie) Spuštění jednoduchého nástroje Vždy stejné místo C:\Users\<username>\AppData\Roaming\Skype Vždy v prostém textu Už máme práva na RDP, ale my chceme být méně nápadní Nalezení dat, komunikace, hesel Ale také například tajnou komunikaci s asistentkou Materiály k vydírání

Detekce vytěžování dat Zapnout auditování file systému (opatrně) Šifrovat data Sbírat logy na centrální místo Operation Management Suite SCOM Audit Collection Services

DEMO: vytěžení dat ze Skype klienta - Vytěžení dat ze Skype

Detekce vytvoření Hide Enterprise administrator Cíl: Vytvořit nenápadný účet zařazený do skupiny Domain Admins nebo Enterprise Admins. S nízkou možností smazání ze strany skutečného administrátora. Postup: Založení účtu Nastavení práv na objekt v AD Vytvořit kontejner a přesunout do CN=Program Data Odebrat práva Přejmenuji skutečnou skupinu Enterprise Admins Vytvořím novou skupinu Enteprise Admins Skupinu přidám do přejmenované skupiny Atd..

DEMO: Vytvoření skrytého administrátora - ukázka a popis powershellu - ukázka detekce v OMS

Detekce v OMS

Detekce v OMS

Další detekce v OMS Jakákoliv vlastní query v přehledovém dashboardu

Další detekce v OMS

Další detekce v OMS

Další detekce v OMS

Další detekce v OMS

Demo Ukázka Solution Packů v OMS

Požadavky a dema V prostředí monitorováno celkem 26 serverů Odesílání do 6 samostatných OMS workspace v testu zatížení DEMO OMS: http://experience.mms.microsoft.com/

Advanced Threat Analytics

Jak se útočník pohybuje po síti V případě proniknutí do sítě provede útočník Mapování sítě Nalezení doménových řadičů Nalezení DNS Serverů Detekování privilegovaných účtů Průzkum global catalogu v AD Následně je zahájen útok na vnitřní infrastrukturu

Co je ATA Detekuje získávání informací z vnitřní infrastruktury Detekuje podezřelé chování v síti/doméně ATA vyhledává Škodlivé kódy Nestandardní chování Bezpečnostní problémy a rizika

Co ATA umí detekovat Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash Forged PAC (MS14-068) Zlatý lístek Škodlivé replikace Rekognoskace Hrubá síla Vzdálené spuštění A spoustu dalších

Novinky ve verzi 1.7 Rekognoskace pomocí výčtu adresářových služeb Vylepšení proti útoku typu Pass-the-Hash Vylepšení proti útoku typu Pass-the-Ticket Vylepšení proti nestandardnímu chování Vylepšení proti neobvyklé implementaci protokolu Management Řízení přístupu na základě role Podpora Windows Serveru 2016 a Windows Server Core

Architektura

Sběry dat a informací

Pozor na výkon ATA Center

Pozor na výkon ATA Lightweight Gateway ATA Gateway

ATA Sizing Tool ATA Sizing Tool - http://aka.ms/atasizingtool

Kritéria provozu služby Agregované maximum 400 000 snímků za sekundu 20% volného místa vždy Pokud 20% nebo 100GB začnou se staré kolekce odmazávat až do 5% nebo 50GB volného místa pak se služba zastaví Latence na disku Read/Write < 10ms Power Management High Performance Zakázat NUMA, pokud běží server na fyzickém HW

MongoDB

Instalace a nasazení

Instalace

Detekce pomocí ATA

Útok z vnitřní sítě Základní předpoklady Máme přístup k počítači v doméně Máme heslo administrátora Máme heslo doménového uživatele Doménový řadiče/řadiče je/jsou napojeny na ATA Center

Detekce průzkumu DNS Cíl: Získat z DNS umístěného na doménovém řadiči informaci o počítačích v síti a jejich IP Popis: Použít nslookup a dotázat se na jméno serveru Výsledek: Dotaz do DNS nepovolen ATA zastavila požadavek jako podezřelé chování Odhadovaný čas detekce: 20 sekund

Demo Útok a detekce

Detekce průzkumu DNS

Brute Force na LDAP Simple Bind Cíl: Cílem je na kompromitovaném PC zahájit Brute Force útok na LDAP Popis: Získat jména z Global Catalogu (veřejná informace) Získat slovník hesel Spustit script Čekat na výsledek Výsledek: Zjištění hesla se po nějaké době povede a heslo bude prolomeno, nicméně délka zjištění hesla bude v řádu hodin dní, pokud budou použita slabá hesla Odhadovaný čas detekce:

Demo Útok a detekce

Brute Force na LDAP Simple Bind

Detekce autorizovaného LDAP dotazu Cíl: Prolomení hesla se povedlo, ale účet dělá dotaz do DNS, který je nestandartním chováním uživatele Popis: Na kompromitovaném PC spustit ldp.exe Connection-Connect (Port: 389) Connection Bind (Type: Simple Bind, User: defense-ops:user1 Password: ***************** Výsledek: Přístup do systému je povolen, nicméně vše je zaznamenáno do systému. V systému se objeví Sensitive Account credentials exposed Odhadovaný čas detekce: 20 sekund

Demo Útok a detekce

Detekce autorizovaného LDAP dotazu

Honey Token - návnada Cíl: Útočník se snaží získat heslo k nějakému zajímavému účtu (CxO nebo Spravce, Admin, atd..) Popis: Administrátor označil účty, které slouží jako návnada, účty jsou zakázány a nesmí přistupovat do sítě. Útočník našel zajímavý účet (SuperUser, atd..) Útočník nemá heslo k danému účtu, ale pokusí se s ním přistoupit do sítě Výsledek: Systém detekoval, že se někdo snaží přistupovat do sítě pomocí Honey Tokenu, účtu který byl nastražen pro útočníka Odhadovaný čas detekce: 20 sekund

Demo Útok a detekce

Honey Token - návnada

Detekce Pass-the-hash Cíl: Útočník se pokusí přistoupit s uživatelským oprávněním na doménový řadič, poté co získá NTLM Hash uživatele v doméně Popis: Pokus o otevření a přístup na doménový řadič Zajištění NTLM Hashe z počítače Otevření sdílení s NTLM Hashem Výsledek: Útočníkovi se přístup povede, získá přístup do sdílení na doménovém řadiči, ale jeho počin je detekován Odhadovaný čas detekce: 2,5 minuty

Demo Útok a detekce

Detekce Pass-the-hash

ATA Demo v Microsoftu Ukázka základní konzole Omezené funkcionality DEMO: https://atademoui.azurewebsites.net/#

Závěrečná doporučení Věnujte se anomáliím Nasazujte bezpečnostní systémy komplexně Pamatujte, že útok přijde spíše z vnitřní sítě než z internetu Logy, procesy, autorizace Myslíte to s bezpečnostní vážně? KPCS ATOM https://atom.kpcs.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář