NcN2012

Juan Garrido / Pedro Laguna

Sevillanos

#trianapijama

DATA EXFILTRATION,

NINJA WAY

Agenda

• Introducción

• Data Exfiltration

• Canales encubiertos

• Demos! (ninjas…)

• Detección / Mitigacion

Introducción

Data Exfiltration

• Fuga de información sensible

– Información comprometedora

– Información secreta

– Información de clientes

• Impacto negativo en la empresa

• Si hay fuga, hay daño (Aunque no se venda)

Canales encubiertos

• Ampliamente utilizados desde hace siglos

• Los datos se ocultan utilizando un medio aparentemente inocuo

• Metodología muy variada

– Depende mucho de los conocimientos y “picardía” del que lo realiza

– Desde el punto de vista del atacante, el medio siempre será inseguro

Tipos de canales

• USB

• Impresora

• CD-Rom

• Disquettes

Fisicos

• ICMP

• TCP

• UDP

Red

• Acceso a foro interno

• Llamada a soporte

Ingenieria social

• Papeles del reciclaje

• Telefono

Otros

Red

Datos

• Informacion

• Payload

Contexto

• Tamaño

• Bits significativos

Tiempo

• Hora de envio

• Tiempo entre paquetes

Informacion

Encubierto

Fiabilidad

Modificacion de paquetes

• Requiere de un framework/lenguaje para modificar ciertas cabeceras

• Vamos a enviar informacion en campos significativos

• Nosotros establecemos el codigo = dificil de detectar por reglas estandar.

Un poco mas ninja…

• Entornos corporativos no permiten la instalacion de software

• Usamos funcionalidades incluidas en el propio sistema operativo

• Si no te dejan ejecutar python solo te queda…

Batch!!!

C:\Windows\system32

• Muchos comandos ignorados por los sysadmins

• Ofrecen funcionalidad de red limitada

– ping

– tracert

– netsh

– winrm

– w32tm

winrm

• Remote management console

• Permite hacer peticiones HTTP a servidores remotos

• Si usamos HTTPS quizas el payload no sea analizado

• Podemos automatizar la exfiltracion de datos

ping

• Protocolo ICMP a veces ignorado

• El comando ping ofrece la posibilidad de modificar ciertos parametros

• Podemos cambiar el tamaño del paquete

• No, no de ese paquete….

Otros winmethods

● w32tm

– Uso de NTP, envio de informacion mediante

tiempo entre peticiones

● rpcping

– Distintos tipos de paquetes/conexiones

● Etc,etc,etc... Windows Media Player? Y

no hemos hablado de VBS ni netsh...

Red + Fisico

• Impresoras en red

• Que ocurre si las impresoras estan conectadas a internet?

• Si “olvidamos”un papel en la impresora y luego accedemos desde casa…

Detección

• Firma de paquetes

– Snort Rules

• Análisis basado en estadística

– Buscar anomalías en la Red

– Análisis de tráfico

• Principio del mínimo privilegio

• Network Baseline Policies

• Honey tokens

Mitigacion

• Fortificar estaciones de trabajo

– Limitar programas ejecutables (white list)

– Bloquear trafico no autorizado

– Eliminar funcionalidades “extra”

– Bloquar dispositivos externos

• Politicas de eliminacion y proteccion de informacion fisica

ASK A NINJA