Detekcia kompromitácie z pohľadu pracovníka bezpečnosti

...alebo ako detegovať kompromitáciu ak *** nefunguje

Daniel Chromek

Detekcia užívateľom

Výhody:

• Užívateľ je (skoro) všade

Nevýhody:

• len viditeľné príznaky

• závisí od miery povedomia

• znalosti, lenivosť, priorita, ...

• vysoká miera falošných poplachov – FP aj FN

The Website is Down #2: Excel Hell http://www.youtube.com/watch?v=1SNxaJlicEU

Príklad: kupón na webe

• Návštevník nahlásil divný kupón na webe

• Na stránke nič, proxy v lok. krajine – nič

• Z kade je vlastne vidieť ten kupón?

• Stav: adware na pracovnej stanici

• Možné FP:

• Detekcia normálnych vecí (napr. nová kampaň)

Detekcia IT / Security

Výhody:

• Lepšia interpretácia neštandardných stavov napr.:

• Divné porty

• Divný traffic

• Divné IP / URL

• Zvýšená záťaž

• Chybové stavy v logoch,...

Nevýhody:

• Málo ľudí (na všetko)

Príklad: divné porty

• Prípad: zistený port 12320/tcp – web shell

• Kontakt na IT – nikto neinštaloval

• FP – TurnKey appliance so zabudnutým portom

• striktný change management

• Layered defense

Príklad: VA

• VA scanner – sieťový / credentials scan

• Možnosť detekcie vybraných škodlivých procesov

• Možné FP >

• matchnutie patternov pre service

• Pri credentials scannoch – rovnaké názvy súborov / kľúče v registroch

Príklad: divný traffic

• Veľké uploady z pracovnej stanice – exfiltrácia dát?

• Možné FP – „zaseknuté“ procesy zasielajúce dáta – v tomto prípade nvidia driver autoupdate

Príklad: conficker – divné URL

• Infekcia PC – pri bypasse AV

• Detekcia na úrovni transparentného HTTP proxy servera – UTM

• DNS = domain controller – jednoduchá detekcia priamo aj z DNS logov – filter na neštandardné URL

• Alternatíva s IP adresami – čo sa snaží prebíjať sa cez FW?

• Možné FP URL – IT / VL / security prístupy

• Možné FP IP adresy - „zlé“ aplikácie robia bordel na sieti

Príklad: degradácia výkonu

• Admin detekoval zvýšený load

• Pri prístupe na server –

• Zavisnuté exploity

• Spustený bitcoin miner

• Možné FP:

• Štandardne nedostatočná kapacita

• Iné veci generujúce záťaž – uzávierky, rutinné joby, security technológie, padnuté služby...

Príklad: chyby v logu

• Admin dostal kopu error notifikácii s chybným CSRF tokenom pre internetovú aplikáciu

• Notifikácie: Java chyby:

... at Idunno.AntiCsrf.AntiCsrfModule.PreRequestHandlerExecute(Object source, EventArgs eventArgs) at...

• IIS: 2014-MM-DD 20:26:33 10.XX.XX.XX GET /application/!=+typeof+o+&&+(h.guid+=+o.guid+=+o.guid - 80 - XX.XX.2.149 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2; +.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729;+.NET4.0C) 302 0 0 93

• IP adresa korelovala s užívateľom, ktorý sa pred tým hlásil do aplikácie -> prístup zo súkromnej mašiny

• Prístup z infikovanej mašiny – malware následne skúšal bruteforce URI z browser cache

Záver

• Nič nefunguje na 100%

• Fungujúci monitoring má zmysel – prevádzkový aj security

• Má zmysel riešiť aj podporné informácie z prostredia – sieťový traffic, výkon, ...

• Prečo sa to nerobí? – cena

• Security awareness a vzdelávanie je dôležité u užívateľov aj u adminov

Ďakujem za pozornosť

priestor pre Vaše otázky

Daniel Chromek, CISA, CISM, CISSP, MBCI

IS Security Consultant

mobile: +421 918 710 737

phone: +421 (2) 32 24 46 91

e-mail: chromek@eset.sk