piątek, 11 kwietnia 2014

Trusteer Apex - skuteczna metoda walki z APT i 0-day

Tydzień temu byłem na konferencji dotyczącej Cyberbezpieczeństwa zorganizowanej przez IBM w Dublinie. Wzięli w niej udział eksperci z grupy IBM X-Force i IBM Security Systems tacy jak Micheal Hamelin, Vijay Dheap czy Dana Tamir. Największe wrażenie zrobiła na mnie Dana Tamir z Trustware, która opowiadała i co ważniejsze przedstawiła demo, o tym jak skutecznie bronić się przed malware typu zero-day, które są wykorzystywane obecnie w atakach APT.

Każdy już wie, że cyberprzestępcy organizują się w grupy które tworzą exploity typu zero-day, czyli złośliwe kody które pojawiają się na czarnym rynku jeszcze przed publikacją poprawki przez producenta. Właśnie dlatego zero-day są tak bardzo pożądane przez cyberprzestępców. Dzięki nim mogą zainfekować bardzo wiele komputerów wiedząc, że nie istnieją mechanizmy obronne, które są w stanie je wykryć. Organizacje są świadome istniejących zagrożeń spowodowanych zero-day, które mogą zostać użyte do kradzieży, czy też zdalnego dostępu kontrolowanego przez malware.

W celu kradzieży danych złośliwy kod musi zostać jakoś uruchomiony w systemie, a żeby został uruchomiony trzeba go w jakiś sposób tam dostarczyć. Istnieje na to wiele metod: spear phishing, watering hole, weponized content, można wykorzystać dziurę w aplikacjach Javy itd. W momencie gdy złośliwy kod jest już dostarczony do systemu docelowego uruchamia się, a atakujący ma możliwość eksfiltracji, czyli potajemnego wysyłania danych. Malware posiada wiele technik które pozwalają na kradzież danych: key loggery, screen capture, form grabbing, network eavesdropping czy remote control.

Zanim jednak atakujący dostanie to czego szuka, czeka go długa droga. Na przykład po włamaniu do pierwszego komputera zdobywamy dane konta, które pozwolą atakującemu zdobyć dostęp do innego systemu, z którego jeszcze więcej informacji może zostać zdobytych i pozwolą na ustalenie gdzie się znajdują informację, które atakujący chce ukraść. Każdy pojedynczy zhakowany komputer może zapewnić atakującemu dostęp do innych systemów, całej sieci i do zasobów które posiadają poufne dane. Techniki kradzieży danych w momencie gdy malware już osadzi się w systemie są bezgraniczne. Jeżeli pożądane informacje zostaną znalezione, to zostaną eksfiltrowane. Metody używane przez atakujących do eksfiltracji danych zależą od tego co jest dostępne atakującemu, oraz wyznaczeniu metody która zostanie najmniej prawdopodobniej wykryta. Do wyboru atakujący ma HTTP, HTTPS, FTP, email, IRC itd. Gdy atakujący posiada już wiedzę na temat infrastruktury i wie że organizacja posiada zaimplementowane systemy DLP (data leakage prevention), to zaszyfruje żeby eksfiltracja nie została wykryta.

czwartek, 10 kwietnia 2014

OpenSSL "Heartbleed"

Wczoraj w nocy odbyła się konferencja SANS na temat HeartBleed Open SSL. Została przedstawiona struktura podatności, metody detekcji, oraz co musi zrobić administrator i użytkownik końcowy. Przedstawione zostało live demo pokazujące jakie informacje mogą zostać skradzione. Na koniec zostały pokazane regóły które można zastosować w IDS.

Plik pdf można ściągnąc ze strony SANS po zarejestrowaniu się https://www.sans.org/webcasts/openssl-heartbleed-vulnerability-98105 albo z mojego Google Drive'a tutaj.

Webcast będzie dostępny prawdopodobnie za kilka godzin.

 

piątek, 4 kwietnia 2014

Techniki Analizy Big Data w walce z Advanced Presistent Threats



Big Data Analytics i APT
Zagrożenia malware nie są nowością dla organizacji, które walczą z rożnego rodzaju zagrożeniami poprzez stosowanie programów anty wirusowych, firewalli, IPS, IDS, Web Secure Gateways. Mimo tego w obliczu nowego rodzaju zagrożeń zwanych zaawansowane ciągłe zagrożenia (ang. Advanced Persistent Threat, APTs). W ciągu ostatnich miesięcy zagrożenia APT stają się coraz bardziej powszechne i przedsiębiorstwa powinny ponownie zwrócić uwagę na stosowane technologie zabezpieczeń, oraz odświeżyć podejście do kwestii ochrony sieci i danych. Wykrycie ataku APT jest bardzo trudne ponieważ w przeciwności do innych rodzajów ataków, APT jest to atak typu "low and slow", który przez dłuższy czas pozostaje niezauważalny, nie generując znacznego ruchu sieciowego i nie zwracając na siebie uwagi. Jedną z nowych technologii, która jest w stanie wykryć prawie niewidzialne ataki APTs jest Big Data Security Analytisc (BDSA). Ponizej przedstawie trzy bardzo proste do wdrożenia techniki

Wykrywanie nadużyć konta użytkownika przez insiderów i APTs

Atakujacy zazwyczaj rekrutują insidera czyli osobę która pomoże w rozpoczęciu ataku od wewnątrz. Jest to jedyna metoda aby dotrzec do komputera docelowego, który nie jest podłączony do Internetu. Każdy użytkownik czy tez insider loguje się używając jakiegoś konta, które posiada odpowiedni dostęp. Najprostszą metodą kradzieży informacji, do których nie ma dostępu jest podanie się za kogoś innego, czyli zalogowanie się nie swoim kontem.