Bravurista

HackerFest 2017

Tak letošní hackerfest je šťastně za námi a tady je výtah  z jednotlivých přednášek.

1. William Ischanoe – chytni si svého hackera

• mystifikace, zpomalení honeypot
• nelze řešit stáhnutí čehokoliv
• kde jsou vektory útoků
• pokusy o neautorizovaný přístup – hosté, brigádníci
• vstup google search – obr1
• vytvořit ip rozsahy a IP segmenty
• vymazat metadata z dokumentů – foca
• sql dumpy – falešné DB
• bruteforcing ftp, ssh rdp
• NIDS, SNORT detekce útoku – falešné www servery v dns , pokud se někdo ozve je to útočník
• druhy honeypot
  • low interaction –
    • Dionaea – Simulace základních služeb systému  – ftp, http, smb, mssql, mysql apod,
    • wordpot – emul zranitelného WordPressu
    • https://www.honeynet.org/project
  • Medium — Příkazů operačniho systému — Kippo, Cowrie
    • Kippo — Emulace operačního systému , Umožňuje replay útoku, Skladuje veškeré stažené nástroje pro pozdější analýzu, Umožňuje rozšířit file system
    • Cowrie — Rozšíření původního Kippo o další služby (SFTP, příkazy) bin/playlog, data/userdb — doladit pověřeni,
  • High – plný systém
  • Cryptolocker HoneyFile vyrobit složku a v uživat dokumentech např  NEMENIT a hlídat změny přes WMI a pak spustit akce, VSS, dump,alert,  reset
• wordpess – wpexploitdb
• MHN Server – jednoduchý deploy – honeypot
• Tipy pro vytváření honeypot – Vytvářejte Law interactive náhodně mezi ostatními adresa bloku, V segmentované síti emulujte pouze služby dle segmentu. Vytvářejte falešná jména v DNS, která věrně emul4 stávali, jmennou konvenci. Lokální folder může odkazovat na síťový folder (CryptolockDetectorFilerServer)

2. Jan Marek – hacking Microsoft Hyper-V

<obr schema>

• volatility 2.6, MS – Top Level Specification
• MITM
  • exe – odchytávání wmi událostí
  • bruteforce – powershell
  • čtení hyperv paměti z dump
  • hyper-v replica – čtení VHD souboru – lze kopírovat – např. robocopy
• Local
  • sniffing virt lan – injectovaný driver
  • útok na CPU scheduel a MSRs
  • útok na TPM (virtual)

3. Roman Kümmel – webová stránka – vnitřní síť

• cross-site forgery – javascript – img onload, on error – řeší timeouty a z nich odhaduje zda daný cíl (IP, port a pod) žije nebo ne
• útok do vnitřní sítě – přes webrtc technologie, lze vypnout nebo firawallovat

4. Ondřej Ševeček – nebezpečné zabezpečení

• Credential guard – omezení vyčtení z RAM lam hashe, MSinfo32 – device guard
• mstsc /restrictedadmin                (ale nemá přístup přes SSO do sítě), ještě lépe mstsc /remoteguard (ten je již OK)
• keylogger keelog.com, sw na webu sevecek.com
• útok přes přeinstalování počítače – zařadit do domény (nemusí) založí adminovi účet
• Řešení
  • zakázat delegaci na admin účtech – kerberos, any auth protocol
  • shielded VMs  – pomůžou, ale neřeší vše
• Závěr: nic vás neochrání úplně – chovejte se bezpečně
  • never use strong accounts against weak computers
  • never give sensitive data to unknown hosters
  • Kerberos authentication
    • Enter-PSSession, mstsc /RestrictedAdmin
  • disable Kerberos delegation on sensitive accounts
  • disable Add computer to domain
  • require safe UAC prompts
• incidents always happen
  • — isolate with separated accounts and responsibilities
  • isolate with Windows Firewall

5. Michal Špaček – hesla do hloubky – správci hesel

• Mall – unik hesel přes pronájem GK Tesla na Amazonu proveden bruteforce útok na hesla zdoláno všech 750k hesel s MD5 hashem až na cca 900 výjimek
• Správci hesel:
• lastpass – celkem ok
• onepassword – lokální hesla nyní cloud
• michaspacek.cz @spazef0rze

6. Paula Januszkiewicz- Malware technics

• Powershell encoded commands ..
  • Demo: SDDL – Can antivirus be stopped? Ano přes sc
    • Sc sdshow servisname >info.txt
    • Editnout {D;;WPS….} za{A;;WPS….}
    • Sc sdset servisname {D;;WPS….}….
  • Signature-based Behavior-based
    • Wrapping attaches the malicious payload (the installer or the malware itself) to a legitimate file.
  • Demo: Hyperion
    • Custom code User Mode Loaders Executable is extracted and decrypted in memory Code is loaded and executed dynamically In Powershell.exe – not every module is embedded – they can be created and loaded during the execution In Win32API: Custom code mimics LoadLibrary() Interesting: During the compilation, that’s what helps us: CompilerParameters.CompilerOptions = „/platform:x64“;
    • Demo: Custom Reflective PE Loader – CQPELoader

• Sysmon

• Good practices
• Make sure event log is big enough
• Centralize the events in a separate server, download Sysmon from Sysinternals.com
• Filter out uninteresting events (image loads etc.)
• Filtering Rules

Include thread injections into lsass:

<CreateRemoteThread onmatch=“include“>

<TargetImage condition=“image“>lsass.exe</TargetImage>

</CreateRemoteThread >

Exclude all Microsoft-signed image loads:

<ImageLoad onmatch=“exclude“>

<Signature condition=“contains“>Microsoft</Signature>

<Signature condition=“contains“>Windows</Signature>

</ImageLoad>

• Recorded Events

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sysmon service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

• The only cure is a _complete_ code execution prevention
• Anti-Exploit solutions make a lot of sense
• Sysmon (absolutely!)
• At the end it is a matter of budged and price
• Code execution prevention solutions are often misconfigured

7. Adrian Demeter – Multidisciplinární bezpečnost

• Bezpečnost je komplexní záležitostí
• Rizika jsou i mimo IT

8. Sander Maas – Red Teaming (EN)

• modelový příklad jak připravovat útok – v sídle firmy
• nepodcenit přípravu z veřejných zdrojů – google, fb, maps apod
• vysledovat návyky zaměstnanců
• jak jsou řešeny přístupy, CCTV
• obléknout se tak aby člověk nenápadný – dress code / údržba
• připravit si několik historek proč tam jsem, proč tam musím
• připravit si únikovou cestu
• připravit plán B (C, D …)
• mít záchranný plán pro případ dopadení – zavolejte toto číslo a oni vám to vysvětlí….

9. Ján Bašista – MIB – Man in the browser

• slabá přednáška na téma když mám hlavičky GET z browseru tak umím poznat co je to browser, OS, verze, SP a pod a mohu to využít k nějakému útoku – ukázán oblíbený metasploit