Archiv rubriky: Bezpečnost

HackerFest 2017

Posted in Bezpečnost, Pokec - 20.9.2017 - 0 Comment

Tak letošní hackerfest je šťastně za námi a tady je výtah  z jednotlivých přednášek.

  1. William Ischanoe – chytni si svého hackera
  • mystifikace, zpomalení honeypot
  • nelze řešit stáhnutí čehokoliv
  • kde jsou vektory útoků
  • pokusy o neautorizovaný přístup – hosté, brigádníci
  • vstup google search – obr1
  • vytvořit ip rozsahy a IP segmenty
  • vymazat metadata z dokumentů – foca
  • sql dumpy – falešné DB
  • bruteforcing ftp, ssh rdp
  • NIDS, SNORT detekce útoku – falešné www servery v dns , pokud se někdo ozve je to útočník
  • druhy honeypot
    • low interaction –
      • Dionaea – Simulace základních služeb systému  – ftp, http, smb, mssql, mysql apod,
      • wordpot – emul zranitelného WordPressu
      • https://www.honeynet.org/project
    • Medium — Příkazů operačniho systému — Kippo, Cowrie
      • Kippo — Emulace operačního systému , Umožňuje replay útoku, Skladuje veškeré stažené nástroje pro pozdější analýzu, Umožňuje rozšířit file system
      • Cowrie — Rozšíření původního Kippo o další služby (SFTP, příkazy) bin/playlog, data/userdb — doladit pověřeni,
    • High – plný systém
    • Cryptolocker HoneyFile vyrobit složku a v uživat dokumentech např  NEMENIT a hlídat změny přes WMI a pak spustit akce, VSS, dump,alert,  reset
  • wordpess – wpexploitdb
  • MHN Server – jednoduchý deploy – honeypot
  • Tipy pro vytváření honeypot – Vytvářejte Law interactive náhodně mezi ostatními adresa bloku, V segmentované síti emulujte pouze služby dle segmentu. Vytvářejte falešná jména v DNS, která věrně emul4 stávali, jmennou konvenci. Lokální folder může odkazovat na síťový folder (CryptolockDetectorFilerServer)

 

  1. Jan Marek – hacking Microsoft Hyper-V

<obr schema>

  • volatility 2.6, MS – Top Level Specification
  • MITM
    • exe – odchytávání wmi událostí
    • bruteforce – powershell
    • čtení hyperv paměti z dump
    • hyper-v replica – čtení VHD souboru – lze kopírovat – např. robocopy
  • Local
    • sniffing virt lan – injectovaný driver
    • útok na CPU scheduel a MSRs
    • útok na TPM (virtual)
  1. Roman Kümmel – webová stránka – vnitřní síť
  • cross-site forgery – javascript – img onload, on error – řeší timeouty a z nich odhaduje zda daný cíl (IP, port a pod) žije nebo ne
  • útok do vnitřní sítě – přes webrtc technologie, lze vypnout nebo firawallovat
  1. Ondřej Ševeček – nebezpečné zabezpečení
  • Credential guard – omezení vyčtení z RAM lam hashe, MSinfo32 – device guard
  • mstsc /restrictedadmin                (ale nemá přístup přes SSO do sítě), ještě lépe mstsc /remoteguard (ten je již OK)
  • keylogger keelog.com, sw na webu sevecek.com
  • útok přes přeinstalování počítače – zařadit do domény (nemusí) založí adminovi účet
  • Řešení
    • zakázat delegaci na admin účtech – kerberos, any auth protocol
    • shielded VMs  – pomůžou, ale neřeší vše
  • Závěr: nic vás neochrání úplně – chovejte se bezpečně
    • never use strong accounts against weak computers
    • never give sensitive data to unknown hosters
    • Kerberos authentication
      • Enter-PSSession, mstsc /RestrictedAdmin
    • disable Kerberos delegation on sensitive accounts
    • disable Add computer to domain
    • require safe UAC prompts
  • incidents always happen
    • — isolate with separated accounts and responsibilities
    • isolate with Windows Firewall

 

  1. Michal Špaček – hesla do hloubky – správci hesel
  • Mall – unik hesel přes pronájem GK Tesla na Amazonu proveden bruteforce útok na hesla zdoláno všech 750k hesel s MD5 hashem až na cca 900 výjimek
  • Správci hesel:
  • lastpass – celkem ok
  • onepassword – lokální hesla nyní cloud
  • michaspacek.cz @spazef0rze

 

  1. Paula Januszkiewicz- Malware technics
  • Powershell encoded commands ..
    • Demo: SDDL – Can antivirus be stopped? Ano přes sc
      • Sc sdshow servisname >info.txt
      • Editnout {D;;WPS….} za{A;;WPS….}
      • Sc sdset servisname {D;;WPS….}….
    • Signature-based Behavior-based
      • Wrapping attaches the malicious payload (the installer or the malware itself) to a legitimate file.
    • Demo: Hyperion
      • Custom code User Mode Loaders Executable is extracted and decrypted in memory Code is loaded and executed dynamically In Powershell.exe – not every module is embedded – they can be created and loaded during the execution In Win32API: Custom code mimics LoadLibrary() Interesting: During the compilation, that’s what helps us: CompilerParameters.CompilerOptions = „/platform:x64“;
      • Demo: Custom Reflective PE Loader – CQPELoader

 

  • Sysmon

 

  • Good practices
  • Make sure event log is big enough
  • Centralize the events in a separate server, download Sysmon from Sysinternals.com
  • Filter out uninteresting events (image loads etc.)
  • Filtering Rules

Include thread injections into lsass:

<CreateRemoteThread onmatch=“include“>

<TargetImage condition=“image“>lsass.exe</TargetImage>

</CreateRemoteThread >

 

Exclude all Microsoft-signed image loads:

<ImageLoad onmatch=“exclude“>

<Signature condition=“contains“>Microsoft</Signature>

<Signature condition=“contains“>Windows</Signature>

</ImageLoad>

  • Recorded Events

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sysmon service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

 

  • The only cure is a _complete_ code execution prevention
  • Anti-Exploit solutions make a lot of sense
  • Sysmon (absolutely!)
  • At the end it is a matter of budged and price
  • Code execution prevention solutions are often misconfigured
  1. Adrian Demeter – Multidisciplinární bezpečnost
  • Bezpečnost je komplexní záležitostí
  • Rizika jsou i mimo IT
  1. Sander Maas – Red Teaming (EN)
  • modelový příklad jak připravovat útok – v sídle firmy
  • nepodcenit přípravu z veřejných zdrojů – google, fb, maps apod
  • vysledovat návyky zaměstnanců
  • jak jsou řešeny přístupy, CCTV
  • obléknout se tak aby člověk nenápadný – dress code / údržba
  • připravit si několik historek proč tam jsem, proč tam musím
  • připravit si únikovou cestu
  • připravit plán B (C, D …)
  • mít záchranný plán pro případ dopadení – zavolejte toto číslo a oni vám to vysvětlí….
  1. Ján Bašista – MIB – Man in the browser
  • slabá přednáška na téma když mám hlavičky GET z browseru tak umím poznat co je to browser, OS, verze, SP a pod a mohu to využít k nějakému útoku – ukázán oblíbený metasploit

 

HackerFest2014

Posted in Bezpečnost - 23.10.2014 - 0 Comment

Tak se sešel rok s rokem  a opět tu byl HackerFest.
Opět  to bylo výživně, nicméně letos byla akce podstatně masovější a trpěla tím produkce a organizace.

Úvodní přednášku Ondřeje Ševečka jse z větší části propásl, protože ji organizátoři posunuli o skoro hodinu dřív.
Nicméně na závěr to stačilo – RDP posílá na server, ke kterému přistupuje ověření s plain textu, který lze vykrást
z paměti. Dále nechává za sebou mraky cache, takže je dobrá strategie mstsc /public.

Následoval  William Ischanoe a jeho veselá přednáška o botech s ukázkou kompilace v metaexploit trojanu s payloadem na tcp_reverse session. Pak předvedení jak na to přímo z netu. Předvedení vyuziti powershell pro natazeni do ramky jako proměná po částech, tím jsou obejity signatury v antivirech a pak vytvořejí threadu na z dané adresy a RAM. Ukázán balíčkovač iexpress, který umožňuje zabalit s neškodným programem malware který při unpaku spustí na pozadí. Zajímavostí je jako komunikační kanál je použit DNS protokol, ne http(s).

Přednáška o TORu a  Darknetu jeho fungování jeho slabá místa. Martin Klubal.
Existují i další anonimizační sítě např I2P.
V toru běží služby na adresách (tld).onion – hidden sevices jako třeba katalog, vyhledavač, mail, wiki.
Zvláštní prostorem v toru je pak Deepnet, který není indexován a je potřeba od někoho dostat pozvánku – odkaz.
Vybrané HS:
 grams – google
 hiden wiki
 frremail
 frehosting

 Blackmarkets
  SILKROAD2
  PANDORA
  AGORA
 CARDERS MARKET
 tinEye – vyhledání v obrázcích – clearnet

Deanonymizace v tor – zastaralý TOR bundle, by default povolený javascript, čas operačního systému, locales nejčastěji ale
 polaný pdf/doc dokument obsahující link na clearnet – při otevření je anonimita prolomena.

 
Přednáška o zakonu o kyberbezpečnosti – Aleš Špidla – spoluautor zákona. Zajímavý pohled na trgédii ve statní, kde se přerušila
díky outsoucingu kontinuita IT. Zajímavá je pak zákonná povinost (platnost od 1.2015) hlásit IT bezpečností incidenty NBÚ.

KAli pwn pad a androidí zařízení – Kamil Vávra (Brno)
Pohled pod pokličku tragédie s názvem android, nebezpečí instalace čehokoli z google marketu. Google vůbec již neřeší analýzu
vystaveného software na malware a stejně u bezpečné aplikace je možný následující „upgrade“ na malware verzi.
Nebezpečí připojit Android telefon k neznámému USB – napadení přes usb – velice slabé zabezpečení, útočník snadno převezme
vládu nad zaříznením s právy vyššími než samotný uživatel. Fungují stejné bravury s metaexploitem. Nebezpečná je také komponenta webview která slouží k zobrazování obsahu internetu např i reklamních proužků v appkách.
Výsledkem je názor že telefon tak hodit do řeky, kdo z toho platí banku je sebevrah a kdo nešifruje jak běhá po ulici úplně nahý.
Na závěr byl převden Kali pwn pad na google nexus a jeho možnosti k hacku, v zásadě ale jde o kali linux…

Roman Kümmel – bezpečnost web aplikace – praktická ukázka stadardních průniků XSFR, XSC, SQL injecting
Bylo předveno na fiktivním webamilu, kdy napadal účet uživatela pře podunuté html elemety (XSFR, XSS), dále ukázka SQL injectu.

A opět blonďatá polka Paula z CQURE.pl. Pná optimizmu ohledně získávání forenzních důkazů a jejich použití k vymožení práva, nicméně ukázala co se dá dělat. Předvedla sílu získávání stop přes powershell. Ukázala také jejich nástroj na zasahování do evtx soborů,
což je podle ní unikát.

 tak to je dost textu z HF, ale bylo to opravdu výživné..

HackerFest2013

Posted in Bezpečnost - 28.10.2013 - 0 Comment

Firma zaplatila poplatek, tak jsem byl 21/10/2013 v Praze na akci pořádané Gopasem s trochu bulvárním názvem hackerfest. Nicméně bylo to velmi výživné a byly vidět živé ukázky průniku do systémů Windows.
Níže je takové shrnutí:

Paula Januszkiewicz http://www.cqure.pl/

arp cache poissoning  insert proxy   https strip   web clone

sniffing (text protocols – html, pop3, smtp)

kuriózní ukládání hesel – napři filezilla ukládá heslo do xml v případě quick connect -> nepouživat cross site heslo

využití PS (sysinternals) – interní útok na procesy

dump procesu z taskmanu – dump soubor může obsahovat hesla nebo connect stringy
například dump sql servisu a najití connection strings

sql string vykradení z IIS  pomocí xml pokud jsou jenom **** místo hesla  pomocí odebrání hash – v případě lepšího zbezpečení není vidět celá sekce zabezpečení

mimikatz – hack tool

inject lsas – ten ale běží pod local systém, na injectovaný proces pak také

hack přes službu spooler CPAU – – vložení jobu s LSASS

password hack přes wce  instalace služby  služba pak odesílá do netu veškerá přihlášení

 

– únos web relace vykradení auth cookies  dehash na webu

exploit kity mass mailing kity web crawler sbírající dns, ip, emaily (vyhledavače, ripe, whois….)

 

 

Wayne Burke www.sequrit.org keyloggery

•Vyladěný miniaturní hacking systém oDroid •Nejnovější triky na Raspberry Pi •Úprava Android tabletu a telefonu na vysoce efektivní hacking zařízení •Hacknutí velkého rozsahu cílů – Deep Dive reálný hacking scénář •Zneužívání mobilních telefonů pro hacking bezdrátových sítí – NFC, RFID, WiFi

 

———— Michal Altair Valášek   William Ischanoe

2 vocasi Gopasi web bravury  cross domain forgery  •Side Jacking  •Útoky na ochranu HTTPS

 

————- Ševeček (ad bravury)

skrytý admin  vniknutí do systému jako local system   utilman   přepojení procesu pomocí psexec a … ? do procesu jedoucím pod local system    spustit pod local system ad users and computer.msc    vytvořit kontejner „nenápadného“ názvu    do něj vložit admina    odebrat práva listovat kontejnerem všem kromě local system    nechat právo číst kontejner adminy    zmanipulovat primární skupinu – pak bude neviditelný i přes domain admins

forest hack  vytvoření polityky na obsah skupiny domain admin  vložení této politiky do site replikace

skryté naplánované úlohy  využití WMI, vložení úlohy do wmi

vykradení CA o root certifikát  vydání certifikátů na známé loginy  přihlášení pocí čipové kary (usb over etthernet — hezká bravura) podvrženým certifikátem domény

————-

Paula na závěr

offline hack  opět napadení utilman.exe  flash drive s instalaci „driveru“ – malware – send do netu klíče k bitlockeru   btw existují leaknuté klíče realtec takže je možné driver podepsat !

online hack  využití zranitelncýh míst – nezáplatovaný – vzdálené ovládání kompu    odesílání citlivých dat jako payload v ICMP