HackerFest 2017

Posted in Bezpečnost, Pokec - 20.9.2017 - 0 Comment

Tak letošní hackerfest je šťastně za námi a tady je výtah  z jednotlivých přednášek.

  1. William Ischanoe – chytni si svého hackera
  • mystifikace, zpomalení honeypot
  • nelze řešit stáhnutí čehokoliv
  • kde jsou vektory útoků
  • pokusy o neautorizovaný přístup – hosté, brigádníci
  • vstup google search – obr1
  • vytvořit ip rozsahy a IP segmenty
  • vymazat metadata z dokumentů – foca
  • sql dumpy – falešné DB
  • bruteforcing ftp, ssh rdp
  • NIDS, SNORT detekce útoku – falešné www servery v dns , pokud se někdo ozve je to útočník
  • druhy honeypot
    • low interaction –
      • Dionaea – Simulace základních služeb systému  – ftp, http, smb, mssql, mysql apod,
      • wordpot – emul zranitelného WordPressu
      • https://www.honeynet.org/project
    • Medium — Příkazů operačniho systému — Kippo, Cowrie
      • Kippo — Emulace operačního systému , Umožňuje replay útoku, Skladuje veškeré stažené nástroje pro pozdější analýzu, Umožňuje rozšířit file system
      • Cowrie — Rozšíření původního Kippo o další služby (SFTP, příkazy) bin/playlog, data/userdb — doladit pověřeni,
    • High – plný systém
    • Cryptolocker HoneyFile vyrobit složku a v uživat dokumentech např  NEMENIT a hlídat změny přes WMI a pak spustit akce, VSS, dump,alert,  reset
  • wordpess – wpexploitdb
  • MHN Server – jednoduchý deploy – honeypot
  • Tipy pro vytváření honeypot – Vytvářejte Law interactive náhodně mezi ostatními adresa bloku, V segmentované síti emulujte pouze služby dle segmentu. Vytvářejte falešná jména v DNS, která věrně emul4 stávali, jmennou konvenci. Lokální folder může odkazovat na síťový folder (CryptolockDetectorFilerServer)

 

  1. Jan Marek – hacking Microsoft Hyper-V

<obr schema>

  • volatility 2.6, MS – Top Level Specification
  • MITM
    • exe – odchytávání wmi událostí
    • bruteforce – powershell
    • čtení hyperv paměti z dump
    • hyper-v replica – čtení VHD souboru – lze kopírovat – např. robocopy
  • Local
    • sniffing virt lan – injectovaný driver
    • útok na CPU scheduel a MSRs
    • útok na TPM (virtual)
  1. Roman Kümmel – webová stránka – vnitřní síť
  • cross-site forgery – javascript – img onload, on error – řeší timeouty a z nich odhaduje zda daný cíl (IP, port a pod) žije nebo ne
  • útok do vnitřní sítě – přes webrtc technologie, lze vypnout nebo firawallovat
  1. Ondřej Ševeček – nebezpečné zabezpečení
  • Credential guard – omezení vyčtení z RAM lam hashe, MSinfo32 – device guard
  • mstsc /restrictedadmin                (ale nemá přístup přes SSO do sítě), ještě lépe mstsc /remoteguard (ten je již OK)
  • keylogger keelog.com, sw na webu sevecek.com
  • útok přes přeinstalování počítače – zařadit do domény (nemusí) založí adminovi účet
  • Řešení
    • zakázat delegaci na admin účtech – kerberos, any auth protocol
    • shielded VMs  – pomůžou, ale neřeší vše
  • Závěr: nic vás neochrání úplně – chovejte se bezpečně
    • never use strong accounts against weak computers
    • never give sensitive data to unknown hosters
    • Kerberos authentication
      • Enter-PSSession, mstsc /RestrictedAdmin
    • disable Kerberos delegation on sensitive accounts
    • disable Add computer to domain
    • require safe UAC prompts
  • incidents always happen
    • — isolate with separated accounts and responsibilities
    • isolate with Windows Firewall

 

  1. Michal Špaček – hesla do hloubky – správci hesel
  • Mall – unik hesel přes pronájem GK Tesla na Amazonu proveden bruteforce útok na hesla zdoláno všech 750k hesel s MD5 hashem až na cca 900 výjimek
  • Správci hesel:
  • lastpass – celkem ok
  • onepassword – lokální hesla nyní cloud
  • michaspacek.cz @spazef0rze

 

  1. Paula Januszkiewicz- Malware technics
  • Powershell encoded commands ..
    • Demo: SDDL – Can antivirus be stopped? Ano přes sc
      • Sc sdshow servisname >info.txt
      • Editnout {D;;WPS….} za{A;;WPS….}
      • Sc sdset servisname {D;;WPS….}….
    • Signature-based Behavior-based
      • Wrapping attaches the malicious payload (the installer or the malware itself) to a legitimate file.
    • Demo: Hyperion
      • Custom code User Mode Loaders Executable is extracted and decrypted in memory Code is loaded and executed dynamically In Powershell.exe – not every module is embedded – they can be created and loaded during the execution In Win32API: Custom code mimics LoadLibrary() Interesting: During the compilation, that’s what helps us: CompilerParameters.CompilerOptions = „/platform:x64“;
      • Demo: Custom Reflective PE Loader – CQPELoader

 

  • Sysmon

 

  • Good practices
  • Make sure event log is big enough
  • Centralize the events in a separate server, download Sysmon from Sysinternals.com
  • Filter out uninteresting events (image loads etc.)
  • Filtering Rules

Include thread injections into lsass:

<CreateRemoteThread onmatch=“include“>

<TargetImage condition=“image“>lsass.exe</TargetImage>

</CreateRemoteThread >

 

Exclude all Microsoft-signed image loads:

<ImageLoad onmatch=“exclude“>

<Signature condition=“contains“>Microsoft</Signature>

<Signature condition=“contains“>Windows</Signature>

</ImageLoad>

  • Recorded Events

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sysmon service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

 

  • The only cure is a _complete_ code execution prevention
  • Anti-Exploit solutions make a lot of sense
  • Sysmon (absolutely!)
  • At the end it is a matter of budged and price
  • Code execution prevention solutions are often misconfigured
  1. Adrian Demeter – Multidisciplinární bezpečnost
  • Bezpečnost je komplexní záležitostí
  • Rizika jsou i mimo IT
  1. Sander Maas – Red Teaming (EN)
  • modelový příklad jak připravovat útok – v sídle firmy
  • nepodcenit přípravu z veřejných zdrojů – google, fb, maps apod
  • vysledovat návyky zaměstnanců
  • jak jsou řešeny přístupy, CCTV
  • obléknout se tak aby člověk nenápadný – dress code / údržba
  • připravit si několik historek proč tam jsem, proč tam musím
  • připravit si únikovou cestu
  • připravit plán B (C, D …)
  • mít záchranný plán pro případ dopadení – zavolejte toto číslo a oni vám to vysvětlí….
  1. Ján Bašista – MIB – Man in the browser
  • slabá přednáška na téma když mám hlavičky GET z browseru tak umím poznat co je to browser, OS, verze, SP a pod a mohu to využít k nějakému útoku – ukázán oblíbený metasploit