Abstract image of a woman sitting on books and studying on a laptop

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

Download as PPTX, PDF
Dmitry Evteev, profile picture
Dmitry Evteev

Документ описывает хакерскую атаку на удостоверяющий центр DigiNotar, приведшую к его банкротству в 2011 году. В отчете рассматриваются методы и уязвимости, использованные злоумышленниками, включая аналитику инфраструктуры безопасности компании и сценарии атаки. В результате инцидента поднималась тема недостатков в информационной безопасности и халатности в управлении данными.

1 of 56
Downloaded 104 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр. Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
О чем пойдет речь Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена ​банкротом после хакерской атаки. Подробнее: http://en.wikipedia.org/wiki/DigiNotar В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar. Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
Чем примечателен инцидент Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!) • TippingPoint 50 IPS • Nokia firewall appliance (Check Point Firewall-1 / VPN-1) • Балансировщик нагрузки • Инфраструктура на базе Microsoft Windows • RSA Certificate Manager (eq RSA Keon) • Symantec AntiVirus • Сегментация сети с подмножеством ДМЗ • Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия) • Реализованы процессы обеспечения непрерывности бизнеса • …
Архитектура информационной системы
Сетевая топология информационной системы
Но несмотря на реализованные контроли…
Разбираем подробно Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
С чего все началось Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070 = Padding Oracle Attack
Padding Oracle Attack Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером. Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and- the-net-padding-oracle-attack.html
Анализируй то Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
Анализируй это Июнь 2011 Август 2011 Июль 2011 Сентябрь 2010 Март 2008
«Реакция админов – такая реакция» (с)
В продолжение об уязвимостях DotNetNuke Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh arepoint_et_dotnetnuke/index.html
Внедрение внешних XML-сущностей: перспективный сценарий развития атаки Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. Подробнее: https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
Про веб-безопасность в цифрах (1/3) Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (2/3) Сайты с различными типами CMS, содержащие критические уязвимости http://www.ptsecurity.ru/download/статистика RU.pdf
Про веб-безопасность в цифрах (3/3) Доли уязвимых сайтов из различных отраслей экономики http://www.ptsecurity.ru/download/статистика RU.pdf
Методы поиска уязвимостей в веб-приложениях «Черным-ящиком» • Инвентаризация известных уязвимостей • Fuzzing «Белым-ящиком» • Аудит используемых приложений и конфигураций • Ручной и автоматизированный поиск уязвимостей в коде
Пост-эксплуатация: выполнение команд Псевдотерминал • Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list) Интерактивный терминал • Пример: Tiny Shell (https://github.com/creaktive/tsh/) «Транспорт» • Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
Отступление: как это работает
Практическое занятие 1 Проведите атаку на веб-сервер с IP-адресом 192.168.0.10 Добейтесь возможности выполнения команд на пограничном веб-сервере
Сценарий атаки на DigiNotar: шаг 1
Пост-эксплуатация Текущие привилегии - IUSR_MachineName Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации Развитие атаки к другим хостам с имеющимися привилегиями
Пост-эксплуатация: повышение привилегий msf :: meterpreter :: MS09-012, MS10-015... Immunity CANVAS :: MOSDEF CORE Impact, SAINT Exploit Pack Другие источники: • public eq exploit-db.com • private …
Пост-эксплуатация: подбор паролей Список имеющихся идентификаторов + TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
Пост-эксплуатация: сбор доступной информации Такая безопасность является повсеместной (!)
Сценарий атаки на DigiNotar: шаг 2
Практическое занятие 2 Добейтесь повышения своих привилегий на пограничном веб-сервере Получите RDP-доступ к пограничному веб-серверу Подключитесь к СУБД MSSQL под пользователем Bapi01usr
Пост-эксплуатация Текущие привилегии – Пользователь на MSSQL 2005 Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации по базам данных
Пост-эксплуатация: повышение привилегий Например - MS09-004
Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar
Пост-эксплуатация: сбор информации о сети Из списка файлов (см. 4.3.3 Suspicious files): • nc.exe (аналог telnet) http://netcat.sourceforge.net/ • PortQry.exe (аналог nmap) http://support.microsoft.com/kb/310099/ru • putty.exe (потребовался ssh?) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Пост-эксплуатация: организация «транспорта» TrojXX.exe Аналог – Revinetd (http://revinetd.sourceforge.net/)
Отступление: как это работает
Отступление: История из жизни
Практическое занятие 3 Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2 Получите RDP-доступ к серверу базы данных
Сценарий атаки на DigiNotar: шаг 3
Пост-эксплуатация Текущие привилегии – SYSTEM Использование привилегий для сбора доступной информации • SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage... «Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak- eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0 Развитие атаки к другим хостам с имеющимися знаниями Развитие атаки к другим хостам на более низком уровне
Пост-эксплуатация: использование привилегий Локальный администратор с идентичным паролем на разных серверах (!) Сценарии использования: • LM&NTLM hashes -> rainbow tables -> auto pwn • LM&NTLM hashes -> pass-the-hash -> auto pwn • plain password -> auto pwn Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
Пост-эксплуатация: сбор информации Из списка файлов (см. 4.3.3 Suspicious files): • cachedump.exe http://www.openwall.com/john/contrib/cachedump-1.2.zip • PwDump.exe http://www.foofus.net/~fizzgig/pwdump/ • mimi.zip http://blog.gentilkiwi.com/mimikatz
Отступление: cain & abel
Отступление: когда хватает привилегий MITM, прослушивание открытых протоколов, RDP… Понижение уровня проверки подлинности, Challenge Spoofing Authentication Capture (HTTP NTLM, …) Netbios spoofing Fake Update, ISR-evilgrade http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html http://www.infobyte.com.ar/
Отступление: Relay-атаки
Отступление: Relay-атаки нового поколения ZackAttack (https://github.com/zfasel/ZackAttack)
Пост-эксплуатация Злоумышленник всегда выберет наиболее простой сценарий атаки
И другие методы… Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
Практическое занятие 4 Получите права администратора домена DNPRODUCTIE Получите RDP-доступ к контроллеру домена
Сценарий атаки на DigiNotar: шаг 4
Пост-эксплуатация: использование привилегий Из списка файлов: • ldap.msi (LDAP-транспорт) • SQLServer2005_SSMSEE.msi (MSSQL-транспорт) • psexec.exe http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx • rsa_cm_68.zip (CA management) • darpi.zip (DigiNotar Abonnementen Registratie) • bapi.zip (Dutch tax administration)
Сценарий атаки на DigiNotar: шаг 5
Сценарий атаки на DigiNotar: game over
Как злоумышленники сумели выдать новые сертификаты?
Практическое занятие 5 Выпустите сертификат на доменное имя google.com 
Рассуждая про кибервойны и вселенские заговоры
Вместо заключения Основные мишени для достижения цели • «соседи» на хостинг площадках • партнерские и смежные сети регионов Основные пути проведения атаки • использование уязвимостей веб-приложений • подбор паролей Огромная проблема ИБ – повсеместная некомпетентность/халатность Многие атаки являются массовыми и носят случайных характер
Спасибо за внимание! devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev

More Related Content

PPTX
Как взламывают сети государственных учреждений
Dmitry Evteev
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PPT
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
PPTX
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
PPTX
PHDays 2012: Future Now
Dmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
PPTX
Услуги PT для банков
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
PHDays 2012: Future Now
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Услуги PT для банков
Dmitry Evteev
 

What's hot (20)

PPTX
Атаки на web-приложения. Основы
Positive Hack Days
 
PPT
Мобильный офис глазами пентестера
Dmitry Evteev
 
PPTX
penetest VS. APT
Dmitry Evteev
 
PPT
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
PPTX
Этичный хакинг или пентестинг в действии
SQALab
 
PPT
Реальные опасности виртуального мира.
Dmitry Evteev
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
PPT
Практика проведения DDoS-тестирований
Dmitry Evteev
 
PDF
Доклад SiteSecure
Positive Hack Days
 
PDF
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
PPTX
Собираем команду хакеров
Dmitry Evteev
 
PDF
Анализ уязвимостей ПО
Sergey Borisov
 
PDF
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
PDF
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
PDF
Охота на угрозы на BIS summit 2016
Sergey Soldatov
 
PPT
Новые угрозы безопасности
Denis Batrankov, CISSP
 
PPTX
DNS как улика
Aleksey Lukatskiy
 
PDF
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
PDF
Практика обнаружения атак, использующих легальные инструменты
Sergey Soldatov
 
Атаки на web-приложения. Основы
Positive Hack Days
 
Мобильный офис глазами пентестера
Dmitry Evteev
 
penetest VS. APT
Dmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Этичный хакинг или пентестинг в действии
SQALab
 
Реальные опасности виртуального мира.
Dmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Доклад SiteSecure
Positive Hack Days
 
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
Собираем команду хакеров
Dmitry Evteev
 
Анализ уязвимостей ПО
Sergey Borisov
 
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
Охота на угрозы на BIS summit 2016
Sergey Soldatov
 
Новые угрозы безопасности
Denis Batrankov, CISSP
 
DNS как улика
Aleksey Lukatskiy
 
Е. Фиделин Безопасность Drupal сайтов
Albina Tiupa
 
Практика обнаружения атак, использующих легальные инструменты
Sergey Soldatov
 

Viewers also liked (6)

PPTX
Демонстрация атаки на ДБО
Dmitry Evteev
 
PPTX
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
PPTX
Зеленый азимут
Gritskikh_Anton
 
PPTX
Домовята
Gritskikh_Anton
 
DOC
PT MIFI Labsql
Dmitry Evteev
 
PPT
PT MIFI Labsql
Dmitry Evteev
 
Демонстрация атаки на ДБО
Dmitry Evteev
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 
Зеленый азимут
Gritskikh_Anton
 
Домовята
Gritskikh_Anton
 
PT MIFI Labsql
Dmitry Evteev
 
PT MIFI Labsql
Dmitry Evteev
 

Similar to История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр (20)

PDF
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
PDF
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Roman Ranskyi
 
PDF
Архитектура защищенного периметра
Cisco Russia
 
PPT
Penetration testing (AS IS)
Dmitry Evteev
 
PDF
FireEye IDC IT Security Roadshow Moscow 2016
Dmitry Ragushin
 
PPT
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
PDF
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink
 
PDF
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
PDF
Архитектура защищенного периметра
Cisco Russia
 
PDF
Системы предотвращения вторжений нового поколения
Cisco Russia
 
PDF
Защита и контроль приложений
Cisco Russia
 
PPT
IBM Proventia IPS
Петр Королев
 
PPT
Что такое пентест
Dmitry Evteev
 
PPTX
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN
 
PDF
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
PPT
Информационная безопасность и web-приложения
Maxim Krentovskiy
 
PDF
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
PPTX
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
PDF
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Roman Ranskyi
 
Архитектура защищенного периметра
Cisco Russia
 
Penetration testing (AS IS)
Dmitry Evteev
 
FireEye IDC IT Security Roadshow Moscow 2016
Dmitry Ragushin
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Expolink
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
Архитектура защищенного периметра
Cisco Russia
 
Системы предотвращения вторжений нового поколения
Cisco Russia
 
Защита и контроль приложений
Cisco Russia
 
IBM Proventia IPS
Петр Королев
 
Что такое пентест
Dmitry Evteev
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Информационная безопасность и web-приложения
Maxim Krentovskiy
 
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 

More from Dmitry Evteev (11)

PPTX
Такой (не)безопасный веб
Dmitry Evteev
 
PPT
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
PPT
Безопасность веб-приложений сегодня
Dmitry Evteev
 
PPT
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
DOC
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
DOC
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
PPT
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
PPT
WAF наше все?!
Dmitry Evteev
 
PPT
Ломаем (и строим) вместе
Dmitry Evteev
 
PPT
Ruscrypto CTF 2010 Full Disclosure
Dmitry Evteev
 
PPT
Penetration testing, What’s this?
Dmitry Evteev
 
Такой (не)безопасный веб
Dmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
Безопасность веб-приложений сегодня
Dmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
Dmitry Evteev
 
WAF наше все?!
Dmitry Evteev
 
Ломаем (и строим) вместе
Dmitry Evteev
 
Ruscrypto CTF 2010 Full Disclosure
Dmitry Evteev
 
Penetration testing, What’s this?
Dmitry Evteev
 

История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр

  • 1. История из жизни. Демонстрация работы реального злоумышленника на примере атаки на крупнейший удостоверяющий центр. Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  • 2. О чем пойдет речь Компания DigiNotar была голландским центром сертификации принадлежащая VASCO Data Security International. В сентябре 2011 года компания была объявлена ​банкротом после хакерской атаки. Подробнее: http://en.wikipedia.org/wiki/DigiNotar В конце 2012 года был опубликован всесторонний отчет компанией Fox-IT, которая специализируется на расследованиях в области информационной безопасности, посвященный инциденту со взломом DigiNotar. Подробнее: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
  • 3. Чем примечателен инцидент Обеспечению информационной безопасности в DigiNotar уделяли особое внимание (!) • TippingPoint 50 IPS • Nokia firewall appliance (Check Point Firewall-1 / VPN-1) • Балансировщик нагрузки • Инфраструктура на базе Microsoft Windows • RSA Certificate Manager (eq RSA Keon) • Symantec AntiVirus • Сегментация сети с подмножеством ДМЗ • Использование двухфакторных механизмов аутентификации (отчуждаемые носители в виде смарт-карт, биометрия) • Реализованы процессы обеспечения непрерывности бизнеса • …
  • 6. Но несмотря на реализованные контроли…
  • 7. Разбираем подробно Сценарий атаки на DigiNotar очень близок к используемым методам и техникам при проведении тестирований на проникновение
  • 8. С чего все началось Система управления сайтом DotNetNuke (Март 2008) + не установленное обновление безопасности MS10-070 = Padding Oracle Attack
  • 9. Padding Oracle Attack Уязвимость позволяет атакующему читать данные, такие как состояние просмотра (ViewState), которые были зашифрованы сервером. Эта уязвимость также может быть использована для подделки данных, что в случае успеха позволяет расшифровывать и подделывать данные, зашифрованные сервером. Подробнее: http://blog.gdssecurity.com/labs/2010/10/4/padbuster-v03-and- the-net-padding-oracle-attack.html
  • 10. Анализируй то Была ли атака на DigiNotar целевой и заранее спланированной или это была «случайная» атака?
  • 11. Анализируй это Июнь 2011 Август 2011 Июль 2011 Сентябрь 2010 Март 2008
  • 12. «Реакция админов – такая реакция» (с)
  • 13. В продолжение об уязвимостях DotNetNuke Подробнее: http://www.agarri.fr/kom/archives/2011/09/15/failles_de_type_xee_dans_sh arepoint_et_dotnetnuke/index.html
  • 14. Внедрение внешних XML-сущностей: перспективный сценарий развития атаки Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. Подробнее: https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
  • 15. Про веб-безопасность в цифрах (1/3) Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска http://www.ptsecurity.ru/download/статистика RU.pdf
  • 16. Про веб-безопасность в цифрах (2/3) Сайты с различными типами CMS, содержащие критические уязвимости http://www.ptsecurity.ru/download/статистика RU.pdf
  • 17. Про веб-безопасность в цифрах (3/3) Доли уязвимых сайтов из различных отраслей экономики http://www.ptsecurity.ru/download/статистика RU.pdf
  • 18. Методы поиска уязвимостей в веб-приложениях «Черным-ящиком» • Инвентаризация известных уязвимостей • Fuzzing «Белым-ящиком» • Аудит используемых приложений и конфигураций • Ручной и автоматизированный поиск уязвимостей в коде
  • 19. Пост-эксплуатация: выполнение команд Псевдотерминал • Пример: ASPXspy (http://code.google.com/p/pcsec/downloads/list) Интерактивный терминал • Пример: Tiny Shell (https://github.com/creaktive/tsh/) «Транспорт» • Пример: reDuh (http://sensepost.com/labs/tools/pentest/reduh)
  • 21. Практическое занятие 1 Проведите атаку на веб-сервер с IP-адресом 192.168.0.10 Добейтесь возможности выполнения команд на пограничном веб-сервере
  • 22. Сценарий атаки на DigiNotar: шаг 1
  • 23. Пост-эксплуатация Текущие привилегии - IUSR_MachineName Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации Развитие атаки к другим хостам с имеющимися привилегиями
  • 24. Пост-эксплуатация: повышение привилегий msf :: meterpreter :: MS09-012, MS10-015... Immunity CANVAS :: MOSDEF CORE Impact, SAINT Exploit Pack Другие источники: • public eq exploit-db.com • private …
  • 25. Пост-эксплуатация: подбор паролей Список имеющихся идентификаторов + TOP N распространенных паролей (+ THC-Hydra, ncrack…) = profit!11
  • 26. Пост-эксплуатация: сбор доступной информации Такая безопасность является повсеместной (!)
  • 27. Сценарий атаки на DigiNotar: шаг 2
  • 28. Практическое занятие 2 Добейтесь повышения своих привилегий на пограничном веб-сервере Получите RDP-доступ к пограничному веб-серверу Подключитесь к СУБД MSSQL под пользователем Bapi01usr
  • 29. Пост-эксплуатация Текущие привилегии – Пользователь на MSSQL 2005 Повышение привилегий • Использование уязвимостей в т.ч. бинарных • Подбор паролей • Сбор доступной информации по базам данных
  • 31. Отступление: подозрительные файлы на скомпрометированном веб-сервере DigiNotar
  • 32. Пост-эксплуатация: сбор информации о сети Из списка файлов (см. 4.3.3 Suspicious files): • nc.exe (аналог telnet) http://netcat.sourceforge.net/ • PortQry.exe (аналог nmap) http://support.microsoft.com/kb/310099/ru • putty.exe (потребовался ssh?) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
  • 33. Пост-эксплуатация: организация «транспорта» TrojXX.exe Аналог – Revinetd (http://revinetd.sourceforge.net/)
  • 36. Практическое занятие 3 Добейтесь выполнения команд на сервере MSSQL с IP-адресом 192.168.1.2 Получите RDP-доступ к серверу базы данных
  • 37. Сценарий атаки на DigiNotar: шаг 3
  • 38. Пост-эксплуатация Текущие привилегии – SYSTEM Использование привилегий для сбора доступной информации • SAM, Passwordhistory, LSAsecrets, Credentialmanager, Protectedstorage... «Password hashes dump tools» Bernardo Damele A.G. https://docs.google.com/spreadsheet/ccc?key=0Ak- eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0 Развитие атаки к другим хостам с имеющимися знаниями Развитие атаки к другим хостам на более низком уровне
  • 39. Пост-эксплуатация: использование привилегий Локальный администратор с идентичным паролем на разных серверах (!) Сценарии использования: • LM&NTLM hashes -> rainbow tables -> auto pwn • LM&NTLM hashes -> pass-the-hash -> auto pwn • plain password -> auto pwn Откажитесь от локального администратора: http://support.microsoft.com/kb/814777
  • 40. Пост-эксплуатация: сбор информации Из списка файлов (см. 4.3.3 Suspicious files): • cachedump.exe http://www.openwall.com/john/contrib/cachedump-1.2.zip • PwDump.exe http://www.foofus.net/~fizzgig/pwdump/ • mimi.zip http://blog.gentilkiwi.com/mimikatz
  • 42. Отступление: когда хватает привилегий MITM, прослушивание открытых протоколов, RDP… Понижение уровня проверки подлинности, Challenge Spoofing Authentication Capture (HTTP NTLM, …) Netbios spoofing Fake Update, ISR-evilgrade http://www.packetstan.com/2011/03/nbns-spoofing-on-your-way-to-world.html http://g0tmi1k.blogspot.com/2010/05/script-video-metasploit-fakeupdate-v011.html http://www.infobyte.com.ar/
  • 44. Отступление: Relay-атаки нового поколения ZackAttack (https://github.com/zfasel/ZackAttack)
  • 45. Пост-эксплуатация Злоумышленник всегда выберет наиболее простой сценарий атаки
  • 46. И другие методы… Злоумышленник ВСЕГДА выберет наиболее простой сценарий атаки
  • 47. Практическое занятие 4 Получите права администратора домена DNPRODUCTIE Получите RDP-доступ к контроллеру домена
  • 48. Сценарий атаки на DigiNotar: шаг 4
  • 49. Пост-эксплуатация: использование привилегий Из списка файлов: • ldap.msi (LDAP-транспорт) • SQLServer2005_SSMSEE.msi (MSSQL-транспорт) • psexec.exe http://technet.microsoft.com/ru-ru/sysinternals/bb897553.aspx • rsa_cm_68.zip (CA management) • darpi.zip (DigiNotar Abonnementen Registratie) • bapi.zip (Dutch tax administration)
  • 50. Сценарий атаки на DigiNotar: шаг 5
  • 51. Сценарий атаки на DigiNotar: game over
  • 52. Как злоумышленники сумели выдать новые сертификаты?
  • 53. Практическое занятие 5 Выпустите сертификат на доменное имя google.com 
  • 54. Рассуждая про кибервойны и вселенские заговоры
  • 55. Вместо заключения Основные мишени для достижения цели • «соседи» на хостинг площадках • партнерские и смежные сети регионов Основные пути проведения атаки • использование уязвимостей веб-приложений • подбор паролей Огромная проблема ИБ – повсеместная некомпетентность/халатность Многие атаки являются массовыми и носят случайных характер