geraldo bravo - pós apt / segurança da tática à prática - mind the sec (2015)
TRANSCRIPT
2
Passo 2: Obter
acesso
administrativo
(Ex: Usuário de
suporte)
Que comecem os jogos!!!
Passo1:
Phishing para
obter um ponto
de entradaTech support
Passo 3:
Acessar um
servidor
3
E a história se repete.....
▪ Dia Zero
▪ Exploração inicial
▪ C&C (instalação e uso)
▪ Elevação de privilégio
▪ Reconnaisance
▪ Movimentação lateral
▪ Obtenção de dados
confidenciais/importantes
▪ Retirada de dados
4
Principais fatores – Infecção e propagação
▪ Detecção ineficiente (dia zero)
▪ Operação insegura e
ausência de:
■ Boas práticas de
administração
• Active directory, devices de
rede
■ Técnicas de desenvolvimento
seguro
■ Segregação de acessos
• Mínimo privilégio necessário
• Need to know
5
Os APTs são perigosos (OK, já sabemos)
60% das empresas foram comprometidas em
minutos
205Dias em média entre o ataque inicial e a
detecção
98% Dos casos envolveram contas do Active
Directory
6
Elevação de privilégio... Exemplo rápido
• Estação infectada: varre hashes de Kerberos de
usuários logados.
• Reconnaissance para encontrar outros targets
• Uso dos hashes para acessar outras máquinas (Pass-
the-Hash, Overpass-the-Hash)
• Estabelece outras bases, e de lá a movimentação se
repete
Ou..... Busca em TXT, XLS e DOC (!?)
7
O Santo Graal: Credencial Privilegiada?
▪ Keyloggers: Obter senhas digitadas (DB, equipamentos
de rede, etc)
▪ Memory scraper: Obter hashes NTLM e Kerberos
▪ DLLs
▪ Contas locais: Mesma senha?
▪ Arquivos ini
▪ DB: credenciais hard coded
▪ Domain Admin, Enterprise admin: Game Over
■ Kerberos Golden ticket, PTH
8
Contas Privilegiadas: Uma bela superfície de
ataque
Contas
PrivilegiadasSuporte,
admin, TI
Parceiros e
prestadores de serviço
Key users
Midias sociais
Credenciais
Web
Aplicações
• Qualquer dispositivo que seja possui credenciais
administrativas
• Vemos uma média de credenciais privilegiadas 3x maior
que o numero de pessoas na empresa
10
Como agir
• Em casos mais simples:
• Isolar equipamentos suspeitos
• Obter atualizações necessárias
• Reorganizar proteção
• Forense para determinar “estragos”
• Nos piores casos – atividades sincronizadas:
• Ajuda especializada
• Recriar estrurura de AD – reset de todas as contas
• Atualizar imagens
• Reinserir equipamentos
• Reorganizar proteção
• Forense para determinar “estragos”
12
Paradigma atual
• Manter o intruso fora da rede
• Detectar, Detectar, Detectar
• Atuar no perímetro:
• NIPS, Mail analysis, Webfiltering
• Proteger a rede interna
• AV, Sandbox, static code analysis, SIEM
Em todos os grandes casos... As soluções existiam, e
estavam atualizadas...
13
Psicologia reversa
• Não posso manter os malfeitores fora da rede – 100%
do tempo
• Tornar a vida deles um inferno:
• Diminuir superfície
• Adotar boas práticas
• Camadas internas de proteção
• Induzir ao erro
• CONHEÇA SEU AMBIENTE
14
Você conhece seu ambiente? De verdade?
Service Accounts User Accounts
Embedded credentials Interactive logons
16
Superfície diminuindo
• Proteja credenciais
• Privileged Account Security
• Remova credenciais de vetores acessíveis
• Arquivos ini, códigos de app, etc
• Monitore atividades
• Das credenciais
• Das máquinas
• Em arquivos
• Duplo fator de autenticação
18
Práticas adicionais
• Diminuição de contas
administrativas
• Trocas de senha periódicas e
senhas únicas
• Codificação segura
• Isolamento de
sessões/Segregação de rede
• App Control
19
Práticas adicionais – cont.
• Mínimo privilégio necessário
• Need to know
• Revisão de acessos
• Revisão periódica
• Duplo fator de autenticação
20
Futuro... e além!
• Os atacantes seguem
evoluindo rapidamente
• Possuem recursos
• Possuem a motivação
• Inove também
• O Brasil segue no alvo
(por que não?)
21
Encerramento
Obrigado!!!
Contato:
Linkedin:br.linkedin.com/in/geraldobravo