Exfiltration av data (information)
•
0 gefällt mir•5,067 views
Hur genomför skadlig kod exfiltration av information/data? Samt hur kan företag och organisationer detektera när data har exfiltrerats.
Empfohlen
Weitere ähnliche Inhalte
Empfohlen
Empfohlen (20)
Exfiltration av data (information)
- 1. Exfiltration av data Jonas Lejon Kryptera.se Internetdagarna 2014
- 2. Definition
- 3. Tidslinje OSINT Intrång/leverans C&C Kartläggning Exfiltration Upprensning X år
- 4. Skadlig kod • Axplock av skadlig kod: – Careto • Krypterade filer med .GIF – Flame • AutoCAD via SSH (puttys bibliotek) – FrameworkPOS • DNS – Duqu ”The mask” • Krypterade filer med JPG-filändelse
- 5. Flyga under radarn • Steganografi • Nyttja kända domäner/tjänster – Twitter, Dropbox • Installerade programvaror • Inga spår på hårddisk • Under lång tid • Flera destinationer • Kryptering • Modulärt
- 6. Flyga under radarn • Situation awareness – Airgap • Unikt för målsystemet – Sökväg till progamvara som invärde till nyckelderiveringsfunktion såsom scrypt – MAC • Tor Hidden Services – Meek transport (domain fronting) –
- 7. Detektion • Ändpunkter • Stora mängder ut/flöden – Argus • Minnesforensik • Loggning – Immunity El Jefe • IOC • Honeytokens • Spela in nätverkstrafik (FIFO)
- 8. Exempel Poison Ivy Metasploit
- 9. Poison Ivy C&C • Snort
- 10. Twitter: @kryptera https://kryptera.se https://triop.se
Hinweis der Redaktion
- Ej insider, kan vara dock. Stadsunderstödda attacker med någon form av kod inblandad. Kvalificerade angrepp eller APT med mycket resurser i form av tid, kompetens, finansiering. Automatiserat
- OSINT= Open Source Intelligence. Insamling av information via öppna källor. Såsom whois, E-post, anställda och deras fritidsintressen och förehavanden på sociala medier Intrång/leverans= Utskick av .doc, USB-minne via E-post eller bakdörrad hårdvara. Ändra hårdvara in-transit hos FedEx/UPS etc C&C= Command and control, dvs kontrollkanal. Inte alltid nödvändig. Vet vi innan vad vi vill exfiltrera så kan vi hålla en lägre nivå Kartläggning= Var finns det vi är ute efter? Måste fler system komprometteras Exfiltration= Skicka ut dokument, källkod, privata nycklar eller annat som antagonisten är ute efter. Ändra/lägga till information Upprensning= Rensa spåren. Skriv aldrig till disk och nyttja helst redan befintliga komponenter i systemen
- Careto – Mot Spansktalande länder Flame - Mellanöstern