Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
1. 1
Fui vítima de APT, o que esperar
em seguida?
Segurança interna, da tática à prática
Geraldo Bravo
2. 2
Passo 2: Obter
acesso
administrativo
(Ex: Usuário de
suporte)
Que comecem os jogos!!!
Passo1:
Phishing para
obter um ponto
de entrada
Tech support
Passo 3:
Acessar um
servidor
3. 3
E a história se repete.....
▪ Dia Zero
▪ Exploração inicial
▪ C&C (instalação e uso)
▪ Elevação de privilégio
▪ Reconnaisance
▪ Movimentação lateral
▪ Obtenção de dados
confidenciais/importantes
▪ Retirada de dados
4. 4
Principais fatores – Infecção e propagação
▪ Detecção ineficiente (dia zero)
▪ Operação insegura e
ausência de:
■ Boas práticas de
administração
• Active directory, devices de
rede
■ Técnicas de desenvolvimento
seguro
■ Segregação de acessos
• Mínimo privilégio necessário
• Need to know
5. 5
Os APTs são perigosos (OK, já sabemos)
60% das empresas foram comprometidas em
minutos
205Dias em média entre o ataque inicial e a
detecção
98% Dos casos envolveram contas do Active
Directory
6. 6
Elevação de privilégio... Exemplo rápido
• Estação infectada: varre hashes de Kerberos de
usuários logados.
• Reconnaissance para encontrar outros targets
• Uso dos hashes para acessar outras máquinas (Pass-
the-Hash, Overpass-the-Hash)
• Estabelece outras bases, e de lá a movimentação se
repete
Ou..... Busca em TXT, XLS e DOC (!?)
7. 7
O Santo Graal: Credencial Privilegiada?
▪ Keyloggers: Obter senhas digitadas (DB, equipamentos
de rede, etc)
▪ Memory scraper: Obter hashes NTLM e Kerberos
▪ DLLs
▪ Contas locais: Mesma senha?
▪ Arquivos ini
▪ DB: credenciais hard coded
▪ Domain Admin, Enterprise admin: Game Over
■ Kerberos Golden ticket, PTH
8. 8
Contas Privilegiadas: Uma bela superfície de
ataque
Contas
Privilegiadas
Suporte,
admin, TI
Parceiros e
prestadores de serviço
Key users
Midias sociais
Credenciais
Web
Aplicações
• Qualquer dispositivo que seja possui credenciais
administrativas
• Vemos uma média de credenciais privilegiadas 3x maior
que o numero de pessoas na empresa
12. 12
Paradigma atual
• Manter o intruso fora da rede
• Detectar, Detectar, Detectar
• Atuar no perímetro:
• NIPS, Mail analysis, Webfiltering
• Proteger a rede interna
• AV, Sandbox, static code analysis, SIEM
Em todos os grandes casos... As soluções existiam, e
estavam atualizadas...
13. 13
Psicologia reversa
• Não posso manter os malfeitores fora da rede – 100%
do tempo
• Tornar a vida deles um inferno:
• Diminuir superfície
• Adotar boas práticas
• Camadas internas de proteção
• Induzir ao erro
• CONHEÇA SEU AMBIENTE
14. 14
Você conhece seu ambiente? De verdade?
Service Accounts User Accounts
Embedded credentials Interactive logons
18. 18
Práticas adicionais
• Diminuição de contas
administrativas
• Trocas de senha periódicas e
senhas únicas
• Codificação segura
• Isolamento de
sessões/Segregação de rede
• App Control
19. 19
Práticas adicionais – cont.
• Mínimo privilégio necessário
• Need to know
• Revisão de acessos
• Revisão periódica
• Duplo fator de autenticação
20. 20
Futuro... e além!
• Os atacantes seguem
evoluindo rapidamente
• Possuem recursos
• Possuem a motivação
• Inove também
• O Brasil segue no alvo
(por que não?)