data exfiltration, ninja way · 2014. 10. 21. · data exfiltration •fuga de información...
TRANSCRIPT
![Page 1: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/1.jpg)
NcN2012
Juan Garrido / Pedro Laguna
Sevillanos
#trianapijama
DATA EXFILTRATION,
NINJA WAY
![Page 2: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/2.jpg)
Agenda
• Introducción
• Data Exfiltration
• Canales encubiertos
• Demos! (ninjas…)
• Detección / Mitigacion
![Page 3: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/3.jpg)
Introducción
![Page 4: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/4.jpg)
Data Exfiltration
• Fuga de información sensible
– Información comprometedora
– Información secreta
– Información de clientes
• Impacto negativo en la empresa
• Si hay fuga, hay daño (Aunque no se venda)
![Page 5: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/5.jpg)
Canales encubiertos
• Ampliamente utilizados desde hace siglos
• Los datos se ocultan utilizando un medio aparentemente inocuo
• Metodología muy variada
– Depende mucho de los conocimientos y “picardía” del que lo realiza
– Desde el punto de vista del atacante, el medio siempre será inseguro
![Page 6: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/6.jpg)
![Page 7: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/7.jpg)
Tipos de canales
• USB
• Impresora
• CD-Rom
• Disquettes
Fisicos
• ICMP
• TCP
• UDP
Red
• Acceso a foro interno
• Llamada a soporte
Ingenieria social
• Papeles del reciclaje
• Telefono
Otros
![Page 8: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/8.jpg)
Red
Datos
• Informacion
• Payload
Contexto
• Tamaño
• Bits significativos
Tiempo
• Hora de envio
• Tiempo entre paquetes
![Page 9: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/9.jpg)
Informacion
Encubierto
Fiabilidad
![Page 10: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/10.jpg)
![Page 11: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/11.jpg)
Modificacion de paquetes
• Requiere de un framework/lenguaje para modificar ciertas cabeceras
• Vamos a enviar informacion en campos significativos
• Nosotros establecemos el codigo = dificil de detectar por reglas estandar.
![Page 12: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/12.jpg)
![Page 13: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/13.jpg)
![Page 14: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/14.jpg)
Un poco mas ninja…
• Entornos corporativos no permiten la instalacion de software
• Usamos funcionalidades incluidas en el propio sistema operativo
• Si no te dejan ejecutar python solo te queda…
![Page 15: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/15.jpg)
Batch!!!
![Page 16: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/16.jpg)
C:\Windows\system32
• Muchos comandos ignorados por los sysadmins
• Ofrecen funcionalidad de red limitada
– ping
– tracert
– netsh
– winrm
– w32tm
![Page 17: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/17.jpg)
winrm
• Remote management console
• Permite hacer peticiones HTTP a servidores remotos
• Si usamos HTTPS quizas el payload no sea analizado
• Podemos automatizar la exfiltracion de datos
![Page 18: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/18.jpg)
![Page 19: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/19.jpg)
ping
• Protocolo ICMP a veces ignorado
• El comando ping ofrece la posibilidad de modificar ciertos parametros
• Podemos cambiar el tamaño del paquete
• No, no de ese paquete….
![Page 20: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/20.jpg)
![Page 21: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/21.jpg)
Otros winmethods
● w32tm
– Uso de NTP, envio de informacion mediante
tiempo entre peticiones
● rpcping
– Distintos tipos de paquetes/conexiones
● Etc,etc,etc... Windows Media Player? Y
no hemos hablado de VBS ni netsh...
![Page 22: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/22.jpg)
Red + Fisico
• Impresoras en red
• Que ocurre si las impresoras estan conectadas a internet?
• Si “olvidamos”un papel en la impresora y luego accedemos desde casa…
![Page 23: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/23.jpg)
![Page 24: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/24.jpg)
![Page 25: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/25.jpg)
![Page 26: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/26.jpg)
![Page 27: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/27.jpg)
![Page 28: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/28.jpg)
Detección
• Firma de paquetes
– Snort Rules
• Análisis basado en estadística
– Buscar anomalías en la Red
– Análisis de tráfico
• Principio del mínimo privilegio
• Network Baseline Policies
• Honey tokens
![Page 29: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/29.jpg)
Mitigacion
• Fortificar estaciones de trabajo
– Limitar programas ejecutables (white list)
– Bloquear trafico no autorizado
– Eliminar funcionalidades “extra”
– Bloquar dispositivos externos
• Politicas de eliminacion y proteccion de informacion fisica
![Page 30: DATA EXFILTRATION, NINJA WAY · 2014. 10. 21. · Data Exfiltration •Fuga de información sensible –Información comprometedora –Información secreta –Información de clientes](https://reader035.vdocuments.site/reader035/viewer/2022071001/5fbd979498dfec0e1046fbcd/html5/thumbnails/30.jpg)
ASK A NINJA