APT Detection using Splunk

Size: px

Start display at page:

Download "APT Detection using Splunk"

Miranda Dean
8 years ago
Views:

1 APT Detection using Splunk

2 Wir starten mit Schütteln Swiss Cyber Storm -> 22. Oktober 2014, KKL Luzern Former US Secret Service Agent, Robert Rodriguez Microsoft Research, Elia Florio Compass Voucher Code!!!! SCS5xCOMPASS Seite 2

Robert Rodriguez Microsoft Research, Elia Florio www.

3 Agenda Gspüürschmisplunk APT Advanced Persistent Threat Erkennungskonzept mit Splunk Was ist das Hacking-Lab? Wie wurde Splunk im Hacking-Lab integriert? Splunk Dashboard für APT Erkennung Zwei Beispiele mit Demo Resumée Seite 3

Wie wurde Splunk im Hacking-Lab integriert?

4 Gspüürschmisplunk

5 APT Advanced Persistent Threat

6 Indirect Attack Bypassing Perimeter Protection PASSED Seite 6

7 USB Stick Attack Covert Channel Delivery with USB-Stick/CD-ROM Attacker controls the computer of the victim Start via Auto-Start Company Network Internet Seite 7

8 Simple Covert Channel From Inside to the Outside Corporate LAN Internet Seite 8

9 Proxified Covert Channel From Inside to the Outside LAN Proxy Corporate LAN Internet DMZ Proxy Seite 9

10 Advanced Persistent Threat Today First Infection (no local admin) C&C C&C protocol -SSL/TLS traffic encryption -Asymetric Crypto (Pub/Priv) -Encrypted data storage -Forensic Analysis Detection -Virtualization Detection -Update & alert methods -Configurable (zombie host or C&C service or both) Seite 10

-Encrypted data storage -Forensic Analysis Detection -Virtualization Detection

11 Elevate Privileges - Statistics Advisory is published Patch 54 days Exploit 6 days [3] ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability since Seite 11

(Dissertation): We found that exploit availability

12 Advanced Persistent Threat Command & Control Communication Client C&C DNS Server Server POLL POLL POLL Command File Commands Execute commands Seite 12

13 Advanced Persistent Threat Today First Infection (no local admin) Elevate Privs to Local Admin C&C Seite 13

14 Erkennungskonzept

15 Erkennungskonzept / Stufe 1 Lookup Database Seite 15

16 Erkennungskonzept / Stufe 2 Attachments Verbindungsdaten Sandbox Infrastructure Lookup Database Seite 16

Was sind Lookups? getwatchlist http://mirror1.malwaredomains.com/files/domains.

17 Was sind Lookups? getwatchlist relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true proxyhost= proxyport=3128 outputlookup malwaredomains.csv Seite 17

txt relevantfieldname="domain" relevantfieldcol=3 categorycol=4

18 Was sind Lookups? Malware Domains (DNS Source) Malware Domains getwatchlist relevantfieldname="domain" relevantfieldcol=3 categorycol=4 referencecol=5 datecol=6 isbad=true outputlookup malwaredomains.csv Mandiant Sources sourcetype=dns_query OR sourcetype=proxy [ inputlookup mandiant-apt1- indicators.csv MANDIANT-APT1-DOMAIN fields + $MANDIANT-APT1- DOMAIN ] ZeuS Tracker, Dshield, Spamhaus ZeuS tracker IP list DShield recommended block list Spamhaus DROP list Seite 18

ca/sites/default/files/mandiant-apt1-indicators-list.txt sourcetype=dns_query OR sourcetype=proxy [ inputlookup mandiant-apt1- indicators.

19 Was sind Lookups? Seite 19

20 Was sind Lookups? getwatchlist download=ipblocklist proxyhost= proxyport=3128 outputlookup zeus.csv Seite 20

download=ipblocklist proxyhost=192.168.200.

21 Was sind Lookups? Malware Sample Acquisition Cycle Malware.lu hashes -> VirusTotal behavioral infromation -> custom parser, DNS/ssdeep hashes extraction -> Splunk Source Seite 21

22 Was sind Lookups? Improvement trough modified samples ssdeep ( hashes for fuzzy detection of modified malware samples May be used for automatic generation of OpenIOC indicators ( Open Indicators of Compromise (OpenIOC) Seite 22

23 Was sind Lookups? Seite 23

24 Was sind Lookups? IP Reputation (Honeypot DB) Seite 24

25 Was ist das Hacking-Lab?

26 Hacking-Lab Online Security Lab Seite 26

27 Was ist das Hacking-Lab? Registration Challenge Description VPN to the Lab Solve the Challenge Submit your solution Receive Points Seite 27

28 Was ist das Hacking-Lab? 1) Registration 2) Challenge Details Solving the challenges(vpn) Send Solution Solution Grading Seite 28

29 Was ist das Hacking-Lab? Seite 29

30 DNS Auflösung Seite 30

31 Web Zugriff Seite 31

32 Sandbox Umgebung mit Cuckoo Mailserver oder Web Proxy Seite 32

33 Seite 33

34 Splunk Dashboard

35 Demo Malicious Firefox Plugin Compass C&C Testing Framework OSX Trojan DNS Tunneling Cookie Tunnel Web Shell Web Shell

36 Resumée

37 Resumée Seite 37

38 Wie können wir Sie unterstützen? Compass Security Schweiz AG Compass Security Cyber Defense AG Seite 38

39 Zum Schluss... Seite 39

40 Vielen Dank für Ihre Aufmerksamkeit Seite 40

Effective Methods to Detect Current Security Threats

terreactive AG. Swiss Cyber Storm 2015. Effective Methods to Detect Current Security Threats Taking your IT security to the next level, you have to consider a paradigm shift. In the past companies mostly