Ataques Cibernéticos y Cuentas Privilegiadas 1 ▪ George Alvarez ▪ SE Manager LATAM El nuevo campo de batalla cibernético: La red interna Más del 90% de las organizaciones han sido atacadas • En el pasado: “Puedo detener todo en el perímetro” • Ahora: “No puedo detener todo en el perímetro” El foco de seguridad de la información cambia hacia el interior de la red • Más del 45% de los ataques son internos – dirigidos maliciosamente o accidentalmente • Credenciales comprometidas aumentan las posibilidades de un atacante para actuar como interno Requerimientos de auditoria y cumplimiento se centran en cuentas privilegiadas • Las cuentas privilegiadas otorgan acceso a los activos más sensibles e importantes • La exposición de información daña la reputación y confianza de los clientes. 2 Los hechos hablan por si mismos: No existe la seguridad perfecta. Los atacantes se vuelven más inteligentes y cambian sus tácticas todo el tiempo 100% 94% 416 100% De las victimas tienen antivirus actualizado De los ataques son reportados por terceras partes El número de días que los atacantes permanecen en la red antes de ser detectados De los ataques involucran robo de credenciales. Mandiant, 2013 3 Las defensas perimetrales no son suficientes Former FBI Director Robert Mueller “Hay solo 2 tipos de compañias: Aquellas que han sido atacadas y aquellas que serán atacadas. Incluso estan convergiendo en una sola categoria: Aquellas que han sido atacadas y volverán a ser atacadas.” “FBI Director: Cybercrime Will Eclipse Terrorism” CNN Money 2 March 2012 4 Morfología de los ataques cibernéticos 5 Los privilegios están en el centro del ciclo de vida de los ataques 6 Las cuentas privilegiadas existen en todas partes… Privileged Accounts Routers, Firewalls, Hypervisors, Databases, Applications Power Plants, Factory Floors Routers, Firewalls, Servers, Databases, Applications Las compañías típicamente tienen 3a4 veces más cuentas de privilegiadas que empleados Laptops, Tablets, Smartphones 7 WiFi Routers, Smart TVs Credenciales robadas o mal utilizadas ponen a la infraestructura de IT en riesgo… Compromised Privileged Accounts Routers, Firewalls, Hypervisors, Databases, Applications Power Plants, Factory Floors Routers, Firewalls, Servers, Databases, Applications WiFi Routers, Smart TVs Laptops, Tablets, Smartphones 8 El Robo y Brecha de Target 9 La Brecha de Target Citadel Malware Steal Information and Passwords Access Target remote vendor interface Phishing Fazio mechanical (HVAC) Fazio user account 10 La Brecha de Target • Install malware on POS Hash extraction • Access DC • Install RAT Access the server running the remote interface 11 Domain admin Remote Administration Tool Screen/camera capture or image control[2] File management (download/upload/exec ute/etc.)[3] Shell control (from command prompt)[4] Computer control (power off/on/log off if remote feature is supported) Registry management (query/add/delete/mod ify)[5] Hardware Destroyer (overclocker)[6] Other software product-specific functions La Brecha de Target Create password or discover default password Use to automate data collection from POS to dump server (PsExec) Discover in documentation or on DC Best1_user Goal 12 El Ataque del Casino Sands 13 El Ataque de Sands Website defacing Publish sensitive data on company’s website Malware Bomb compiled within the network Credentials collection Using Mimikatz 4 6 9 Test Web Server Senior computer system engineer Privileged credentials Las Vegas network Sands website 3 Bethlehem network 5 “found a weakness” Using privileged credentials Las Vegas has been compromised 8 14 Burning bridges 7 Disconnect servers from the internet Extracting sensitive data Wiper is still on! “compressing batches of sensitive files” 1 2 Brute force attack Brute force attack El Ataque de Sands Las Vegas network Bethlehem network 15 El Ataque de Sands Las Vegas network Bethlehem network 16 1 2 Brute force attack Brute force attack El Ataque de Sands Test Web Server Las Vegas network Bethlehem network 17 3 “found a weakness” El Ataque de Sands Credentials collection Using Mimikatz 4 Senior computer system engineer Las Vegas network Privileged credentials Bethlehem network 18 El Ataque de Sands Senior computer system engineer Privileged credentials Las Vegas network 5 Using privileged credentials Las Vegas has been compromised 19 Bethlehem network El Ataque de Sands Malware Bomb compiled within the network 6 Senior computer system engineer Las Vegas network Privileged credentials Bethlehem network 20 El Ataque de Sands Senior computer system engineer Privileged credentials Las Vegas network Bethlehem network 7 Extracting sensitive data “compressing batches of sensitive files” 21 El Ataque de Sands Senior computer system engineer Las Vegas network Privileged credentials Bethlehem network 8 Burning bridges Disconnect servers from the internet Wiper is still on! 22 El Ataque de Sands Website defacing Publish sensitive data on company’s website 9 Sands website 23 Senior computer system engineer Las Vegas network Privileged credentials Bethlehem network El Ataque de Sony Pictures and Entertainment 24 La Notificacion 25 Detalles ofrecido por US Cert del guzano usado (SMB) Bruteforce passwords Lightweight backdoor SMB Worm Network propagation Destroys hard drives Listening implant 26 Informacion Robada de Sony 5 UNRELEASED MOVIES NETWORK INFORMATION PERSONAL INFORMATION FTP passwords Emails SSH keys Salaries Excel, Word and text files with passwords Passport scans Full dumps of SQL DBs 27 SNOWDEN 28 Un ataque externo tiene que tener acesso a una cuenta interna “…100% de las brechas involucran credenciales prvilegiadas robadas” Mandiant, M-Trends and APT1 Report 29 “Ataques APT’s prefieren usar cuentas privilegiadas como Domain Administrators, cuentas de Servicio con privilegio de Dominic, cuenta del Administrador Local, y cualquier cuenta prvilegiada.” Ataque Kerberos Golden Ticket 30 Basicamente como trabaja Kerberos? 1. Authenticate (AS_REQ) Client Kerberos Authentication Server - DC 2. Get TGT (AS_REP) TGT TGT 3. Request service ticket (TGS_REQ) 4. Get service ticket (TGS_REP) Target Server 31 ST Que es el Golden Ticket 1. Use krbtgt hash to generate TGT Client 3. Request service ticket (TGS_REQ) 4. Get service ticket (TGS_REP) Target Server 32 Kerberos Authentication Server - DC Como se obtiene el Golden Ticket (krbtgt) ▪ Domain Admin access ▪ DCSync ▪ VSS->NTDS.dit ▪ NTDSUtil ▪ DC Backups ■ ■ ■ NAS Network share Physical copies ▪ Previous pentests ▪ Virtual DC -> Hypervisors 33 Demo Que te gutaria ver? 34 PAC – Privilege Attribute Certificate 35 Ataque PAC (MS14-068 Vulenrabilidad) Client 1. Authenticate + “No PAC Please!” 2. Get PAC-less TGT 2.1 TGT + “Oh, please add this PAC” 2.2 Get TGT with fraudulent PAC 36 Kerberos Authentication Server - DC Un caso de studio real de un ataque cibernetico: El atacante se mueve lateralmente Phishing campaign – targeting several employees Reconnaissance – –attackers Collecting information about the network Endpoints infected –Compromising some employees open the attachments Domain Compromise –– Compromising domain controller and krbtgt key y Exfiltrating Data to staging servers and outside the network Lateral Movement machines and Utilizing Persistence Golden – The Ticket with deploy database specially access crafted privileges malware en el ambiente, escalacion de privilegios, ejecuta uncredentials ataque Golden Ticket, exitosamente se roba informacion critica y sensitiva. DC 37 Ransomware 38 ▪ Ransomware ▪ What is ransomware? ▪ Ransomware stops you from using your PC. It holds your PC or files for ransom. ▪ Some versions of ransomware are called "FBI Moneypak" or the "FBI virus" because they use the FBI's logos. ▪ What does it look like and how does it work? ▪ There are different types of ransomware. However, all of them will prevent you from using your PC normally, and they will all ask you to do something before you can use your PC. ▪ They can: ▪ Prevent you from accessing Windows. ▪ Encrypt files so you can't use them. ▪ Stop certain apps from running (like your web browser). ▪ They will demand that you do something to get access to your PC or files. We have seen them: ▪ Demand you pay money. ▪ Make you complete surveys. ▪ Often the ransomware will claim you have done something illegal with your PC, and that you are being fined by a police force or government agency. ▪ These claims are false. It is a scare tactic designed to make you pay the money without telling anyone who might be able to restore your PC. ▪ There is no guarantee that paying the fine or doing what the ransomware tells you will give access to your PC or files again. ▪ Prevalent ransomware ▪ Crowti (also known as Cryptowall), and FakeBsod are currently the two most prevalent ransomware families. These two families were detected on more than 850,000 PCs running Microsoft security software between June and November 2015. 8 opciones recomendadas para ayudar en reducir el mal uso y proteger las cuentas de Altos previlegios December 7, 2015 | Security and Risk | Amy Burnis The report is based upon interviews with seasoned threat investigators at five firms renowned for detecting, analyzing and remediating serious cyber security incidents at Global 1000 companies: • • • • • Cisco Talos Security Intelligence and Research Group Deloitte & Touche LLP’s Cyber Risk Services and Deloitte Financial Advisory Service LLP’s Computer and Cyber Forensics Team Mandiant, a FireEye Company RSA, the Security Division of EMC Verizon RISK Team, Verizon Enterprise Solutions In the report, these experts provided basic guidance to help companies detect and reduce misuse of privileged accounts: 1.Know what privileged accounts you have, what they do and are supposed to do 2. Improve security of privileged accounts by changing default passwords and using different administrative passwords on each system 3. Enforce one-time passwords that expire after a single use 4. Proactively monitor privileged accounts and how they interact with data and technology assets 5. Perform regular, recurrent “housekeeping” of information assets and how they’re accessed. 6. Monitor and limit the privileges of service accounts 7. Apply patches as quickly as possible 8. Practice classic defense in depth 39 El papel de los privilegios Utilizaron cuentas privilegiadas para ejecutar un ataque coordinado 3 Utilizaron las credenciales para movimientos laterales y elevacion de privilegios en IT y OT. 2 Captura de credenciales administrativas desde equipos infectados 1 40 Qué hacer? Asegurar proactivamente todas las credenciales privilegiadas Rotar credenciales administrativas después de cada uso Establecer un punto de acceso hacia sistemas críticos Monitorear el uso de cuentas privilegiadas para detectar anomalias Controlar aplicaciones para reducir el riesgo de ataques basados en malware 41 Es necesaria una nueva capa de Seguridad Controles Proactivos | Detección de Ataques A/V Firewall IPS / IDS Malware Detection 42 Email Gateways Web Gateways CyberArk Los expertos en securizar Cuentas Privilegiadas • 2,500 Clientes de seguridad de cuentas privilegiadas 56% • 40% de Fortune 100 GROWTH Enfoque de la problemática de las cuentas privilegiadas desde la seguridad 40% GROWTH • Disenado y construido en base la seguridad 30% GROWTH 15 años de innovación, en el control, monitorización y análisis de cuentas privilegiadas • Primeros con vault, monitorización y analíticas • Mas de 100 ingenieros de software, múltiples patentes Única solución complete de Cuentas Privilegiadas del Mercado • Una solución, exclusivamente enfocada a Cuentas Privilegiadas • Funcionando en Grandes Empresas 43 2011 2012 2013 2014 CyberArk rumpe la cadena de Ataques 44 Controles exhaustivos en la Actividad Privilegiada Protección de Credenciales Aislar y Control De Sesiones Monitorización Contínua Proteger contraseñas privilegiadas y llaves SSH Aislando, controlando y grabando accesos privilegiados Monitorear continuamente el comportamiento de las cuentas privilegiadas Enterprise Password Vault Application Identity Manager SSH Key Manager 45 Privileged Session Manager On-Demand Privileges Unix OPM Windows Privileged Threat Analytics ¿Preguntas? 46