Wie wir Black Hat Europe 2018 überwacht haben

Published on January 20, 2019

Wie wir Black Hat Europe 2018 überwacht haben

    Vor sechs Monaten, ich schrieb Habré Note, die unsere Erfahrung auf IT der Überwachung der verschiedenen Konferenzen gemeinsam genutzt und ist , in dem Cisco wird ersucht , den SOC und NOC (Black Hat, Mobile World Congress zu betreiben , RSAC , etc.). Heute möchte ich die Erfahrung der Teilnahme an dem Netzwerküberwachungszentrum teilen, das dem letzten europäischen Black Hat diente, in dem wir das NOC das zweite Jahr lang unterstützt haben. Zusammen mit RSA, Palo Alto, Gigamon und Rukus haben wir die Konferenz- und Schulungsinfrastruktur geschützt. Cisco hat es sich zur Aufgabe gemacht, DNS-Vorfälle (mit Cisco Umbrella und Cisco Umbrella Investigate ) sowie automatisierte Malware-Analysen und Threat Intelligence mit Cisco Threat Grid zu überwachen und zu untersuchen .

    Präsentation der Black Hat NOC-Ergebnisse

    Die Cybersicherheit von Konferenzen wie Black Hat zu gewährleisten, ist mehr als eine schwierige Aufgabe, da das Auftreten von schädlichen Dateien im Datenverkehr oder der Versuch, auf schädliche Domänen zuzugreifen, nicht ungewöhnlich ist. Im Gegenteil, im Rahmen verschiedener Schulungen ist dies eine ganz normale Veranstaltung, die nicht blockiert werden kann, wodurch der Lernprozess gestört wird und Unzufriedenheit sowohl mit den Teilnehmern, die ihr Geld bezahlt haben, als auch mit den Lehrern verursacht wird. Gleiches gilt für Sponsoren, die im Rahmen ihrer Veranstaltungen, Briefings und Pressekonferenzen häufig demonstrieren, wie ihre Entscheidungen funktionieren, was auch Aufmerksamkeit und Verständlichkeit des NOC-Teams erfordert.

    Verschleierte Malware


    Die Überwachung des Black Hat-Netzwerks lag in der Verantwortung der RSA NetWitness-Lösung, die unter anderem Dateien untersuchte, die über verschiedene Netzwerkprotokolle übertragen wurden, auch bei verschiedenen Verstößen. Beispielsweise wurde am ersten Tag eines Trainings der Download der Datei table.png behoben. NetWitness stellte fest, dass der Dateikopf trotz der in Images enthaltenen Erweiterung mit MZ begann, was darauf hindeuten könnte, dass die zu übertragende Datei tatsächlich ausführbar ist. Die Datei wurde zur dynamischen Analyse an Cisco Threat Grid übertragen.

    Bild

    Einige Minuten nach dem Download wurde die Datei table.png als Trickbot-Trojaner erkannt.

    Bild

    Die Erkennung erfolgte bei einer Reihe von Verhaltensindikatoren, einschließlich der Arbeit mit dem Speicher. Es ist ausreichend, nur ein Bit zu ändern, um den Hash der Datei zu ändern, aber es ist ziemlich schwierig, den Code für die Arbeit mit dem Speicher neu zu schreiben, um für das Malware-Analysesystem nicht wahrnehmbar zu werden. Genau derselbe Adressraum wurde von Trickbot verwendet, sodass wir auf diese Malware schließen konnten.

    Bild

    Trickbot ist kein neuer Trojaner; Es erschien Ende 2016, ist aber immer noch im Internet zu finden. Das NOC-Team identifizierte die MAC-Adresse des Laptops, von dem der Trickbot-Download als PNG-Datei getarnt war. Wir haben alle Aktivitäten auf diesem Macbook überprüft. Es stellte sich heraus, dass der Versuch, eine Verbindung zu Hunderten von DGA-Domänen herzustellen, Dutzende verschiedener Schadprogramme herunterzuladen usw., nur wenige Minuten dauerte. Während der Untersuchung wurde herausgefunden, dass das MacBook als Teil einer der Schulungen verwendet wurde; Daher hat das NOC-Team diese Aktivität nicht blockiert und gleichzeitig Anstrengungen unternommen, damit nichts Gefährliches auf den Computern anderer Teilnehmer von Black Hat Europe außerhalb der Grenzen dieses Trainings fällt.

    Intelligenter Proxy


    Da die Funktion unserer Lösungen erweitert wird, testen wir sie im Rahmen von Konferenzen, bei denen wir zur Teilnahme an SOC / NOC eingeladen werden. Dieses Mal haben wir am ersten Tag die Intellgent Proxy-Funktion in Cisco Umbrella aktiviert, mit der Sie den Webdatenverkehr per Proxy übertragen können, indem Sie Bedrohungen, Inhalte und Anwendungen verfolgen, die im Rahmen einer Webinteraktion übertragen werden.

    Am Morgen des ersten Tages haben wir den Alarm aufgezeichnet, der mit dem Zugriff auf den Macautofixer verbunden ist.

    Bild

    Das NOC-Team leitete eine Untersuchung ein, einschließlich der Analyse von ITU-Protokollen, der Rekonstruktion von Netzwerkpaketen und der Identifizierung des Computers, der die Anforderung initiiert hat. Nach den Daten von Cisco Umbrella Investigate handelt es sich hierbei um eine sehr beliebte bösartige Ressource. Täglich werden etwa 20.000 Anfragen registriert:

    Bild

    hauptsächlich aus den USA:

    Bild

    Es stellte sich heraus, dass einer der Computer der Konferenzorganisatoren infiziert war. Die BlackHat-Richtlinie ermöglicht den Zugriff auf schädliche Ressourcen, bis festgestellt wird, dass dies ein externer Angriff auf Black Hat-Ressourcen ist, wie in diesem Fall aufgezeichnet. Die Domain wurde von Cisco Umbrella für diese und alle zukünftigen Black Hat-Konferenzen gesperrt.

    Bild

    Am zweiten Tag wurden mehrere Wi-Fi-Netzwerkbenutzer mit der Simba-Malware infiziert, die versuchte, eine Verbindung zu relativ alten Befehlsservern herzustellen:

    • www [.] gadyniw [.] com / hbt.php? rewrite = login.php
    • purycap [.] com / login.php
    • gadyniw [.] com / hbt.php? rewrite = login.php
    • ww1 [.] ysyfyj [.] com / login.php

    Domain gadyniw [.] Com wurde von Cisco Threat Grid als bösartig erkannt und blockiert. Die Untersuchung ergab, dass diese Malware im Rahmen einer Schulung verwendet wurde, bei der die Teilnehmer Computer ohne Patch hatten. Wir rieten dem Kursleiter, infizierte Teilnehmer daran zu erinnern, keine Verbindung mit ihren Laptops zum öffentlichen Wi-Fi-Segment herzustellen.

    Bild

    Phishing-Angriff


    Im Zuge von Black Hat kam es bei den Organisatoren, dem UBM-Unternehmen, zu einem massiven Phishing-Angriff per E-Mail. Dies ist immer noch die massivste Methode, um Organisationen anzugreifen.

    Bild

    Wir haben eine CLICK HERE-Referenzstudie mit der Glovebox-Funktion im Threat Grid durchgeführt, mit der Sie ohne Infektionsrisiko mit der virtuellen Maschine interagieren können. In zwei Browsern hat der Link einen Fehler zurückgegeben, als ob die benötigte Seite nicht vorhanden wäre.

    Bild

    In dem Bericht haben wir jedoch ungefähr 100 offene Netzwerkverbindungen, ungefähr 100 auf die Festplatte geladene Artefakte, einschließlich JavaScript, sowie ungefähr 170 Registrierungsänderungen aufgezeichnet.

    Bild

    Wir haben diese Domain der Blacklist für alle Black Hat-Konferenzen hinzugefügt.

    Bild

    DNS-Aktivität


    Im Jahr 2017 haben wir auf Konferenzen von Black Hat Europe rund 5,8 Millionen DNS-Anfragen registriert. Ein Jahr später, im Jahr 2018, verzeichneten wir 7,6 Millionen Anfragen, von denen etwa 4.000 mit böswilligen Aktivitäten, Befehlsservern oder Phishing in Verbindung gebracht wurden.

    Bild

    Neu bei European Black Hat war die Benachrichtigung der Benutzer, deren E-Mail-Zugangsdaten im Klartext übermittelt wurden. Zum Glück haben im Vergleich zu früheren Konferenzen diesmal nur 14 Benutzer ihre E-Mails ungeschützt gesendet. Dies war die erste Konferenz, bei der wir keine in offener Form übermittelten Finanz- oder Bankdokumente beobachteten.

    Das NOC-Team zeichnete auch zahlreiche Hinweise auf Bergbauressourcen auf. Zum ersten Mal haben wir vor einem Jahr in Europa begonnen, solche Versuche aufzuzeichnen, gefolgt von einem starken Anstieg des asiatischen Black Hat.

    Bild

    Cryptomineer-Benutzer wurden vom Black Hat NOC-Team gewarnt. Wenn sie bewusst Bergbau betrieben, gibt es kein Problem. Wenn es um eine Infektion ging, wurde den Benutzern Hilfe bei der Behandlung des Computers angeboten.

    Bild

    Eine neue Funktion von Cisco Umbrella, die auf European Black Hat getestet wurde, war App Discovery, mit der die verwendeten Anwendungen (inzwischen gibt es mehr als 2000) mit einer Bewertung ihres Risikos für das Unternehmen identifiziert werden können.

    Bild

    Es ist klar, dass sich die Richtlinien von Black Hat von denen eines normalen Unternehmens unterscheiden, in dem Anonymisierer und VPN-Dienste, die möglicherweise die Sicherheitsrichtlinien des Unternehmens verletzen, möglicherweise verboten sind. Auf der Konferenz zur Informationssicherheit ist die Verwendung solcher Anwendungen ganz normal und wurde daher nicht blockiert. Es war jedoch interessant, sich die beliebtesten Lösungen dieser Klasse anzusehen.

    Bild

    Die nächste Station für das Cisco Security-Team wird die RSA-Konferenz sein, die im März dieses Jahres in San Francisco stattfinden wird. Dort werden wir erneut für die Arbeit von RSA SOC verantwortlich sein. Wenn Sie plötzlich vorhaben, diese Ausstellung zu besuchen, laden wir Sie zu einem Ausflug in das Sicherheitsüberwachungszentrum einer der weltweit größten Aktivitäten zur Informationssicherheit ein, die jährlich von Zehntausenden von Menschen besucht wird. Wenn Sie in den RSAC Tage in San Francisco sind und wollen die Ausstellung besuchen, aber nicht über ein Ticket für sie, Cisco gibt Ihnen einen Gutscheincode für einen kostenlosen Pass zur Ausstellung - X8SCISCOP.

    Bild