Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.
Past Present Future Black Hat Sessions 2012
AGENDA Past Present Future – Black Hat Sessions 2012 • Wie is DI? • Shenandoa case – – – – –
Uitdagingen Eerste Bevindingen Veiligstellen 100+ servers Onderzoeksvragen Resultaten
• Lessons Learned
Wij zijn… 8 professionals met ambitie • • • • •
POB vergunning Gelegitimeerde medewerkers Gecertificeerde medewerkers Internationaal gerechtelijk deskundig Verklaring geen bezwaar (A-screening loopt)
DI propositie Uitstekende reputatie door professionele standaards
Reactie
Preventie
Detectie
• • • • • •
Internationale inzet (EMEA) Internationaal kennisnetwerk Gedegen procedures en methodes Forensisch Lab Incident Response Lab Specialist deelgebied ‘Reactie’
Shenandoa case Situatie • Zaterdag 01:42 Emergency melding • • • • •
3500 (micro)sites down 100+ servers 3 locaties, 3 landen $ 10 mln per dag schade 6 mln gegevens van klanten lopen risico
• Conference call om 10:00u • Logistieke uitdaging • • • •
254 schijven nodig Apparatuur Tickets Hotel
Shenandoa case Situatie • Conference call om 19:00u • Approval!
• On site: Zondag 15:30u
Uitdagingen • • • • •
Organisatie Processen Mens Techniek Onderzoek
Eerste Bevindingen Aanpak Zondag 15:35u - Maandag 02:41u
• IDS logs dubbel Base64 encoded - leesbaar maken • GREP/AWK/SED-fu
Lijsten leiden tot overzicht
Eerste Bevindingen Resultaten Zondag 15:35u - Maandag 02:41u
• IP adressen aanvallers • Geraakte servers • Geïnstalleerde tools • • • •
• • • •
nc.exe wh2.exe / pth.dll IIRF.dll Havij Advanced SQL Injection
xp_cmdshell commando's Aanval op 3 tijdstippen, gerelateerd? Kwetsbaarheid in de vele webapps Kans op werkende backdoor: groot!
Eerste Bevindingen Resultaten Zondag 15:35u - Maandag 02:41u
• Sites staan alweer live: monitor netwerkverkeer met tap • 88 servers geraakt • Honderden e-mailadressen en wachtwoorden gepost op Pastebin.com > fake! • Belangrijkste productieservers overschreven (nieuwe schijven + image), nog 75 geïnfecteerd
Shenandoa case De Opdracht: Maandag 02:41u • Security Department: stel ALLES veilig. • Alles = harde schijven + memory van alle servers
Shenandoa case Veiligstellen • Schijven op rantsoen i.v.m. Fukushima •
UK max 3 per persoon!
• Voorraad meegenomen vanuit NL • Het veiligstelproces • Uitdaging: • • •
door contracten mochten de klant noch DI zelf veiligstellen servers alleen offline en niet down: alles moest live! tools direct afhankelijk van beschikbare bandbreedte: 1 GB: 3 maanden
Shenandoa case Veiligstellen: En nu? • • • •
Schijf met software aan bewakingspersoneel geven Remote Desktop naar de machine en kopiëren starten Documenteren en controleren In lab work disks maken
133 TB veiliggesteld (266 TB incl. work disks)
Shenandoa case Onderzoeksvragen • Hoe en wanneer hebben de aanvallers toegang gekregen tot de servers? • Hoe lang en vaak is deze toegang geweest? • Hebben de aanvallers software geïnstalleerd, zo ja welke wat is daarvan de functie? • Is er data gekopieerd? Welke? • Is er data verwijderd? Welke? • Is er een verband tussen de aanvallen?
Shenandoa case Plan van Aanpak • Per aanval • •
Tijdbalk onderzoek Malware onderzoek
• Aanvallen • • • •
IIRF Aanval NC aanval OSQL aanval WH2 / PTH aanval
• Correlatie aanvallen
Shenandoa case Uitvoering • Tijdbalk over 100+ servers? • Dynamic Malware Analyse •
opzet lab
• Static Malware Analyse • IIRF onderzoek • • •
Tools Werkwijze Resultaat
Shenandoa case Conclusie • SQL Injection kwetsbaarheden oorzaak aanval •
mei/juni 2011 op Internet al bekend
• Web apps gebruiken admin rechten om te connecten naar de databases • Systemen in productie laten geen "vreemd" verkeer zien; maar potentieel zijn ze nog steeds onbetrouwbaar • Logging zeer matig en daardoor moeizaam incident response proces • Zwakke wachtwoorden op applicaties en systemen • Keylogger en credentials stealers gevonden • Toegang geweest tot alle klantendatabases; queries uitgevoerd naar email, password, … • totaal beeld: ONVEILIGE SITE!
Shenandoa case Wat is er niet gevonden?
The Future Aanbevelingen • NEED TO KNOW •
breng privileges van services en processen terug naar wat nodig is
• GELAAGDE SECURITY •
defense-in-depth, niet alleen bij de voordeur
• AWARENESS •
security awareness bij gebruikers
• SECURE PROGRAMMING •
ontwikkelaars: verbeter o.a. invoervalidatie
• AUTHENTICATIE •
dwing sterk wachtwoordgebruik af
• POLICY •
verbeter firewall policy, kies bijvoorbeeld whitelists
Vragen? Vergeten vragen te stellen?
[email protected] 035- 677 44 11
