Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008.

Prezentace na téma: "Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008."— Transkript prezentace:

1 Dva incidenty GOPAS: info@gopas,cz | www.gopas.cz | www.facebook.com/P.S.GOPAS Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008 | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator | CISA | CISM | ondrej@sevecek.com | www.sevecek.com |

2 Dozvíte se  Jak i malá chyba obsluhy může způsobit dalekosáhlé problémy  Jak je lidská chyba silnější důkaz než kdovíjaké technologické znalosti

3 Případ první  střední business  vědom si hodnoty svých informací  velký důraz na bezpečnost  separace admin rolí!  znenadání kompromitace domain admin účtu

4 Zadání pro vyšetřovatele  jak se to mohlo stát?  co se vlastně stalo?  co všechno bylo kompromitováno?  můžeme se ještě soudit?

5 Krok 1  vypnout podezřelá DC  imidž  virtualizace  vyšetřování

6 První zjištění  byl to vůl  CPU 100%  backdoor.exe  žádný rootkit  skrytý AD účet  přibližný čas útoku z časových razítek AD objektů a souborů -46 dnů

7 Krok 2  máme logy?  světe div se, máme!

8 Druhé zjištění  účet domain admina, který to provedl  doménová stanice útočníka  pravděpodobná identita útočníka výpověď -45 dnů  počítač dávno reimidžován

9 Krok 3  přesto zabavit stroj, vypnout, imidž  průzkum imidže  dotazování na běžnou admin praxi  zpětně potvrzení v DC logu

10 Pravděpodobný průběh  -48 dnů kancelářský zaměstnanec si volá support stanice support je osoba, která používá i domain admin účet ověřeno, že admin se přihlásil pouze omezeným účtem  -46 dnů na stanici poprvé "jen tak" použit domain admin účet a napadena síť  -45 dnů výpověď na vlastní žádost, eskort z fyzického perimetru  -3 dnů backdoor zešílel, 100% CPU na DC si prostředí už všimlo

11 Ponaučení  na různých účtech různá hesla!

12 Závěr  nezjištěny žádné krádeže dat ani trvalá poškození  nezjištěny žádné další stopy aktivity kromě samostatného běhu backdooru  reimidžovaná stanice nepoužitelná jako stopa  nesouditelné  po vzájemné domluvě odebrány dva měsíce odstupného z čehož se jen malinko ukouslo za dva dny práce vyšetřovatele :-)

13 Případ druhý  probíhající proces daňových úniků  obžalovaný se hájí ztrátou dokumentů  dokumenty z doby před šesti lety jakoby náhodou nalezeny

14 Zadání pro vyšetřovatele  potvrdit nebo vyvrátit, že obsah USB flash disku vznikl/měnil se v předmětné době

15 Krok 1  imidž  zkoumání časových razítek NTFS, modifikace souborů, vnitřní razítka Word, PDF

16 Nálezy  NTFS disk hlaďoučký jako dětská prdelka  32GB (USB 3.0)  2x Word.DOCX  1x PDF  všechna časová razítka štimují  verze Wordu sedí

17 Řešení  USB 3.0 32 GB před šesti roky?

18 Ponaučení  zločinci se vždycky sami prozradí

19 Děkuji za pozornost! CHFI - Computer Hacking Forensic Investigator GOC171 - Windows Security Internals