Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilOndřej Daniel Kříž
1
Dva incidenty GOPAS: info@gopas,cz | www.gopas.cz | www.facebook.com/P.S.GOPAS Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008 | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator | CISA | CISM | ondrej@sevecek.com | www.sevecek.com |
2
Dozvíte se Jak i malá chyba obsluhy může způsobit dalekosáhlé problémy Jak je lidská chyba silnější důkaz než kdovíjaké technologické znalosti
3
Případ první střední business vědom si hodnoty svých informací velký důraz na bezpečnost separace admin rolí! znenadání kompromitace domain admin účtu
4
Zadání pro vyšetřovatele jak se to mohlo stát? co se vlastně stalo? co všechno bylo kompromitováno? můžeme se ještě soudit?
5
Krok 1 vypnout podezřelá DC imidž virtualizace vyšetřování
6
První zjištění byl to vůl CPU 100% backdoor.exe žádný rootkit skrytý AD účet přibližný čas útoku z časových razítek AD objektů a souborů -46 dnů
7
Krok 2 máme logy? světe div se, máme!
8
Druhé zjištění účet domain admina, který to provedl doménová stanice útočníka pravděpodobná identita útočníka výpověď -45 dnů počítač dávno reimidžován
9
Krok 3 přesto zabavit stroj, vypnout, imidž průzkum imidže dotazování na běžnou admin praxi zpětně potvrzení v DC logu
10
Pravděpodobný průběh -48 dnů kancelářský zaměstnanec si volá support stanice support je osoba, která používá i domain admin účet ověřeno, že admin se přihlásil pouze omezeným účtem -46 dnů na stanici poprvé "jen tak" použit domain admin účet a napadena síť -45 dnů výpověď na vlastní žádost, eskort z fyzického perimetru -3 dnů backdoor zešílel, 100% CPU na DC si prostředí už všimlo
11
Ponaučení na různých účtech různá hesla!
12
Závěr nezjištěny žádné krádeže dat ani trvalá poškození nezjištěny žádné další stopy aktivity kromě samostatného běhu backdooru reimidžovaná stanice nepoužitelná jako stopa nesouditelné po vzájemné domluvě odebrány dva měsíce odstupného z čehož se jen malinko ukouslo za dva dny práce vyšetřovatele :-)
13
Případ druhý probíhající proces daňových úniků obžalovaný se hájí ztrátou dokumentů dokumenty z doby před šesti lety jakoby náhodou nalezeny
14
Zadání pro vyšetřovatele potvrdit nebo vyvrátit, že obsah USB flash disku vznikl/měnil se v předmětné době
15
Krok 1 imidž zkoumání časových razítek NTFS, modifikace souborů, vnitřní razítka Word, PDF
16
Nálezy NTFS disk hlaďoučký jako dětská prdelka 32GB (USB 3.0) 2x Word.DOCX 1x PDF všechna časová razítka štimují verze Wordu sedí
17
Řešení USB 3.0 32 GB před šesti roky?
18
Ponaučení zločinci se vždycky sami prozradí
19
Děkuji za pozornost! CHFI - Computer Hacking Forensic Investigator GOC171 - Windows Security Internals
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.