0

TechEd Gopas 2017 – Detekce bezpečnostních hrozeb v OMS

V květnu se uskutečnila konference TechEd & DevCon Gopasu, na kterém jsem nemohl chybět. S přednáškou k Operation management Suite, jsem účastníkům ukázal kouzla a možnosti této neuvěřitelné platformy Microsoftu a prezentoval i naše řešení založené právě na této platformě (KPCS ATOM), kdy je možno do datového skladu v Azure načítat jakákoliv data z SCOM a nebo přímo (direct) z operačního systému Windows / Linux.

Cílem bylo ukázat jak je možno detekovat bezpečnostní incidenty a vektory útoku provedené na koncové zařízení, pokud má útočník přístup k lokální síti a nějakým způsobem se mu povede kompromitovat alespoň část infrastruktury. Předmětem přednášky byly základní útoky jako

  • Skrytí administrátora
  • Vytěžení čitelných dat ze Skype klienta
  • Pass-the-hash/ticket/atd..

a jejich interpretace v ATA a OMS.

Nejprve jsme si řekli něco k tomu, jak je možno neinvazivní formou vytěžit co možná nejvíce informací o daném cíli, abychom mohli proniknout dovnitř a dokázali efektivně plánovat celý útok.

 

Následně jsem si ukázali Mimikatz, PSExec, Metasploit Framework a pomocí payloadu na SMB protokolu jsme si stáhli data z „bezpečného“ repozitáře skypu. Velmi zajímavým aspektem bylo i to, že nová verze Skype klienta přenáší historii konverzace na všechna místa kam se člověk přihlásí (třeba internetová kavárna) a tato historie zůstane na daném zařízení nekonečně dlouho. Člověk by si řekl, že se stačí odhlásit a nebude přístupná, jenže to je dosti zásadní omyl a vy tak můžete k veškeré komunikaci, i když toto heslo nemáte – jedinou podmínkou je to,že uživatel nesmí být do aktuální relace přihlášen na daném zařízení..

Následovalo nějaké to povídání a ukázky detekce v OMS nebo ATA a následně jsme si ukázali staré známé techniky jako Pass-the-hash, pass-the-ticket, které dneska už zná úplně každý, ale i taky jsou velmi hojně využívány. Třeba mne zarazilo, že PSExec, který všichni znají je využíván u většiny Ransomware útoků orientujících se na SMB protokol verze 1.0.

 

a nakonec tedy i mých pár fotek, spíš jako uchování vzpomínky na tuto super konferenci, která nemá v české republice konkurenta.

 

 

daniel.hejda

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *