Fichier PDF

Partage, hébergement, conversion et archivage facile de documents au format PDF

Partager un fichier Mes fichiers Convertir un fichier Boite à outils Recherche Aide Contact



UserGroup FR 2014.03.17 .pdf



Nom original: UserGroup_FR - 2014.03.17.pdf
Auteur: Cedric Le Roux

Ce document au format PDF 1.3 a été généré par PowerPoint / Mac OS X 10.8.5 Quartz PDFContext, et a été envoyé sur fichier-pdf.fr le 26/03/2014 à 09:05, depuis l'adresse IP 195.13.x.x. La présente page de téléchargement du fichier a été vue 690 fois.
Taille du document: 7.3 Mo (28 pages).
Confidentialité: fichier public




Télécharger le fichier (PDF)









Aperçu du document


Copyright  ©  2013  Splunk  Inc.  

Splunk  for  Security  
Security  Intelligence  Pla<orm  

Agenda  

• 

Splunk,  The  Security  Intelligence  Pla<orm  
Advanced  (Persistent)  Threat  
Combining  network  analysis  
DetecIng  Malware  behaviors  in  your  data  

• 

Q  &  A  

• 
• 
• 

 
2  

The  Splunk  Security  Intelligence  Pla<orm  
Security  Use  Cases  

Machine  Data  
Online  
Services  

Forensic  
Inves;ga;on  

Web  
Services  
Security  

Servers  

GPS  
LocaIon  
Networks  

Storage  

Compliance  

Fraud  
Detec;on  

Packaged  
ApplicaIons  

Desktops  
Messaging  

Online  
Shopping  
Cart  

Security  
Opera;ons  

Telecoms  

RFID  
Energy  
Meters  
Databases  

Web  
Clickstreams  
Smartphones  
and  Devices  

Custom  
ApplicaIons  

Call  Detail  
Records  

HA  Indexes  
and  Storage  

4  

Commodity  
Servers  

Splunk  is  Used  Across  IT  and  the  Business  
Strong  ROI  &  facilitates  cross-­‐department  collabora8on  

App  
Mgmt  

IT  
Ops  

Security  

Compliance  

4  

Web  
Intelligence  

Business  
AnalyIcs  

 

APT  

5  

Careto  /  The  Mask  
• 

Revealed  in  February  2014  by  Kaspersky  

–  discovered  a  malware  trying  to  evade  from  its  products  
which  made  Kaspersky  interested  in  that  malware  
• 

Dates  back  to  2007  ….  but  only  380  vicIms  in  31  
countries.  

• 

“extremely  sophisIcated  malware,  a  rootkit,  a  
bootkit,  Mac  OS  X  and  Linux  versions  and  possibly  
versions  for  Android  and  iOS  (iPad/iPhone).”  
6  

APT  ?  
• 

APT  =  Advanced  Persistent  Threat    

• 

Customer’s  concern:  “  Can  Splunk  detect  APTs?”,  “How  do  Splunk  detect  APTs?”    
Finding  an  “APT”  is  about  collec;ng/detec;ng  ar;facts  of  APT  stages.  We  need  
a  framework  to  assist  security  analysts  to  discover  weird  things  in  their  
environment.  

• 

• 

 

–  Implies  targeted  and/or  advanced  afacks.  
–  Designed  to  fly  under  the  radar  and  avoid  detecIon.  

Splunk  will  not  protect  our  customers  against  afacks  …  but  will  help  them  to  
detect  them.  
7  

APT  example  :  Watering  Hole  Afack  

8  

Watering  Hole  scenario  
• 

Afackers  hack  a  website  you  are  used  to  visit  (or  mulIple  websites).  

–  The  restaurant  you  order  from  every  Friday  
–  The  blog  you  read  news  every  day  
–  The  internal  portal  …  “only”  accessible  from  the  inside  
• 

Afackers  put  malicious  code  on  the  website,  targeIng  you    

–  Your  known  public  IPs  
–  SomeImes  targeIng  is  not  really  required  (like  the  cherry  on  the  cake!)  
• 

You  visit  the  website  as  usual  

–  Whoops,  too  late!  
–  FW,  A/V,  IDS/IPS,  etc,  can’t  help  as  they  detect  known  things  (mostly  signatures  based)  
–  Eventually  you  may  noIce  a  browser  crash  but  nothing  to  worry  about,  you  go  there  every  
day  (hate  on  Firefox)…  and  when  you  come  back,  the  exploit  is  no  more  launched  J  
9  

Warning  
• 

For  this  demo  scenario  we  created  the  domain  www.muppets-­‐factory.com    
in  our  lab  environment.  

• 

This  domain  was  inexistent  at  the  Ime  of  this  demo  were  created…  this  
might  have  changed!  

• 

For  the  purpose  of  this  demo,  we  use  the  malware  Andromeda  (2013).  
–  Its  a  form  grabber,  keylogger,  SOCK4  proxy  and  rootkit.  
–  Some  techniques,  likes  file  injecIon,  are  similar  as  the  well  known  Duqu.  
–  Andromeda  C&C  use  HTTP  to  report  to  his  bot  herder  (using  POST  methods)  

 
10  

Let’s  make  it  real  

No direct
output

11  

Afack  Trails  (Proxy  1/3)  
Stage  1  –  The  client  goes  to  the  waterhole  website.  
1392068182.686
6 192.168.20.32 TCP_REFRESH_MODIFIED/200 676 GET http://www.muppets-factory.com/ DIRECT/X.X.X.X text/html "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
1392068182.750
17 192.168.20.32 TCP_REFRESH_MODIFIED/200 193632 GET http://www.muppets-factory.com/waterhole.jpg - DIRECT/X.X.X.X image/jpeg "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
1392068182.811
31 192.168.20.32 TCP_REFRESH_MODIFIED/200 251671 GET http://www.muppets-factory.com/
pepe.jpg - DIRECT/X.X.X.X image/jpeg "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)”

 
• 

Nothing  to  detect  here,  this  is  a  waterhole  afack!    

• 

The  site  is  not  in  any  Threat  Intelligence  feed  (which  is  normal!)  

12  

Afack  Trails  (Proxy  2/3)  
Stage  2  –  The  client  receives  the  payload  (the  browser  exploitaIon  worked).  
1392025673.601

114 192.168.20.10 TCP_MISS/200 327033 GET http://www.muppets-factory.com/

AdbeRdr1014_en_EN.exe - DIRECT/X.X.X.X application/x-msdos-program "wininet”  

 
What’s  noIceable  ?  [How  Splunk  can  help  you]  
• 

The  used  HTTP  method  is  the  most  used  one  [ES3/Web  Center]    

" 

The  filename  is  interesIng  because  

–  its  an  executable  (extension  or  proxy  category)  [CorrelaIon  Rule]  
–  its  Adobe  Installer  but  comes  from  somewhere  else  than  adobe.com  [CorrelaIon  Rule]  

• 

The  user-­‐agent  is  “wininet”  and  does  not  sounds  like  a  “user  driven  behavior”  [ES3/User-­‐Agent  

Analysis]  
" 

The  user-­‐agent  has  changed  since  the  last  request  from  this  client.    [CorrelaIon  Rule]    

 
13  

Afack  Trails  (Proxy  3/3)  
Stage  3  –  The  malware  registers  to  its  C&C.  
1392068315.237
1870 192.168.20.32 TCP_MISS/502 423 POST http://X.X.134.76:443/
CF35EE593D97CDF59967E439637CC72728A747F00C - DIRECT/X.X.134.76 text/html "Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:25.0) Gecko/20100101 Firefox/25.0”

 
What’s  noIceable  ?  [How  Splunk  can  help  you]  
• 

In  case  of  the  usage  of  DNS,  the  domain  name  may  be    

• 

The  access  is  made  on  HTTP  with  the  HTTPS  port  (TCP/443)  and  the  HTTP  method  is  POST  [CR]  [ES3/Web  
Center]    

• 

Accessing  directly  IPs  in  Web  context  is  always  suspicious  !  [CorrelaIon  Rule]    

" 

The  filename  is  only  Hexadecimal,  it  sounds  like  encoding.  [CorrelaIon  Rule]  using  FAUP  app  

• 

The  User-­‐Agent  changed,  again.  [ES3/User-­‐Agent  Analysis]  [CorrelaIon  Rule]    

–  Weird,  like  a  randomly  generated  one  (DGA)  [CorrelaIon  Rule]  using  Wordstats  app  
–  Known  in  a  Threat  Intelligence  feed  (works  with  an  IP  too,  few  chances  if  targeted  afack)  [ES3/Threat  List]    
–  Seen  for  the  first  Ime  in  your  context  [ES3/New  Domain  Analysis]    

14  

Correlate  with  Network  Traffic  using  Bro  IDS  

15  

Bro  IDS  

• 

Bro  is  a  powerful  network  analysis  framework  (started  in  1995)  able  to  
capture  real-­‐Ime  traffic  or  read  PCAPs  files.  
Comes  with  a  BSD  license  
30+  protocols  by  default  (HTTP,  DNS,  SSL,  SMTP,  IRC,  SSH,  SSL,  etc)  
Support  on  Linux,  BSD  and  Mac  OSX  (32-­‐bit  and  64-­‐bit).  
Extremely  scalable  (able  to  sustain  10GE/100GE  networks  !).  

• 

The  current  version  is  Bro  2.2  (Nov  7th,  2013).  

• 
• 
• 
• 

16  

Bro  IDS  provides  flow  data  
• 

Very  convenient  for  
detecIng  scans  for  
example  (1  host  to  
many  hosts  or  
ports).  

 
• 

17  

Only  useful  if  
desInaIon  is  known  
in  a  Threat  List  in  
case  of  advanced  
afacks  

Bro  IDS  for  protocol  metadata  

 
In  short,  we  have  all  the  same  informaIon  as  with  a  proxy.  
18  

• 

Everything  is  context  related,  you  need  a  framework  that  
allows  you  to  manipulate,  search,  extend,  correlate,  etc,  your  
data.  

• 

APT  isn’t  a  correlaIon  rule,  it’s  a  methodology.    You  don’t  
need  the  “out-­‐of-­‐the-­‐box  rules”  that  only  work  in  labs.    Splunk  
can  idenIfy  APT  behavior,  and  help  automate  detecIon.  

19  

Variance,  Standard  DeviaIon  &  Periodicity    
applied  to  Malware  HunIng  

20  

Malware  is  Calling  Home  
" 

Most  of  the  malwares,  whatever  they  are  “advanced”  or  not,    will  try  to  
connect  to  their  C&C  on  a  regular  basis  
–  In  case  of  failure,  they  will  retry  to  connect  to  their  C&C  to  establish  contact  
–  In  case  of  success,  they  send/get  updates/data/orders/etc  

" 

To  call  home,  they  either  use  an  IP  Addresses,  a  Domain  name,  or  an  
URL  ...  That  you  will  find  in  your  :  
• 

Proxy  logs  

• 

Firewall  logs  

• 

DNS  logs  
NetFlow  logs  

• 

Packet  Capture  
IDS/IPS  logs  

• 

• 

21  

• 

etc  

Malware  is  Calling  Home  
" 

So,  what’s  a  “regular  basis”  when  you  are  a  malware  coder  ?  

–  Retry  every  X  seconds                                                                                      sleep(X);  
–  Retry  every  random(X,Y)  seconds                                            Z=random(Min,Max);      sleep(Z);  
" 

Few  things  has  to  be  noIced:  

–  To  detect  periodicity,  we  need  to  have  enough  data  

ê  Case  of  a  malware  that  try  to  connect  to  its  C&C  only  once  a  week,  we  need  at  
least  3  weeks  of  data.  

–  In  case  of  randomness,  if  X  and  Y  are  close  enough,  then  the  variance  of  the  
distribuIon  should  be  small.  

22  

Malware  is  Calling  Home  
index=bro  sourcetype=bro_hfp  url=*  
|  fields  _Ime,  url,  src      
|  streamstats  current=f  last(_Ime)  as  next_Ime  by  src  url  
|  eval  gap  =  next_Ime  -­‐_Ime      
|  stats  stdev(gap)  as  variance  count(gap)  as  count  by  src  url    
|  search  count  >  3  
|  sort  variance,  count  
23  

Real  Weird  Things  Discovered  #1  

24  

Real  Weird  Things  Discovered  #2  

25  

Real  Weird  Things  Discovered  #3  

26  

Malware  is  Calling  Home  
" 

In  this  use  case,  we  are  detecIng  a  behavior.  

" 

It  could  be  interresIng  to  disInguish  the  channel  type  if  possible.  

–  GET/POST  methods,  Sent  bytes  :  data  exfiltraIon  vs  “keep-­‐alives”  
" 

In  some  context,  the  src  field  is  useless  due  to  NAT  (set  it  to  “None”  to  
reflect  your  context).  

" 

This  is  just  another  indicator,  not  a  magic  trick  that  replace  human  
analysis  J  
27  

Copyright  ©  2013  Splunk  Inc.  

Thank  You  
Thank  You  


Documents similaires


Fichier PDF usergroup fr 2014 03 17
Fichier PDF user group second edition
Fichier PDF 7 things to look for in a cloud security service
Fichier PDF bsa etude idc logiciels sans licences et malware 090315 1
Fichier PDF it sec spy 2011
Fichier PDF black


Sur le même sujet..