UserGroup FR 2014.03.17 .pdf



Nom original: UserGroup_FR - 2014.03.17.pdfAuteur: Cedric Le Roux

Ce document au format PDF 1.3 a été généré par PowerPoint / Mac OS X 10.8.5 Quartz PDFContext, et a été envoyé sur fichier-pdf.fr le 26/03/2014 à 09:05, depuis l'adresse IP 195.13.x.x. La présente page de téléchargement du fichier a été vue 919 fois.
Taille du document: 7.3 Mo (28 pages).
Confidentialité: fichier public


Aperçu du document


Copyright  ©  2013  Splunk  Inc.  

Splunk  for  Security  
Security  Intelligence  Pla<orm  

Agenda  

• 

Splunk,  The  Security  Intelligence  Pla<orm  
Advanced  (Persistent)  Threat  
Combining  network  analysis  
DetecIng  Malware  behaviors  in  your  data  

• 

Q  &  A  

• 
• 
• 

 
2  

The  Splunk  Security  Intelligence  Pla<orm  
Security  Use  Cases  

Machine  Data  
Online  
Services  

Forensic  
Inves;ga;on  

Web  
Services  
Security  

Servers  

GPS  
LocaIon  
Networks  

Storage  

Compliance  

Fraud  
Detec;on  

Packaged  
ApplicaIons  

Desktops  
Messaging  

Online  
Shopping  
Cart  

Security  
Opera;ons  

Telecoms  

RFID  
Energy  
Meters  
Databases  

Web  
Clickstreams  
Smartphones  
and  Devices  

Custom  
ApplicaIons  

Call  Detail  
Records  

HA  Indexes  
and  Storage  

4  

Commodity  
Servers  

Splunk  is  Used  Across  IT  and  the  Business  
Strong  ROI  &  facilitates  cross-­‐department  collabora8on  

App  
Mgmt  

IT  
Ops  

Security  

Compliance  

4  

Web  
Intelligence  

Business  
AnalyIcs  

 

APT  

5  

Careto  /  The  Mask  
• 

Revealed  in  February  2014  by  Kaspersky  

–  discovered  a  malware  trying  to  evade  from  its  products  
which  made  Kaspersky  interested  in  that  malware  
• 

Dates  back  to  2007  ….  but  only  380  vicIms  in  31  
countries.  

• 

“extremely  sophisIcated  malware,  a  rootkit,  a  
bootkit,  Mac  OS  X  and  Linux  versions  and  possibly  
versions  for  Android  and  iOS  (iPad/iPhone).”  
6  

APT  ?  
• 

APT  =  Advanced  Persistent  Threat    

• 

Customer’s  concern:  “  Can  Splunk  detect  APTs?”,  “How  do  Splunk  detect  APTs?”    
Finding  an  “APT”  is  about  collec;ng/detec;ng  ar;facts  of  APT  stages.  We  need  
a  framework  to  assist  security  analysts  to  discover  weird  things  in  their  
environment.  

• 

• 

 

–  Implies  targeted  and/or  advanced  afacks.  
–  Designed  to  fly  under  the  radar  and  avoid  detecIon.  

Splunk  will  not  protect  our  customers  against  afacks  …  but  will  help  them  to  
detect  them.  
7  

APT  example  :  Watering  Hole  Afack  

8  

Watering  Hole  scenario  
• 

Afackers  hack  a  website  you  are  used  to  visit  (or  mulIple  websites).  

–  The  restaurant  you  order  from  every  Friday  
–  The  blog  you  read  news  every  day  
–  The  internal  portal  …  “only”  accessible  from  the  inside  
• 

Afackers  put  malicious  code  on  the  website,  targeIng  you    

–  Your  known  public  IPs  
–  SomeImes  targeIng  is  not  really  required  (like  the  cherry  on  the  cake!)  
• 

You  visit  the  website  as  usual  

–  Whoops,  too  late!  
–  FW,  A/V,  IDS/IPS,  etc,  can’t  help  as  they  detect  known  things  (mostly  signatures  based)  
–  Eventually  you  may  noIce  a  browser  crash  but  nothing  to  worry  about,  you  go  there  every  
day  (hate  on  Firefox)…  and  when  you  come  back,  the  exploit  is  no  more  launched  J  
9  

Warning  
• 

For  this  demo  scenario  we  created  the  domain  www.muppets-­‐factory.com    
in  our  lab  environment.  

• 

This  domain  was  inexistent  at  the  Ime  of  this  demo  were  created…  this  
might  have  changed!  

• 

For  the  purpose  of  this  demo,  we  use  the  malware  Andromeda  (2013).  
–  Its  a  form  grabber,  keylogger,  SOCK4  proxy  and  rootkit.  
–  Some  techniques,  likes  file  injecIon,  are  similar  as  the  well  known  Duqu.  
–  Andromeda  C&C  use  HTTP  to  report  to  his  bot  herder  (using  POST  methods)  

 
10  

Let’s  make  it  real  

No direct
output

11  

Afack  Trails  (Proxy  1/3)  
Stage  1  –  The  client  goes  to  the  waterhole  website.  
1392068182.686
6 192.168.20.32 TCP_REFRESH_MODIFIED/200 676 GET http://www.muppets-factory.com/ DIRECT/X.X.X.X text/html "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
1392068182.750
17 192.168.20.32 TCP_REFRESH_MODIFIED/200 193632 GET http://www.muppets-factory.com/waterhole.jpg - DIRECT/X.X.X.X image/jpeg "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
1392068182.811
31 192.168.20.32 TCP_REFRESH_MODIFIED/200 251671 GET http://www.muppets-factory.com/
pepe.jpg - DIRECT/X.X.X.X image/jpeg "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)”

 
• 

Nothing  to  detect  here,  this  is  a  waterhole  afack!    

• 

The  site  is  not  in  any  Threat  Intelligence  feed  (which  is  normal!)  

12  

Afack  Trails  (Proxy  2/3)  
Stage  2  –  The  client  receives  the  payload  (the  browser  exploitaIon  worked).  
1392025673.601

114 192.168.20.10 TCP_MISS/200 327033 GET http://www.muppets-factory.com/

AdbeRdr1014_en_EN.exe - DIRECT/X.X.X.X application/x-msdos-program "wininet”  

 
What’s  noIceable  ?  [How  Splunk  can  help  you]  
• 

The  used  HTTP  method  is  the  most  used  one  [ES3/Web  Center]    

" 

The  filename  is  interesIng  because  

–  its  an  executable  (extension  or  proxy  category)  [CorrelaIon  Rule]  
–  its  Adobe  Installer  but  comes  from  somewhere  else  than  adobe.com  [CorrelaIon  Rule]  

• 

The  user-­‐agent  is  “wininet”  and  does  not  sounds  like  a  “user  driven  behavior”  [ES3/User-­‐Agent  

Analysis]  
" 

The  user-­‐agent  has  changed  since  the  last  request  from  this  client.    [CorrelaIon  Rule]    

 
13  

Afack  Trails  (Proxy  3/3)  
Stage  3  –  The  malware  registers  to  its  C&C.  
1392068315.237
1870 192.168.20.32 TCP_MISS/502 423 POST http://X.X.134.76:443/
CF35EE593D97CDF59967E439637CC72728A747F00C - DIRECT/X.X.134.76 text/html "Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:25.0) Gecko/20100101 Firefox/25.0”

 
What’s  noIceable  ?  [How  Splunk  can  help  you]  
• 

In  case  of  the  usage  of  DNS,  the  domain  name  may  be    

• 

The  access  is  made  on  HTTP  with  the  HTTPS  port  (TCP/443)  and  the  HTTP  method  is  POST  [CR]  [ES3/Web  
Center]    

• 

Accessing  directly  IPs  in  Web  context  is  always  suspicious  !  [CorrelaIon  Rule]    

" 

The  filename  is  only  Hexadecimal,  it  sounds  like  encoding.  [CorrelaIon  Rule]  using  FAUP  app  

• 

The  User-­‐Agent  changed,  again.  [ES3/User-­‐Agent  Analysis]  [CorrelaIon  Rule]    

–  Weird,  like  a  randomly  generated  one  (DGA)  [CorrelaIon  Rule]  using  Wordstats  app  
–  Known  in  a  Threat  Intelligence  feed  (works  with  an  IP  too,  few  chances  if  targeted  afack)  [ES3/Threat  List]    
–  Seen  for  the  first  Ime  in  your  context  [ES3/New  Domain  Analysis]    

14  

Correlate  with  Network  Traffic  using  Bro  IDS  

15  

Bro  IDS  

• 

Bro  is  a  powerful  network  analysis  framework  (started  in  1995)  able  to  
capture  real-­‐Ime  traffic  or  read  PCAPs  files.  
Comes  with  a  BSD  license  
30+  protocols  by  default  (HTTP,  DNS,  SSL,  SMTP,  IRC,  SSH,  SSL,  etc)  
Support  on  Linux,  BSD  and  Mac  OSX  (32-­‐bit  and  64-­‐bit).  
Extremely  scalable  (able  to  sustain  10GE/100GE  networks  !).  

• 

The  current  version  is  Bro  2.2  (Nov  7th,  2013).  

• 
• 
• 
• 

16  

Bro  IDS  provides  flow  data  
• 

Very  convenient  for  
detecIng  scans  for  
example  (1  host  to  
many  hosts  or  
ports).  

 
• 

17  

Only  useful  if  
desInaIon  is  known  
in  a  Threat  List  in  
case  of  advanced  
afacks  

Bro  IDS  for  protocol  metadata  

 
In  short,  we  have  all  the  same  informaIon  as  with  a  proxy.  
18  

• 

Everything  is  context  related,  you  need  a  framework  that  
allows  you  to  manipulate,  search,  extend,  correlate,  etc,  your  
data.  

• 

APT  isn’t  a  correlaIon  rule,  it’s  a  methodology.    You  don’t  
need  the  “out-­‐of-­‐the-­‐box  rules”  that  only  work  in  labs.    Splunk  
can  idenIfy  APT  behavior,  and  help  automate  detecIon.  

19  

Variance,  Standard  DeviaIon  &  Periodicity    
applied  to  Malware  HunIng  

20  

Malware  is  Calling  Home  
" 

Most  of  the  malwares,  whatever  they  are  “advanced”  or  not,    will  try  to  
connect  to  their  C&C  on  a  regular  basis  
–  In  case  of  failure,  they  will  retry  to  connect  to  their  C&C  to  establish  contact  
–  In  case  of  success,  they  send/get  updates/data/orders/etc  

" 

To  call  home,  they  either  use  an  IP  Addresses,  a  Domain  name,  or  an  
URL  ...  That  you  will  find  in  your  :  
• 

Proxy  logs  

• 

Firewall  logs  

• 

DNS  logs  
NetFlow  logs  

• 

Packet  Capture  
IDS/IPS  logs  

• 

• 

21  

• 

etc  

Malware  is  Calling  Home  
" 

So,  what’s  a  “regular  basis”  when  you  are  a  malware  coder  ?  

–  Retry  every  X  seconds                                                                                      sleep(X);  
–  Retry  every  random(X,Y)  seconds                                            Z=random(Min,Max);      sleep(Z);  
" 

Few  things  has  to  be  noIced:  

–  To  detect  periodicity,  we  need  to  have  enough  data  

ê  Case  of  a  malware  that  try  to  connect  to  its  C&C  only  once  a  week,  we  need  at  
least  3  weeks  of  data.  

–  In  case  of  randomness,  if  X  and  Y  are  close  enough,  then  the  variance  of  the  
distribuIon  should  be  small.  

22  

Malware  is  Calling  Home  
index=bro  sourcetype=bro_hfp  url=*  
|  fields  _Ime,  url,  src      
|  streamstats  current=f  last(_Ime)  as  next_Ime  by  src  url  
|  eval  gap  =  next_Ime  -­‐_Ime      
|  stats  stdev(gap)  as  variance  count(gap)  as  count  by  src  url    
|  search  count  >  3  
|  sort  variance,  count  
23  

Real  Weird  Things  Discovered  #1  

24  

Real  Weird  Things  Discovered  #2  

25  

Real  Weird  Things  Discovered  #3  

26  

Malware  is  Calling  Home  
" 

In  this  use  case,  we  are  detecIng  a  behavior.  

" 

It  could  be  interresIng  to  disInguish  the  channel  type  if  possible.  

–  GET/POST  methods,  Sent  bytes  :  data  exfiltraIon  vs  “keep-­‐alives”  
" 

In  some  context,  the  src  field  is  useless  due  to  NAT  (set  it  to  “None”  to  
reflect  your  context).  

" 

This  is  just  another  indicator,  not  a  magic  trick  that  replace  human  
analysis  J  
27  

Copyright  ©  2013  Splunk  Inc.  

Thank  You  
Thank  You  


Aperçu du document UserGroup_FR - 2014.03.17.pdf - page 1/28
 
UserGroup_FR - 2014.03.17.pdf - page 3/28
UserGroup_FR - 2014.03.17.pdf - page 4/28
UserGroup_FR - 2014.03.17.pdf - page 5/28
UserGroup_FR - 2014.03.17.pdf - page 6/28
 




Télécharger le fichier (PDF)


Télécharger
Formats alternatifs: ZIP




Documents similaires


usergroup fr 2014 03 17
ibm business partner guide
ds endpoint threat protection
detecting preventing anonymous proxy usage 32943
endian software ds en
risikovurdering2017englishversion

Sur le même sujet..




🚀  Page générée en 0.063s