ATACURI ASUPRA INFRASTRUCTURILOR CRITICE Cum sa blochezi o tara in 3 pasi simpli… Nota: toate operatiunile ipotetice prezentate pot fi considerate ilegale si pot atrage dupa sine, repercursiuni pe plan legal si personal. - SCOP EDUCATIONAL - Despre infrastructuri critice prin ochii unui atacator AGENDA Inginerie Sociala Avansata Cei care apara… Un scenariu simplu… Solutii (probabile) DESPRE MINE Red Team Operator / DevSecOps Société Générale – Banking Services In trecut: EC, Ericsson, Toyota… Trainings: CEH, ECIH, CTIA, OSCP, ECSA, etc… CSFI.US – Cybersecurity Leadership/Management (MBA) Etc… Contact: hunter.ops@proton.me Nica Constantin Hobby: CobaltStrike, Red Team Ops, BurpSuite DESPRE INFRASTRUCTURE CRITICE… Servere de mail Servicii de banking/APIs Aplicatii secundare dar necesare functionarii …PRIN OCHII UNUI ATACATOR Pishing, furt de identitate, distribuirea de malware, etc. Carding, fraude financiare, bani in general… O suprafara mult mai mare de atac… O metoda buna de polarizare sociala. Oportunitatea de a ataca societatea intr-o zona critica – accesul la bani! Vectori multipli de atac. Vulnerabilitati multiple. … TOT OCHII ATACATORULUI SUNT SI AICI… Finante … - Zero impact cinetic (fara razboi deschis); Multiplicator de forta (force-multiplier); Atribuire dificila; Resurse relative reduse pot genera probleme semnificative; Medicina Social Statal INGINERIE SOCIALA AVANSATA Cognitiv INGINERIE SOCIALA AVANSATA Securitatea Cibernetica in Realitate… Procesarea deciziilor de catre echipele de Securitate cibernetica Defense in-depth Zero-Trust (chiar si intre echipe) Planuri de raspuns standardizate -> OODA loop scurt ( fraza “blocam, nu e problema, blocam tot” e destul de des mentionata) Exercitii de tip “table-top” -> genereaza planurile de raspuns Echipe dedicate de SOC, Red Team (ha!), infrastructura, Securitatea cibernetica este ca un joc de “Calvinball” -The Grugq - Nu exista reguli - Nu exista asemanari - Nu exista limite CEI CARE APARA… Necesita reactii rapide, deci OODA rapid Nu se iau tot timpul deciziile cele mai bune Scenarii fixe, de obicei totul se rezolva cu un blocaj de trafic Este greu sa repari aplicatii software in 48 de ore, chiar si in cicluri DevSecOps foarte eficiente, cel mai probabil se genereaza alte erori In marea majoritate a cazurilor echipele sunt subdimensionate Exista conflicte interne, diferente de opinie care pot genera probleme aparent nesemnificative, apparent… Red Team == Vulnerability Scanning/Pen Testing == Mare Eroare! Sentiment fals de siguranta / aroganta /mandrie / necesitatile bazale usor exploatabile UN SCENARIU SIMPLU… - PsyOp – aruncarea de fluturasi din avioane in spatele liniilor naziste, in care ii invatau pe soldati cum sa simuleze o imbolnavire; - Efectul direct a fost o reducere a efectivelor militare; - Statul Major a interzis acordarea de zile libere pentru bolnavi; - Bolnavii au ajuns sa lupte cot la cot in linia I; - Au inceput sa imprastie bolile soldatilor capabili; …practic au generat o problema mult mai mare… UN SCENARIU SIMPLU Exploatarea comportamentului comun al gandirii “blue” in cazul unui eveniment complex cyber Operatiune Ofensiva Raspuns Generat Listare conturi login Blocare IP Listare conturi login Incetinire (Throttling) Trafic Inbound DDoS low&slow Blocare trafic malitios / filtrare traffic Generare trafic fals pe site-ul principal al tintei Throttling / IP block User Login Tampering / Login lockouts IP Block Throttling Degraded functionality Spam/Pishing/Propaganda Raspuns official din partea tintei … in final, tinta ajunge sa se blocheze singura… UN SCENARIU SIMPLU - Fara acces la conturi… Servicii degradate/inexistente… Spam/Pishing/Propaganda/Inginerie Sociala utilizand sisteme simple de mailing Generare de evenimente sociale de dimensiuni diferite, cu scopul de a bloca fizic sediile unor banci, spitale, etc… - Determinarea epuizarii fizice a echipelor de raspuns la atacuri cibernetice (keep’em busy!) - Blocarea infrastructurilor de hosting 3 pasi (aproape) simpli… Recon - Conturi, adrese mail Raspberry PIs? Weaponization – mail templates (html) Delivery – send mails, block accounts Toate intr-un singur python? Mai multi zombie intr-o retea? Drone? UN SCENARIU SIMPLU Vulnerabilitate Vector MX configurat gresit Pishing/Propaganda/Scams Sisteme de login configurate gresit Account takeovers Impersonation Propaganda Amenintari Mass-mailers Mass Pishing Drone Ops Flyers Login Lockouts Account Lockouts Financial Services Meltdown Business Crashes SOLUTII Tip atac Solutie Pishing Protejare servere mail (da! Chiar e nevoie de Spf, DKIM, DMARC) Conturi Beneficiari CDNs Captchas WAF monitoring eficientizat Raspuns proportional cu atacul! Blocarea imediata nu este o solutie! Educatie cibernetica Sesiuni de awareness la clienti! Sesiuni de awareness pentru angajati! True Red Team Ops Vulnerability Management Red Team Ops implementate si nu “simulate” MULTUMESC! INTREBARI?