MiTM, Spoofing, AV Bypass

advertisement
Ratho Inspiratiemiddag, 6 november 2015
Netwerkbeveiliging
Sophos en Cyberoam
Presentatie:
Thierry Brandjes
Hilbrand Wouters, Cyberoam Channel Manager Sophos
1
How to attack todays networks by doing,
MiTM, Spoofing, ARP Poisioning and
bypass antivirus.
&
What to do against it.

Thierry Brandjes (CCNA, CCNP, CEH, CATP)
 Werkzaam als freelance Network & Security architect

Opdrachtgevers
 MKB
 Overheid & Semioverheid
 IKEA

Gek op netwerken, modelvliegen, techniek,
presenteren en natuurlijk cybersecurity 

Bewustwording van beveiliging
Waar liggen de zwakheden?
Hoe erg is het?
Wat kunnen we er tegen doen?

Demo!!!

Vragen stellen mag gewoon.





Waant u zich veilig?
Trojans
Trojan's purpose it to gain access to the system by acting
like an authentic program.
Moreover it can monitor or damage the system.

Open source Exploit tools





Metasploit, Cobalt Strike
Encoders & Encrpters
Veil Framework & Signatures
Singles versus Stagers
FUD

Self-Contained of Standalone

Klein en Payload staat “ergens” op het net

Encoders & Encrypters






Base64
AES128
XOR
Shikata ga nai
Allemaal verdachte zaken!!
Payload Code
 VbScript, C, C#, Ruby, GO, Python, Powershell
 Code rewrite
 Slimme dingen doen (Sandbox Evasion)

SandBox
 Virtuele omgeving om payload te testen
 Wat gaat de payload doen?
 Probleem met het kweekbakjes concept

Bypass methodes






Tijd
Netwerk services
Netwerk routes
Muisklikjes
Scrollen
Processoren

Things to do :




Logische website uitkiezen (httrack)
ARP Poisoning (Ettercap)
Spoof DNS requests (Ettercap)
Exploit op logische plek
OSI Laag 2 Attack
OSI Laag 3 Attack
OSI Laag 7 Attack

Show me the money!!
Content scanning Firewalls
Fysieke beveiliging in orde maken
Disable opstarten vanaf CD, USB, Network, enz…
Alle wachtwoorden regelmatig randomizen
Lokale admin accounts deactiveren
Herstarten na inloggen als admin
Geen elevated service accounts gebruiken voor
inventarisatie doeleinden en remote admin taken
 Rebooten, rebooten….yep, ook de servers
 Updaten, updaten en updaten…..








Plaatsen rogue
webserver met payload

USB Stick, kerstboom, ventilator, lamp, enz…

Controleer verkeer
 Centrale firewall
 SSL scanning & IDS

Logging
 Syslog
 Honeypots
 Rapportage

Zonering
 Protect your valuable assets!
 Wifi, cliënts & servers
 BYOD

Maatschappij
 Anders leren denken
 Cybercriminaliteit neemt toe. Makkelijk geld verdienen.
 Criminelen zitten nu achter de PC i.p.v. Inbreken

Wat betekent dit voor u?
 Waarom ik? Ik heb niets te verbergen.
 Meldplicht datalekken en uitbreiding boetebevoegdheid per 1 januari
2016 van kracht
 Boetebevoegdheid van maximaal €810.000 of 10% van de jaaromzet
 Trust NØ1
Download