all your base are belong to us et foredrag om hacking og ...ids/ips/av ++ privesc dump cached creds...
TRANSCRIPT
Domeneadmin…før lunsj
Hvem er vi
• Egil Aspevik
• Programmerer
• John-André Bjørkhaug
• Elektronikkingeniør
• NTT Security
• Principle Offensive Security Consultants = Pentestere
• MEN:Dette foredraget er våre personlige meninger og synspunkter
Hva kan pentestes?
AppsInfrastruktur
testingAdgangskontroll
IoT / Smarthus
Fysiske låserMennesker
(Social engineering)Skip
SCADA / OT / ICS
Så, hva er det letteste måten?
Phishing
• Forsikring
• Bank
• Matvare
• Bilforhandlere
• Overraskende høy suksessrate• Creds
• Laster ned og kjører filer
Så, hvem biter på?
IT-administratorer Kullgruve-arbeidere Helsefag-arbeidere
OperatørerLedelse Lefsebakere
Hvorfor ledelsen?
• Phishingkampanjer: Toppledelsen biter først !
• Tilgang til sensitive data
• Har det travel
• Redde for å miste tilganger
Hvordan?
• Kartlegg mål• Søkemotorer• Proff.no• Linkedin• Finn• Facebook• Oslobors.no• Primærinnsidere
Liste over mål
• Path of least resistance
• Oftest phishing
• Utfør angrep
• Epost
• Landingsite
• Nedlasting av fil
• “Post exploitation”
• Hva kan vi få tilgangtil?
• Hvor lenge kan vi være inne?
• Blir vi oppdaget avIDS/IPS/AV ++
Privesc
Dump cachedcreds
LogonsprayLocal admin
Logon DC
ManglendePatcher
Sårbarhetsscan
LUNCH
Domain admin før lunsj!
JA
NEI
Svake konfigurasjoner
Hvordan står det egentlig til da?
Status på lokal admin i 2018
Status på passord i 2018
Status passord• Passord = brukernavn
• <Firmanavn>1
• <Firmanavn><år>
• <Årstid><år>
• Passordgjenbruk
Status på nettverkssegmentering i 2018
Nettverkssegmenteringsmodeller
LAN-party!
Stål-kontroll
«Vi har segmentering»
Utopia-modellen
Hva skal man gjøre??
Beskyttelse• Tekniske sikkerhetsbarrierer på plass
• IDS/AV
• IKKE BARE PÅ PERIMETER!!!!!!!!!!
• Blokker nedlasting og kjøring av eksekverbare filer
• Ikke lokal admin!
• Segmentér og firewall
• Brukeropplæring
• Phishingkampanjer
• Trekk i bonus …
• Sosiale medier
• Kjør pentester! 😝
TAKK FOR OPPMERKSOMHETEN!
Egil Aspevik
[email protected] / 94237422
John-André Bjørkhaug
[email protected] / 93464053