NcN2012
Juan Garrido / Pedro Laguna
Sevillanos
#trianapijama
DATA EXFILTRATION,
NINJA WAY
Agenda
• Introducción
• Data Exfiltration
• Canales encubiertos
• Demos! (ninjas…)
• Detección / Mitigacion
Introducción
Data Exfiltration
• Fuga de información sensible
– Información comprometedora
– Información secreta
– Información de clientes
• Impacto negativo en la empresa
• Si hay fuga, hay daño (Aunque no se venda)
Canales encubiertos
• Ampliamente utilizados desde hace siglos
• Los datos se ocultan utilizando un medio aparentemente inocuo
• Metodología muy variada
– Depende mucho de los conocimientos y “picardía” del que lo realiza
– Desde el punto de vista del atacante, el medio siempre será inseguro
Tipos de canales
• USB
• Impresora
• CD-Rom
• Disquettes
Fisicos
• ICMP
• TCP
• UDP
Red
• Acceso a foro interno
• Llamada a soporte
Ingenieria social
• Papeles del reciclaje
• Telefono
Otros
Red
Datos
• Informacion
• Payload
Contexto
• Tamaño
• Bits significativos
Tiempo
• Hora de envio
• Tiempo entre paquetes
Informacion
Encubierto
Fiabilidad
Modificacion de paquetes
• Requiere de un framework/lenguaje para modificar ciertas cabeceras
• Vamos a enviar informacion en campos significativos
• Nosotros establecemos el codigo = dificil de detectar por reglas estandar.
Un poco mas ninja…
• Entornos corporativos no permiten la instalacion de software
• Usamos funcionalidades incluidas en el propio sistema operativo
• Si no te dejan ejecutar python solo te queda…
Batch!!!
C:\Windows\system32
• Muchos comandos ignorados por los sysadmins
• Ofrecen funcionalidad de red limitada
– ping
– tracert
– netsh
– winrm
– w32tm
winrm
• Remote management console
• Permite hacer peticiones HTTP a servidores remotos
• Si usamos HTTPS quizas el payload no sea analizado
• Podemos automatizar la exfiltracion de datos
ping
• Protocolo ICMP a veces ignorado
• El comando ping ofrece la posibilidad de modificar ciertos parametros
• Podemos cambiar el tamaño del paquete
• No, no de ese paquete….
Otros winmethods
● w32tm
– Uso de NTP, envio de informacion mediante
tiempo entre peticiones
● rpcping
– Distintos tipos de paquetes/conexiones
● Etc,etc,etc... Windows Media Player? Y
no hemos hablado de VBS ni netsh...
Red + Fisico
• Impresoras en red
• Que ocurre si las impresoras estan conectadas a internet?
• Si “olvidamos”un papel en la impresora y luego accedemos desde casa…
Detección
• Firma de paquetes
– Snort Rules
• Análisis basado en estadística
– Buscar anomalías en la Red
– Análisis de tráfico
• Principio del mínimo privilegio
• Network Baseline Policies
• Honey tokens
Mitigacion
• Fortificar estaciones de trabajo
– Limitar programas ejecutables (white list)
– Bloquear trafico no autorizado
– Eliminar funcionalidades “extra”
– Bloquar dispositivos externos
• Politicas de eliminacion y proteccion de informacion fisica
ASK A NINJA