registre internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · «...
TRANSCRIPT
![Page 1: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/1.jpg)
FUN with DNS
Marck TO
![Page 2: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/2.jpg)
Page 3 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Quelques principes DNS
Présentation de l’architecture
Let’s have fun with DNS Intrusion Exfiltration Déni de service
Agenda
![Page 3: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/3.jpg)
Page 4 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
DNS recursion in 5 minutes, or refunded (but not actually)
1EfficientIP 2016 DNS security report
Give me the adresse of www.baddomain.com
8.8.8.8
Already know the answer (cached)? Yes : respond No: send to FAI resolver
Root servers
baddomain.com
Return anything we want!
Where is baddomain.com?
Already know the answer (cached)? Yes : respond No: send to root servers
Corporate resolver
![Page 4: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/4.jpg)
Page 5 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
« toute ressemblance avec des personnes existantes ou ayant existées serait purement fortuite »
« Aucun serveur DNS n’a été blessé (pour l’instant) »
Disclaimer
![Page 5: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/5.jpg)
Page 6 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
The architecture
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Public DNS servers
Attacker
Sloth DNS
![Page 6: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/6.jpg)
Page 7 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Normal usage: public dns
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Public DNS serversPublic users
e-corp.com ???
Password123!
![Page 7: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/7.jpg)
Page 8 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Normal usage: internal dns
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Public DNS servers
salesforce.com ???
![Page 8: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/8.jpg)
Page 9 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Normal usage: internal dns
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Public DNS servers
Intranet.e-corp.com ???
![Page 9: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/9.jpg)
Page 10 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Attack E-Corp using DNS only
The attack will follow a classic killchain sequence: Reconnaissance weaponization Delivery CnC Lateral movement Exfiltration
Challenge
![Page 10: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/10.jpg)
Page 11 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Display setup
![Page 11: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/11.jpg)
Page 12 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Reconnaissance Hacker motivation: ??? Target: E-corp Entry point: Phillip Price Position: Network admin Bait: we met at an event some weeks ago…
Stage 1: Preparation
![Page 12: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/12.jpg)
Page 13 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Weaponization: PDF file… …malicious payload embedded
Stage 1: Preparation
![Page 13: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/13.jpg)
Page 14 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 1: Intrusion – delivery DNS Malware
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Phishing attack
E-corp hacking
Mr Robot
42
01/01/70
![Page 14: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/14.jpg)
Page 15 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Delivery and CnC Social engineering to invite to open the malicious file Take control of the machine
Stage 2: Intrusion: delivery and CnC DNS Malware
![Page 15: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/15.jpg)
Page 16 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 2: Intrusion: delivery and CnC DNS Malware
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Command and Control
Access control
E-corp hacking
Mr Robot
42
01/01/70
![Page 16: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/16.jpg)
Page 17 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Lateral movement Spy on the compromised host Drop a password sniffer? A keylogger? Nah, real jerks use state level exploit! Move to other places in the network
Stage 2: Intrusion: delivery and CnC DNS Malware
![Page 17: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/17.jpg)
Page 18 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 2: Intrusion: delivery and CnC DNS Malware
Attacker
Access control
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Step 2 : propagation
E-corp hacking
Mr Robot
42
01/01/70
![Page 18: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/18.jpg)
Page 19 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Exfiltration Publish files using web server Encapsulate HTTP into DNS
Stage 3: Actions on objectives Extract data with DNS Tunneling
![Page 19: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/19.jpg)
Page 21 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives Extract data with DNS Tunneling
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Exfiltration
E-corp hacking
Mr Robot
42
01/01/70
![Page 20: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/20.jpg)
Page 22 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
DoS attack Using CVE on bind
Stage 3: Actions on objectives 0-Day Denial of Service
![Page 21: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/21.jpg)
Page 23 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives 0-Day Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
0-day attack
![Page 22: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/22.jpg)
Page 24 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives 0-Day Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
0-day attack
Intranet.e-corp.com ???
e-corp.com ???
Public users
E-corp hacking
Mr Robot
42
01/01/70
![Page 23: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/23.jpg)
Page 26 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
DoS attack Using big amount of queries per second
Stage 3: Actions on objectives Volumetric Denial of Service
![Page 24: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/24.jpg)
Page 27 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives Volumetric Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Volumetric
![Page 25: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/25.jpg)
Page 28 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives Volumetric Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
E-corp confidential data server
User with priviledged access
DNS Resolver
Volumetric
E-corp hacking
Mr Robot
42
01/01/70
https://isc.org/wp-content/uploads/2015/07/ISC-Webinar-ISC-Random-Subdomain-CCA3.pdf
![Page 26: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/26.jpg)
Page 30 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
DoS attack Using other devices…
Stage 3: Actions on objectives Volumetric Denial of Service
![Page 27: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/27.jpg)
Page 31 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives Volumetric Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
User with priviledged access
DNS Resolver
Volumetric
![Page 28: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/28.jpg)
Page 32 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
User with priviledged access
DNS Resolver
Volumetric
E-corp hacking
Mr Robot
42
01/01/70
![Page 29: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/29.jpg)
Page 33 Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Stage 3: Actions on objectives Distributed Denial of Service
Attacker
Active Directory + Internal DNS: intranet.e-corp.com
Public DNS: e-corp.com
User with priviledged access
DNS Resolver
Volumetric
![Page 30: Registre Internet des noms de domaine en .fr, .re, .yt, .tf, .pm et .wf … · 2017-09-11 · « toute ressemblance avec des personnes existantes ou ayant existées serait purement](https://reader033.vdocument.in/reader033/viewer/2022042420/5f36bee92e0a5105531930e4/html5/thumbnails/30.jpg)
Confidential-Property of EfficientIP - All rights reserved-Copyright © 2017
Thank You [email protected]