2000-2012 military spending increases 2.8 X 4.5 X 1.7 - - PowerPoint PPT Presentation

2000 2012 military spending increases
SMART_READER_LITE
LIVE PREVIEW

2000-2012 military spending increases 2.8 X 4.5 X 1.7 - - PowerPoint PPT Presentation

Sep 13, 2023 44 likes •557 views

2000-2012 military spending increases 2.8 X 4.5 X 1.7 X Data courtesy of SIPRI: h3p://www.sipri.org/ 2 Which of the following is a more

slide-1
SLIDE 1
slide-2
SLIDE 2

2000-­‑2012 ¡military ¡spending ¡increases ¡

1.7 ¡X ¡ 2.8 ¡X ¡ 4.5 ¡X ¡ Data ¡courtesy ¡of ¡SIPRI: ¡h3p://www.sipri.org/ ¡

2 ¡

slide-3
SLIDE 3

Which ¡of ¡the ¡following ¡is ¡a ¡more ¡cost-­‑effec@ve ¡ intelligence ¡collec@on ¡plaBorm? ¡

3 ¡

slide-4
SLIDE 4

4 ¡

slide-5
SLIDE 5

OR ¡

5 ¡

slide-6
SLIDE 6

Photo ¡courtesy ¡of ¡mac_ivan ¡under ¡CC ¡license ¡

6 ¡

slide-7
SLIDE 7

Superpower ¡status ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ is ¡not ¡a ¡prerequisite ¡to ¡{collect/disseminate} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ intelligence ¡anymore ¡

7 ¡

slide-8
SLIDE 8

8 ¡

slide-9
SLIDE 9

This ¡means ¡you ¡probably ¡have ¡someone ¡in ¡your ¡ network ¡that ¡can ¡maneuver ¡around ¡as ¡well ¡ as ¡you ¡can. ¡

9 ¡

slide-10
SLIDE 10

My ¡background ¡in ¡incident ¡response ¡gave ¡me ¡ visibility ¡into ¡tac@cs ¡and ¡techniques ¡used ¡by ¡ sophis@cated ¡adversaries. ¡

10 ¡

slide-11
SLIDE 11

11 ¡

slide-12
SLIDE 12

I ¡also ¡write ¡a ¡lot ¡of ¡code. ¡

12 ¡

slide-13
SLIDE 13

13 ¡

slide-14
SLIDE 14

So ¡here ¡I’m ¡going ¡to ¡present ¡you ¡with… ¡

14 ¡

slide-15
SLIDE 15

3 Rogue techniques to sniff out the nasties in your network

15 ¡

slide-16
SLIDE 16

Rogue Technique #1

  • Trojanize your

DOS/Win32 shell

16 ¡

slide-17
SLIDE 17

In ¡our ¡case, ¡threat ¡actors ¡were ¡heavy ¡ command-­‑line ¡users ¡– ¡using ¡the ¡net ¡ executable ¡to ¡mount ¡shares ¡and ¡propagate ¡ malicious ¡payloads ¡

17 ¡

slide-18
SLIDE 18

We ¡trojanized ¡the ¡shell ¡

  • Placed ¡a ¡net.com ¡binary ¡

in ¡the ¡system32 ¡folder ¡ (runs ¡1st) ¡

  • Our ¡version ¡beaconed ¡
  • ut ¡to ¡a ¡Google ¡App ¡

Engine ¡service ¡that ¡ logged ¡the ¡ac@vity ¡and ¡ ran ¡the ¡original ¡u@lity ¡as ¡ intended ¡

  • Transparent ¡to ¡the ¡

aaackers ¡

Google ¡App ¡ Engine ¡ The ¡ Enterprise ¡ net.exe ¡ net.com ¡

18 ¡

slide-19
SLIDE 19

§ This ¡gave ¡us ¡a ¡subtle, ¡last-­‑ditch ¡warning ¡if ¡a ¡ compromise ¡was ¡not ¡caught ¡by ¡our ¡other ¡sensors ¡ § Very ¡simple ¡wrapper ¡makes ¡outbound ¡HTTP ¡calls ¡ (interes@ngly, ¡not ¡flagged ¡by ¡enterprise ¡A/V ¡ either) ¡ Code ¡available ¡at: ¡ ¡ ¡ ¡ ¡ ¡haps://github.com/RogueNetworks ¡

19 ¡

slide-20
SLIDE 20

In ¡case ¡you’re ¡wondering, ¡ ¡ this ¡is ¡supposed ¡to ¡be ¡ ¡ Socrates, ¡not ¡God ¡

* ¡Any ¡similarity ¡between ¡this ¡Socrates ¡clip-­‑art ¡and ¡Jesus ¡is ¡purely ¡coincidental ¡

20 ¡

slide-21
SLIDE 21

In ¡case ¡you’re ¡wondering, ¡ ¡ this ¡is ¡supposed ¡to ¡be ¡ ¡ Socrates, ¡not ¡God ¡

* ¡Any ¡similarity ¡between ¡this ¡Socrates ¡clip-­‑art ¡and ¡Jesus ¡is ¡purely ¡coincidental ¡

21 ¡

slide-22
SLIDE 22

The ¡propaga@on ¡of ¡malicious ¡payloads ¡also ¡ depends ¡on ¡weaknesses ¡in ¡Ac@ve ¡Directory ¡ authen@ca@on ¡ ¡

22 ¡

slide-23
SLIDE 23

The ¡use ¡of ¡NTLM ¡hash-­‑injec@on ¡tools ¡allow ¡ seamless ¡+ ¡na@ve ¡file/share ¡access ¡as ¡any ¡ domain ¡(or ¡local) ¡user ¡ ¡

23 ¡

slide-24
SLIDE 24

What ¡is ¡PTH? ¡

24 ¡

slide-25
SLIDE 25

Chef Monte’ s Wo World- Famo mous Recipe for Pass-the-Hash

Delicious ¡ and ¡low-­‑ calorie, ¡ too! ¡

25 ¡

slide-26
SLIDE 26

Ingredients

ü 1 Microsoft Active Directory Network ü 1-3 servings of domain admin hashes, unsalted ü 1 teaspoon of lemon zest ü 1 hash-injection tool

26 ¡

slide-27
SLIDE 27

Step 1: Remove the hash

ü First, ensure the local host is ripe enough and has the residue necessary to extract NTLM hashes ü Using the edge of a bowl, crack open the LSASS process to extract cached or in- memory hashes to produce your hashes

27 ¡

slide-28
SLIDE 28

Step 2: Inject the hash

ü After allowing the hashes to rest, prepare the NTLM hash using your injection tool of choice (console recommended) ü Then, carefully whisk the extracted hash into memory to replace the in-memory NTLM hash with the desired hash of your choice

28 ¡

slide-29
SLIDE 29

Step 3: Enjoy!

ü Congratulations, you are now able to access resources and generate Kerberos tickets as any domain user! ü Remember to wash your hands when done!

29 ¡

slide-30
SLIDE 30

Chef Monte Says:

Remember ¡ to ¡try ¡my ¡ spam ¡loaf ¡ recipe!! ¡

30 ¡

slide-31
SLIDE 31

While ¡this ¡problem ¡has ¡persisted ¡for ¡years, ¡it ¡is ¡ possible ¡to ¡detect ¡and ¡iden@fy ¡the ¡ characteris@cs ¡associated ¡with ¡this ¡technique ¡

31 ¡

slide-32
SLIDE 32

Rogue Technique #2

  • Turn

pass-the-hash into Trash-the-hash

32 ¡

slide-33
SLIDE 33

Lateral ¡authen@ca@on ¡looks ¡odd: ¡

33 ¡

slide-34
SLIDE 34

The {code}

  • Breachbox core: a suite of

Linux daemons for monitoring Kerberos authentication traffic in the core

34 ¡

slide-35
SLIDE 35

Features

  • Flexible deployment: can be

deployed via span port or in-line layer-2 for extra stealth

  • Zero-trust certified*: Rebuilds

authentication transactions from the wire, not from log data

  • Plays well with log management:

Send alerts to enterprise log platforms via Syslog interface

35 ¡

slide-36
SLIDE 36

Caveats

  • Doesn’t completely support

newest SMB protocols

  • Protocol analyzer code is

scary

36 ¡

slide-37
SLIDE 37

The {code}

Code ¡available ¡at: ¡ ¡ ¡ ¡ ¡ ¡haps://github.com/RogueNetworks ¡

37 ¡

slide-38
SLIDE 38

Rogue Technique #3

  • Profile your

applications

38 ¡

slide-39
SLIDE 39

Good ¡ Blacklist ¡malicious ¡ac@vity ¡ Beaer ¡ Whitelist ¡acceptable ¡ac@vity ¡ Best ¡ Use ¡math ¡+ ¡lists! ¡

39 ¡

slide-40
SLIDE 40

40 ¡

Math ¡is ¡powerful ¡ Holy ¡moley ¡– ¡is ¡that ¡ an ¡A-­‑bomb ¡right ¡

  • utside ¡Vegas? ¡

It ¡sure ¡is, ¡ Pardner! ¡

slide-41
SLIDE 41

41 ¡

Math ¡lets ¡you ¡soar ¡to ¡new ¡heights ¡

slide-42
SLIDE 42

Many ¡spam-­‑detec@on ¡systems ¡work ¡this ¡way. ¡ ¡ They ¡use ¡Bayesian ¡sta@s@cs ¡to ¡flag ¡

  • anomalies. ¡

42 ¡

slide-43
SLIDE 43

How ¡email ¡looks ¡in ¡a ¡Bayesian ¡world ¡

43 ¡

slide-44
SLIDE 44

Eric: ¡ Thanks ¡for ¡the ¡note. ¡ ¡Did ¡you ¡see ¡the ¡ar@cle ¡about ¡ how ¡Walmart’s ¡employees ¡slammed ¡the ¡ company ¡on ¡its ¡own ¡website? ¡ Later, ¡

  • ­‑Skinner ¡

44 ¡

slide-45
SLIDE 45

Whatever ¡your ¡illness ¡or ¡disorder ¡is ¡it’s ¡beaer ¡ to ¡be ¡sure ¡of ¡the ¡medica@ons ¡you ¡take! ¡ ¡ Cialis, ¡Viagra, ¡Prozac… ¡

45 ¡

slide-46
SLIDE 46

We ¡can ¡apply ¡the ¡same ¡approach ¡to ¡web ¡

  • traffic. ¡

46 ¡

slide-47
SLIDE 47

hap://www.spotkick.com/api/push? c=breachbox&@d=1234567&ctype=3 ¡ hap://www.spotkick.com/api/push? c=spotkick&@d=7654321&ctype=2 ¡ Profile ¡for ¡push ¡api ¡service ¡call: ¡

c: ¡alphanumeric, ¡9+-­‑2 ¡characters ¡ Jd: ¡numeric, ¡7+-­‑1 ¡characters ¡ ¡ ctype: ¡numeric, ¡1+-­‑1 ¡characters ¡

47 ¡

slide-48
SLIDE 48

hap://www.spotkick.com/api/push? c=breachbox&@d=1234567’%20or %201=1&ctype=3 ¡ Profile ¡for ¡push ¡api ¡service ¡call: ¡

c ¡expects: ¡alphanumeric, ¡9+-­‑2 ¡character ¡ ¡ ¡ ¡received: ¡alphanumeric, ¡9 ¡characters ¡(PASS) ¡ Ctype ¡expects: ¡numeric, ¡1+-­‑1 ¡characters ¡ ¡ ¡ ¡received: ¡numeric, ¡1 ¡character ¡(PASS) ¡ @d: ¡numeric, ¡7+-­‑1 ¡characters ¡ ¡ ¡ ¡received: ¡alphanumeric ¡+ ¡control ¡characters, ¡14 ¡ characters ¡(FAIL) ¡

48 ¡

slide-49
SLIDE 49

The {code}

  • Breachbox web: a suite of

Linux daemons for monitoring HTTP traffic

49 ¡

slide-50
SLIDE 50

Features

  • Flexible deployment: can be

deployed via span port or in- line layer-2 for extra stealth

  • Hybrid scheme reduces false

positives: Statistical can be combined with list-based approaches

50 ¡

slide-51
SLIDE 51

51 ¡

eric@spotkick.com ¡ www.spotkick.com ¡