who who s really attacking y s really attacking your our
play

Who Whos Really Attacking Y s Really Attacking Your our #WHOAMI - PowerPoint PPT Presentation

Aug 03, 2023 •336 likes •792 views

Who Whos Really Attacking Y s Really Attacking Your our #WHOAMI Threat Researcher at Trend Micro- research and blogger on criminal underground, persistent threats,

  1. Who’ Who’s Really Attacking Y s Really Attacking Your our ¡ �

  2. #WHOAMI ¡ • Threat ¡Researcher ¡at ¡Trend ¡Micro-­‑ ¡research ¡and ¡blogger ¡ on ¡criminal ¡underground, ¡persistent ¡threats, ¡and ¡ vulnerabili9es. ¡ ¡ • Research ¡Interests: ¡ ¡-­‑Malware ¡detec9on/reversing ¡ ¡-­‑Persistent ¡Threats ¡ ¡-­‑ICS/SCADA ¡Security ¡ ¡-­‑Vulnerabili9es ¡and ¡the ¡“Underground” ¡

  3. Agenda ¡ • Overview ¡of ¡two ¡SCADA ¡protocols ¡ • Story ¡Time! ¡ • Typical ¡ICS ¡Deployments ¡ • ICS/SCADA ¡IT ¡Differences ¡ • SCADA ¡Systems ¡Facing ¡the ¡Internet ¡ • SCADA ¡Systems ¡Are ¡Always ¡ANacked, ¡Right? ¡ • Enter…The ¡Honeypots… ¡ • Findings ¡ • ANacker ¡Profile ¡ • Recommenda9ons ¡

  4. This ¡presenta5on ¡will ¡focus ¡on: ¡ • Concerns/Overview ¡of ¡ICS ¡Security ¡ • How ¡heinous ¡the ¡security ¡profiles ¡are ¡ICS ¡devices ¡ • Are ¡ICS ¡devices ¡aNacked? ¡ • Who ¡aNacks ¡ICS ¡devices? ¡

  5. ICS ¡Overview ¡ What ¡are ¡ICS ¡devices? ¡ • Used ¡in ¡produc9on ¡of ¡virtually ¡anything ¡ • Used ¡in ¡water, ¡gas, ¡energy, ¡etc. ¡etc. ¡etc. ¡ • Notoriously ¡insecure…in ¡every ¡way ¡ • SoWware ¡is ¡some9mes ¡embedded, ¡some9mes ¡not ¡ • Typically ¡proprietary ¡

  6. TYPICAL ¡ICS ¡

  7. DNP3 ¡ • DNP3 ¡ – Used ¡to ¡send ¡and ¡receive ¡messages ¡ ¡ – Complex ¡ – No ¡authen9ca9on ¡or ¡encryp9on ¡ – Several ¡published ¡vulnerabili9es ¡

  8. Modbus ¡ • Oldest ¡ICS ¡Protocol ¡ • Controls ¡I/O ¡Interfaces ¡(MOSTLY!!!!) ¡ • No ¡authen9ca9on ¡or ¡encry9on! ¡(Surprise!!!) ¡ • No ¡broadcast ¡suppression ¡

  9. ICS ¡vs. ¡Tradi5onal ¡IT ¡Systems ¡ ICS ¡ • – Produc9vity ¡ – Up-­‑9me ¡ – Reliability ¡of ¡data ¡ IT ¡ • – Protect ¡the ¡data ¡ – Con9nued ¡produc9vity ¡ – Limit ¡interrup9ons ¡

  10. ICS ¡Vulnerabili5es ¡ • In ¡2012, ¡171 ¡unique ¡vulnerabili9es ¡affec9ng ¡ICS ¡products. ¡ • 55 ¡Vendors… ¡ How ¡many ¡have ¡you ¡heard ¡about? ¡

  11. SCADA ¡on ¡the ¡Internet??? ¡ • Google-­‑fu ¡ • Shodan ¡ • Pastebin ¡ ¡

  12. SCADA ¡on ¡the ¡Internet??? ¡ • Google-­‑fu ¡ • Shodan ¡ • Pastebin ¡ ¡

  13. SCADA ¡is ¡Never ¡ALacked, ¡Right? ¡ • WRONG! ¡ • WRONG! ¡

  14. Story ¡Time! ¡ • Small ¡town ¡in ¡rural ¡America ¡ • Water ¡pump ¡controlling ¡water ¡pressure/ availability ¡ • Popula9on ¡8,000~ ¡

  15. Story ¡Time! ¡ • Water ¡Pressure ¡System ¡Internet ¡Facing ¡:/ ¡ • WRONG! ¡ • WRONG! ¡ • No ¡firewalls/security ¡measures ¡in ¡place ¡ • ALacked ¡several ¡5mes…Nov ¡14 th ¡through ¡ Dec ¡19th ¡ • Could ¡have ¡caused ¡catastrophic ¡water ¡ pressure ¡failures. ¡ • This ¡is ¡not ¡a ¡story… ¡ • Real ¡life ¡event.. ¡ • This ¡Happened. ¡

  16. Story ¡Time! ¡ • WRONG! ¡ • WRONG! ¡ IN ¡MY ¡BASEMENT. ¡

  17. Enter…Honeypots… ¡ • WRONG! ¡ • WRONG! ¡

  18. Honeypot ¡Overview ¡ • Two ¡low-­‑interac9on ¡ • WRONG! ¡ • WRONG! ¡ • One ¡high-­‑interac9on ¡ • Ran ¡for ¡28 ¡days ¡in ¡total ¡ • One ¡Windows ¡Server ¡08 ¡ • Two ¡Ubuntu ¡12.04 ¡Servers ¡

  19. What ¡They ¡See ¡

  20. High-­‑Interac5on ¡Architecture ¡ • WRONG! ¡ • WRONG! ¡

  21. Low-­‑Interac5on ¡Architecture ¡ • WRONG! ¡ • WRONG! ¡

  22. Tools ¡Used ¡ • WRONG! ¡ • WRONG! ¡

  23. Vulnerabili5es ¡Presented ¡ “If ¡you ¡can ¡ping ¡it, ¡you ¡own ¡it” ¡ ¡ • SNMP ¡vulns ¡(read/write ¡SNMP, ¡ packet ¡sniffing, ¡IP ¡spoofing) ¡ • Authen9ca9on ¡limita9ons ¡ • Limits ¡of ¡Modbus/DNP3 ¡ authen9ca9on/encryp9on ¡ • VxWorks ¡Vulnerability ¡ • Open ¡access ¡for ¡certain ¡ICS ¡ modifica9ons-­‑ ¡fan ¡speed, ¡ temperature, ¡and ¡u9liza9on. ¡

  24. Intelligence ¡Gathering ¡ • Many ¡of ¡the ¡same ¡aNackers ¡probed ¡ICS ¡device(s) ¡days ¡before ¡ • Port ¡scans ¡ • Maltego ¡usage ¡prevalent ¡ • Shodanhq.com ¡usage ¡also ¡prevalent ¡

  25. What ¡is ¡an ¡“aLack”? ¡ Not ¡port ¡scans, ¡or ¡non-­‑targeted ¡aNacks. ¡ • • WRONG! ¡ Not ¡automated ¡aNacks ¡ • Not ¡drive-­‑by ¡ • ONLY ¡aNacks ¡that ¡were ¡targeted ¡ • ONLY ¡aNempted ¡modifica9on ¡of ¡pump ¡system ¡ • ONLY ¡aNempted ¡modifica9on ¡via ¡Modbus/DNP3 ¡ • DoS/DDoS ¡ will ¡be ¡considered ¡aNacks ¡ •

  26. ALack ¡Profile ¡Countries ¡ PALESTINE, ¡1 ¡ CHILE, ¡1 ¡ CROATIA, ¡1 ¡ NORTH ¡KOREA, ¡1 ¡ • WRONG! ¡ RUSSIA, ¡3 ¡ US, ¡9 ¡ VIETNAM, ¡1 ¡ POLAND, ¡1 ¡ BRAZIL, ¡2 ¡ JAPAN, ¡1 ¡ LAOS, ¡6 ¡ NETHERLANDS, ¡1 ¡ UK, ¡4 ¡ CHINA, ¡17 ¡

  27. ALack ¡Overview ¡ • One ¡aNempt ¡to ¡spear ¡phish ¡info@<domain>.com ¡ • I ¡pretended ¡to ¡fall ¡for ¡it… ¡ • WRON! ¡ • Unauthorized ¡access ¡aNempt ¡to ¡diagnos9cs.php ¡ • Modifica9on ¡of ¡CPU ¡Fan ¡Speed ¡on ¡Water ¡Pump ¡ • ANempted ¡Modbus ¡traffic ¡modifica9on ¡ • ANempted ¡access ¡to ¡all ¡secured ¡areas ¡of ¡site ¡ • Most ¡aNacks ¡came ¡from ¡a ¡few ¡/24 ¡netblocks ¡ • Some ¡aNacks ¡generated ¡Snort ¡alerts ¡ • Others ¡were ¡manual ¡aNempts ¡to ¡modify ¡pump ¡pressure, ¡ temperature ¡output, ¡and/or ¡shut ¡down ¡the ¡system ¡en9rely ¡ ¡Unique ¡aNack ¡aNempts: ¡9 ¡ ¡Countries ¡par9cipa9ng: ¡14 ¡ ¡

  28. Snort ¡Findings ¡ ¡ • Used ¡Digital ¡Bond’s ¡Quickdraw ¡SCADA ¡Snort ¡Rules ¡ • Custom ¡Snort ¡Rules ¡Created ¡ • Modbus ¡TCP ¡-­‑ ¡Non-­‑Modbus ¡Communica2on ¡on ¡TCP ¡Port ¡502 ¡ ¡ • Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ ¡ • Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ ¡ • Incorrect ¡Packet ¡Length, ¡Possible ¡DOS ¡AIack ¡ ¡

  29. Snort ¡Findings ¡ Rules ¡Triggered: ¡ Modbus ¡TCP ¡– ¡Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ • WRON! ¡ 1111006 ¡ Modbus ¡TCP ¡– ¡Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ 1111007 ¡ DNP3 ¡– ¡Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ 1111206 ¡/ ¡11112061 ¡ DNP3 ¡– ¡Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ 1111207 ¡ DNP3 ¡– ¡Unauthorized ¡Miscellaneous ¡Request ¡to ¡a ¡PLC ¡ 1111208 ¡ CVE ¡20xx-­‑xxx: ¡Siemens ¡Tecnoma9x ¡FactoryLink ¡CSService ¡GetFile ¡path ¡Buffer ¡ Overflow ¡ 1111675 ¡ CVE ¡20xx-­‑xxx: ¡Siemens ¡Tecnoma9x ¡FactoryLink ¡CSService ¡GetFileInfo ¡path ¡Buffer ¡ Overflow ¡ 1111676 ¡

  30. Spear ¡Phished! ¡ “ ¡ Hello ¡sir, ¡I ¡am ¡<name ¡of ¡city ¡administrator> ¡and ¡would ¡like ¡ the ¡attached ¡statistics ¡filled ¡out ¡and ¡sent ¡back ¡to ¡me. ¡Kindly ¡ • WRONG! ¡ • WRONG! ¡ Send ¡me ¡the ¡doc ¡and ¡also ¡advise ¡if ¡you ¡have ¡questions. ¡Look ¡ forward ¡you ¡hear ¡from ¡you ¡soon ¡ ¡ ¡ ¡ ¡....Mr. ¡<city ¡administrator ¡name> ¡ ” ¡

  31. Spear ¡Phished ¡ • WRONG! ¡ • WRONG! ¡

  32. Malware ¡ • Included ¡in ¡the ¡email, ¡was ¡an ¡aNachement-­‑ ¡ report.docx ¡ • WRONG! ¡ • WRONG! ¡ • Document ¡dropped ¡two ¡PE ¡files-­‑ ¡gh.exe ¡and ¡ai.exe ¡ • File ¡gh.exe ¡dumps ¡all ¡local ¡password ¡hashes ¡ ¡ – < gh.exe ¡–w > ¡ • File ¡ai.exe ¡shovels ¡a ¡shell ¡back ¡to ¡a ¡dump ¡server. ¡ – < ¡a i.exe ¡–d1 ¡(Domain) ¡–c1 ¡(Compare ¡IP) ¡–s ¡(Service) ¡–n ¡(dll) ¡> ¡ • Malware ¡communica9ng ¡to ¡a ¡drop/CnC ¡server ¡in ¡China. ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1 Alexander @sh2kerr Polyakov. PCI QSA,PA-QSA 11 We change look but we keep mind Company Digital Security Research Group International

924 views • 59 slides
Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of

Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of

Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of Technology for some of these slides sws1 1 1 Attacking the stack We have seen how the stack works. Now: lets see how we can abuse this. We have

733 views • 48 slides
y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna

y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna

Security bug of the week (in iOS and OS X) y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of Technology for some of these slides sws1 2 2 Attacking the stack g We have seen how the

850 views • 47 slides
Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State

Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State

Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State University of New York) Joint with Seth Chaiken and Christopher R.H. Hanusa Outline 1. Chess Problems: Non-Attacking Pieces 2. Largely Czech

608 views • 17 slides
Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology

Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology

Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology for some of these slides Attacking the stack We have seen how the stack works. Now: lets see how we can abuse this. We have already seen how code

671 views • 47 slides
Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY

Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY

Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY Introduction. Audience analysis. The basics Property Insurance Subrogation ATTACKING AND SUPPORTING SUBROGATION DAMAGES IN

371 views • 19 slides
No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S

No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S

20.06.2019 No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S tefan Mehner, Hartmut Knig Brandenburg University of Technology Cottbus - S enftenberg Evolution in Industrial Control Systems

675 views • 18 slides
Attacking the Attacking the User- -Machine Machine User Interface Interface A speach

Attacking the Attacking the User- -Machine Machine User Interface Interface A speach

Attacking the Attacking the User- -Machine Machine User Interface Interface A speach speach from from Volker Birk, Volker Birk, dingens dingens@ @bumens bumens. .org org A Chaos Computer Club ERFA Kreis Ulm Chaos Computer Club

455 views • 16 slides
To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures

To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures

S C I E N C E P A S S I O N T E C H N O L O G Y To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures Peter Pessl 1 , Leon Groot Bruinderink 2 , Yuval Yarom 3 1 Graz University of

416 views • 27 slides
Differential Cryptanalysis The first method which reduced the complexity of attacking DES below

Differential Cryptanalysis The first method which reduced the complexity of attacking DES below

Differential Cryptanalysis The first method which reduced the complexity of attacking DES below (half of) exhaustive search. Differential Cryptanalysis Note : In all the following discussion we ignore the existence of the initial and the final

330 views • 8 slides
Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~ Eiichiro Komatsu (Max Planck Institute for Astrophysics) New Directions in Theoretical Physics 2 , the Higgs Centre, Univ. of Edinburgh, January 12,

925 views • 70 slides
Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking

Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking

Presenting a live 90-minute webinar with interactive Q&amp;A Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking and Defending Preference Status of Lender, Creditor and PE Sponsor Secured Claims

443 views • 32 slides
Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi

Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi

Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi Talbi Security researcher at Stormshield haka-security project. Past life: academia (phd, postdoc, ) Main research topics: advanced

1.61k views • 94 slides
Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~ Eiichiro Komatsu (Max Planck Institute for Astrophysics) Fundamental Cosmology Meeting Teruel, September 12, 2017 Motivation To gain a better

851 views • 72 slides
Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial

Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial

Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial Nave-Bayes Classifier Dominik Herrmann , Hannes Federrath Rolf Wendolsky University of Regensburg, Germany JonDos GmbH Motivation To Whom It May

901 views • 34 slides
The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African

The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African

The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African Mercenaries: Origin of the No-Fly Zone Ibrahim Dabbashi, defecting deputy Libyan ambassador to the UN: genocide TIME Magazine: The

415 views • 20 slides
Grid Checkpointing John Mehnert-Spahn Heinrich-Heine University Duesseldorf, Germany XtreemOS

Grid Checkpointing John Mehnert-Spahn Heinrich-Heine University Duesseldorf, Germany XtreemOS

Grid Checkpointing John Mehnert-Spahn Heinrich-Heine University Duesseldorf, Germany XtreemOS Summer School, Gnzburg, Germany, 2010 XtreemOS IP project is funded by the European Commission under contract IST-FP6-033576 XtreemOS IP project 1

707 views • 47 slides
Retrospective Spectrum Access Protocol: A Completely Uncoupled Learning Algorithm for Cognitive

Retrospective Spectrum Access Protocol: A Completely Uncoupled Learning Algorithm for Cognitive

Retrospective Spectrum Access Protocol: A Completely Uncoupled Learning Algorithm for Cognitive Networks Marceau Coupechoux , Stefano Iellamo , Lin Chen + TELECOM ParisTech (INFRES/RMS) and CNRS LTCI + University Paris XI Orsay (LRI)

433 views • 26 slides
Anti-Malthus: Evolution, Population and the Maximization of Free Resources David K. Levine

Anti-Malthus: Evolution, Population and the Maximization of Free Resources David K. Levine

Anti-Malthus: Evolution, Population and the Maximization of Free Resources David K. Levine Salvatore Modica 1 Ely Evolution + voluntary migration = efficiency Isnt the way the world works 2 environments j t people i = 1 j = 2 i

374 views • 23 slides
CRYSIS 2 MULTIPLAYER CRYSIS 2 MULTIPLAYER ABOUT CRYSIS 2 MULTIPLAYER Who am I? What am I

CRYSIS 2 MULTIPLAYER CRYSIS 2 MULTIPLAYER ABOUT CRYSIS 2 MULTIPLAYER Who am I? What am I

A Programmers Post -mortem CRYSIS 2 MULTIPLAYER CRYSIS 2 MULTIPLAYER ABOUT CRYSIS 2 MULTIPLAYER Who am I? What am I talking about? Hopefully things that will help you What is Crysis 2? First-person shooter 12 players on

663 views • 40 slides
Principles and Practices of Transformation Pearson case study Learn Build Measure Sonja

Principles and Practices of Transformation Pearson case study Learn Build Measure Sonja

Principles and Practices of Transformation Pearson case study Learn Build Measure Sonja Kresojevic GOTO Accelerate 2016 Disruptive Environment Most likely outcome Pearsons challenge Unbalanced portfolio, lots of duplication Big

254 views • 24 slides
Towards automatic state machine reconstruction from legacy PLC using data collection Daniil

Towards automatic state machine reconstruction from legacy PLC using data collection Daniil

Towards automatic state machine reconstruction from legacy PLC using data collection Daniil Chivilikhin, Sandeep Patil, Anthony Cordonnier, Valeriy Vyatkin IEEE INDIN 2019, Helsinki, Finland 24 July 2019 Goal Legacy PLC IEC 61131-3 (black

954 views • 41 slides
Photon Linear Linear Collider Collider - - Photon or the the fusion fusion of of light

Photon Linear Linear Collider Collider - - Photon or the the fusion fusion of of light

Photon Linear Linear Collider Collider - - Photon or the the fusion fusion of of light light or Florence, , September September 2007 2007 Florence General overview overview General LHC- -ILC ILC- -PLC PLC synergy synergy LHC

805 views • 56 slides
Slide 1 ___________________________________ Moving Forward with the

Slide 1 ___________________________________ Moving Forward with the

Slide 1 ___________________________________ Moving Forward with the ___________________________________ Primary Language Curriculum Special School ___________________________________ Teacher CPD Stages 1 - 4

507 views • 21 slides

More recommend