1 / 29

Dobar, loš, zao

Dobar, loš, zao. Romeo Mlinar Ekobit d.o.o. rmlinar @ ekobit.hr romeo @ rmlinar.net. 2. 3. 4. 5. Sadržaj predavanja. Uvod. Zao admin!. Zaključak. Loš Admin. Ostali problemi. Uvod. Bezazlene igre. Task Manager nije dovoljan. Explorer nije dovoljan.

azra
Download Presentation

Dobar, loš, zao

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Dobar, loš, zao Romeo Mlinar Ekobit d.o.o.rmlinar@ekobit.hrromeo@rmlinar.net

  2. 2 • 3 • 4 • 5 Sadržajpredavanja Uvod Zao admin! Zaključak Loš Admin Ostali problemi

  3. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT Curenje podataka Administratori koriste prečice Zaključak

  4. Gdje je što? Samo „on” to zna!

  5. Bezazlene igre • WINLOGON • Podržavauser authentication • „Poseban”session u OSu • …ali to je session i mogu ga preuzeti • IMAGE HIJACKS • Dodaje debugger na exe file • OS ne provjerava je li file debugger

  6. Demo WINLOGON – deleted account scenario IMAGE HIJACKS – mapping the executable name to a different debugger source

  7. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT Curenje podataka Administratori koriste prečice Zaključak

  8. Taskmanager nije dovoljan Task Manager je alat za kućne korisnike Preporuka: - Process Explorer; vidimo sve procese - ListDlls; vidimo sve dll-ove u OS-u - LiveKD; što se nalazi unutar kernela Demo...

  9. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function Diagnostic and Recovery Toolset / DART • Curenje podataka Administratori koriste prečice Zaključak

  10. Explorer nije dovoljan • Ako adminu maknete neka prava, neće biti impresioniran! • AppLocker • SRP ? • Prava/ACL, (Access Control List) • Moraju postojati pravila • Treba ih provjeravati • BackupRead/ BackupWrite • Backup sistem/procedura je važnija od ACLs!

  11. UndertheCover • Pogledaj ono što ne smiješ vidjeti! Demo…

  12. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT • Curenje podataka Administratori koriste prečice Zaključak

  13. MoveFileExFunction • Dokumentirano na MSDNu: „Moves an existing file or directory, including its children, with various move options.” • MOVEFILE_DELAY_UNTIL_REBOOT flag • Preimenuje i pobriše file prilikom sljedećeg restarta • Nakon autochk-a • Sprema podatke u registry(PendingFileRenameOperations) • Ignorira sistemske datoteke

  14. Do sljedećeg restarta • Misija:destroy…. demo…

  15. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT • Curenje podataka Administratori koriste prečice Zaključak

  16. DiagnosticandRecoveryToolset / DaRT • Dio MDOP paketa • DaRT5.0, 6.0 • DaRT 6.5 podržano za: • Windows 7 • Windows Server 2008 R2 • Resetiranje local account lozinki • Pomaže prilikom dijagnostike i popravka sistema • Korisno za offline aktivnosti

  17. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT • Curenje podataka Administratori koriste prečice Zaključak

  18. Curenje podataka • WatchdogService – admin uvijek radi! • DNS Tunelling- zanimljiv put za slanje/primanje podataka SAVJETI: • Redovita provjera infrastrukture • Korisno u svim scenarijama • Aplikacije šalju povjerljive podatke preko žice • Vršiti skeniranje portova na rubnim djelovima mreže • Bad admin osluškuje mrežu

  19. Sada ihima, pa ihnema! • Gdje su nestali user & computeraccounti? • Kako vratiti AD objekte? demo…

  20. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT Curenje podataka Administratori koriste prečice Zaključak

  21. Administratori koriste prečice • Tehnička snaga protiv administratora • Ostali problemi i preporuke • Zakon • Pravila • Dokumentacija • Rotiranje poslova i odgovornosti • Treća strana

  22. Uvod Bezazlene igre Task Manager nije dovoljan Explorer nije dovoljan Misson:Uništiti sva računala! / MoveFileEx Function MDOP - Diagnostic and Recovery Toolset / DaRT Curenje podataka Administratori koriste prečice Zaključak

  23. Budi proaktivan! • Infrastrukturamora biti dobro dokumentirana! • Dijeljenje i rotiranje poslova između admina. • Izvršavanje periodičkih provjera • Autoruns • Kernel Level Files • Network Traffic • Processes

  24. Reference • EZNamespaceExtensions.Net v2011 • http://blogs.technet.com/b/plitpromicrosoftcom/ • Thanks to: • Paula Januszkiewicz, Enterprise Security

  25. Reference

  26. HVALA !

  27. Nagradno izvlačenje

More Related