1

Fui vítima de APT, o que esperar

em seguida? Segurança interna, da tática à prática

Geraldo Bravo

2

Passo 2: Obter

acesso

administrativo

(Ex: Usuário de

suporte)

Que comecem os jogos!!!

Passo1:

Phishing para

obter um ponto

de entradaTech support

Passo 3:

Acessar um

servidor

3

E a história se repete.....

▪ Dia Zero

▪ Exploração inicial

▪ C&C (instalação e uso)

▪ Elevação de privilégio

▪ Reconnaisance

▪ Movimentação lateral

▪ Obtenção de dados

confidenciais/importantes

▪ Retirada de dados

4

Principais fatores – Infecção e propagação

▪ Detecção ineficiente (dia zero)

▪ Operação insegura e

ausência de:

￭ Boas práticas de

administração

• Active directory, devices de

rede

￭ Técnicas de desenvolvimento

seguro

￭ Segregação de acessos

• Mínimo privilégio necessário

• Need to know

5

Os APTs são perigosos (OK, já sabemos)

60% das empresas foram comprometidas em

minutos

205Dias em média entre o ataque inicial e a

detecção

98% Dos casos envolveram contas do Active

Directory

6

Elevação de privilégio... Exemplo rápido

• Estação infectada: varre hashes de Kerberos de

usuários logados.

• Reconnaissance para encontrar outros targets

• Uso dos hashes para acessar outras máquinas (Pass-

the-Hash, Overpass-the-Hash)

• Estabelece outras bases, e de lá a movimentação se

repete

Ou..... Busca em TXT, XLS e DOC (!?)

7

O Santo Graal: Credencial Privilegiada?

▪ Keyloggers: Obter senhas digitadas (DB, equipamentos

de rede, etc)

▪ Memory scraper: Obter hashes NTLM e Kerberos

▪ DLLs

▪ Contas locais: Mesma senha?

▪ Arquivos ini

▪ DB: credenciais hard coded

▪ Domain Admin, Enterprise admin: Game Over

￭ Kerberos Golden ticket, PTH

8

Contas Privilegiadas: Uma bela superfície de

ataque

Contas

PrivilegiadasSuporte,

admin, TI

Parceiros e

prestadores de serviço

Key users

Midias sociais

Credenciais

Web

Aplicações

• Qualquer dispositivo que seja possui credenciais

administrativas

• Vemos uma média de credenciais privilegiadas 3x maior

que o numero de pessoas na empresa

9

Remediação

10

Como agir

• Em casos mais simples:

• Isolar equipamentos suspeitos

• Obter atualizações necessárias

• Reorganizar proteção

• Forense para determinar “estragos”

• Nos piores casos – atividades sincronizadas:

• Ajuda especializada

• Recriar estrurura de AD – reset de todas as contas

• Atualizar imagens

• Reinserir equipamentos

• Reorganizar proteção

• Forense para determinar “estragos”

11

Novo front, Nova mentalidade

12

Paradigma atual

• Manter o intruso fora da rede

• Detectar, Detectar, Detectar

• Atuar no perímetro:

• NIPS, Mail analysis, Webfiltering

• Proteger a rede interna

• AV, Sandbox, static code analysis, SIEM

Em todos os grandes casos... As soluções existiam, e

estavam atualizadas...

13

Psicologia reversa

• Não posso manter os malfeitores fora da rede – 100%

do tempo

• Tornar a vida deles um inferno:

• Diminuir superfície

• Adotar boas práticas

• Camadas internas de proteção

• Induzir ao erro

• CONHEÇA SEU AMBIENTE

14

Você conhece seu ambiente? De verdade?

Service Accounts User Accounts

Embedded credentials Interactive logons

15

Ativos de risco

10% 50% 100%

Baixo Médio Alto

16

Superfície diminuindo

• Proteja credenciais

• Privileged Account Security

• Remova credenciais de vetores acessíveis

• Arquivos ini, códigos de app, etc

• Monitore atividades

• Das credenciais

• Das máquinas

• Em arquivos

• Duplo fator de autenticação

17

Camada interna

18

Práticas adicionais

• Diminuição de contas

administrativas

• Trocas de senha periódicas e

senhas únicas

• Codificação segura

• Isolamento de

sessões/Segregação de rede

• App Control

19

Práticas adicionais – cont.

• Mínimo privilégio necessário

• Need to know

• Revisão de acessos

• Revisão periódica

• Duplo fator de autenticação

20

Futuro... e além!

• Os atacantes seguem

evoluindo rapidamente

• Possuem recursos

• Possuem a motivação

• Inove também

• O Brasil segue no alvo

(por que não?)

21

Encerramento

Obrigado!!!

Contato:

Geraldo.bravo@cyberark.com

Linkedin:br.linkedin.com/in/geraldobravo