who who s really attacking y s really attacking your our
play

Who Whos Really Attacking Y s Really Attacking Your our #WHOAMI - PowerPoint PPT Presentation

Aug 03, 2023 •336 likes •792 views

Who Whos Really Attacking Y s Really Attacking Your our #WHOAMI Threat Researcher at Trend Micro- research and blogger on criminal underground, persistent threats,

  1. Who’ Who’s Really Attacking Y s Really Attacking Your our ¡ �

  2. #WHOAMI ¡ • Threat ¡Researcher ¡at ¡Trend ¡Micro-­‑ ¡research ¡and ¡blogger ¡ on ¡criminal ¡underground, ¡persistent ¡threats, ¡and ¡ vulnerabili9es. ¡ ¡ • Research ¡Interests: ¡ ¡-­‑Malware ¡detec9on/reversing ¡ ¡-­‑Persistent ¡Threats ¡ ¡-­‑ICS/SCADA ¡Security ¡ ¡-­‑Vulnerabili9es ¡and ¡the ¡“Underground” ¡

  3. Agenda ¡ • Overview ¡of ¡two ¡SCADA ¡protocols ¡ • Story ¡Time! ¡ • Typical ¡ICS ¡Deployments ¡ • ICS/SCADA ¡IT ¡Differences ¡ • SCADA ¡Systems ¡Facing ¡the ¡Internet ¡ • SCADA ¡Systems ¡Are ¡Always ¡ANacked, ¡Right? ¡ • Enter…The ¡Honeypots… ¡ • Findings ¡ • ANacker ¡Profile ¡ • Recommenda9ons ¡

  4. This ¡presenta5on ¡will ¡focus ¡on: ¡ • Concerns/Overview ¡of ¡ICS ¡Security ¡ • How ¡heinous ¡the ¡security ¡profiles ¡are ¡ICS ¡devices ¡ • Are ¡ICS ¡devices ¡aNacked? ¡ • Who ¡aNacks ¡ICS ¡devices? ¡

  5. ICS ¡Overview ¡ What ¡are ¡ICS ¡devices? ¡ • Used ¡in ¡produc9on ¡of ¡virtually ¡anything ¡ • Used ¡in ¡water, ¡gas, ¡energy, ¡etc. ¡etc. ¡etc. ¡ • Notoriously ¡insecure…in ¡every ¡way ¡ • SoWware ¡is ¡some9mes ¡embedded, ¡some9mes ¡not ¡ • Typically ¡proprietary ¡

  6. TYPICAL ¡ICS ¡

  7. DNP3 ¡ • DNP3 ¡ – Used ¡to ¡send ¡and ¡receive ¡messages ¡ ¡ – Complex ¡ – No ¡authen9ca9on ¡or ¡encryp9on ¡ – Several ¡published ¡vulnerabili9es ¡

  8. Modbus ¡ • Oldest ¡ICS ¡Protocol ¡ • Controls ¡I/O ¡Interfaces ¡(MOSTLY!!!!) ¡ • No ¡authen9ca9on ¡or ¡encry9on! ¡(Surprise!!!) ¡ • No ¡broadcast ¡suppression ¡

  9. ICS ¡vs. ¡Tradi5onal ¡IT ¡Systems ¡ ICS ¡ • – Produc9vity ¡ – Up-­‑9me ¡ – Reliability ¡of ¡data ¡ IT ¡ • – Protect ¡the ¡data ¡ – Con9nued ¡produc9vity ¡ – Limit ¡interrup9ons ¡

  10. ICS ¡Vulnerabili5es ¡ • In ¡2012, ¡171 ¡unique ¡vulnerabili9es ¡affec9ng ¡ICS ¡products. ¡ • 55 ¡Vendors… ¡ How ¡many ¡have ¡you ¡heard ¡about? ¡

  11. SCADA ¡on ¡the ¡Internet??? ¡ • Google-­‑fu ¡ • Shodan ¡ • Pastebin ¡ ¡

  12. SCADA ¡on ¡the ¡Internet??? ¡ • Google-­‑fu ¡ • Shodan ¡ • Pastebin ¡ ¡

  13. SCADA ¡is ¡Never ¡ALacked, ¡Right? ¡ • WRONG! ¡ • WRONG! ¡

  14. Story ¡Time! ¡ • Small ¡town ¡in ¡rural ¡America ¡ • Water ¡pump ¡controlling ¡water ¡pressure/ availability ¡ • Popula9on ¡8,000~ ¡

  15. Story ¡Time! ¡ • Water ¡Pressure ¡System ¡Internet ¡Facing ¡:/ ¡ • WRONG! ¡ • WRONG! ¡ • No ¡firewalls/security ¡measures ¡in ¡place ¡ • ALacked ¡several ¡5mes…Nov ¡14 th ¡through ¡ Dec ¡19th ¡ • Could ¡have ¡caused ¡catastrophic ¡water ¡ pressure ¡failures. ¡ • This ¡is ¡not ¡a ¡story… ¡ • Real ¡life ¡event.. ¡ • This ¡Happened. ¡

  16. Story ¡Time! ¡ • WRONG! ¡ • WRONG! ¡ IN ¡MY ¡BASEMENT. ¡

  17. Enter…Honeypots… ¡ • WRONG! ¡ • WRONG! ¡

  18. Honeypot ¡Overview ¡ • Two ¡low-­‑interac9on ¡ • WRONG! ¡ • WRONG! ¡ • One ¡high-­‑interac9on ¡ • Ran ¡for ¡28 ¡days ¡in ¡total ¡ • One ¡Windows ¡Server ¡08 ¡ • Two ¡Ubuntu ¡12.04 ¡Servers ¡

  19. What ¡They ¡See ¡

  20. High-­‑Interac5on ¡Architecture ¡ • WRONG! ¡ • WRONG! ¡

  21. Low-­‑Interac5on ¡Architecture ¡ • WRONG! ¡ • WRONG! ¡

  22. Tools ¡Used ¡ • WRONG! ¡ • WRONG! ¡

  23. Vulnerabili5es ¡Presented ¡ “If ¡you ¡can ¡ping ¡it, ¡you ¡own ¡it” ¡ ¡ • SNMP ¡vulns ¡(read/write ¡SNMP, ¡ packet ¡sniffing, ¡IP ¡spoofing) ¡ • Authen9ca9on ¡limita9ons ¡ • Limits ¡of ¡Modbus/DNP3 ¡ authen9ca9on/encryp9on ¡ • VxWorks ¡Vulnerability ¡ • Open ¡access ¡for ¡certain ¡ICS ¡ modifica9ons-­‑ ¡fan ¡speed, ¡ temperature, ¡and ¡u9liza9on. ¡

  24. Intelligence ¡Gathering ¡ • Many ¡of ¡the ¡same ¡aNackers ¡probed ¡ICS ¡device(s) ¡days ¡before ¡ • Port ¡scans ¡ • Maltego ¡usage ¡prevalent ¡ • Shodanhq.com ¡usage ¡also ¡prevalent ¡

  25. What ¡is ¡an ¡“aLack”? ¡ Not ¡port ¡scans, ¡or ¡non-­‑targeted ¡aNacks. ¡ • • WRONG! ¡ Not ¡automated ¡aNacks ¡ • Not ¡drive-­‑by ¡ • ONLY ¡aNacks ¡that ¡were ¡targeted ¡ • ONLY ¡aNempted ¡modifica9on ¡of ¡pump ¡system ¡ • ONLY ¡aNempted ¡modifica9on ¡via ¡Modbus/DNP3 ¡ • DoS/DDoS ¡ will ¡be ¡considered ¡aNacks ¡ •

  26. ALack ¡Profile ¡Countries ¡ PALESTINE, ¡1 ¡ CHILE, ¡1 ¡ CROATIA, ¡1 ¡ NORTH ¡KOREA, ¡1 ¡ • WRONG! ¡ RUSSIA, ¡3 ¡ US, ¡9 ¡ VIETNAM, ¡1 ¡ POLAND, ¡1 ¡ BRAZIL, ¡2 ¡ JAPAN, ¡1 ¡ LAOS, ¡6 ¡ NETHERLANDS, ¡1 ¡ UK, ¡4 ¡ CHINA, ¡17 ¡

  27. ALack ¡Overview ¡ • One ¡aNempt ¡to ¡spear ¡phish ¡info@<domain>.com ¡ • I ¡pretended ¡to ¡fall ¡for ¡it… ¡ • WRON! ¡ • Unauthorized ¡access ¡aNempt ¡to ¡diagnos9cs.php ¡ • Modifica9on ¡of ¡CPU ¡Fan ¡Speed ¡on ¡Water ¡Pump ¡ • ANempted ¡Modbus ¡traffic ¡modifica9on ¡ • ANempted ¡access ¡to ¡all ¡secured ¡areas ¡of ¡site ¡ • Most ¡aNacks ¡came ¡from ¡a ¡few ¡/24 ¡netblocks ¡ • Some ¡aNacks ¡generated ¡Snort ¡alerts ¡ • Others ¡were ¡manual ¡aNempts ¡to ¡modify ¡pump ¡pressure, ¡ temperature ¡output, ¡and/or ¡shut ¡down ¡the ¡system ¡en9rely ¡ ¡Unique ¡aNack ¡aNempts: ¡9 ¡ ¡Countries ¡par9cipa9ng: ¡14 ¡ ¡

  28. Snort ¡Findings ¡ ¡ • Used ¡Digital ¡Bond’s ¡Quickdraw ¡SCADA ¡Snort ¡Rules ¡ • Custom ¡Snort ¡Rules ¡Created ¡ • Modbus ¡TCP ¡-­‑ ¡Non-­‑Modbus ¡Communica2on ¡on ¡TCP ¡Port ¡502 ¡ ¡ • Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ ¡ • Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ ¡ • Incorrect ¡Packet ¡Length, ¡Possible ¡DOS ¡AIack ¡ ¡

  29. Snort ¡Findings ¡ Rules ¡Triggered: ¡ Modbus ¡TCP ¡– ¡Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ • WRON! ¡ 1111006 ¡ Modbus ¡TCP ¡– ¡Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ 1111007 ¡ DNP3 ¡– ¡Unauthorized ¡Read ¡Request ¡to ¡a ¡PLC ¡ 1111206 ¡/ ¡11112061 ¡ DNP3 ¡– ¡Unauthorized ¡Write ¡Request ¡to ¡a ¡PLC ¡ 1111207 ¡ DNP3 ¡– ¡Unauthorized ¡Miscellaneous ¡Request ¡to ¡a ¡PLC ¡ 1111208 ¡ CVE ¡20xx-­‑xxx: ¡Siemens ¡Tecnoma9x ¡FactoryLink ¡CSService ¡GetFile ¡path ¡Buffer ¡ Overflow ¡ 1111675 ¡ CVE ¡20xx-­‑xxx: ¡Siemens ¡Tecnoma9x ¡FactoryLink ¡CSService ¡GetFileInfo ¡path ¡Buffer ¡ Overflow ¡ 1111676 ¡

  30. Spear ¡Phished! ¡ “ ¡ Hello ¡sir, ¡I ¡am ¡<name ¡of ¡city ¡administrator> ¡and ¡would ¡like ¡ the ¡attached ¡statistics ¡filled ¡out ¡and ¡sent ¡back ¡to ¡me. ¡Kindly ¡ • WRONG! ¡ • WRONG! ¡ Send ¡me ¡the ¡doc ¡and ¡also ¡advise ¡if ¡you ¡have ¡questions. ¡Look ¡ forward ¡you ¡hear ¡from ¡you ¡soon ¡ ¡ ¡ ¡ ¡....Mr. ¡<city ¡administrator ¡name> ¡ ” ¡

  31. Spear ¡Phished ¡ • WRONG! ¡ • WRONG! ¡

  32. Malware ¡ • Included ¡in ¡the ¡email, ¡was ¡an ¡aNachement-­‑ ¡ report.docx ¡ • WRONG! ¡ • WRONG! ¡ • Document ¡dropped ¡two ¡PE ¡files-­‑ ¡gh.exe ¡and ¡ai.exe ¡ • File ¡gh.exe ¡dumps ¡all ¡local ¡password ¡hashes ¡ ¡ – < gh.exe ¡–w > ¡ • File ¡ai.exe ¡shovels ¡a ¡shell ¡back ¡to ¡a ¡dump ¡server. ¡ – < ¡a i.exe ¡–d1 ¡(Domain) ¡–c1 ¡(Compare ¡IP) ¡–s ¡(Service) ¡–n ¡(dll) ¡> ¡ • Malware ¡communica9ng ¡to ¡a ¡drop/CnC ¡server ¡in ¡China. ¡

Recommend

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1

SAP Security: Attacking SAP users Attacking SAP users with sapsploit eXtended 1.1 Xt d d 1 1 Alexander @sh2kerr Polyakov. PCI QSA,PA-QSA 11 We change look but we keep mind Company Digital Security Research Group International

924 views • 59 slides
Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of

Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of

Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of Technology for some of these slides sws1 1 1 Attacking the stack We have seen how the stack works. Now: lets see how we can abuse this. We have

733 views • 48 slides
y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna

y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna

Security bug of the week (in iOS and OS X) y g sws1 1 Attacking the stack Thanks to SysSec and Int. Secure Systems Labs at Vienna University of Technology for some of these slides sws1 2 2 Attacking the stack g We have seen how the

850 views • 47 slides
Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State

Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State

Non-Attacking Chess Pieces: The Dance of Bishops Thomas Zaslavsky Binghamton University (State University of New York) Joint with Seth Chaiken and Christopher R.H. Hanusa Outline 1. Chess Problems: Non-Attacking Pieces 2. Largely Czech

608 views • 17 slides
Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology

Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology

Attacking the stack Thanks to SysSec and Secure Systems Labs at Vienna University of Technology for some of these slides Attacking the stack We have seen how the stack works. Now: lets see how we can abuse this. We have already seen how code

671 views • 47 slides
Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY

Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY

Attacking and Supporting Subrogation Damages in Wildland Fire Cases CRAIG S. SIMON SUE MUNCEY Introduction. Audience analysis. The basics Property Insurance Subrogation ATTACKING AND SUPPORTING SUBROGATION DAMAGES IN

371 views • 19 slides
No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S

No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S

20.06.2019 No Need to Marry to Change your Name! Attacking Profinet IO Automation Networks Using DCP S tefan Mehner, Hartmut Knig Brandenburg University of Technology Cottbus - S enftenberg Evolution in Industrial Control Systems

675 views • 18 slides
Attacking the Attacking the User- -Machine Machine User Interface Interface A speach

Attacking the Attacking the User- -Machine Machine User Interface Interface A speach

Attacking the Attacking the User- -Machine Machine User Interface Interface A speach speach from from Volker Birk, Volker Birk, dingens dingens@ @bumens bumens. .org org A Chaos Computer Club ERFA Kreis Ulm Chaos Computer Club

455 views • 16 slides
To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures

To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures

S C I E N C E P A S S I O N T E C H N O L O G Y To BLISS-B or not to be - Attacking strongSwans Implementation of Post-Quantum Signatures Peter Pessl 1 , Leon Groot Bruinderink 2 , Yuval Yarom 3 1 Graz University of

416 views • 27 slides
Differential Cryptanalysis The first method which reduced the complexity of attacking DES below

Differential Cryptanalysis The first method which reduced the complexity of attacking DES below

Differential Cryptanalysis The first method which reduced the complexity of attacking DES below (half of) exhaustive search. Differential Cryptanalysis Note : In all the following discussion we ignore the existence of the initial and the final

330 views • 8 slides
Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~ Eiichiro Komatsu (Max Planck Institute for Astrophysics) New Directions in Theoretical Physics 2 , the Higgs Centre, Univ. of Edinburgh, January 12,

925 views • 70 slides
Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking

Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking

Presenting a live 90-minute webinar with interactive Q&amp;A Equitable Subordination and Recharacterization: Looming Bankruptcy Litigation Threats Attacking and Defending Preference Status of Lender, Creditor and PE Sponsor Secured Claims

443 views • 32 slides
Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi

Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi

Attacking a co-hosted VM A hacker, a hammer and two memory modules 1 Who we are (1) Mehdi Talbi Security researcher at Stormshield haka-security project. Past life: academia (phd, postdoc, ) Main research topics: advanced

1.61k views • 94 slides
Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~

Position-dependent Power Spectrum ~Attacking an old, but unsolved, problem with a new method~ Eiichiro Komatsu (Max Planck Institute for Astrophysics) Fundamental Cosmology Meeting Teruel, September 12, 2017 Motivation To gain a better

851 views • 72 slides
Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial

Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial

Website Fingerprinting Attacking Popular Privacy Enhancing Technologies with the Multinomial Nave-Bayes Classifier Dominik Herrmann , Hannes Federrath Rolf Wendolsky University of Regensburg, Germany JonDos GmbH Motivation To Whom It May

901 views • 34 slides
The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African

The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African

The War against Libya, Part 3: AFRICOM, Racism, Attacking Pan-Africanism Airports and African Mercenaries: Origin of the No-Fly Zone Ibrahim Dabbashi, defecting deputy Libyan ambassador to the UN: genocide TIME Magazine: The

415 views • 20 slides
! Proving!(or!Attacking)!Lost!Profits! Damages!in!Trade!Secrets!and!Other!Cases! !

! Proving!(or!Attacking)!Lost!Profits! Damages!in!Trade!Secrets!and!Other!Cases! !

! Proving!(or!Attacking)!Lost!Profits! Damages!in!Trade!Secrets!and!Other!Cases! ! Texas!Bar!CLE!!Live!Webcast! ! ! ! ! Kelly!Leonard! ! ! Strasburger*&amp;*Price* ! Moderator:!Zach!Wolfe! ! ! Fleckman*&amp;*McGlynn !

515 views • 16 slides
Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week Using buffer overruns or format string attacks to read out or corrupt the stack, esp. the control data on the stack: frame pointers and return

647 views • 42 slides
Attacking End-to-End Encrypted Emails Joint research with : Prof. Dr. Sebastian Schinzel Damian

Attacking End-to-End Encrypted Emails Joint research with : Prof. Dr. Sebastian Schinzel Damian

https://efail.de/ Attacking End-to-End Encrypted Emails Joint research with : Prof. Dr. Sebastian Schinzel Damian Poddebniak, Christian Dresen, Twitter: @seecurity Jens Mller, Fabian Ising, Simon Friedberger, Juraj Somorovsky, Jrg

1.01k views • 73 slides
Defeating Class Claims by Attacking the Pleadings and Leveraging Other Early Dispositive Motions

Defeating Class Claims by Attacking the Pleadings and Leveraging Other Early Dispositive Motions

Presenting a live 90-minute webinar with interactive Q&amp;A Defeating Class Claims by Attacking the Pleadings and Leveraging Other Early Dispositive Motions TUESDAY, MARCH 29, 2016 1pm Eastern | 12pm Central | 11am Mountain |

532 views • 51 slides
Nearby Threats: Reversing, Analyzing, and Attacking Googles Nearby Connections on Android

Nearby Threats: Reversing, Analyzing, and Attacking Googles Nearby Connections on Android

NDSS 2019 @ San Diego, US Nearby Threats: Reversing, Analyzing, and Attacking Googles Nearby Connections on Android Daniele Antonioli 1 , Nils Ole Tippenhauer 2 , Kasper Rasmussen 3 1 Singapore University of Technology and Design (SUTD) 2

671 views • 29 slides
The Great Hotel Hack Adventures in attacking hospitality industry Etizaz Mohsin

The Great Hotel Hack Adventures in attacking hospitality industry Etizaz Mohsin

The Great Hotel Hack Adventures in attacking hospitality industry Etizaz Mohsin https://etizazmohsin.com Disclaimer No hotels were harmed during making of this presentation Do not try this at home! Images Courtesy: ANTlabs &amp; INTSIGHTS

1.11k views • 90 slides
Attacking a Big Data Developer Dr. Olaf Flebbe of t oflebbe.de ApacheCon Bigdata Europe

Attacking a Big Data Developer Dr. Olaf Flebbe of t oflebbe.de ApacheCon Bigdata Europe

Attacking a Big Data Developer Dr. Olaf Flebbe of t oflebbe.de ApacheCon Bigdata Europe 16.Nov.2016 Seville About me PhD in computational physics Former projects: Minix68k (68k FP Emulation), Linux libm.so.5 (High Precision FP), perl and

1.12k views • 56 slides
All your packets are belong to us Attacking backbone technologies Daniel Mende &amp; Enno Rey

All your packets are belong to us Attacking backbone technologies Daniel Mende &amp; Enno Rey

All your packets are belong to us Attacking backbone technologies Daniel Mende &amp; Enno Rey {dmende, erey}@ernw.de Who we are Old-school network geeks. Working as security researchers for Germany based ERNW GmbH. Fiddling

630 views • 38 slides

More recommend