Våra Penetrationstestare fortsätter att rapportera från kongressen i Las Vegas. Nedan läser ni om Bsides dag 2.
Phishing attacker är fortfarande en av de vanligaste attackerna mot företag. Då människan väldigt enkelt kan göra misstag kan angripare snabbt och enkelt ta sig in i en organisation för att utföra sin attack.
Vi ser fortfarande lösningar där organisationer enbart använder sig utav svartlistning för att skydda användare. Då phishing attacker blir mer avancerade behövs också ett mer avancerat skydd.
Veronica Weiss presenterade en studie gällande hur effektivt det är att använda machine learning för att mitigera phishing attacker. Med hjälp utav machine learning kan lösningen t.ex. läsa av innehållet i ett mail och analysera länkar på en mer djupare nivå för att avgöra ifall länken är skadlig eller inte.
——–
NFC implantat är något som börjar bli allt mer populärt bland intresserade. Vi brukar bli tillsagda att inte klicka på okända länkar men hur gör vi när en främling sträcker fram sin hand och ber dig läsa innehållet på personens chip med din telefon?
Nick Koch berättar under BSidesLV hur en angripare med hjälp utav sitt NFC implantat tillsammans med social engineering kan skapa kaos i människors vardag.
Då telefoner har möjlighet att läsa innehållet på dessa chip är det t.ex. möjligt för en angripare att utföra phishing attacker med en skadlig länk inbakad på chippet eller ett vcard som innehåller manipulerade uppgifter.
Nick har skrivit mycket intressanta saker om sitt NFC chip som ni kan hitta här: https://trojanhorseblog.com/blog/2019/1/28/6-months-with-an-nfc-implant-or-how-i-learned-to-stop-worrying-and-love-the-chip
———
Det har länge varit känt att DNS-tunnlar kan användas för att kringgå WiFi-restriktioner och exfiltrering av data. Även om många tekniker som används för detta numera upptäcks och blockeras av säkerhetsmekanismer så finns det andra, mindre uppenbara metoder för att få ut stulen data ur en organisation via DNS.
Presentationen tog upp flera möjliga alternativ, såsom att använda SMTP servrars adressverifiering och HELO/EHLO funktioner, vilka i de flesta SMTP servrar gör DNS-uppslag, utan att avsluta SMTP-transaktionen och därmed inte generera SMTP loggar.
Vidare diskuterades också obfuskeringsmetoder för dataexfiltrationen, exempelvis genom att base64-encoda stulen data och sedan köra det genom en ordlista för att slutligen slå upp mer legitima domännamn istället för uppenbara långa till synes slumpmässiga textsträngar.
——–
Presentationen introducerade US Department of Defense Cyber Crime Center (DC3) samt en diskussion kring Cyber Threat Intel och Cyber Kill Chain innan den gick vidare in på flertalet Advanced Persistant Threats (APT).
APTs kan helt kort ses som en dold attack utförd av en person eller grupp oupptäckt över lång tid, traditionellt kopplade till stater, men även kriminella organisationer.
I detta fall presenterades flera upptäckta APTs, deras metodik, strategi och vektorer samt misstänkta eller troliga kopplingar till olika nationer eller brottssyndikat.
Sam Eizad och Andreas Elmerdal