I en av föreläsningssalarna var det föredrag som inte spelades in, journalister var inte välkomna och ingen elektronisk utrustning var framme. Där var vi på två intressanta föredrag, det första om varför många säkerhetsprodukter har dåligt rykte och vad de borde göra för att bli bättre. Det andra var om ett företag som gick under efter att de blev stämda av företaget vars produkt de testade.
SiliVaccine: North Korea’s Weapon of Mass Detection
Två researchers från CheckPoint talade om SiliVaccine, Nordkoreas ”egenutvecklade” antivirus. Vid närmare analys visade det sig dock att koden stulits från Trend micro. Produkten fungerar till största del men har modifierats så att vissa malware inte längre upptäcks. Installationspaketet visade sig även innehålla en trojan som tidigare inte upptäckts av någon antivirusmotor.
För den som är intresserad av att läsa mer: https://research.checkpoint.com/silivaccine-a-look-inside-north-koreas-anti-virus/
Tracking Malicious Logon: Visualize and Analyze Active Directory Event Logs
JPCERT/CC Japans motsvarighet till CERT-SE pratade om svårigheterna att upptäcka och spåra Pass the Ticket och Pass the Hash-attacker i Windows event Viewer. De har utvecklat Logon Tracer vilket är ett verktyg som visualiserar och markerar möjliga attacker genom att analysera relevant data från Windows eventlogg. Verktyget finns tillgängligt på GitHub.
Mer info finns här: https://blog.jpcert.or.jp/.s/2017/11/visualise-event-logs-to-identify-compromised-accounts—logontracer-.html
Pacu: Attack and Post-Exploitation in AWS
Rhino Labs Security gjorde under onsdagen sitt projekt “Pacu” open-source och höll sedan ett föredrag kring hur applikationen fungerar. Spencer Gietzen berättar att Pacu är ett open-source exploateringramverk för AWS, konstruerat för offensiv säkerhetstestning mot molnmiljöer.
Pacu tillåter penetrationstestare att utnyttja konfigurationsfel inom ett AWS-konto/inom en AWS miljö.
Vill du läsa mer om verktyget? Besök Rhino Labs Security’s github där de också har “Cloudgoat” som är en sårbar AWS uppsättning som man kan labba och testa Pacu på.
https://github.com/RhinoSecurityLabs
Building A Teaching / Improvement Focused SOC
Andrew Gish-johnson berättade om sina erfarenheter från Carnegie Mellon University där han byggt och utvecklat en SOC (Security Operations Center), en organisation som ska analysera och behandla intressanta händelser i ett nätverk. Arbetet involverade konsten att identifiera vilka händelser som var intressanta för ett specifikt system. Han påpekade bland annat vikten av att minimera antalet onödiga och återkommande varningar för att minimera utbrändhet bland analytiker.
Securing Robots at Scale
Talha Tariq är CISO på Anki som tillverkar sällskapsrobotar. Hans föreläsning beskrev hur olika robotars användningsområden öppnar olika attackytor vilka medför utmaningar för företaget. Sällskapsrobotar är väldigt beroende av att användare känner tilltro till produkten.
Bland annat finns verktyg som Lyrebird, vilket kan imitera en röst efter att de getts en minuts röstinspelning. Ett attack skulle således kunna vara att en fejkad röst talar in kommandon vilka roboten sedan lyder.
Ransombile – Yet another reason to ditch SMS
Martin Vigo höll i en presentation där han genom att utnyttja Siri (även assistenterna i android och Windows är möjliga att utnyttja på samma sätt) tog över användarens sociala media, paypal och dylikt trots att telefonen var låst.
Poängen är att många företag kräver att man låser sin dator när man lämnar platsen men inte har några krav på varken telefoninställningar eller att telefoner inte borde lämnas oövervakade.
På torsdag börjar Defcon konferensen och vi ser fram emot fler rapporter från vårt Pen-test gäng.
Joacim Häggmark, Andreas Elmerdal, Sam Eizad och Daniel Bergstrand
