Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

GRNET CERT 2012 by Alex Zaharis Website: Team: GRNET-CERT Phone: +30.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "GRNET CERT 2012 by Alex Zaharis Website: Team: GRNET-CERT Phone: +30."— Μεταγράφημα παρουσίασης:

1 GRNET CERT 2012 by Alex Zaharis Website: Team: GRNET-CERT Phone:

2 Overview GRNET-CERT Info & Deliverables GRNET-CERT Services Workload Statistics Case 1: Phishing Attack Case 2: SQL Injection Attack Case 3: Malware Analysis Case 4: Anon Tools of the Trade ΗμερομηνίαΤίτλος παρουσίασης2

3 GNET-CERT AT A GLANCE Created in National Point of contact for all Educational & Research Institutes. Protecting the Greek Critical Internet Infrastructure. Participating on National Cyber Defense Committee 30/2/2012GRNET-CERT3 Other Greek CERTs: GR-NCERT FORTHCERT AUTH-CERT

4 GRNET-CERT Deliverables Create an Overview of the risks the use of Internet poses in GREECE. Through Communication with other CERTs create a CYBER DEFENCE Coordination Team that can handle any kind of Cyber / Electronic attack. Participated/Co-ordinated the National Cyber Defense Exercise TF–CERT members 30/2/2012GRNET-CERT4

5 CERT Cooperation Plan 22/5/2012GRNET-CERT5 X CERT GRNET CERT Y CERT Law Enforcement incidents National Cyber Space National Cyber Defense Committee Foreign Cyber Space CERT Knowledge Pool

6 GRNET-CERT SERVICES 30/2/2012GRNET-CERT6 1. Issue Alerts & Warnings 2. Incident Handling -Incident Analysis -Incident Response Coordination 3. Vulnerability Handling -Vulnerability Analysis 4. Artifact Handling -Artifact Analysis 5. Forensics 1. Issue Alerts & Warnings 2. Incident Handling -Incident Analysis -Incident Response Coordination 3. Vulnerability Handling -Vulnerability Analysis 4. Artifact Handling -Artifact Analysis 5. Forensics Reactive Services 1. Security Announcements 2. Technology Watch 3. Security Audits & Assessments 4. Development of Security Tools 5. Intrusion Detection Services 1. Security Announcements 2. Technology Watch 3. Security Audits & Assessments 4. Development of Security Tools 5. Intrusion Detection Services Proactive Services

7 ΗμερομηνίαΤίτλος παρουσίασης7

8 8

9 Some Statistics For 2012 (5 months) Various Abuse Reports Mitigated Infringement Notices Handled -397 Network Scans -22 DOS Attacks -20 DDOS Attacks -Over 20 Cases of Phishing / Defacing etc. -2 Malware Analysis (Trojan, Scareware) -1 Anonymous Attack -Vulnerability (SQLi,XSS) Warning issued for: For 2011 (last 3 months) Abuse Reports Mitigated Infringement Notices Handled -Vulnerability (SQLi,XSS) Warning issued for: 22/5/2012GRNET -CERT9

10 Website ΗμερομηνίαΤίτλος παρουσίασης10

11 Cases ΗμερομηνίαΤίτλος παρουσίασης11

12 ΙΚΑ Phishing 22/5/2012GRNET-CERT12 Scam Received. Attack Site detected & scanned. Original Phishing Forms along with contact info recovered. ( s used by attackers) Police Authorities Informed. Type Of Attack: Phishing

13 High Profile Warning issued Labs.opengov.gr SQLi on facebook module 22/5/2012GRNET -CERT13 Type Of Attack: SQLi

14 Malware Analysis ΗμερομηνίαΤίτλος παρουσίασης14 Type Of Attack: Scareware \ Malware CONTACTING IP: (Ukraine)

15 Anonymous Attack DNS requests (ANY) για το isc.org Source IP = Spoofed IPs., PORT 80 Destination Ips = Ips του φοιτητικού DSL,PORT 53 (UDP). Φοιτητικά DSL modems με ανοιχτό recursive nameserver (dnsmasq) και forwarders αυτούς που έλαβαν από το PPP, δηλ. τους rns0.grnet.gr & rns1.grnet.gr Προωθούν το ίδιο query στους rns μας. Οι rns μας απαντούν στα modems, και κατόπιν οι dnsmasq των modems απαντούν στον αρχικό (spoofed) προορισμό. Η ιδιαιτερότητα εδώ είναι ότι το isc.org είναι από τις πρώτες DNSSEC-signed ζώνες, που σημαίνει πως η απάντηση στο αρχικό DNS query είναι μεγάλη (> 512 bytes), οπότε σύμφωνα με το πρωτόκολλο, κάνει upgrade σε EDNS, που είναι TCP. Αποτέλεσμα είναι, ότι όλες αυτές οι χιλιάδες διευθύνσεις του φοιτητικού, ανοίγουν TCP connection στην port 80 (HTTP) στα targeted hosts (δηλ. στις spoofed αυτές διευθύνσεις) και κατά συνέπεια κάνουν DoS 22/5/201215GRNET -CERT Type Of Attack: Reflective Amplified DNS Spoofing Attack

16 Tools Websites: – https://apps.db.ripe.net/search/query.html#resultsAnchor https://apps.db.ripe.net/search/query.html#resultsAnchor – – – – – https://www.virustotal.com/ https://www.virustotal.com/ – – – Tools: – Netsparker, Acunetix, Metasploit – Wireshark, Burp Suite – Nmap, Zenmap – BackTrack (Various Tools) – Sqlmap, Havij – Vmware Workstation – Sysintelnals – FTK 22/5/2012GRNET -CERT16

17 Questions? 22/5/2012GRNET-CERT17 Personal Info: Name: Alex Zaharis Team: GRNET-CERT Phone:


Κατέβασμα ppt "GRNET CERT 2012 by Alex Zaharis Website: Team: GRNET-CERT Phone: +30."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google