mirror of https://github.com/avast/PurpleDome
You cannot select more than 25 topics
Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
125 lines
2.8 KiB
ReStructuredText
125 lines
2.8 KiB
ReStructuredText
2 years ago
|
================
|
||
|
PurpleDome intro
|
||
|
================
|
||
|
|
||
|
.. This toctree is only to link examples.
|
||
|
|
||
|
.. toctree::
|
||
|
:glob:
|
||
|
:hidden:
|
||
|
|
||
|
|
||
|
|
||
|
Was ist das Problem
|
||
|
===================
|
||
|
|
||
|
Komplexe Malware greift in mehreren Schritten an. Die letzten können ohne Malware Dateien auskommen.
|
||
|
|
||
|
Betrifft es mich ?
|
||
|
------------------
|
||
|
|
||
|
* Wenn man ein Unternehmens Netzwerk unterhält: Ja
|
||
|
* Nach einer ersten Infektion und automatischer Systemübersicht kann ein Malware Operator dazugerufen werden
|
||
|
|
||
|
.. Ab dem Schritt ist es dann file less
|
||
|
|
||
|
Schützt mich AV ?
|
||
|
=================
|
||
|
|
||
|
Moderne AV Software hat nicht nur Dateierkennung, sondern auch Verhaltenserkennung
|
||
|
|
||
|
Manchmal ist die beworben. Aber eine Minimalvariante sollte eigentlich immer dabei sein.
|
||
|
|
||
|
Das wäre verantwortlich für den AV Schutz
|
||
|
|
||
|
Funktioniert das gut ?
|
||
|
----------------------
|
||
|
|
||
|
Die Verhaltens-Komponente ist recht komplex zu entwickeln
|
||
|
|
||
|
* Verschiedene OS Versionen
|
||
|
* Performance
|
||
|
* Stabilität
|
||
|
* Sehr viele verschiedenen Verhalten denkbar
|
||
|
|
||
|
|
||
|
Ist das blöd, wenn file-less zunimmt ?
|
||
|
--------------------------------------
|
||
|
|
||
|
* Mit Dateien zu hantieren ist einfacher
|
||
|
* QA und Development ist ohne Malware Dateien komplizierter
|
||
|
|
||
|
|
||
|
PurpleDome macht File-less Angriff handhabbarer
|
||
|
===============================================
|
||
|
|
||
|
Wir brauchen das...
|
||
|
|
||
|
* Zum Entwickeln der Sensoren
|
||
|
* Zum Entwickeln der Logik
|
||
|
* Zum Testen der Sensoren
|
||
|
|
||
|
|
||
|
Purple Dome: Wie funktioniert es ?
|
||
|
==================================
|
||
|
|
||
|
Purple Dome ist eine vollautomatisierte Simulations Umgebung, in der man die File-less Angriffe nachvollziehen kann.
|
||
|
|
||
|
Aufsetzen der Ziele
|
||
|
-------------------
|
||
|
|
||
|
Virtuelle Maschinen mit dem Ziel OS werden aufgesetzt. So können wir unsere Sensoren mit verschiedenen OS Versionen testen.
|
||
|
|
||
|
Aufsetzen des Angreifers
|
||
|
------------------------
|
||
|
|
||
|
Aktuell nutzen wir Kali Linux. Dort haben wir:
|
||
|
|
||
|
* Metasploit
|
||
|
* Caldera
|
||
|
* Command line tools (nmap...)
|
||
|
|
||
|
Aufsetzen der Sensoren
|
||
|
----------------------
|
||
|
|
||
|
Sensoren werden automatisch auf den Zielen installiert. Ab jetzt wird aufgezeichnet
|
||
|
|
||
|
Durchführen der Angriffe
|
||
|
------------------------
|
||
|
|
||
|
Welche Angriffe durchgeführt werden bestimmt das Skript
|
||
|
|
||
|
Sammeln der Sensor Daten
|
||
|
------------------------
|
||
|
|
||
|
Daten aller Sensoren werden gesammelt. Zusammen mit einem Log der Angriffe.
|
||
|
|
||
|
Erstellen einer Beschreibung
|
||
|
----------------------------
|
||
|
|
||
|
Zur einfachen Übersicht wird ein lesbares Dokument des Angriffs als PDF erstellt
|
||
|
|
||
|
Wem bringt PurpleDome sonst noch was ?
|
||
|
======================================
|
||
|
|
||
|
Schulungen
|
||
|
----------
|
||
|
|
||
|
Wir planen Schulungsprogramme basierend auf PD. Wird gerade evaluiert von einer Hochschule
|
||
|
|
||
|
Trainings
|
||
|
---------
|
||
|
|
||
|
Blue vs Red Team trainings und erzeugen von Übungsdaten
|
||
|
|
||
|
CTF
|
||
|
---
|
||
|
|
||
|
Capture the Flags können auf PurpleDome basieren
|
||
|
|
||
|
Wo kann ich PurpleDome kaufen ?
|
||
|
===============================
|
||
|
|
||
|
Gar nicht. Ist kostenlos und Open Source
|
||
|
|
||
|
https://github.com/avast/PurpleDome
|