# Hackaton 2 ### Det viktigste - ikke bli attribuert hvis vi blir oppdaget - alt i hver node må være tilnærmet umulig å attribuere, ikke umulig, men må ta mye tid - hvis vi blir oppdaget, skal det ikke være mulig å se innholdet - ikke bli oppdaget ## Sette opp hidden service * Setter opp docker-container med python installert * Benytte https://github.com/satwikkansal/tor-hidden-service-python ? ## Mangler * Kryptering / skjule spor * Hvor er det kryptert, og hvordan * kryptere før det blir sendt slik at det blir dobbeltkryptert? * nøkkelutveksling? * Skal vi ha kryptering mellom c2 og exitnode? evt gcm? * Nødmakulering om vi blir tatt * kryptere fra implant til c2 * gcm * diffie hellman * tidsperspektiv * langsiktig siden aktør er nasjon * trenger sertifikat til entrynoden (https) * self signed genererer varsel på soc * må få et legit cert på en eller annen måte ## Infrastruktur Noder * Hvor mange noder vil vi ha? * kostnader * starte med 5 hver til entry og exit * kan legge til flere om det blir nødvendig * vps * mindre kostnader, men noen andre eier server * brukes til shady shit, kan det være et rødt flagg dersom noen får eid den? At de skjønner at den brukes til noe shady * fysisk * raspi på kafe, hotell, offentlig toalett, kjøpesenter * egne servere under shellcompany * må ha personer på lokasjon * forskjellig løsning på entry og exit node for å forhindre at man kan bli avslørt på begge dersom en blir kompromittert * kan ha en pool med flere noder (eks 100, tot 200), men bare 5 stk oppe om gangen på entry og 5 på exit, og så rullere mellom de * hvor ofte rullering skjer vil avhenge av sensitiviten på oppgaven * ikke mulig med raspi på entry fordi vi kan ikke ha brannmur og port 443 må være åpen, exit * entry: noen fysiske og noen vps * exit: raspi, fysiske og vps, shippe servere som andre drifte * land: * som er fiendtlige mot de vi angriper slik at disse nasjonene ikke deler info * flere forskjellige land slik at det ikke blir en signatur hvor de ligger ## Infrastruktur anskaffelse * betaling * krypto: monero (vanskelig å spore) * kontant (i butikk) * bestille vps hver for seg på entry og exit * anskaffe på ulik måte med forskjellig shellselskap * ikke bestill så mange i hver omgang * bestill fra forskjellige ip-er * hvilket navn/bedriftsnavn bestilles fra? * bestille på forskjellig tidspunkt * fysisk; ulike butikker * overvåkingskamera: forkledning * kan kjøpet spores? * fjern spor som feks serienr * stjele * kjøpe brukt ## Infrastruktur vedlikehold * Må gå gjennom sikker infrastruktur ettersom det skaper logger av nettverkstrafikk ## Ødeleggelse hvis node blir kompromittert * når operasjonen er over, send ut kommando for å slette alt fra alle noder (vps, server og raspi) fra C2 * ødelegger ikke underveis fordi vi bytter de ut jevnlig, så for at det skal være nyttig må man angripe flere noder * nødvendig å vipe alt? * kan potensielt spores hvis de ikke blir ødelagt, som kan kobles til oss ## Svakheter * Hvis noen hacker DNS serveren som vi henter Onion-adressen fra vil de kunne endre adressen som returneres til sin egen og motta all eksfiltrert data i klartekst * HTTps krever sertifikat. ## Forutsetninger ### Aktør - Nasjon - Antar de kan se tilnærmet alt der implantet befinner seg - Trafikk inn og ut av nettverket - uendelig med ressurser ### Andre ting - Vi har ressurser til å sette opp infrastruktur selv - Ser kun på trafikk mellom C2 og implant (hvis C2 blir kompromittert er vi facked uansett) ## Refleksjoner - ting som var overraskende el.l - Hvor vanskelig det er å skaffe infrastruktur som ikke kan spores - hvor mye man må tenke på - hvis de avslører noe av det vi har gjort skal de ikke kunne klare å spore videre - ting er veldig komplisert - hva fikk vi mest ut av - - hva ville vi sett videre på - Sett mer på detaljer, nå er alt veldig overordnet, mange antakelser - eks skaffe certificate - krypto - unngå signaturer på at vi gjør ting på en spesifikk måte - ## Presentasjon notater - infrastruktur - hvordan anskaffe bokser - kafeer raspi, shellselskaper - hvordan sette opp - humint - hva skal være hvor - vedlikehold - hva gjør vi hvis vi mister en node - ødelegge, nødmakulering hvis vi blir tatt - geografisk - vps - protokoller vi har brukt og hvorfor - ssh - https - hvordan hindrer man at aktør finner neste boks hvis de har tilgang til en boks - skjuler stien - holder ikke å ha tilgang til en boks for å hoppe til neste - spre bokser med geografisk avstand - switche mellom løsninger, bland mellom en metode mellom to noder, og en annen metode mellom to andre noder - demo - hvordan ting er satt opp, hidden service etc - Trusselvurderinger - Eid DNS server - Kan se IP som domenet resolves til - Kan se IP til maskinen som har blitt brukt til konfigurering - I praksis blir dette en entry node - Kan endre IPen domenet resolves til og motta eksfiltrert data (kryptert) - Benytter to domener - Kan dermed ikke enumerere det andre domenet vårt dersom et domene er kjent for mostanderen - Eid Entry-node - Kan se trafikk fra og til implant-endepunkt - Kan se trafikk med vedlikehold til og fra DNS server - Trafikk er ende til ende kryptert med C2 og innholdet kan derfor ikke leses i klartekst av motstander - Kan se trafikk til TOR entry node - Dersom de kan anskaffe en signatur på måten vi har anskaffet nodene kan de potensielt også avsløre exit noder - Samme metoder, navn, telefonnummer, plassering - Eid TOR-nettverk - Kan se trafikk mellom vår entry og exit node - Kan ikke finne informasjon om implant-endepunkt og C2 server uten å eie vår entry og exit node - Dette krever veldig mye av motstander - Eid exit node - Kan se trafikk mellom TOR exit node og C2 - Trafikk er ende til ende kryptert så de kan ikke se innholdet i kommunikasjon - Eid entry og exit node - Fare for at de kan korrelere trafikk mellom nodene - Motvirkes av at vi har flere noder på hvert punkt slik at trafikken ikke flyter mellom samme noder hver gang - Motstander må isåfall eie mange entry og exit noder samtidig for å kunne trekke konklusjoner - Dersom de ikke eier flere av TOR-nodene i tillegg skal det mye til for at de skal kunne trekke sammenheng mellom entry og exit noden ## Kapabiliteter til aktør * Aktør er nasjonstat men nøyaktig hvilke kapabiliteter har de? * F.eks at de har kapabiliteter til å hacke andre systemer * Kapabiliteter til å lage TOR-noder * Ikke kapabilitet til å cracke diffie hellman og AES ## Husk * Endre 100 i presentasjon til ikke et antall i pool * Hvis spørsmål så drøfter vi rundt antaller noder i TOR nettverket * Kan gjøre installasjoner manuelt onsite med egne teknikere - unngår å legge igjen spor av dette på nett * Endre "Kan ikke se innholdet i HTTPS trafikken i slides" * De kan se innholdet, men det er kryptert ## Bilder