SlideShare a Scribd company logo

Методы современных кибепреступников

Cisco Russia
Cisco Russia

Методы современных кибепреступников

Technology
1 of 52
Download to read offline
30 сентября 2016 Бизнес-консультант по безопасности Методы современных киберпреступников Алексей Лукацкий
Высокая мотивация киберкриминала Изменение бизнес-моделей Динамичность ландшафта угроз Думать как хакер © 2015 Cisco and/or its affiliates. All rights reserved. 2
Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 3 Фрагментация Сложность Требуют лишнего управления
Что такое убийственная цепочка?
Из чего состоит убийственная цепочка? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
Как хакер проводит разведку вашей сети?
Красивая приманка
Не только через почту, но и через соцсети
Не только через почту, но и через соцсети
OSINT: Maltego
OSINT: Shodan
OSINT: Metagoofil
OSINT: theHarvester
OSINT: recon-ng
OSINT: GHDB
OSINT: FOCA
OSINT: EXIF
OSINT: Nessus
OSINT: множество других инструментов
Создание фальшивого домена
Клонирование сайта
Чего опасаются организации?
Изменение в поведении атак Скорость Ловкость Адаптация Уничтожение Инновации, использование старых приемов на новый лад и обход защитных механизмов
Ловкость нарушителей – их сила Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014 Скомпрометированная система Уязвимости Flash Смена цели Angler Непрерывное забрасывание «крючков в воду» увеличивает шанс на компрометацию Социальный инжиниринг Сайты- однодневки TTD Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
Индивидуальное шифрование для каждой цели Маркировка уже зашифрованных систем Использование биткойнов для анонимных платежей Установка крайних сроков: 1. Для увеличения выкупа 2. Для удаления ключа шифрования Инновации программ-вымогателей
Самораспространение • Использование уязвимостей в широко распространенных продуктах • Репликация на все доступные накопители • Заражение файлов • Базовые функции для атак методом подбора • Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления • Использование уже имеющегося в системе ВПО Программы-вымогатели второго поколения Модульность • Распространение через файлы автозапуска и USB- накопители большой емкости • Эксплойты в инфраструктуре аутентификации • Сложные системы управления, контроля и отчетности • Ограничители потребления системных ресурсов • Фильтрация целевых адресов для заражения (RFC 1918)
Прямые атаки формируют большие доходы Более эффективны и более прибыльны
Эволюция вымогателей: Цель – данные, а не системы TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети $300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна Личные файлы Финансовые данные Email Фото Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
Теневая инфраструктура устойчива и скрытна Разработаны для уклонения, восстановления и контроля работоспособности 15000Уникальных сайтов, перенаправляющих на Angler 99,8%из них использовались менее 10 раз
76110 12/2014 1/2015 2/2015 3/2015 4/2015 5/2015 New URL Scheme CompromisedUsers Old URL Scheme 27425 24040 18960 20863 47688 76110 7369 13163 9010 11958 14730 12008 Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL Новая схема URL драматически опережает старую. Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add- On для браузера (уже 4000 имен)
Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов Кампания стартовала Обнаружена с помощью Outbreak Filters Антивирусный движок обнаруживает Dridex Но злоумышленники все равно проникли в систему Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему. Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать Получение доступа • Спам • Фишинг • Социальный инжиниринг Уход от обнаружения • Записать случайные данные в память 960 миллионов раз • Засорение памяти в песочнице Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам • Кража любых данных, а не только банковских Анти-анализ Стойкость Вредоносное поведение
Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
Эволюция вариантов вымогателей Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам PC Cyborg 2001 GPCoder 2005 2012 2013 2014 Fake Antivirus 2006 Первый коммерческий смартфон Android 2007 QiaoZhaz 20081989 2015 2016 CRYZIP Redplus Bitcoin сеть запущена Reveton Ransomlock Dirty Decrypt Cryptorbit Cryptographic Locker Urausy Cryptolocker CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng TeslaCrypt Virlock Lockdroid Reveton Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0 Cryptowall SamSam Locky Cerber Radamant Hydracrypt Rokku Jigsaw Powerware 73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
Уязвимая инфраструктура используется оперативно и широко Рост атак на 221 процент на WordPress
Инфраструктура: создание цифровой экономики на базе уязвимой инфраструктуры Устройства работают с известными уязвимостями в среднем 5 лет Слабая, уязвимая инфраструктура не сможет стать надежной опорой для экономики следующего поколения. Cisco 5,64лет Apache/ OpenSSH 5,05лет И эта проблема носит системный характер
Устаревшая инфраструктура — общемировая проблема
Надежность порождает самоуверенность устройств, доступных через Интернет, содержали известные уязвимости (в среднем 26 на устройство) устройств, доступных через Интернет, были сняты с поддержки устройств, доступных через Интернет, находились за пределами своего жизненного цикла 92% 31% 5%
Кто забывает обновлять инфраструктуру?
Реагирование на инциденты: взгляд изнутри Устаревшая инфраструктура создает уязвимости, с которыми не справляются специалисты по безопасности Бюджетные ограничения Неиспользован ие доступных инструментов Отсутствие исправлений Отсутствие формального процесса Устаревшая инфраструктура
Комплекты эксплойтов: Adobe Flash и вредоносная реклама Большинство наборов эксплойтов используют уязвимости Adobe Flash и Microsoft Silverlight Nuclear Magnitude Angler Neutrino RIG Flash CVE-2015-7645 CVE-2015-8446 CVE-2015-8651 CVE-2016-1019 CVE-2016-1001 CVE-2016-4117 Silverlight CVE-2016-0034 Уязвимости
DNS: слепая зона для безопасности 91,3% Вредоносного ПО использует DNS 68% Организаций не мониторят его Популярный протокол, который используют злоумышленники для управления, утечки данных и перенаправления трафика
Что еще было выявлено? • Адресное пространство заказчика входит в блок-списки третьих сторон по спаму и вредоносному ПО • Адресное пространство заказчиков маркировано для известных серверов внешнего управления Zeus и Palevo • Активные кампании вредоносного ПО, в том числе CTB-Locker, Angler и DarkHotel • Подозрительные действия, включая использование сети Tor, автоматическое перенаправление электронной почты и онлайн- преобразование документов • Повсеместное туннелирование DNS на домены, зарегистрированные в Китае • «Тайпсквоттинг» DNS • Внутренние клиенты, обходящие доверенную инфраструктуру DNS клиента
ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование C&C Шантаж Какие протоколы используют вымогатели?
Заражения браузера: чума, которая не проходит Более чем 85%опрошенных компаний страдают каждый месяц
К чему это все приводит? Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305
Осведомленность о методах хакеров снижает уверенность в своих силах 59%уверены в наличии у себя последних технологий защиты 51%уверены, что могут обнаруживать свои слабые места заранее 54%уверены в своей способности противостоять атакам 45%уверены в своей способности локализовать и нейтрализовать атаки 54%уверены в своей способности подтвердить факт атаки 56%Пересматривают политики ИБ на регулярной основе -5% 0% -4% -1% +0% +0%
1. Требуется архитектура безопасности и сети 2. Даже лучшие в своем классе технологии в одиночку не способны справляться с современным ландшафтом угроз 3. Интегрированная безопасность поможет бороться с зашифрованной вредоносной активностью 4. Открытые API имеют критическое значение 5. Требуется меньше компонентов для установки и управления 6. Автоматизация и координация помогают снизить время на обнаружение, локализацию и устранение последствий от атак 6 принципов комплексной защиты от угроз
Дополнительная информация про угрозы
Угрозы ОкружениеПериметр Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен 8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS 7 Посылка фальшивого резюме (you@gmail.com) 2 Адми н Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Иванова Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени Анатомия современной атаки
Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Спасибо!

Recommended

Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
Cisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
Denis Batrankov, CISSP
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 

Recommended

Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
Cisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
Denis Batrankov, CISSP
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
Denis Batrankov, CISSP
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
Aleksey Lukatskiy
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
Альбина Минуллина
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
Cisco Russia
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
КРОК
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
Diana Frolova
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Cisco Russia
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!
Компания УЦСБ
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
КРОК
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Cisco Russia
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Cisco Russia
 
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Cisco Russia
 

More Related Content

What's hot

IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 

What's hot (20)

Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 

Viewers also liked

Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Cisco Russia
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Cisco Russia
 
Критерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияКритерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколения
Cisco Russia
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Cisco Russia
 
20 минут Offline, или жизнь после сбоя
20 минут Offline, или жизнь после сбоя20 минут Offline, или жизнь после сбоя
20 минут Offline, или жизнь после сбоя
Cisco Russia
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
Cisco Russia
 
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетень
Cisco Russia
 
Cisco Unified Computing System
Cisco Unified Computing SystemCisco Unified Computing System
Cisco Unified Computing System
Cisco Russia
 
Приветственное слово Бронзового спонсора (Техносерв)
Приветственное слово Бронзового спонсора (Техносерв) Приветственное слово Бронзового спонсора (Техносерв)
Приветственное слово Бронзового спонсора (Техносерв)
Cisco Russia
 
Архитектура средств совместной работы Cisco
Архитектура средств совместной работы CiscoАрхитектура средств совместной работы Cisco
Архитектура средств совместной работы Cisco
Cisco Russia
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционала
Cisco Russia
 

Viewers also liked (20)

Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
Обзор новых возможностей системы записи Cisco Mediasence - See more at: http:...
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
 
Критерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияКритерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколения
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
 
Деятельность Cisco в России в цифрах и фактах. Расширение локального производ...
Деятельность Cisco в России в цифрах и фактах. Расширение локального производ...Деятельность Cisco в России в цифрах и фактах. Расширение локального производ...
Деятельность Cisco в России в цифрах и фактах. Расширение локального производ...
 
Eleve a sua carreira a um novo patamar
Eleve a sua carreira a um novo patamarEleve a sua carreira a um novo patamar
Eleve a sua carreira a um novo patamar
 
20 минут Offline, или жизнь после сбоя
20 минут Offline, или жизнь после сбоя20 минут Offline, или жизнь после сбоя
20 минут Offline, или жизнь после сбоя
 
CCDE сертификация глазамиTAC инженера
CCDE сертификация глазамиTAC инженераCCDE сертификация глазамиTAC инженера
CCDE сертификация глазамиTAC инженера
 
CELC_Cisco Physical Security Operations Manager, Обзор решения
CELC_Cisco Physical Security Operations Manager, Обзор решенияCELC_Cisco Physical Security Operations Manager, Обзор решения
CELC_Cisco Physical Security Operations Manager, Обзор решения
 
Надежная защита для малых, средних и распределенных предприятий
Надежная защита для малых, средних и распределенных предприятийНадежная защита для малых, средних и распределенных предприятий
Надежная защита для малых, средних и распределенных предприятий
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Cisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетеньCisco IPS 4300. Информационный бюллетень
Cisco IPS 4300. Информационный бюллетень
 
Прогноз развития глобального рынка мобильных коммуникаций, подготовленный в р...
Прогноз развития глобального рынка мобильных коммуникаций, подготовленный в р...Прогноз развития глобального рынка мобильных коммуникаций, подготовленный в р...
Прогноз развития глобального рынка мобильных коммуникаций, подготовленный в р...
 
Cisco Unified Computing System
Cisco Unified Computing SystemCisco Unified Computing System
Cisco Unified Computing System
 
Приветственное слово Бронзового спонсора (Техносерв)
Приветственное слово Бронзового спонсора (Техносерв) Приветственное слово Бронзового спонсора (Техносерв)
Приветственное слово Бронзового спонсора (Техносерв)
 
Advanced Network Design
Advanced Network DesignAdvanced Network Design
Advanced Network Design
 
Архитектура средств совместной работы Cisco
Архитектура средств совместной работы CiscoАрхитектура средств совместной работы Cisco
Архитектура средств совместной работы Cisco
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционала
 

Similar to Методы современных кибепреступников

Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
Cisco Russia
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
qqlan
 

Similar to Методы современных кибепреступников (20)

Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
03
0303
03
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 
CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011CyberWar - Gordeychik - PHDays 2011
CyberWar - Gordeychik - PHDays 2011
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 

More from Cisco Russia

Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Методы современных кибепреступников

  • 1. 30 сентября 2016 Бизнес-консультант по безопасности Методы современных киберпреступников Алексей Лукацкий
  • 3. Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 3 Фрагментация Сложность Требуют лишнего управления
  • 5. Из чего состоит убийственная цепочка? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 6. Как хакер проводит разведку вашей сети?
  • 8. Не только через почту, но и через соцсети
  • 9. Не только через почту, но и через соцсети
  • 19. OSINT: множество других инструментов
  • 23. Изменение в поведении атак Скорость Ловкость Адаптация Уничтожение Инновации, использование старых приемов на новый лад и обход защитных механизмов
  • 24. Ловкость нарушителей – их сила Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014 Скомпрометированная система Уязвимости Flash Смена цели Angler Непрерывное забрасывание «крючков в воду» увеличивает шанс на компрометацию Социальный инжиниринг Сайты- однодневки TTD Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
  • 25. Индивидуальное шифрование для каждой цели Маркировка уже зашифрованных систем Использование биткойнов для анонимных платежей Установка крайних сроков: 1. Для увеличения выкупа 2. Для удаления ключа шифрования Инновации программ-вымогателей
  • 26. Самораспространение • Использование уязвимостей в широко распространенных продуктах • Репликация на все доступные накопители • Заражение файлов • Базовые функции для атак методом подбора • Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления • Использование уже имеющегося в системе ВПО Программы-вымогатели второго поколения Модульность • Распространение через файлы автозапуска и USB- накопители большой емкости • Эксплойты в инфраструктуре аутентификации • Сложные системы управления, контроля и отчетности • Ограничители потребления системных ресурсов • Фильтрация целевых адресов для заражения (RFC 1918)
  • 27. Прямые атаки формируют большие доходы Более эффективны и более прибыльны
  • 28. Эволюция вымогателей: Цель – данные, а не системы TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети $300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна Личные файлы Финансовые данные Email Фото Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
  • 29. Теневая инфраструктура устойчива и скрытна Разработаны для уклонения, восстановления и контроля работоспособности 15000Уникальных сайтов, перенаправляющих на Angler 99,8%из них использовались менее 10 раз
  • 30. 76110 12/2014 1/2015 2/2015 3/2015 4/2015 5/2015 New URL Scheme CompromisedUsers Old URL Scheme 27425 24040 18960 20863 47688 76110 7369 13163 9010 11958 14730 12008 Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL Новая схема URL драматически опережает старую. Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add- On для браузера (уже 4000 имен)
  • 31. Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов Кампания стартовала Обнаружена с помощью Outbreak Filters Антивирусный движок обнаруживает Dridex Но злоумышленники все равно проникли в систему Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
  • 32. Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему. Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать Получение доступа • Спам • Фишинг • Социальный инжиниринг Уход от обнаружения • Записать случайные данные в память 960 миллионов раз • Засорение памяти в песочнице Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам • Кража любых данных, а не только банковских Анти-анализ Стойкость Вредоносное поведение
  • 33. Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
  • 34. Эволюция вариантов вымогателей Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам PC Cyborg 2001 GPCoder 2005 2012 2013 2014 Fake Antivirus 2006 Первый коммерческий смартфон Android 2007 QiaoZhaz 20081989 2015 2016 CRYZIP Redplus Bitcoin сеть запущена Reveton Ransomlock Dirty Decrypt Cryptorbit Cryptographic Locker Urausy Cryptolocker CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng TeslaCrypt Virlock Lockdroid Reveton Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0 Cryptowall SamSam Locky Cerber Radamant Hydracrypt Rokku Jigsaw Powerware 73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
  • 35. Уязвимая инфраструктура используется оперативно и широко Рост атак на 221 процент на WordPress
  • 36. Инфраструктура: создание цифровой экономики на базе уязвимой инфраструктуры Устройства работают с известными уязвимостями в среднем 5 лет Слабая, уязвимая инфраструктура не сможет стать надежной опорой для экономики следующего поколения. Cisco 5,64лет Apache/ OpenSSH 5,05лет И эта проблема носит системный характер
  • 37. Устаревшая инфраструктура — общемировая проблема
  • 38. Надежность порождает самоуверенность устройств, доступных через Интернет, содержали известные уязвимости (в среднем 26 на устройство) устройств, доступных через Интернет, были сняты с поддержки устройств, доступных через Интернет, находились за пределами своего жизненного цикла 92% 31% 5%
  • 39. Кто забывает обновлять инфраструктуру?
  • 40. Реагирование на инциденты: взгляд изнутри Устаревшая инфраструктура создает уязвимости, с которыми не справляются специалисты по безопасности Бюджетные ограничения Неиспользован ие доступных инструментов Отсутствие исправлений Отсутствие формального процесса Устаревшая инфраструктура
  • 41. Комплекты эксплойтов: Adobe Flash и вредоносная реклама Большинство наборов эксплойтов используют уязвимости Adobe Flash и Microsoft Silverlight Nuclear Magnitude Angler Neutrino RIG Flash CVE-2015-7645 CVE-2015-8446 CVE-2015-8651 CVE-2016-1019 CVE-2016-1001 CVE-2016-4117 Silverlight CVE-2016-0034 Уязвимости
  • 42. DNS: слепая зона для безопасности 91,3% Вредоносного ПО использует DNS 68% Организаций не мониторят его Популярный протокол, который используют злоумышленники для управления, утечки данных и перенаправления трафика
  • 43. Что еще было выявлено? • Адресное пространство заказчика входит в блок-списки третьих сторон по спаму и вредоносному ПО • Адресное пространство заказчиков маркировано для известных серверов внешнего управления Zeus и Palevo • Активные кампании вредоносного ПО, в том числе CTB-Locker, Angler и DarkHotel • Подозрительные действия, включая использование сети Tor, автоматическое перенаправление электронной почты и онлайн- преобразование документов • Повсеместное туннелирование DNS на домены, зарегистрированные в Китае • «Тайпсквоттинг» DNS • Внутренние клиенты, обходящие доверенную инфраструктуру DNS клиента
  • 44. ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование C&C Шантаж Какие протоколы используют вымогатели?
  • 45. Заражения браузера: чума, которая не проходит Более чем 85%опрошенных компаний страдают каждый месяц
  • 46. К чему это все приводит? Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305
  • 47. Осведомленность о методах хакеров снижает уверенность в своих силах 59%уверены в наличии у себя последних технологий защиты 51%уверены, что могут обнаруживать свои слабые места заранее 54%уверены в своей способности противостоять атакам 45%уверены в своей способности локализовать и нейтрализовать атаки 54%уверены в своей способности подтвердить факт атаки 56%Пересматривают политики ИБ на регулярной основе -5% 0% -4% -1% +0% +0%
  • 48. 1. Требуется архитектура безопасности и сети 2. Даже лучшие в своем классе технологии в одиночку не способны справляться с современным ландшафтом угроз 3. Интегрированная безопасность поможет бороться с зашифрованной вредоносной активностью 4. Открытые API имеют критическое значение 5. Требуется меньше компонентов для установки и управления 6. Автоматизация и координация помогают снизить время на обнаружение, локализацию и устранение последствий от атак 6 принципов комплексной защиты от угроз
  • 50. Угрозы ОкружениеПериметр Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен 8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS 7 Посылка фальшивого резюме (you@gmail.com) 2 Адми н Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Иванова Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени Анатомия современной атаки
  • 51. Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/