Чего ждать от козлов в своих огородах
Upcoming SlideShare
Loading in...5
×
 

Чего ждать от козлов в своих огородах

on

  • 730 views

 

Statistics

Views

Total Views
730
Views on SlideShare
179
Embed Views
551

Actions

Likes
0
Downloads
16
Comments
0

1 Embed 551

http://l.lj-toys.com 551

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Чего ждать от козлов в своих огородах Чего ждать от козлов в своих огородах Presentation Transcript

    • СТР. 1 | Что ждать от козлов в своих огородах PHDays 2014 Что ждать от козлов в своих огородах Дмитрий Тараканов
    • СТР. 2 | Что ждать от козлов в своих огородах Цель компрометации Кража данных (базы данных, проходящие данные, переписка) Кража интеллектуальной собственности Кража денег (банковские троянцы) Саботаж
    • СТР. 3 | Что ждать от козлов в своих огородах Инструменты Бэкдоры: RDP, удаленный шелл, средства удаленного управления (RMS, Team Viewer, др.), собственные разработки Кей-логгеры Банковские троянцы Масса хакерских программ: дамп сохраненных паролей, восстановление паролей, информация о системе, сетевое окружение, работа с базами данных, снятие защиты ОС и др. Уникальные программы под скомпрометированную среду
    • Случилось страшное… Заражение
    • СТР. 5 | Что ждать от козлов в своих огородах Компрометация
    • СТР. 6 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин Рабочих станций и серверов: over 9000
    • СТР. 7 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
    • СТР. 8 | Что ждать от козлов в своих огородах Компрометация: скрытие соединений
    • СТР. 9 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
    • СТР. 10 | Что ждать от козлов в своих огородах Компрометация: мухлеж с айпишниками update.java-***.com 224.0.0.255 java-***.com Sleeping hours 0.0.0.0 1.1.1.1 8.8.8.8 127.0.01 192.168.1.1 … 137.254.16.66
    • СТР. 11 | Что ждать от козлов в своих огородах CNC host:port Компрометация: ожидание инициации Сетевой драйверhost:port FucK110 Входящий трафик FucK110? Remote Shell host port
    • СТР. 12 | Что ждать от козлов в своих огородах Компрометация: ожидание инициации
    • Эксплуатация скомпрометированной среды
    • СТР. 14 | Что ждать от козлов в своих огородах 73 07 41 C6 43 18 00 EB 4A 49 8B 43 08 C6 04 01 04 49 8B 43 08 48 8B 8C … x?xxxxxx?xxxxxxxxxxxxxxxxxxxxxxxx 0000: 488B08 mov rcx,[rax] 0003: 488D040A lea rax,[rdx][rcx] 0007: 4885C0 test rax,rax 000A: 7813 js 00000001F --↓1 000C: 48B90010A5D4E8000000 mov rcx,000000E8`D4A51000 0016: 483BC1 cmp rax,rcx 0019: 0F8ED1000000 jle 0000000F0 –X Эксплуатация скомпрометированной среды LODCTR.DLL ArbiterHost.exe хук 1 хук 2 48 8B 08 48 8D 04 0A 48 85 C0 78 13 48 B9 00 10 A5 D4 E8 00 00 00 48 3B … xxxxxxxxxxx?xxxxxxxxxxxxxxx???? 0000: 7307 jnc 000000009 --↓1 0002: 41C6431800 mov b,[r11][018],0 0007: EB4A jmps 000000053 --↓2 0009: 498B4308 1 mov rax,[r11][8] 000D: C6040104 mov b,[rcx][rax],4 0011: 498B4308 mov rax,[r11][8] 0015: 488B8C24C8080000 mov rcx,[rsp][0000008C8] 001D: 66830001 add w,[rax],1
    • Смешно…
    • СТР. 16 | Что ждать от козлов в своих огородах Много ксоров 2012: xor x, s, e, c = xor 0xD 2014: xor 0xfc, 0xa7 = xor 0x5b
    • СТР. 17 | Что ждать от козлов в своих огородах Thank You Дмитрий Тараканов PHDays 2014 Что ждать от козлов в своих огородах