SlideShare a Scribd company logo

CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki - Przemysław Skowron

PROIDEA
PROIDEA

Speaker: Przemysław Skowron Language: Polish Od setek lat banki lub ich klienci są okradani. W XXI wieku nadal ma to miejsce, zmianie uległ sposób, teraz najczęściej robi się to za pomocą kanałów elektronicznych, czyli tam gdzie przeniosła się spora część naszego życia. Na przykładzie, prawdopodobnie największej kradzieży pieniędzy z banków w elektronicznej ich historii (Carbanak: ok. 1 mld $) i innych "mniejszych", przeprowadzę analizę znanych z raportów hipotez (sposobów ataków) i co zmienić by napastnikowi było trudniej. Aby pójść krok dalej, zaproponuję wykorzystanie metodyki KillChain, pozwalającej w sposób bardziej efektywny niż "stara szkoła", planować obronę naszych cennych zasobów. CONFidence: http://confidence.org.pl/pl/

Software
1 of 18
Download to read offline
Przemysław Skowron White Cat Security Analiza przypadku: Carbanak
Agenda •  Motywacja •  Carbanak •  Bezpieczeństwo aktywne •  KillChain •  Win vs. NOT Lost •  Podsumowanie
Motywacja •  Motywowanie jest przereklamowane, inspiruj •  Szukaj ludzi, których nie musisz motywować, nadal tacy są •  Stwórz warunki pracy przyjazne pracownikom
Carbanak •  Do 1 MLD $ strat w sektorze finansowym na świecie (02/2014-) (by Kaspersky) •  FS-ISAC zaprzecza skutecznym atakom w US •  „polski” akcent w postaci IP, ale nie należącego do banku
Carbanak •  Phishing -> załącznik -> instalacja złośliwego oprogramowania -> kradzież danych •  Nagrania video oraz wyniki pracy keyloggera trafiają do C2 – szukali metody na wyciągnięcie $ z banków
Carbanak •  Wypłaty: •  Bankomaty •  Przelewy •  “Wpłaty”: •  Rachunki z saldami równoważącymi wypłaty (bilans się zgadza)
Bezpieczeństwo aktywne •  Adaptacja – ciągła •  Wywiad na temat zagrożeń (ang. Threat intelligence) – zacznij od takiego, który potrafisz konsumować •  Reaguj – automatycznie, tak często jak tylko możesz
KillChain •  Czy ktoś słyszał o tej metodyce? •  Czy ktoś próbował? •  Czy ktoś używa?
KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
Kill Chain – Home Work Faza Detekcja Prewencja Zakłócenie Degradacja Zwodzenie Rekonesans Uzbrojenie Dostarczenie Wykorzystanie Instalacja C2 A or O
Kill Chain •  Przyjmijcie scenariusz ataku i wypełnijcie tabelkę (tym co macie, tym co potrzebujecie mieć) •  Szukajcie wspólnych mianowników, atrybutów, cech dla analizowanych zdarzeń •  Agregujcie zdarzenia w oparciu o te cechy
Kill Chain •  Powtarzajcie proces dla kolejnych scenariuszy (metody wykrywania wektorów zaczną się powtarzać, najczęściej zmieniają się scenariusze socjotechniczne) •  Daj sobie szansę na zatrzymanie wroga choćby u bram, którymi będzie chciał uciec z łupem
Win vs. NOT Lost •  Defensywni nie są od wygrywania, nie dajmy przegrać •  Przegrana bitwa nie oznacza przegranej wojny •  Akceptacja powyższych pozwoli walczyć dłużej, inaczej poddasz się bez walki
Podsumowanie •  W Polsce trudno znaleźć przykłady metodyk adaptowanych do świata IT -> szukaj w US •  Wykorzystaj to co masz, rozejrzyj się (nawet AV może pomóc) •  Nie deprymuj się brakiem idealnych rozwiązań, WALCZ!
Dziękuję! (szczególnie z uwagi na porę) kontakt@whitecatsec.com http://www.whitecatsec.com

Recommended

LOAD MANAGEMENT IN CLOUD ENVIRONMENT
LOAD MANAGEMENT IN CLOUD ENVIRONMENTLOAD MANAGEMENT IN CLOUD ENVIRONMENT
LOAD MANAGEMENT IN CLOUD ENVIRONMENTIJERA Editor
 
Đột quỵ thầm lặng cũng gây hại cho não
Đột quỵ thầm lặng cũng gây hại cho nãoĐột quỵ thầm lặng cũng gây hại cho não
Đột quỵ thầm lặng cũng gây hại cho nãotrampham0701
 
EGPS 18/10/14 - Lectures pour aller plus loin
EGPS 18/10/14 - Lectures pour aller plus loinEGPS 18/10/14 - Lectures pour aller plus loin
EGPS 18/10/14 - Lectures pour aller plus loinPhilippe Doucet
 
Lääkärien riittävyys 2014
Lääkärien riittävyys 2014Lääkärien riittävyys 2014
Lääkärien riittävyys 2014laakariliitto
 
Đau nửa đầu khổ lắm
Đau nửa đầu khổ lắmĐau nửa đầu khổ lắm
Đau nửa đầu khổ lắmtrampham0701
 
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981PT.Jeklindo Persada Consulting 085262245981
 
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔ
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔ
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔNoor Al Islam
 
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François Hollande
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François HollandeEGPS 18/10/14 - Note de travail sur l'engagement 46 de François Hollande
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François HollandePhilippe Doucet
 

Recommended

LOAD MANAGEMENT IN CLOUD ENVIRONMENT
LOAD MANAGEMENT IN CLOUD ENVIRONMENTLOAD MANAGEMENT IN CLOUD ENVIRONMENT
LOAD MANAGEMENT IN CLOUD ENVIRONMENTIJERA Editor
 
Đột quỵ thầm lặng cũng gây hại cho não
Đột quỵ thầm lặng cũng gây hại cho nãoĐột quỵ thầm lặng cũng gây hại cho não
Đột quỵ thầm lặng cũng gây hại cho nãotrampham0701
 
EGPS 18/10/14 - Lectures pour aller plus loin
EGPS 18/10/14 - Lectures pour aller plus loinEGPS 18/10/14 - Lectures pour aller plus loin
EGPS 18/10/14 - Lectures pour aller plus loinPhilippe Doucet
 
Lääkärien riittävyys 2014
Lääkärien riittävyys 2014Lääkärien riittävyys 2014
Lääkärien riittävyys 2014laakariliitto
 
Đau nửa đầu khổ lắm
Đau nửa đầu khổ lắmĐau nửa đầu khổ lắm
Đau nửa đầu khổ lắmtrampham0701
 
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981
PENGURUSAN IJIN PERUSAHAAN ( PT.JEKLINDO PERSADA ) HUB: 085262245981PT.Jeklindo Persada Consulting 085262245981
 
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔ
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔ
ﺧﺮاﻓﺎت اﻟﺸﯿﻌﺔNoor Al Islam
 
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François Hollande
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François HollandeEGPS 18/10/14 - Note de travail sur l'engagement 46 de François Hollande
EGPS 18/10/14 - Note de travail sur l'engagement 46 de François HollandePhilippe Doucet
 
A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...IJERA Editor
 
Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.IJERA Editor
 
Boletín 21-10-14
Boletín 21-10-14Boletín 21-10-14
Boletín 21-10-14Openbank
 
男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワーク男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワークsehun738
 
Hack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor NetworkHack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor NetworkIJERA Editor
 
Design and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for AircraftDesign and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for AircraftIJERA Editor
 
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en FranceEGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en FrancePhilippe Doucet
 
Design, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll BarDesign, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll BarIJERA Editor
 
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...Jonathan Steingiesser
 
Google Analytics for Developers
Google Analytics for DevelopersGoogle Analytics for Developers
Google Analytics for DevelopersParadigma Digital
 

More Related Content

Viewers also liked

A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...IJERA Editor
 
Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.IJERA Editor
 
Boletín 21-10-14
Boletín 21-10-14Boletín 21-10-14
Boletín 21-10-14Openbank
 
男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワーク男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワークsehun738
 
Hack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor NetworkHack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor NetworkIJERA Editor
 
Design and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for AircraftDesign and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for AircraftIJERA Editor
 
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en FranceEGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en FrancePhilippe Doucet
 
Design, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll BarDesign, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll BarIJERA Editor
 
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...Jonathan Steingiesser
 
Google Analytics for Developers
Google Analytics for DevelopersGoogle Analytics for Developers
Google Analytics for DevelopersParadigma Digital
 

Viewers also liked (10)

A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...A literary study on the bonding of the Six Sigma with the Service Quality for...
A literary study on the bonding of the Six Sigma with the Service Quality for...
 
Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.Computational approach of the homeostatic turnover of memory B cells.
Computational approach of the homeostatic turnover of memory B cells.
 
Boletín 21-10-14
Boletín 21-10-14Boletín 21-10-14
Boletín 21-10-14
 
男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワーク男性のためのプラダの靴のマジカルワーク
男性のためのプラダの靴のマジカルワーク
 
Hack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor NetworkHack Recognition In Wireless Sensor Network
Hack Recognition In Wireless Sensor Network
 
Design and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for AircraftDesign and Analysis of Composite Propeller Blade for Aircraft
Design and Analysis of Composite Propeller Blade for Aircraft
 
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en FranceEGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
EGPS 18/10/14 - Eléments de contexte historique sur la laïcité en France
 
Design, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll BarDesign, Analysis and Optimization of Anti-Roll Bar
Design, Analysis and Optimization of Anti-Roll Bar
 
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
Highlights from Just Enough Research by Erika Hall - User Experience Abu Dhab...
 
Google Analytics for Developers
Google Analytics for DevelopersGoogle Analytics for Developers
Google Analytics for Developers
 

CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki - Przemysław Skowron

  • 1. Przemysław Skowron White Cat Security Analiza przypadku: Carbanak
  • 2. Agenda •  Motywacja •  Carbanak •  Bezpieczeństwo aktywne •  KillChain •  Win vs. NOT Lost •  Podsumowanie
  • 3. Motywacja •  Motywowanie jest przereklamowane, inspiruj •  Szukaj ludzi, których nie musisz motywować, nadal tacy są •  Stwórz warunki pracy przyjazne pracownikom
  • 4. Carbanak •  Do 1 MLD $ strat w sektorze finansowym na świecie (02/2014-) (by Kaspersky) •  FS-ISAC zaprzecza skutecznym atakom w US •  „polski” akcent w postaci IP, ale nie należącego do banku
  • 5. Carbanak •  Phishing -> załącznik -> instalacja złośliwego oprogramowania -> kradzież danych •  Nagrania video oraz wyniki pracy keyloggera trafiają do C2 – szukali metody na wyciągnięcie $ z banków
  • 6. Carbanak •  Wypłaty: •  Bankomaty •  Przelewy •  “Wpłaty”: •  Rachunki z saldami równoważącymi wypłaty (bilans się zgadza)
  • 7. Bezpieczeństwo aktywne •  Adaptacja – ciągła •  Wywiad na temat zagrożeń (ang. Threat intelligence) – zacznij od takiego, który potrafisz konsumować •  Reaguj – automatycznie, tak często jak tylko możesz
  • 8. KillChain •  Czy ktoś słyszał o tej metodyce? •  Czy ktoś próbował? •  Czy ktoś używa?
  • 9. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  • 10. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  • 11. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  • 12. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć) •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  • 13. Kill Chain – Home Work Faza Detekcja Prewencja Zakłócenie Degradacja Zwodzenie Rekonesans Uzbrojenie Dostarczenie Wykorzystanie Instalacja C2 A or O
  • 14. Kill Chain •  Przyjmijcie scenariusz ataku i wypełnijcie tabelkę (tym co macie, tym co potrzebujecie mieć) •  Szukajcie wspólnych mianowników, atrybutów, cech dla analizowanych zdarzeń •  Agregujcie zdarzenia w oparciu o te cechy
  • 15. Kill Chain •  Powtarzajcie proces dla kolejnych scenariuszy (metody wykrywania wektorów zaczną się powtarzać, najczęściej zmieniają się scenariusze socjotechniczne) •  Daj sobie szansę na zatrzymanie wroga choćby u bram, którymi będzie chciał uciec z łupem
  • 16. Win vs. NOT Lost •  Defensywni nie są od wygrywania, nie dajmy przegrać •  Przegrana bitwa nie oznacza przegranej wojny •  Akceptacja powyższych pozwoli walczyć dłużej, inaczej poddasz się bez walki
  • 17. Podsumowanie •  W Polsce trudno znaleźć przykłady metodyk adaptowanych do świata IT -> szukaj w US •  Wykorzystaj to co masz, rozejrzyj się (nawet AV może pomóc) •  Nie deprymuj się brakiem idealnych rozwiązań, WALCZ!
  • 18. Dziękuję! (szczególnie z uwagi na porę) kontakt@whitecatsec.com http://www.whitecatsec.com