4. Application Security
Каждая сборка должна проходить security-review
- требование PCI и PA-DSS
- требование Security Development Lifecycle (SDL)
Что смотреть:
- настройки компилятора
- очищаются ли ДПК в памяти после использования
- правильность использования протекторов
- тестовые данные/аккаунты/пути в релизной сборке
8. Infrastructure Security
Анализ вирусной активности
Риски:
- Малварь свежая и не детектится
- Многие банковские трояны ориентированы на сектор
СНГ (проверяют локаль) => пустой отчет malwr.com
- Антивирус удалил/вылечил не все, а оставшаяся часть
себя никак не проявляет месяц
- Адреса C&C (Command and Control servers)
генерируются динамически
- ОС переустановили, но троян уже проник на другие
машины
15. Infrastructure Security
Анализ вирусной активности
3) Просмотр сетевых логов
Сомневайтесь, что можно вылечить компьютер
Найден бот – сносите ОС
В логах найдены переходы по этим адресам месяц назад –
необходимо более подробное расследование инцидента
17. Infrastructure Security
Анализ вирусной активности
Перезаливка ОС учат пользователей не открывать
подозрительные вложения
По ретроспективным данным из QRadar можно выявить
всех зараженных
P.S: анализировать подозрительные вложения надо вне
зависимости от того, детектит ли их антивирус
Банковский троян Win32/Spy.Ranbyus определяется эвристикой как Trojan.Injector
Само вложение – как правило, дроппер
18. Infrastructure Security
Анализ вирусной активности
А если адреса C&C формируются динамически?
DGA – Domain Generation Algorithm
Win32/Ranbyus генерирует доменные имена в зависимости
от текущей даты
21. Infrastructure Security
Анализ вирусной активности
- Автобанилка с алгоритмом, как в DGA
- Доменное имя зарегистрировано?
- IP в blacklist через API-интерфейс IPS-ки