Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

17 способов проникновения во внутреннюю сеть компании

2,147 views

Published on

Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра

Published in: Technology

17 способов проникновения во внутреннюю сеть компании

  1. 1. Алексей Лукацкий Бизнес-консультант по безопасности 17 способов проникновения во внутреннюю сеть компании
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как мы защищаем себя… ISP Оператор связи ЛВС Внутренняя сеть DMZ Периметр Интернет МСЭ в HA Ключевые функции Надежность (масштабирование) Продвинутый контроль доступа Блокирование доступа к вредоносным IP, URL, DNS NAT/PAT (динамика ) NAT (статика) Remote Access VPN Site to Site VPN Обнаружение вредоносного сетевого трафика Контроль передачи файлов, блокирование вредоносных Динамический анализ неизвестных файлов Ключевые возможности HA или кластеризация Приложения, URL, пользователи, и TrustSec Policy с SGT Talos Security Intelligence Carrier Grade NAT Cisco AnyConnect Point to Point, Hub and Spoke, Full mesh NG IPS Advanced Malware Protection Интеграция Threat Grid
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть Пользователи Головной офис ЦОД Администратор Филиал Посмотрите на современную, вашу, сеть Мобильные пользователи Облако Какие варианты проникновения в нее существуют?
  4. 4. Взлом Equifax Пострадало 148 миллионов человек Штраф в 700 миллионов долларов
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что случилось с Equifax • Equifax – американское бюро кредитных историй • 7 сентября 2017 стало известно о взломе Equifax и утечке персональных данных 148 миллионов человек из США, Канады и других стран • 14 сентября Equifax подтвердил взлом • В августе 2018 года GAO выпустил детальный отчет о взломе
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 1. Обнаружение уязвимости • 10 марта 2017 года злоумышленники нашли известную уязвимость на портале Equifax (Apache Struts), позволившую получить доступ к Web-порталу и выполнять на нем команды • Информация об уязвимости была разослана US CERT двумя днями ранее • После идентификации уязвимости злоумышленники запустили эксплойт и получили доступ к системе, проверив возможность запуска команд • Никаких данных украдено еще не было
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 2. Эксплуатация уязвимости • 13 мая 2017 года злоумышленники эксплуатировали эту уязвимость и проникли во внутренние системы, выполнив ряд маскирующих процедур • Например, использовалось существующее зашифрованное соединение для генерации запросов/получения ответов
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 3. Скрытие активности и обнаружение логинов/паролей администратора • Шифрованный канал позволял долго оставаться незамеченным • Злоумышленники проникли на внутренние сервера баз данных и в течение 76 дней осуществляли кражу и выкачку данных (9000 запросов) • Также злоумышленники смогли узнать незашифрованные логины и пароли к 51 другим БД Equifax
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 4. Обнаружение инцидента • 29 июля Equifax обнаружил инцидент в рамках обычной процедуру проверки ОС и конфигураций ИТ-систем • Equifax использовала решение FireEye по обнаружению вредоносного трафика, которое не смогло анализировать зашифрованный трафик из-за просроченного сертификата, позволяющего реализовать MitM
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 5. Расследование инцидента • После обновления сертификата администратор Equifax смог обнаружить признаки взлома в зашифрованном трафике • Equifax заблокировал ряд IP-адресов, с которыми взаимодействовала вредоносная программа • 30 июля CISO информировал CEO об атаке • Расследование длилось с 2 августа по 2 октября
  11. 11. Это была не одноходовка! Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Причины инцидента • Невыстроенный процесс управления уязвимостями Список лиц, которым направлялось уведомление US CERT, был устаревшим Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале • Скрытие активности в шифрованном канале • Отсутствие сегментации в сети • Логины и пароли в открытом виде • Ненастроенное средство инспекции сетевого трафика с просроченным сертификатом И при это защита периметра была выстроена!
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что надо было обратить внимание?! Индикаторы компрометации q Превышение объема исходящего трафика q Соединение с редко используемыми доменами q Необычный доступ с Web- сервера к оконечным устройствам внутри сети q Необычные взаимодействия родительского и дочернего процессов на узле q Редкий процесс на узле
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Выстроить процесс устранения уязвимостей и установки патчей q Тесно контактировать с ИТ-командой, отвечающей за процесс управления патчами и иметь актуальный список лиц, которые занимаются устранением дыр q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Поддерживать актуальную конфигурацию как сетевого оборудования, так и средств защиты q Отслеживать изменения на Web-серверах и серверах БД
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Сегментировать сеть для предотвращения несанкционированного доступа q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Понимать риски использования злоумышленниками шифрования для скрытия своей активности и использования решений, которые борются с этим (EDR на оконечных устройствах, устройства для SSL Offload, инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников, использование технологий машинного обучения для обнаружения вредоносной активности внутри зашифрованного трафика без его расшифрования)
  16. 16. А у вас выполнены эти рекомендации?
  17. 17. Взлом British Airways Пострадало 0,5 миллиона человек Штраф в 230 миллионов долларов
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом British Airways • Между 21 августа и 5 сентября 2018 года хакерская группа Magecart (или маскирующаяся под нее), взломав сервер авиакомпании British Airways, похитила данные 380 тысяч клиентов, включая их ПДн и финансовую информацию • Позже BA сообщила, что могли пострадать еще 185 тысяч клиентов
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начало сценария схоже с Equifax • Отличие в том, что в случае с BA был взломан сайт авиакомпании и подменен JavaScript, собирающий данные клиентов, с последующей пересылкой данных на вредоносный ресурс baways.com • Также есть предположение, что взломан мог быть не сайт BA, а CDN, используемый провайдерами связи для кеширования популярных ресурсов или сервер третьей стороны
  20. 20. И вновь это не одноходовка Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать ПО, полученное из третьих рук q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Отслеживать изменения на Web-серверах и серверах БД и выстроить процесс контроля целостности используемого ПО и скриптов
  22. 22. Обратите внимание – рекомендации повторяются, хотя кейс совсем иной!
  23. 23. Атака на MAERSK Ущерб 250-300 миллионов долларов
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как MAERSK попал под раздачу? • В июне 2017-го года MAERSK случайно попал под раздачу вредоносного кода Nyetya • На момент атаки 100% установленных патчей • 7 минут после начала заражения – большая часть сети «легла» • 1 час после начала заражения – нанесен основной ущерб
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Nyetya Presentation ID Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Быстрое распространение • Разрушение систем / сетей Процессы • Разработан для максимально быстрого и эффективного нанесения ущерба • Похож на вымогателя, но является деструктивным по сути • Ransomware с тактикой червя • Спроектирован для распространения внутри, не снаружи • Использование Eternal Blue / Eternal Romance и Admin Tools (WMI/PSExec) • Продвинутый актор, ассоциированный с государством • Деструктивная атака маскировалась под Ransomware • Наиболее дорогой инцидент в истории Описание
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что произошло в MAERSK за 7 минут • 49000 лептопов уничтожено • Все сервисы печати неработоспособны • Файлшары недоступны • DHCP и AD неработоспособны (47 копий AD из 48) • Корпоративная сервисная шина неработоспособна • vCenter неработоспособен • 1200 приложений недоступно; 1000 – неработоспособно • 3500 из 6200 серверов неработоспособно
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Восстановление MAERSK • 9 дней – восстановлен AD и первые 2000 лэптопов • 2 недели с начала атаки – восстановлены все глобальные приложения • 4 недели – восстановлены все лэптопы Восстановление из резервной копии приводило к повторному заражению
  28. 28. А вы доверяете своим поставщикам ПО?
  29. 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public CCleaner Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Медленная внутренняя разведка • Сложная многоходовая атака Процессы • Высокоточная идентификация жертв через датамайнинг • Ориентирован на скрытность, рассчитан на долгую «игру» • Целевой фишинг • Комплексная разведка и профилирование цели • Кейлогер и вор пользовательских учетных данных • Продвинутый актор, ассоциированный с государством • Возможность выполнять сложные и длинные операции, фокусированные на краже интеллектуальной собственности Описание
  30. 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака «водопой» (water hole) Взлом ASUS, Avast, поставщиков промышленного ПО и др.
  31. 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать ПО, полученное из третьих рук q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  32. 32. Обратите внимание – рекомендации повторяются, хотя и этот кейс совсем иной! И они снова не связаны с классической защитой периметра!
  33. 33. Кампания DNSpionage и Sea Turtle Невидимость в течение двух лет
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как работает DNS? DNS-сервер “Где находится web-сайт?" “Вот IP- адрес web- сайта.” Web-сайт Иди по IP- адресу, чтобы увидеть этот сайт. www.example.com
  35. 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Где DNS-сервер сайта? 02 Какой IP-адрес сайта? 03 Web-сайт находится по IP-адресу. 04 Где TLD-сервер сайта? 01 Как работает DNS… в деталях DNS Resolver Корневой DNS-сервер “Где находится web-сайт?” 02 03 Web-сайт www.example.com TLD DNS-сервер DNS-сервер 01 04
  36. 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака DNS redirection “Где находится web- сайт?" “Вот IP-адрес web-сайта.” Web-сайт Скомпрометированный DNS-сервер Вредоносный сайт www.example.com
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public “Где находится web- сайт?” Где DNS-сервер сайта? 02 Записи DNS-сервера подменены. 03 IP-адрес возвращается для фальшивого сайта. 04 Где TLD-сервер сайта? 01 Кампания DNSpionage DNS Resolver Корневой DNS-сервер 02 TLD DNS-сервер Скомпрометированный DNS-сервер 01 03 Web-сайт 04 Сайт «посередине» www.example.com
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Кампания DNSpionage • Фальшивый сайт для поиска работы, разрекламированный через LinkedIn • Файл MS Word с внедренными макросами (при открытии и закрытии) • Запуск RAT на жертве, взаимодействующем с C2-сервером • Команды и результаты работы отправлялись по HTTP или DNS Фальшивая вакансия с внедренными макросами
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Кампания DNSpionage Клиент ⇒ RoyNGBDVIAA0[.]0ffice36o[.]com 0GTx00 base32 Возврат IP-адреса 100.105.114.0 ⇒ клиент dirx00 ASCII gLtAGJDVIAJAKZXWY000[.]0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol» TwGHGJDVIATVNVSSA000[.]0ffice36o[.]com -> GJDVIATVNVSSA000 -> «2GTx02 ume» 1QMUGJDVIA3JNYQGI000[.]0ffice36o[.]com -> GJDVIA3JNYQGI000 -> «2GTx03 in d» iucCGJDVIBDSNF3GK000[.]0ffice36o[.]com -> GJDVIBDSNF3GK000 -> «2GTx04 rive» viLxGJDVIBJAIMQGQ000[.]0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> «2GTx05 C h»
  40. 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Нормальное распределение длин поддоменов Аномалии в названии поддоменов log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com Что скрывается в этой строке на 231 символ? Утечка номеров кредитных карт через DNS
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public DNS как API – он есть, но его не мониторят NAME DNS IP NO C2 TOR PAYMENT Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Ключи шифрования Payment MSG
  42. 42. Ваш МСЭ (даже NGFW) умеет инспектировать DNS не только на уровне доступа к доменам, но и на уровне анализа запросов/ответоы
  43. 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Инспекция DNS – на уровне доменов q Инспекция DNS – на уровне объема запросов и ответов q Инспекция DNS – на уровне анализа имен/энтропии/длин доменов q Инспекция DNS – на уровне содержимого запросов и ответов DNS q Инспекция DNS – … q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  44. 44. Вы следите за своим сетевым оборудованием? Слепая зона
  45. 45. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да Начало 2000-х годов
  46. 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public VPNFilter Инструменты Тактики • Направлена на периметровые устройства • Перенаправляет и изменяет сетевой трафик Процессы • Брать все, искать интересующее • Заразить и закрепиться • Фреймворк для построения собственных ботнетов • Модульная архитектура для обновления • Сложная C2 & многоходовая платформа • Ботнет из периметровых сетевых устройств и систем хранения • Инфицировано свыше 500K уязвимых устройств (не Cisco) Описание DNS мониторинг NGFW, NGIPS NTA
  47. 47. Немного кино
  48. 48. Помните кино «Хакеры»?
  49. 49. Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
  50. 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом NASA • В апреле 2018 хакеры проникли во внутреннюю сеть NASA и украли 500 МБ данных по миссии на Марс • В качестве точки входа использовался портативный компьютер Raspberry Pi, установленный в сети NASA
  51. 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать купленное сетевое оборудование q Выстроить процесс устранения уязвимостей и установки патчей q Поддерживать актуальную конфигурацию сетевого оборудования q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  52. 52. Опять рекомендации повторяются! И они снова не связаны с классической защитой периметра!
  53. 53. Вспомним про вредоносный код Выбросьте антивирусы на помойку
  54. 54. Жизненный цикл уязвимости tv te td t0 ts tp ta Уязвимость появилась Эксплойт выпущен в мир Уязвимость известна вендору Уязвимость публично раскрыта Выпущена сигнатура для AV/IDS Выпущен патч Патч внедрен Окно незащищенности Атака 0day
  55. 55. Биржи скупки уязвимостей
  56. 56. И даже прямо ищут
  57. 57. • 0-Day для Adobe – 30000$ • 0-Day для Apple – 250000$ • Эксплойт-кит – 200-600$ • Blackhole эксплойт-кит – 700$ в месяц (лизинг) или 1500$ в год • Шпионское ПО – 200$ Разработка на заказ Примечание: цены могут постоянно меняться в ту или иную сторону
  58. 58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько фактов о 0day • Средняя длительность 0day-атаки составляет 312 дней (медиана – 8 месяцев) • После раскрытия 0day-уязвимости число использующего ее ВПО возрастает в 183-85000 раз, а число атак с ней возрастает на 5 (!) порядков • Эксплойты для 0day уязвимостей появляются в течение 30 дней после даты раскрытия уязвимости в 42% случаев Длительность 0day-атак
  59. 59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверяете антивирусу? А зря! Источник: Group-IB Нет антивируса 14% Kaspersky 44% Microsoft 16% Symantec 7% Dr.Web 8% Другие 11%
  60. 60. Почему антивируса недостаточно? Канал заражения • Интернет: E-mail • Интернет: Web • Внутри: Wi-Fi • Физический доступ: USB, цепочка поставок, обновление ПО, подрядчики Техника заражения • Старое ВПО • Известный эксплойт • Новый эксплойт к недавней уязвимости • 0day Сам вредонос • Старое ВПО – известный хэш • Известное тело – простые модификации • Новое тело + обфускация • Нет повторного использования прежних атак • Различные техники обхода на разных уровнях
  61. 61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Endpoint Network Dropper C2 Callbacks Payloads Command and Control Dropper Executes Email Opened File Encryption Delete Shadow Copies Payload Download Succeeds Key Exchange Email Payload Download Attempts 18 26 Ложных Блокировок Dropper Arrives Пользователь звонит в поддержку и спрашивает почему ИТ зашифровала ПК
  62. 62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Борьба с вирусами – удел не антивирусов, а целого комплекса защитных средств q Сегментировать сеть для локализации развития атаки q Отслеживать коммуникации с внешними узлами для обнаружения доступа к C2-серверами q EDR на оконечных устройствах q Инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников q Использование технологий машинного обучения для обнаружения вредоносной активности внутри зашифрованного трафика без его расшифрования q Использование расширений традиционных средств защиты
  63. 63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
  64. 64. Тайпсквоттинг
  65. 65. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мы часто ошибаемся, нажимая на клавиши • Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
  66. 66. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Куда вы попадете, набрав sbirbank.ru или sberbamk.ru? Это «безобидная» угроза, в отличие от злоумышленного использования доменов, похожих по написанию на «sberbank»
  67. 67. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Реальные примеры «опасных» доменов Уже существующие домены • sberbank.us • sberbank.org • sbervank.ru • zberbank.ru • wberbank.ru • sberbunk.ru Еще не задействованные домены • sberbani.ru • sberbanl.ru • sberrank.ru • 5berbank.ru • sberb4nk.ru • и сотни других
  68. 68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Домены, найденные утилитой URLcrazy
  69. 69. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Тайпсквотинговый домен связан с вредоносным кодом
  70. 70. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Locky – скандинавский бог обмана • Через вложение Email в фишинговой рассылке • Шифрует и переименовывает файлы с .locky расширением • Примерно 90,000 жертв в день • Выкуп порядка 0.5 – 1.0 BTC (1 BTC ~ $601 US) • Связан с операторами Dridex
  71. 71. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Locky: обнаружение инфраструктуры злоумышленника СЕНТЯБРЬ 12-26 ДНЕЙ Umbrella АВГУСТ 17 LOCKY *.7asel7[.]top ? Domain → IP Ассоциация ? IP → Sample Ассоциация ? IP → Network Ассоциация ? IP → Domain Ассоциация ? WHOIS Ассоциация ? Network → IP Ассоциация
  72. 72. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 91.223.89.201185.101.218.206 600+ Threat Grid files SHA256:0c9c328eb66672e f1b84475258b4999d6df008 *.7asel7[.]top LOCKY Domain → IP Ассоциация AS 197569IP → Network Ассоциация 1,000+ DGA domains ccerberhhyed5frqa[.]8211fr[.]top IP → Domain Ассоциация IP → Sample Ассоциация CERBER
  73. 73. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public -26 DAYS AUG 21 Umbrella JUL 18 JUL 21 Umbrella JUL 14 jbrktqnxklmuf[.]info mhrbuvcvhjakbisd[.]xyz LOCKY LOCKY DGA Network → Domain Ассоциация DGA Угроза обнаружена в день регистрации домена Угроза обнаружена до регистрации домена. ДОМЕН ЗАРЕГИСТРИРОВАН JUL 22
  74. 74. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Визуализация инфраструктуры трояна Tinba
  75. 75. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Bы мoжeтe найти oтличия? * - в названии слайда тоже есть ошибки J
  76. 76. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы можете найти отличия? a а≠ U+0061 латиница U+0430 кириллица * - в названии слайда уже нет ошибок J
  77. 77. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы можете найти отличия?
  78. 78. Проблема – не внутри вашей сети, а снаружи Жертва Оператор связи Сайт клонХакер • Вы можете убрать жертву? • Вы можете устранить хакера? • Вы можете переложить это на оператора? Остается только Интернет
  79. 79. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников q Использования источников Threat Intelligence с данными о фишинговых доменах q Регулярный мониторинг Интернет в поисках сайтов-клонов q Повышение осведомленности пользователей q Выстраивание системы защиты от фишинга
  80. 80. А что с фишингом?
  81. 81. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверим вашу наблюдательность katherinelangford.net kyt6ea4ak4bvo35lrw.net vs
  82. 82. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Да, вы правы в 100% случаев! Наверное J Rovnix Malware DGA-домен katherinelangford.net kyt6ea4ak4bvo35lrw.net vs
  83. 83. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверим вашу наблюдательность christinepatterson.net christinekirkpatrick.net vs
  84. 84. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Человеческий мозг дает сбой! Suppobox Malware DGA-домен christinekirkpatrick.net christinepatterson.net vs
  85. 85. Почему фишинг? • 80% успешных атак начинается с фишинга (а кто-то считает, что и вовсе 95%) • 10% сигналов тревоги в SOC связано с фишинговыми атаками • Рейтинг успешных кликов на фишинговые ссылки - 21% • Рейтинг загрузки/запуска вредоносных вложений – 11%
  86. 86. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рост фишинговых доменов 64% рост новых фишинговых доменов в Q1 2019 Источник: Cisco Umbrella Ежеквартально появляется около 500 тысяч новых фишинговых доменов
  87. 87. • Голос • SMS • MMS • Блоги • Соцсети • Мессенджеры Только e-mail / Web?
  88. 88. Как меня атаковали через соцсети
  89. 89. Spear Phishing набирает обороты Snapchat - CEO GCI - CFO
  90. 90. Spear Phishing набирает обороты Seagate - CEO Джон Подеста, глава избирательной кампании Хиллари Клинтон
  91. 91. Вспомним 12 апостолов сотрудников ГРУ
  92. 92. Психологи на службе хакеров Поисковые системы vs пиратское программное обеспечение В 27 раз большая вероятность доставки вредоносного контента Интернет-реклама vs порнография В 182 раза большая вероятность доставки вредоносного контента Интернет-торговля vs пиратское программное обеспечение В 21 раз большая вероятность доставки вредоносного контента
  93. 93. Но это не все Злоумышленники могут попасть внутрь вашей сети и другими способами
  94. 94. Взлом через Wi-Fi в контролируемой зоне
  95. 95. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Olympic Destroyer Инструменты Тактики • Цепочка поставок • Расширение плацдарма через WMI и PSEXEC • Автоматическое расширение плацдарма с украденными учетными данными Процессы • Кража учетных данных и расширение плацдарма • Фокусированная атака, направленная на получение политической выгоды • PSEXEC / WMI / Creds stealer / Browser stealer • Использование легальных системных утилит • Mimikatz и воровство учетных данных • Направлен на Олимпийские игры в Ю.Корее • Авторство приписывают Северной Корее Описание Борьба с ВПО Email Security DNS мониторинг NGFW, NGIPS NTA EDR
  96. 96. Подводим итоги Постоянно следите за тактиками, техниками и процедура (TTP) злоумышленников
  97. 97. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. E-mail 2. Web 3. Site-to-Site VPN 4. Remote Access VPN 5. Sharing resources 6. USB 7. Wi-Fi 8. Warez 9. BYOD 10. Embedded 11. Клиент-сервер с шифрованием 12. DevOps 13. Подрядчики 14. Уязвимость на портале 15. «Водопой» (Waterhole) 16. DNS 17. Облако 17 каналов проникновения плохих парней в вашу организацию
  98. 98. Атаки многоходовы и требуют комплексной защиты Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
  99. 99. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  100. 100. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ потока Сеть L2/L3 МСЭАнтивре- доносное ПО Аналитика угроз к внешним зонам Управление доступом + TrustSec к комплексу зданий к облаку Межсетевой экран нового поколения Зоны обще- доступ- ных серверов Сеть L2/L3 Мониторинг и контроль приложений (AVC) Безопасность веб-трафика Защита электронной почты Система предотвра- щения вторжений нового поколения Отказ в обслужи- вании (DDoS)VPN- концентратор Безопасность хоста МСЭ веб- приложений Баланси- ровщик нагрузки Транспорти- ровка Разгрузка функций безопасности транспортного уровня Интернет Защита периметра – это не только МСЭ и IPS
  101. 101. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Безопасность хоста Беспроводная сеть Предотвра- щение вторжений в беспроводной сети Оценка состояния Управление доступом + TrustSec Анализ потока Сеть L2/L3 Сеть L2/L3Безопасность хоста Идентификация Оценка состояния МСЭ Система предотвра- щения вторжений нового поколения Антивре- доносное ПО Анализ потокаАналитика угроз VPN Председатель правления, отправляющий электронные сообщения акционерам Менеджер по работе с клиентами, анализирующий базу данных клиентов Контроллер беспроводной сети Коммутатор Межсетевой экран нового поколения к ЦОД WAN Иденти- фикация Управление мобильными устройствами Анализ потокаУправление доступом + TrustSec Управление доступом + TrustSec Управление доступом + TrustSec Маршрутизатор Локальная сеть тоже должна защищаться
  102. 102. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть L2/L3 Управление доступом + TrustSec к комплексу зданий Зона общих сервисов Система предотвра- щения вторжений нового поколения Зона сервера приложений Зона соответствия стандартам PCI Зона базы данных Анализ потока Безопасность хоста Баланси- ровщик нагрузки Анализ потока МСЭ Антивре- доносное ПО Анали- тика угроз Управление доступом + TrustSec Система предотвра- щения вторжений нового поколения Межсетевой экран нового поколения Маршрутизатор Сеть L2/L3МСЭ VPN Коммута- тор МСЭ веб- приложений Централизованное управление Политики/ Конфигурация Мониторинг/ контекст Анализ/ корреляция Аналитика Регистрация в журнале/ отчетность Аналитика угроз Управление уязвимостями Мониторинг к периметру Виртуализированные функции WAN И ЦОД с облаками тоже
  103. 103. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сегментация и мониторинг внутренней сети Сегментация сети Обнаружение и классификация активов Понимание поведения Моделирование и разработка политик Применение политик Мониторинг активности ISE Software Defined Access StealthWatch Tetration
  104. 104. q Начать пересмотр стратегии кибербезопасности q Понять мотивацию злоумышленников для вашего предприятия q Учесть тактику, техники и процедуры (TTP), используемые злоумышленниками q Идентифицировать слабые звенья в организации, в сети, в системе защиты q Думать как злоумышленники – действовать как безопасники (применяйте Red Team / Blue Team) q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ» q Внедрить сегментацию инфраструктуры – 50% успеха q Внедрить мониторинг всей инфраструктуры – вторые 50% успеха Что надо делать компаниям?
  105. 105. q Сбалансировать технологии защиты (предотвращение, обнаружение и реагирование) – вместо соотношения 80-15-5 перейдите к 33-33-34 q Задуматься о безопасности внутренней сети также, как защищается периметр. А также о безопасности облаков (включая доступ к ним) и мобильных устройств q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные устройства, 3G/4G-модемы, облака и т.п.) q Внедрить систему Threat Intelligence для раннего предупреждения об угрозах q Повышение осведомленности персонала Что надо делать компаниям?
  106. 106. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public CISCO CYBERSECURITY SERIES 2019 Consumer Privacy Survey 1 CISCO CYBERSECURITY SERIES 2019 • DATA PRIVACY NOVEMBER 2019 Consumer Privacy Survey The growing imperative of getting data privacy right Cisco Cybersecurity Report Series 2020 CISO Benchmark Study Securing What's Now and What's Next 20 Cybersecurity Considerations for 2020 CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY JANUARY 2020 From Privacy to Profit: Achieving Positive Returns on Privacy Investments Cisco Data Privacy Benchmark Study 2020 Отчеты по безопасности на cisco.com/go/securityreports Дополнительная информация
  107. 107. Спасибо за внимание! security-request@cisco.com

×