Документ описывает различные способы проникновения во внутренние сети компаний, анализируя примеры крупных инцидентов, таких как взлом Equifax и British Airways. Он выделяет ключевые этапы атак, методы эксплуатации уязвимостей и их последствия, а также предлагает рекомендации по улучшению защиты и мониторинга сетевой инфраструктуры. Основное внимание уделяется процессам управления уязвимостями, мониторингу трафика и сегментации сети для предотвращения несанкционированного доступа.

1. Алексей Лукацкий
Бизнес-консультант по безопасности
17 способов
проникновения во
внутреннюю сеть
компании

2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как мы защищаем себя… ISP
Оператор
связи
ЛВС
Внутренняя сеть
DMZ
Периметр
Интернет
МСЭ в HA
Ключевые
функции
Надежность (масштабирование)
Продвинутый контроль доступа
Блокирование доступа к
вредоносным IP, URL, DNS
NAT/PAT (динамика ) NAT
(статика)
Remote Access VPN
Site to Site VPN
Обнаружение вредоносного
сетевого трафика
Контроль передачи файлов,
блокирование вредоносных
Динамический анализ
неизвестных файлов
Ключевые
возможности
HA или кластеризация
Приложения, URL, пользователи,
и TrustSec Policy с SGT
Talos Security Intelligence
Carrier Grade NAT
Cisco AnyConnect
Point to Point, Hub and Spoke,
Full mesh
NG IPS
Advanced Malware Protection
Интеграция Threat Grid

3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сеть
Пользователи
Головной офис
ЦОД
Администратор
Филиал
Посмотрите на современную, вашу, сеть
Мобильные пользователи
Облако
Какие варианты проникновения в нее существуют?

4. Взлом Equifax
Пострадало 148 миллионов человек
Штраф в 700 миллионов долларов

5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что случилось с Equifax
• Equifax – американское бюро
кредитных историй
• 7 сентября 2017 стало известно о
взломе Equifax и утечке
персональных данных 148 миллионов
человек из США, Канады и других
стран
• 14 сентября Equifax подтвердил
взлом
• В августе 2018 года GAO выпустил
детальный отчет о взломе

6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 1. Обнаружение уязвимости
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax
(Apache Struts), позволившую получить
доступ к Web-порталу и выполнять на нем
команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было

7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 2. Эксплуатация уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее
зашифрованное соединение
для генерации
запросов/получения ответов

8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 3. Скрытие активности и обнаружение
логинов/паролей администратора
• Шифрованный канал позволял
долго оставаться незамеченным
• Злоумышленники проникли на
внутренние сервера баз данных
и в течение 76 дней
осуществляли кражу и выкачку
данных (9000 запросов)
• Также злоумышленники смогли
узнать незашифрованные
логины и пароли к 51 другим БД
Equifax

9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 4. Обнаружение инцидента
• 29 июля Equifax обнаружил
инцидент в рамках обычной
процедуру проверки ОС и
конфигураций ИТ-систем
• Equifax использовала решение
FireEye по обнаружению
вредоносного трафика, которое
не смогло анализировать
зашифрованный трафик из-за
просроченного сертификата,
позволяющего реализовать
MitM

10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 5. Расследование инцидента
• После обновления сертификата
администратор Equifax смог обнаружить
признаки взлома в зашифрованном
трафике
• Equifax заблокировал ряд IP-адресов, с
которыми взаимодействовала вредоносная
программа
• 30 июля CISO информировал CEO об атаке
• Расследование длилось с 2 августа по 2
октября

11. Это была не одноходовка!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Причины инцидента
• Невыстроенный процесс управления уязвимостями
Список лиц, которым направлялось уведомление US CERT, был устаревшим
Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале
• Скрытие активности в шифрованном канале
• Отсутствие сегментации в сети
• Логины и пароли в открытом виде
• Ненастроенное средство инспекции сетевого трафика с просроченным
сертификатом
И при это защита периметра была выстроена!

13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
На что надо было
обратить
внимание?!
Индикаторы
компрометации
q Превышение объема
исходящего трафика
q Соединение с редко
используемыми доменами
q Необычный доступ с Web-
сервера к оконечным
устройствам внутри сети
q Необычные взаимодействия
родительского и дочернего
процессов на узле
q Редкий процесс на узле

14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Выстроить процесс устранения уязвимостей и установки патчей
q Тесно контактировать с ИТ-командой, отвечающей за процесс
управления патчами и иметь актуальный список лиц, которые
занимаются устранением дыр
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Поддерживать актуальную конфигурацию как сетевого
оборудования, так и средств защиты
q Отслеживать изменения на Web-серверах и серверах БД

15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Сегментировать сеть для предотвращения несанкционированного
доступа
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Понимать риски использования злоумышленниками шифрования для
скрытия своей активности и использования решений, которые
борются с этим (EDR на оконечных устройствах, устройства для SSL
Offload, инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников, использование технологий
машинного обучения для обнаружения вредоносной активности
внутри зашифрованного трафика без его расшифрования)

16. А у вас выполнены эти рекомендации?

17. Взлом British Airways
Пострадало 0,5 миллиона человек
Штраф в 230 миллионов долларов

18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом British Airways
• Между 21 августа и 5
сентября 2018 года
хакерская группа Magecart
(или маскирующаяся под
нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов

19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а
CDN, используемый провайдерами
связи для кеширования
популярных ресурсов или сервер
третьей стороны

20. И вновь это не одноходовка
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать ПО, полученное из третьих рук
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Отслеживать изменения на Web-серверах и серверах БД и
выстроить процесс контроля целостности используемого ПО и
скриптов

22. Обратите внимание – рекомендации
повторяются, хотя кейс совсем иной!

23. Атака на MAERSK
Ущерб 250-300 миллионов долларов

24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как MAERSK попал под раздачу?
• В июне 2017-го года MAERSK
случайно попал под раздачу
вредоносного кода Nyetya
• На момент атаки 100%
установленных патчей
• 7 минут после начала
заражения – большая часть
сети «легла»
• 1 час после начала заражения –
нанесен основной ущерб

25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Nyetya
Presentation ID
Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Быстрое распространение
• Разрушение систем / сетей
Процессы
• Разработан для максимально быстрого и
эффективного нанесения ущерба
• Похож на вымогателя, но является
деструктивным по сути
• Ransomware с тактикой червя
• Спроектирован для распространения внутри,
не снаружи
• Использование Eternal Blue / Eternal Romance
и Admin Tools (WMI/PSExec)
• Продвинутый актор, ассоциированный с
государством
• Деструктивная атака маскировалась под
Ransomware
• Наиболее дорогой инцидент в истории
Описание

26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что произошло в MAERSK за 7 минут
• 49000 лептопов уничтожено
• Все сервисы печати неработоспособны
• Файлшары недоступны
• DHCP и AD неработоспособны (47 копий AD из 48)
• Корпоративная сервисная шина неработоспособна
• vCenter неработоспособен
• 1200 приложений недоступно; 1000 – неработоспособно
• 3500 из 6200 серверов неработоспособно

27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Восстановление MAERSK
• 9 дней – восстановлен AD и первые
2000 лэптопов
• 2 недели с начала атаки –
восстановлены все глобальные
приложения
• 4 недели – восстановлены все
лэптопы
Восстановление из резервной копии
приводило к повторному заражению

28. А вы доверяете своим поставщикам ПО?

29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
CCleaner Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Медленная внутренняя разведка
• Сложная многоходовая атака
Процессы
• Высокоточная идентификация жертв
через датамайнинг
• Ориентирован на скрытность, рассчитан
на долгую «игру»
• Целевой фишинг
• Комплексная разведка и профилирование
цели
• Кейлогер и вор пользовательских учетных
данных
• Продвинутый актор, ассоциированный с
государством
• Возможность выполнять сложные и
длинные операции, фокусированные на
краже интеллектуальной собственности
Описание

30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атака «водопой» (water hole)
Взлом ASUS, Avast,
поставщиков
промышленного ПО и
др.

31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать ПО, полученное из третьих рук
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа

32. Обратите внимание – рекомендации
повторяются, хотя и этот кейс совсем
иной! И они снова не связаны с
классической защитой периметра!

33. Кампания DNSpionage
и Sea Turtle
Невидимость в течение двух лет

34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как работает DNS?
DNS-сервер
“Где находится web-сайт?"
“Вот IP-
адрес web-
сайта.”
Web-сайт
Иди по IP-
адресу, чтобы
увидеть этот
сайт.
www.example.com

35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Где DNS-сервер
сайта?
02
Какой IP-адрес
сайта?
03
Web-сайт находится
по IP-адресу.
04
Где TLD-сервер
сайта?
01
Как работает DNS… в деталях
DNS Resolver
Корневой DNS-сервер
“Где находится web-сайт?”
02
03
Web-сайт
www.example.com
TLD DNS-сервер
DNS-сервер
01
04

36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атака DNS redirection
“Где находится web-
сайт?"
“Вот IP-адрес web-сайта.”
Web-сайт
Скомпрометированный
DNS-сервер
Вредоносный сайт
www.example.com

37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Где находится web-
сайт?”
Где DNS-сервер
сайта?
02
Записи DNS-сервера
подменены.
03
IP-адрес
возвращается для
фальшивого сайта.
04
Где TLD-сервер
сайта?
01
Кампания DNSpionage
DNS Resolver
Корневой DNS-сервер
02
TLD DNS-сервер
Скомпрометированный
DNS-сервер
01
03
Web-сайт
04
Сайт «посередине»
www.example.com

38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Кампания DNSpionage
• Фальшивый сайт для поиска работы,
разрекламированный через LinkedIn
• Файл MS Word с внедренными
макросами (при открытии и закрытии)
• Запуск RAT на жертве,
взаимодействующем с C2-сервером
• Команды и результаты работы
отправлялись по HTTP или DNS
Фальшивая вакансия с внедренными
макросами

39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Кампания DNSpionage
Клиент ⇒ RoyNGBDVIAA0[.]0ffice36o[.]com
0GTx00
base32 Возврат IP-адреса 100.105.114.0 ⇒ клиент
dirx00
ASCII
gLtAGJDVIAJAKZXWY000[.]0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol»
TwGHGJDVIATVNVSSA000[.]0ffice36o[.]com -> GJDVIATVNVSSA000 -> «2GTx02 ume»
1QMUGJDVIA3JNYQGI000[.]0ffice36o[.]com -> GJDVIA3JNYQGI000 -> «2GTx03 in d»
iucCGJDVIBDSNF3GK000[.]0ffice36o[.]com -> GJDVIBDSNF3GK000 -> «2GTx04 rive»
viLxGJDVIBJAIMQGQ000[.]0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> «2GTx05 C h»

40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?
Утечка номеров кредитных карт через DNS

41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
DNS как API – он есть, но его не мониторят
NAME DNS IP NO C2 TOR PAYMENT
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Ключи шифрования Payment MSG

42. Ваш МСЭ (даже NGFW) умеет
инспектировать DNS не только на
уровне доступа к доменам, но и на
уровне анализа запросов/ответоы

43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Инспекция DNS – на уровне доменов
q Инспекция DNS – на уровне объема запросов и ответов
q Инспекция DNS – на уровне анализа имен/энтропии/длин доменов
q Инспекция DNS – на уровне содержимого запросов и ответов DNS
q Инспекция DNS – …
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа

44. Вы следите за своим
сетевым
оборудованием?
Слепая зона

45. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов

46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
VPNFilter Инструменты
Тактики
• Направлена на периметровые устройства
• Перенаправляет и изменяет сетевой трафик
Процессы
• Брать все, искать интересующее
• Заразить и закрепиться
• Фреймворк для построения собственных
ботнетов
• Модульная архитектура для обновления
• Сложная C2 & многоходовая платформа
• Ботнет из периметровых сетевых
устройств и систем хранения
• Инфицировано свыше 500K
уязвимых устройств (не Cisco)
Описание
DNS
мониторинг
NGFW, NGIPS
NTA

47. Немного кино

48. Помните кино «Хакеры»?

49. Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом NASA
• В апреле 2018 хакеры проникли во
внутреннюю сеть NASA и украли 500
МБ данных по миссии на Марс
• В качестве точки входа использовался
портативный компьютер Raspberry Pi,
установленный в сети NASA

51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать купленное сетевое оборудование
q Выстроить процесс устранения уязвимостей и установки патчей
q Поддерживать актуальную конфигурацию сетевого оборудования
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа

52. Опять рекомендации повторяются! И они
снова не связаны с классической
защитой периметра!

53. Вспомним про
вредоносный код
Выбросьте антивирусы на помойку

54. Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
Уязвимость
известна
вендору
Уязвимость
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day

55. Биржи скупки уязвимостей

56. И даже прямо ищут

57. • 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону

58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько фактов о 0day
• Средняя длительность 0day-атаки
составляет 312 дней (медиана – 8
месяцев)
• После раскрытия 0day-уязвимости
число использующего ее ВПО
возрастает в 183-85000 раз, а число
атак с ней возрастает на 5 (!) порядков
• Эксплойты для 0day уязвимостей
появляются в течение 30 дней после
даты раскрытия уязвимости в 42%
случаев
Длительность 0day-атак

59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверяете антивирусу? А зря!
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%

60. Почему антивируса недостаточно?
Канал заражения
• Интернет: E-mail
• Интернет: Web
• Внутри: Wi-Fi
• Физический доступ:
USB, цепочка поставок,
обновление ПО,
подрядчики
Техника заражения
• Старое ВПО
• Известный эксплойт
• Новый эксплойт к
недавней уязвимости
• 0day
Сам вредонос
• Старое ВПО – известный
хэш
• Известное тело –
простые модификации
• Новое тело +
обфускация
• Нет повторного
использования прежних
атак
• Различные техники
обхода на разных
уровнях

61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Endpoint
Network
Dropper
C2 Callbacks
Payloads
Command and
Control
Dropper
Executes
Email
Opened
File
Encryption
Delete
Shadow
Copies
Payload
Download
Succeeds
Key
Exchange
Email
Payload Download
Attempts
18
26 Ложных
Блокировок
Dropper
Arrives
Пользователь
звонит в
поддержку и
спрашивает
почему ИТ
зашифровала
ПК

62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Борьба с вирусами – удел не антивирусов, а целого комплекса
защитных средств
q Сегментировать сеть для локализации развития атаки
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к C2-серверами
q EDR на оконечных устройствах
q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использование технологий машинного обучения для обнаружения
вредоносной активности внутри зашифрованного трафика без его
расшифрования
q Использование расширений традиционных средств защиты

63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence

64. Тайпсквоттинг

65. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мы часто ошибаемся, нажимая на клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?

66. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Куда вы попадете, набрав sbirbank.ru или
sberbamk.ru?
Это «безобидная» угроза, в отличие от злоумышленного
использования доменов, похожих по написанию на «sberbank»

67. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Реальные примеры «опасных» доменов
Уже существующие
домены
• sberbank.us
• sberbank.org
• sbervank.ru
• zberbank.ru
• wberbank.ru
• sberbunk.ru
Еще не
задействованные
домены
• sberbani.ru
• sberbanl.ru
• sberrank.ru
• 5berbank.ru
• sberb4nk.ru
• и сотни других

68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Домены, найденные утилитой URLcrazy

69. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Тайпсквотинговый домен связан с
вредоносным кодом

70. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Locky – скандинавский бог обмана
• Через вложение Email в
фишинговой рассылке
• Шифрует и
переименовывает файлы с
.locky расширением
• Примерно 90,000 жертв в
день
• Выкуп порядка 0.5 – 1.0
BTC (1 BTC ~ $601 US)
• Связан с операторами
Dridex

71. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Locky: обнаружение инфраструктуры
злоумышленника
СЕНТЯБРЬ 12-26 ДНЕЙ
Umbrella
АВГУСТ 17
LOCKY
*.7asel7[.]top
?
Domain → IP
Ассоциация
?
IP → Sample
Ассоциация
?
IP → Network
Ассоциация
?
IP → Domain
Ассоциация
?
WHOIS
Ассоциация
?
Network → IP
Ассоциация

72. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
91.223.89.201185.101.218.206
600+
Threat Grid files
SHA256:0c9c328eb66672e
f1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IP
Ассоциация
AS 197569IP → Network
Ассоциация
1,000+
DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → Domain
Ассоциация
IP → Sample
Ассоциация
CERBER

73. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
-26 DAYS AUG 21
Umbrella
JUL 18
JUL 21
Umbrella
JUL 14
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → Domain
Ассоциация
DGA
Угроза обнаружена в
день регистрации домена
Угроза обнаружена до
регистрации домена.
ДОМЕН
ЗАРЕГИСТРИРОВАН
JUL 22

74. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Визуализация инфраструктуры трояна Tinba

75. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Bы мoжeтe найти oтличия?
* - в названии слайда тоже есть ошибки J

76. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы можете найти отличия?
a а≠
U+0061
латиница
U+0430
кириллица
* - в названии слайда уже нет ошибок J

77. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы можете найти отличия?

78. Проблема – не внутри вашей сети, а снаружи
Жертва
Оператор
связи
Сайт клонХакер
• Вы можете убрать жертву?
• Вы можете устранить хакера?
• Вы можете переложить это на оператора?
Остается
только
Интернет

79. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использования источников Threat Intelligence с данными о
фишинговых доменах
q Регулярный мониторинг Интернет в поисках сайтов-клонов
q Повышение осведомленности пользователей
q Выстраивание системы защиты от фишинга

80. А что с фишингом?

81. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверим вашу наблюдательность
katherinelangford.net
kyt6ea4ak4bvo35lrw.net
vs

82. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Да, вы правы в 100% случаев! Наверное J
Rovnix Malware DGA-домен
katherinelangford.net kyt6ea4ak4bvo35lrw.net
vs

83. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверим вашу наблюдательность
christinepatterson.net
christinekirkpatrick.net
vs

84. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Человеческий мозг дает сбой!
Suppobox Malware DGA-домен
christinekirkpatrick.net christinepatterson.net
vs

85. Почему фишинг?
• 80% успешных атак начинается с
фишинга (а кто-то считает, что и вовсе
95%)
• 10% сигналов тревоги в SOC связано с
фишинговыми атаками
• Рейтинг успешных кликов на фишинговые
ссылки - 21%
• Рейтинг загрузки/запуска вредоносных
вложений – 11%

86. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рост фишинговых доменов
64% рост новых фишинговых доменов в Q1 2019
Источник: Cisco Umbrella
Ежеквартально появляется около 500 тысяч новых фишинговых доменов

87. • Голос
• SMS
• MMS
• Блоги
• Соцсети
• Мессенджеры
Только e-mail / Web?

88. Как меня атаковали через соцсети

89. Spear Phishing набирает обороты
Snapchat - CEO GCI - CFO

90. Spear Phishing набирает обороты
Seagate - CEO Джон Подеста, глава избирательной кампании
Хиллари Клинтон

91. Вспомним 12 апостолов сотрудников ГРУ

92. Психологи на службе хакеров
Поисковые системы vs пиратское программное
обеспечение
В 27 раз большая вероятность
доставки вредоносного контента
Интернет-реклама vs порнография
В 182 раза большая вероятность
доставки вредоносного контента
Интернет-торговля vs пиратское программное
обеспечение
В 21 раз большая вероятность
доставки вредоносного контента

93. Но это не все
Злоумышленники могут попасть
внутрь вашей сети и другими
способами

94. Взлом через Wi-Fi в контролируемой зоне

95. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Olympic Destroyer Инструменты
Тактики
• Цепочка поставок
• Расширение плацдарма через WMI и PSEXEC
• Автоматическое расширение плацдарма с
украденными учетными данными
Процессы
• Кража учетных данных и расширение
плацдарма
• Фокусированная атака, направленная на
получение политической выгоды
• PSEXEC / WMI / Creds stealer / Browser stealer
• Использование легальных системных утилит
• Mimikatz и воровство учетных данных
• Направлен на Олимпийские игры в Ю.Корее
• Авторство приписывают Северной Корее
Описание
Борьба
с ВПО
Email
Security
DNS
мониторинг
NGFW, NGIPS
NTA EDR

96. Подводим итоги
Постоянно следите за тактиками,
техниками и процедура (TTP)
злоумышленников

97. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access
VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. Уязвимость на
портале
15. «Водопой»
(Waterhole)
16. DNS
17. Облако
17 каналов проникновения плохих парней в
вашу организацию

98. Атаки многоходовы и требуют комплексной
защиты
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение

99. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public

100. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Анализ потока
Сеть
L2/L3
МСЭАнтивре-
доносное
ПО
Аналитика
угроз
к внешним зонам
Управление
доступом +
TrustSec
к комплексу
зданий
к облаку
Межсетевой экран нового поколения
Зоны
обще-
доступ-
ных
серверов Сеть
L2/L3
Мониторинг
и контроль
приложений
(AVC)
Безопасность
веб-трафика
Защита
электронной
почты
Система
предотвра-
щения
вторжений
нового
поколения
Отказ
в обслужи-
вании
(DDoS)VPN-
концентратор
Безопасность
хоста
МСЭ
веб-
приложений
Баланси-
ровщик
нагрузки
Транспорти-
ровка
Разгрузка
функций
безопасности
транспортного
уровня
Интернет
Защита периметра – это не только МСЭ и IPS

101. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Безопасность
хоста
Беспроводная
сеть
Предотвра-
щение
вторжений
в беспроводной
сети
Оценка
состояния
Управление
доступом +
TrustSec
Анализ потока
Сеть
L2/L3
Сеть L2/L3Безопасность
хоста
Идентификация Оценка
состояния
МСЭ Система
предотвра-
щения
вторжений
нового
поколения
Антивре-
доносное ПО
Анализ потокаАналитика
угроз
VPN
Председатель правления,
отправляющий электронные сообщения акционерам
Менеджер по работе с
клиентами,
анализирующий базу
данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОД
WAN
Иденти-
фикация
Управление
мобильными
устройствами
Анализ потокаУправление
доступом +
TrustSec
Управление
доступом +
TrustSec
Управление
доступом +
TrustSec
Маршрутизатор
Локальная сеть тоже должна защищаться

102. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сеть
L2/L3
Управление
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
приложений
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
Управление
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
приложений
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
Управление
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
И ЦОД с облаками тоже

103. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сегментация и мониторинг внутренней сети
Сегментация
сети
Обнаружение и
классификация активов
Понимание поведения
Моделирование и
разработка политик
Применение
политик
Мониторинг активности
ISE
Software Defined
Access
StealthWatch
Tetration

104. q Начать пересмотр стратегии кибербезопасности
q Понять мотивацию злоумышленников для вашего предприятия
q Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
q Идентифицировать слабые звенья в организации, в сети, в
системе защиты
q Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
q Внедрить сегментацию инфраструктуры – 50% успеха
q Внедрить мониторинг всей инфраструктуры – вторые 50%
успеха
Что надо делать компаниям?

105. q Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
q Задуматься о безопасности внутренней сети также, как
защищается периметр. А также о безопасности облаков
(включая доступ к ним) и мобильных устройств
q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные
устройства, 3G/4G-модемы, облака и т.п.)
q Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
q Повышение осведомленности персонала
Что надо делать компаниям?

106. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
CISCO CYBERSECURITY SERIES 2019 Consumer Privacy Survey
1
CISCO CYBERSECURITY SERIES 2019 • DATA PRIVACY
NOVEMBER 2019
Consumer
Privacy Survey
The growing imperative of getting
data privacy right
Cisco Cybersecurity Report Series 2020
CISO Benchmark Study
Securing What's Now
and What's Next
20 Cybersecurity Considerations for 2020
CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY
JANUARY 2020
From Privacy to Profit:
Achieving Positive Returns
on Privacy Investments
Cisco Data Privacy Benchmark Study 2020
Отчеты по безопасности на cisco.com/go/securityreports
Дополнительная информация

107. Спасибо
за
внимание!
security-request@cisco.com