Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Целевые атаки: прицелься первым

679 views

Published on

Ведущий: Владимир Иванов и Сергей Гордейчик

Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.

Published in: Art & Photos
  • Be the first to comment

Целевые атаки: прицелься первым

  1. 1. Целенаправленные атаки Прицелься первым Владимир Иванов Сергей Гордейчик
  2. 2. На что я буду ссылаться
  3. 3. https://www.youtube.com/watch?v=bDJb8WOJYdA
  4. 4. https://www.youtube.com/watch?v=qlk4JDOiivM
  5. 5. На что похожа типичная сеть?
  6. 6. Мне нужен самый простой свич для heartbeat. Их сеть пакеты теряет, и у нас кластер разваливается. Мы поставим выделенный свич, подключим к нему ноды кластера. > Зачем это тебе?
  7. 7. Высокоуровневая карта сети 7
  8. 8. Security Day 2016 Высокоуровневая карта сети 8
  9. 9. Чем гордится сисадмин?
  10. 10. Дивный новый мир
  11. 11. /* shocker: docker PoC VMM-container breakout (C) 2014 Sebastian Krahmer * * Demonstrates that any given docker image someone is asking * you to run in your docker setup can access ANY file on your host, * e.g. dumping hosts /etc/shadow or other sensitive info, compromising * security of the host and any other docker VM's on it. https://github.com/gabrtv/shocker/blob/master/shocker.c
  12. 12. FROM ubuntu:14.04 RUN apt-get update && apt-get upgrade RUN apt-get install -y curl RUN cd /usr/local && curl http://nodejs.org/... | tar … -zxf- RUN npm -g update npm RUN npm install -g forever ADD . /opt/apps/node-docker RUN cd /opt/apps/node-docker && npm install EXPOSE 8000 CMD forever /opt/apps/node-docker/app.js
  13. 13. http://www.slideshare.net/jpetazzo/is-it-safe-to-run-applications-in-linux-containers
  14. 14. alias ssh = “LD_LIBRARY_PATH=/usr/lib/mylibc.so ssh”
  15. 15. Дело «ОБ УПАВШЕМ БАНКОМАТЕ»
  16. 16. Результаты расследования Скомпрометирован контроллер домена сети банкоматов На банкоматы установлены «USB-сниферы» Сниферы собирают информацию о карточках клиентов Информация монетизируются через другие банки Основная IT-сеть и сетевой периметр не содержит следов атаки
  17. 17. Результаты расследования Анализ инструментов: загрузка на VirusTotal из нескольких сетей Один из источников: крупный телеком-провайдер Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка Совместный анализ инцидента Источник атаки – магистраль MPLS подрядчика-телекома
  18. 18. Техники, тактики и процедуры Не обязательно быть целью, чтобы быть жертвой Атаки на подрядчиков Атаки на инфраструктуры банков В дополнение к атакам на клиентов Сложная монетизация Metel Carbanak и другие… http://bit.ly/1NySY1a Ольга Кочетова Malware and non-malware ways for ATM jackpotting. Extended cut
  19. 19. Дело «о зашифрованном диске» 2 2
  20. 20. Результаты расследования Более 500 станций под контролем злоумышленников Проникновение произошло более 6 месяцев назад Доступ был перепродан на черном рынке Шифрование – ошибка оператора
  21. 21. Техники, тактики и процедуры Обработка результатов массовых атак Выбор «вкусных» целей Черный рынок НСД Инсайдеры Пароли Уничтожение данных Black Energy Saudi Aramco и другие… Руслан Стоянов Русскоязычная финансовая киберпреступность: как это работает http://bit.ly/23S2ZIZ
  22. 22. Дело «О ПОЖАРНОМ КРАНЕ»
  23. 23. Анализ защищенности Резервная копия web-сервера на ftp-сервере подрядчика Пароли web-сервера подходят к VPN Сенсоры системы пожаротушения в корпоративной сети Система управления пожаротушением в технологической сети Полный доступ к SCADA и PLC из Интернета за 3 дня
  24. 24. : обратная сторона периметра
  25. 25. Duqu miniFlame Gauss Icefog Winnti NetTraveler Miniduke Epic Turla Energetic Bear / Crouching Yeti RedOctober CosmicDuke Darkhotel Careto / The Mask Regin 2010 Sofacy Carbanak Desert Falcons Equation Naikon Hellsing TeamSpy Duqu 2.0 Animal Farm Kimsuky Stuxnet Flame2011 2012 2013 2014 2015 Darkhotel – part 2. MsnMM Compaigns Satellite Turla Wild Neutron Blue Termite Spring Dragon В среднем 2-3 новых отчета об APT-угрозах в месяц В марте 2016 г. – заказчикам APT Intelligence Reporting предоставлено 4 отчета (в том числе новая активность Carbanak) В активной фазе расследование по 12 кампаниям
  26. 26. http://www.aup.ru/books/m56/5_1.htm Г.Я. Гольдштейн Стратегические аспекты управления НИОКР
  27. 27. Выживание в любой ситуации 34 Изменение прошивок Seagate, Western Digital, IBM, Toshiba, Samsung, Maxtor «Выживает» при форматировании «Невидимая» область данных Может использоваться для выноса данных из изолированных сетей
  28. 28. Работа в закрытых сетях 35 Заражение флэш-накопителей Запуск в изолированных сетях Сбор информации о сети Копирование информации при подключении к сети Получение дальнейших команд
  29. 29. DUQU 2.0 36 3 «новых» уязвимости Украденные сертификаты Заражение через контроллеры Минимум файловых IoC Пиринговая сеть
  30. 30. Побочный ущерб 37 DUQU 2.0 DarkHotel
  31. 31. 38
  32. 32. Целевые атаки: уже повседневность Криминальные группы и государственные организации Региональные и нишевые атаки: Банки Кража денег, персональных данных Государственные органы Шпионаж Производство Промышленный шпионаж Телеком Доступ к биллингу, системам самообслуживания Медиа Электронная почта, новостные порталы
  33. 33. детский сад школа контракторы фитнесс центр штаб-квартира
  34. 34. Endpoint protection is dead 4 1
  35. 35. Security Day 2015 Malware не работает автономно 4 2
  36. 36. ISD в сети
  37. 37. Как отличить подозрительное • Обнаружение аномалий • Подозрительные адреса • Подозрительные домены • Подозрительные запросы • Подозрительный траффик • Сигнатуры • Общее место
  38. 38. Как отличить подозрительное 4 5
  39. 39. Сколько «заражений» предотвращает антивирус в сети на 10000 рабочих станций в неделю?
  40. 40. permit ip any any log
  41. 41. Buzzword Bingo
  42. 42. http://bit.ly/23S2ZIZ
  43. 43. 2004: Personal Firewalls/HIPS https://securityvulns.com/advisories/bypassing.asp https://hacktivity.com/en/downloads/archives/429/ Перепрыгиваем … 2014: Sandbox
  44. 44. Игры в песочнице • Выявление • Выявление виртуализации • Выявление трассировок • Железо/ПО/ОС • Обход • Игры со временем • Посчитать что-то • CAPTCHA • Утечки информации • Взлом
  45. 45. Выявление • Виртуализация • Sandbox: qemu/virtualbox/KVM/«proprietary» • Ent:HyperV/VmWare/Citrix • Серверная/клиентская виртуализация • Железо/ПО/ОС • CPU/RAM/экрана/периферия/сеть… • ПО для отладки/несовпадение с «разведкой» • «Чистая» память, состояние системы • Устаревшие ОС
  46. 46. To jump or not to jump http://pelevin.nov.ru/images/Scorpion.html
  47. 47. Neutrino – DDoS-бот • IsDebuggerPresent • CheckRemoteDebuggerPresent(GetCurrentProcess(), pDebuggerPresent) • GetProcAddress(GetModuleHandleW(“kernel32.dll”), “wine_get_unix_file_name”) • GetUserNameW vs {“MALTEST“, “TEQUILABOOMBOOM“, “SANDBOX“, “VIRUS“,”MALWARE“} • GetModuleNameW vs {“SAMPLE“, “VIRUS“, “SANDBOX” } • “HARDWAREDescriptionSystem“, value “SystemBiosVersion” against: {“VBOX“, “QEMU“, “BOCHS“} • “HARDWAREDescriptionSystem“, value “VideoBiosVersion” against: “VIRTUALBOX“ • “HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id“, value “Identifier“), against {“VMWARE“, “VBOX“, “QEMU“} • VMWareTools, via registry key: SOFTWAREVMware, Inc.VMware Tools • VBoxGuestAdditions, via registry key: SOFTWAREOracleVirtualBox Guest Additions • …
  48. 48. Обход •CAPTCHA • Осмысленный пользовательский ввод • Последовательность действий • Взаимосвязь с корпоративным ПО/настройками (dll) •Игры со временем • “Sleep” a lot • Внешние источники • NTP/DNS/HTTP/… • Расшифровать себя • … http://bit.ly/1NuMaSt
  49. 49. http://cuckoo-droid.readthedocs.io/en/latest/installation/guest_android_device/architecture/
  50. 50. https://threatpost.com/using-kernel-exploits-bypass-sandboxes-fun-and-profit-031813/77638/
  51. 51. Обработка данных из (очень-очень) недоверенного источника http://bit.ly/1VXzCpt
  52. 52. Как обойти обходы? •Быть как цель •Железо/ПО/ОС •Вести себя как цель •Пользовательский ввод •Сетевая активность •Работать долго
  53. 53. 2004: Personal Firewalls/HIPS https://securityvulns.com/advisories/bypassing.asp https://hacktivity.com/en/downloads/archives/429/ Bypassing 2014: Sandbox 2018: NG AV/EEP/EDR Endpoint Protection Next Generation, old problems J. Rand the Hacker AnyCon 2018
  54. 54. Сколько нужно чтобы “украсть” все?!
  55. 55. ~40 секунд
  56. 56. A thousand battles, a thousand victories • Awareness • Process • Preventive tools FW/AV/IPS/WAF… Exploit Prevention AND FIGHT AS YOU TRAIN TRAIN AS YOU FIGHT PREVENT DETECT • (all these)SandBox • Network/Host Behavior • (NG)SIEM RESPOND • Incident response • Network/Host Forensic • Enterprise Response tools CLOTHE THEE IN WAR ARM THEE IN PEACE PREDICT • Security assessment • Threat Intelligence KNOW YOURSELF KNOW THE ENEMY SI VI SPACEM PARA BELUM
  57. 57. Целенаправленные атаки Прицелься первым Владимир Иванов ivlad@yandex.com Сергей Гордейчик 1337@kaspersky.com

×