Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Чего ждать от козлов в своих огородах

1,340 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Чего ждать от козлов в своих огородах

  1. 1. СТР. 1 | Что ждать от козлов в своих огородах PHDays 2014 Что ждать от козлов в своих огородах Дмитрий Тараканов
  2. 2. СТР. 2 | Что ждать от козлов в своих огородах Цель компрометации Кража данных (базы данных, проходящие данные, переписка) Кража интеллектуальной собственности Кража денег (банковские троянцы) Саботаж
  3. 3. СТР. 3 | Что ждать от козлов в своих огородах Инструменты Бэкдоры: RDP, удаленный шелл, средства удаленного управления (RMS, Team Viewer, др.), собственные разработки Кей-логгеры Банковские троянцы Масса хакерских программ: дамп сохраненных паролей, восстановление паролей, информация о системе, сетевое окружение, работа с базами данных, снятие защиты ОС и др. Уникальные программы под скомпрометированную среду
  4. 4. Случилось страшное… Заражение
  5. 5. СТР. 5 | Что ждать от козлов в своих огородах Компрометация
  6. 6. СТР. 6 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин Рабочих станций и серверов: over 9000
  7. 7. СТР. 7 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
  8. 8. СТР. 8 | Что ждать от козлов в своих огородах Компрометация: скрытие соединений
  9. 9. СТР. 9 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
  10. 10. СТР. 10 | Что ждать от козлов в своих огородах Компрометация: мухлеж с айпишниками update.java-***.com 224.0.0.255 java-***.com Sleeping hours 0.0.0.0 1.1.1.1 8.8.8.8 127.0.01 192.168.1.1 … 137.254.16.66
  11. 11. СТР. 11 | Что ждать от козлов в своих огородах CNC host:port Компрометация: ожидание инициации Сетевой драйверhost:port FucK110 Входящий трафик FucK110? Remote Shell host port
  12. 12. СТР. 12 | Что ждать от козлов в своих огородах Компрометация: ожидание инициации
  13. 13. Эксплуатация скомпрометированной среды
  14. 14. СТР. 14 | Что ждать от козлов в своих огородах 73 07 41 C6 43 18 00 EB 4A 49 8B 43 08 C6 04 01 04 49 8B 43 08 48 8B 8C … x?xxxxxx?xxxxxxxxxxxxxxxxxxxxxxxx 0000: 488B08 mov rcx,[rax] 0003: 488D040A lea rax,[rdx][rcx] 0007: 4885C0 test rax,rax 000A: 7813 js 00000001F --↓1 000C: 48B90010A5D4E8000000 mov rcx,000000E8`D4A51000 0016: 483BC1 cmp rax,rcx 0019: 0F8ED1000000 jle 0000000F0 –X Эксплуатация скомпрометированной среды LODCTR.DLL ArbiterHost.exe хук 1 хук 2 48 8B 08 48 8D 04 0A 48 85 C0 78 13 48 B9 00 10 A5 D4 E8 00 00 00 48 3B … xxxxxxxxxxx?xxxxxxxxxxxxxxx???? 0000: 7307 jnc 000000009 --↓1 0002: 41C6431800 mov b,[r11][018],0 0007: EB4A jmps 000000053 --↓2 0009: 498B4308 1 mov rax,[r11][8] 000D: C6040104 mov b,[rcx][rax],4 0011: 498B4308 mov rax,[r11][8] 0015: 488B8C24C8080000 mov rcx,[rsp][0000008C8] 001D: 66830001 add w,[rax],1
  15. 15. Смешно…
  16. 16. СТР. 16 | Что ждать от козлов в своих огородах Много ксоров 2012: xor x, s, e, c = xor 0xD 2014: xor 0xfc, 0xa7 = xor 0x5b
  17. 17. СТР. 17 | Что ждать от козлов в своих огородах Thank You Дмитрий Тараканов PHDays 2014 Что ждать от козлов в своих огородах

×