Чего ждать от козлов в своих огородах

1,266 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,266
On SlideShare
0
From Embeds
0
Number of Embeds
588
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Чего ждать от козлов в своих огородах

  1. 1. СТР. 1 | Что ждать от козлов в своих огородах PHDays 2014 Что ждать от козлов в своих огородах Дмитрий Тараканов
  2. 2. СТР. 2 | Что ждать от козлов в своих огородах Цель компрометации Кража данных (базы данных, проходящие данные, переписка) Кража интеллектуальной собственности Кража денег (банковские троянцы) Саботаж
  3. 3. СТР. 3 | Что ждать от козлов в своих огородах Инструменты Бэкдоры: RDP, удаленный шелл, средства удаленного управления (RMS, Team Viewer, др.), собственные разработки Кей-логгеры Банковские троянцы Масса хакерских программ: дамп сохраненных паролей, восстановление паролей, информация о системе, сетевое окружение, работа с базами данных, снятие защиты ОС и др. Уникальные программы под скомпрометированную среду
  4. 4. Случилось страшное… Заражение
  5. 5. СТР. 5 | Что ждать от козлов в своих огородах Компрометация
  6. 6. СТР. 6 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин Рабочих станций и серверов: over 9000
  7. 7. СТР. 7 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
  8. 8. СТР. 8 | Что ждать от козлов в своих огородах Компрометация: скрытие соединений
  9. 9. СТР. 9 | Что ждать от козлов в своих огородах Компрометация: поиск зараженных машин
  10. 10. СТР. 10 | Что ждать от козлов в своих огородах Компрометация: мухлеж с айпишниками update.java-***.com 224.0.0.255 java-***.com Sleeping hours 0.0.0.0 1.1.1.1 8.8.8.8 127.0.01 192.168.1.1 … 137.254.16.66
  11. 11. СТР. 11 | Что ждать от козлов в своих огородах CNC host:port Компрометация: ожидание инициации Сетевой драйверhost:port FucK110 Входящий трафик FucK110? Remote Shell host port
  12. 12. СТР. 12 | Что ждать от козлов в своих огородах Компрометация: ожидание инициации
  13. 13. Эксплуатация скомпрометированной среды
  14. 14. СТР. 14 | Что ждать от козлов в своих огородах 73 07 41 C6 43 18 00 EB 4A 49 8B 43 08 C6 04 01 04 49 8B 43 08 48 8B 8C … x?xxxxxx?xxxxxxxxxxxxxxxxxxxxxxxx 0000: 488B08 mov rcx,[rax] 0003: 488D040A lea rax,[rdx][rcx] 0007: 4885C0 test rax,rax 000A: 7813 js 00000001F --↓1 000C: 48B90010A5D4E8000000 mov rcx,000000E8`D4A51000 0016: 483BC1 cmp rax,rcx 0019: 0F8ED1000000 jle 0000000F0 –X Эксплуатация скомпрометированной среды LODCTR.DLL ArbiterHost.exe хук 1 хук 2 48 8B 08 48 8D 04 0A 48 85 C0 78 13 48 B9 00 10 A5 D4 E8 00 00 00 48 3B … xxxxxxxxxxx?xxxxxxxxxxxxxxx???? 0000: 7307 jnc 000000009 --↓1 0002: 41C6431800 mov b,[r11][018],0 0007: EB4A jmps 000000053 --↓2 0009: 498B4308 1 mov rax,[r11][8] 000D: C6040104 mov b,[rcx][rax],4 0011: 498B4308 mov rax,[r11][8] 0015: 488B8C24C8080000 mov rcx,[rsp][0000008C8] 001D: 66830001 add w,[rax],1
  15. 15. Смешно…
  16. 16. СТР. 16 | Что ждать от козлов в своих огородах Много ксоров 2012: xor x, s, e, c = xor 0xD 2014: xor 0xfc, 0xa7 = xor 0x5b
  17. 17. СТР. 17 | Что ждать от козлов в своих огородах Thank You Дмитрий Тараканов PHDays 2014 Что ждать от козлов в своих огородах

×