Киберпреступностьвчера, сегодня, завтра …Александр Гостев, Chief Security Expert, GReAT, Kaspersky LabВиталий Камлюк, Malw...
Global Research & Analysis TeamPAGE 2 |
КиберпреступностьТенденции последнего года, методы, цели, причины, организаторы…и много прочих разных пунктов, которые зас...
КиберпреступностьРасстановка точек над “I”  Преступления, совершаемые при помощи компьютерных технологийPAGE 4 |
Kaspersky Security Bulletin 2010PAGE 5 |
Новые организаторы, новые целиPAGE 6 |
Новые организаторы, новые целиPAGE 7 |
Новые организаторы, новые целиPAGE 8 |
Новые организаторы, новые целиPAGE 9 |
Новые организаторы, новые целиPAGE 10 |
Новые организаторы, новые целиPAGE 11 |
Новые организаторы, новые целиPAGE 12 |
Новые организаторы, новые целиPAGE 13 |
Инциденты за один годНасколько сложно взломать крупнейшие компании мира илиустроить ядерный переполох                     ...
Операция AuroraPAGE 15 |
Operation AuroraPAGE 16 |
Operation AuroraPAGE 17 |
Operation AuroraPAGE 18 |
Operation AuroraPAGE 19 |
Operation Aurora«We have decided we are no longer willing to continue censoring our results onGoogle.cn, and so over the n...
Operation Aurora               Advanced Persistent Threat                            или                   “Asian-Pacific ...
Operation Aurora    MS10-002  CVE-2010-0249PAGE 22 |
Operation Aurora                                 Первая стадия    Вторая стадия    Третья стадия                          ...
Operation Aurora        Source code repositories            Интеллектуальная             собственностьPAGE 24 |
Operation AuroraPAGE 25 |
Большой переполох в маленьком Иране            STUXNETPAGE 26 |
StuxnetPAGE 27 |
Stuxnet            ЧТО ?PAGE 28 |
StuxnetБушерская АЭС?PAGE 29 |
StuxnetОсновной функционал   Siemens S7-300 system   PLC с variable-frequency drives   Vacon (Финляндия), Fararo Paya (Ира...
StuxnetЯдерная промышленность ИранаPAGE 31 |
StuxnetЗавод по обогащению урана в NatanzPAGE 32 |
StuxnetЗавод по обогащению урана в NatanzPAGE 33 |
StuxnetЗавод по обогащению урана в NatanzPAGE 34 |
StuxnetPAGE 35 |
StuxnetPAGE 36 |
StuxnetPAGE 37 |
StuxnetScott Borg, director of the US Cyber Consequences UnitИюнь 2009Asked to speculate about how Israel might target Ira...
Stuxnet            Модуль распространения            и инсталляции червя                       Блок SCADA/PLCPAGE 39 |
Операция Myrtusb:myrtussrcobjfre_w2k_x86i386guava.pdb                               Проект менеджер                      Г...
StuxnetУязвимости  Распространение через флешки via LNK (MS10-046) – 0-Day  Распространение по локальной сети via Server S...
StuxnetPAGE 42 |
StuxnetКонтроль USB-устройствКонтроль внешних сетевых соединенийКонтроль пользовательских привилегийКонтроль активности пр...
StuxnetПервая стадия (ноябрь 2008-июнь   Вторая стадия (Июнь 2009 –   Третья стадия (Январь 2010-Июль             2009)   ...
StuxnetPAGE 45 |
StuxnetPAGE 46 |
StuxnetPAGE 47 |
Что дальше ?Gen. Keith Alexander,head of U.S. CyberCommand, recently toldCongress “… We believethat state actors havedevel...
Что дальше ?PAGE 49 |
Night DragonPAGE 50 |
Night Dragon    Когда: с начала ноября 2009 года    Цель: нефтяные, энергетические, химические компании    (Казахстан, Тай...
Night Dragon            • SQL injection на веб-сайт   1        • Получение возможности выполнения команд            • Загр...
Night DragonPAGE 53 |
Night Dragon  "Starting in November 2009, covert cyberattacks were launched  against several global oil, energy and petroc...
Night DragonPAGE 55 |
Night DragonPAGE 56 |
Night DragonPAGE 57 |
Night Dragon       Контроль веб-приложений и баз данных       Контроль серверов и прав доступа       Контроль электронной ...
Night DragonPAGE 59 |
Night DragonPAGE 60 |
Night DragonPAGE 61 |   Kaspersky Lab PowerPoint Template   | 01 June 2011
hacktivismPAGE 62 |
AnonymousPAGE 63 |
HBGaryPAGE 64 |
HBGaryPAGE 65 |
HBGary                http://hbgaryfederal.com                           «самодельная» CMS                           SQL-i...
HBGaryPAGE 67 |
HBGaryPAGE 68 |
HBGaryPAGE 69 |
HBGaryPAGE 70 |
HBGaryPAGE 71 |
HBGary      Custom CMS, без патчей и с дырами      SQL-injection      Простое шифрование      Простые пароли      Один и т...
HBGaryPAGE 73 |
RSAPAGE 74 |
RSAPAGE 75 |
RSAPAGE 76 |
RSA            Advanced Persistent Threat                        или               “Asian-Pacific Threat” ?PAGE 77 |
RSA   CVE-2011-0609PAGE 78 |
RSA            • Фишинговая атака с 0-day (CVE-2011-0609)   1        • 2011 recruitment plan.xls            • Установка бэ...
RSAPAGE 80 |
RSA              www.usgoodluck.com              obama.servehttp.com             prc.dynamiclink.ddns.us            People...
RSAPAGE 82 |
RSAPAGE 83 |
RSAPAGE 84 |
RSAPAGE 85 |
Киберпреступность 2011                Сходство и различие
Итоги                  Уязвимости            Традиционная      Новые игроки               Известные           0day        ...
Итоги                Платформы            Традиционная   Новые игроки                             Windows                 ...
Итоги                       Путь            Традиционная    Новые игроки                           Электронная почта      ...
Итоги                   Методы            Традиционная   Новые игроки                            Социальная               ...
Итоги                   Масштаб            Традиционная   Новые игроки             Массовость    Точечные атакиPAGE 91 |
Итоги                        Цели            Традиционная   Новые игроки                           Корп.шпионаж           ...
Итоги            2003                   2011PAGE 93 |
2011: фронтовые сводки
2011PAGE 95 |
СпасибоКиберпреступностьВчера, сегодня, завтра…Александр Гостев, Chief Security Expert, GReAT, Kaspersky LabВиталий Камлюк...
Upcoming SlideShare
Loading in …5
×

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

3,357 views

Published on

Тенденции вирусной индустрии. Корпоративный кибершпионаж - фантастика или бизнес? Сколько стоит взломать вашу компанию? Хакерство: забава или выгода?

Published in: Business, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,357
On SlideShare
0
From Embeds
0
Number of Embeds
1,834
Actions
Shares
0
Downloads
57
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

  1. 1. Киберпреступностьвчера, сегодня, завтра …Александр Гостев, Chief Security Expert, GReAT, Kaspersky LabВиталий Камлюк, Malware Expert, GReAT, Kaspersky Lab19.05.2011 / Positive Hack Days
  2. 2. Global Research & Analysis TeamPAGE 2 |
  3. 3. КиберпреступностьТенденции последнего года, методы, цели, причины, организаторы…и много прочих разных пунктов, которые заставляют нас порой работать по ночам и без выходных
  4. 4. КиберпреступностьРасстановка точек над “I” Преступления, совершаемые при помощи компьютерных технологийPAGE 4 |
  5. 5. Kaspersky Security Bulletin 2010PAGE 5 |
  6. 6. Новые организаторы, новые целиPAGE 6 |
  7. 7. Новые организаторы, новые целиPAGE 7 |
  8. 8. Новые организаторы, новые целиPAGE 8 |
  9. 9. Новые организаторы, новые целиPAGE 9 |
  10. 10. Новые организаторы, новые целиPAGE 10 |
  11. 11. Новые организаторы, новые целиPAGE 11 |
  12. 12. Новые организаторы, новые целиPAGE 12 |
  13. 13. Новые организаторы, новые целиPAGE 13 |
  14. 14. Инциденты за один годНасколько сложно взломать крупнейшие компании мира илиустроить ядерный переполох …и не быть при этом арестованным
  15. 15. Операция AuroraPAGE 15 |
  16. 16. Operation AuroraPAGE 16 |
  17. 17. Operation AuroraPAGE 17 |
  18. 18. Operation AuroraPAGE 18 |
  19. 19. Operation AuroraPAGE 19 |
  20. 20. Operation Aurora«We have decided we are no longer willing to continue censoring our results onGoogle.cn, and so over the next few weeks we will be discussing with the Chinesegovernment the basis on which we could operate an unfiltered search enginewithin the law, if at all. We recognize that this may well mean having to shutdown Google.cn, and potentially our offices in China.The decision to review our business operations in China has been incredibly hard,and we know that it will have potentially far-reaching consequences»PAGE 20 |
  21. 21. Operation Aurora Advanced Persistent Threat или “Asian-Pacific Threat” ?PAGE 21 |
  22. 22. Operation Aurora MS10-002 CVE-2010-0249PAGE 22 |
  23. 23. Operation Aurora Первая стадия Вторая стадия Третья стадия Сбор адресов Установка электронной УстановкаЭлектронная почта загрузчика в почты/IM/SM/ кейлоггера систему жертвКонтроль IM и социальных сетей ЗагрузкаВиртуализация браузера Подготовка веб- основного Установка ресурсов для модуля сКонтроль сетевых соединений заражения подготовленного бэкдора сайтаКонтроль пользовательскихпривилегий Рассылка Сбор Взаимодействие писем/ссылок информации о с центромКонтроль активности приложений на эксплоит системе управленияКонтроль поведения машины в Дальнейшийлокальной сети Заражение доступ в через браузер локальную сеть9 действий, которые могли бы быть пресечены или Загрузка обнаружены дополнительны х модулей PAGE 23 |
  24. 24. Operation Aurora Source code repositories Интеллектуальная собственностьPAGE 24 |
  25. 25. Operation AuroraPAGE 25 |
  26. 26. Большой переполох в маленьком Иране STUXNETPAGE 26 |
  27. 27. StuxnetPAGE 27 |
  28. 28. Stuxnet ЧТО ?PAGE 28 |
  29. 29. StuxnetБушерская АЭС?PAGE 29 |
  30. 30. StuxnetОсновной функционал Siemens S7-300 system PLC с variable-frequency drives Vacon (Финляндия), Fararo Paya (Иран) 807 – 1210hz Насосы или газовые центрифуги Изменяет скорость вращения моторов от 2 до 1410hzPAGE 30 |
  31. 31. StuxnetЯдерная промышленность ИранаPAGE 31 |
  32. 32. StuxnetЗавод по обогащению урана в NatanzPAGE 32 |
  33. 33. StuxnetЗавод по обогащению урана в NatanzPAGE 33 |
  34. 34. StuxnetЗавод по обогащению урана в NatanzPAGE 34 |
  35. 35. StuxnetPAGE 35 |
  36. 36. StuxnetPAGE 36 |
  37. 37. StuxnetPAGE 37 |
  38. 38. StuxnetScott Borg, director of the US Cyber Consequences UnitИюнь 2009Asked to speculate about how Israel might target Iran, Borg said malware-- a commonly used abbreviation for "malicious software" -- could beinserted to corrupt, commandeer or crash the controls of sensitive siteslike uranium enrichment plants. Israeli agents would have to conceal themalware in software used by the Iranians or discreetly plant it on portablehardware brought in, unknowingly, by technicians."A contaminated USB stick would be enough," Borg said.PAGE 38 |
  39. 39. Stuxnet Модуль распространения и инсталляции червя Блок SCADA/PLCPAGE 39 |
  40. 40. Операция Myrtusb:myrtussrcobjfre_w2k_x86i386guava.pdb Проект менеджер Группа C&C Группа распространения 2 человека 7-10 человек Код червя Код PLC Код эксплоитов Тестеры 3-4 человека 2-3 человека 1-2 человека 6-8 человек(проект Guava)PAGE 40 |
  41. 41. StuxnetУязвимости Распространение через флешки via LNK (MS10-046) – 0-Day Распространение по локальной сети via Server Service (MS08-067) Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day Повышение привилегий via Task Scheduler (MS10-092) – 0-Day «Уязвимость» в авторизации Sematic WinCCPAGE 41 |
  42. 42. StuxnetPAGE 42 |
  43. 43. StuxnetКонтроль USB-устройствКонтроль внешних сетевых соединенийКонтроль пользовательских привилегийКонтроль активности приложенийКонтроль поведения машины в локальной сетиPAGE 43 |
  44. 44. StuxnetПервая стадия (ноябрь 2008-июнь Вторая стадия (Июнь 2009 – Третья стадия (Январь 2010-Июль 2009) Декабрь 2009) 2010) Распространение на USB Добавление цифровых flash подписей Добавление новых Создание C&C Распространение по сети уязвимостей Внедрение червя – Вариант Разработка кода Взаимодействие с C&C B Внедрение червя – Вариант Тестирование кода P2P-ботнет CВнедрение червя - Вариант Закрытие C&C A PAGE 44 |
  45. 45. StuxnetPAGE 45 |
  46. 46. StuxnetPAGE 46 |
  47. 47. StuxnetPAGE 47 |
  48. 48. Что дальше ?Gen. Keith Alexander,head of U.S. CyberCommand, recently toldCongress “… We believethat state actors havedeveloped cyber weaponsto cripple infrastructuretargets in ways tantamountto kinetic assaults. Someof these weapons couldpotentially destroyhardware as well as dataand software.” PAGE 48 |
  49. 49. Что дальше ?PAGE 49 |
  50. 50. Night DragonPAGE 50 |
  51. 51. Night Dragon Когда: с начала ноября 2009 года Цель: нефтяные, энергетические, химические компании (Казахстан, Тайвань, Греция, США) Методы: социальная инженерия, фишинг, использование уязвимостей SQL и Windows Способ: взлом LDAP и установка бэкдора Жертвы: руководство компанийPAGE 51 |
  52. 52. Night Dragon • SQL injection на веб-сайт 1 • Получение возможности выполнения команд • Загрузка средств взлома на сервера 2 • Подбор паролей и проникновение в интранет • Получение доступа к LDAP 3 • Получение доступа к машинам • Установка бэкдора 4 • Сбор информации • Отправка информации на C&C 5 • Загрузка новых модулейPAGE 52 |
  53. 53. Night DragonPAGE 53 |
  54. 54. Night Dragon "Starting in November 2009, covert cyberattacks were launched against several global oil, energy and petrochemical companies. The target of the attacks were bidding information, prospecting data and other confidential information related to business ventures. This information is highly sensitive and can make or break multibillion- dollar deals in this extremely competitive industry” Files of interest focused on operational oil and gas field production systems and financial documents related to field exploration and bidding that were later copied from the compromised hosts or via extranet servers. In some cases, the files were copied to and downloaded from company web servers by the attackers. In certain cases, the attackers collected data from SCADA systems.PAGE 54 |
  55. 55. Night DragonPAGE 55 |
  56. 56. Night DragonPAGE 56 |
  57. 57. Night DragonPAGE 57 |
  58. 58. Night Dragon Контроль веб-приложений и баз данных Контроль серверов и прав доступа Контроль электронной почты Виртуализация браузера Контроль мобильных устройств Контроль внутренней сетевой активности Контроль внешних соединений Контроль приложений Контроль утечекPAGE 58 |
  59. 59. Night DragonPAGE 59 |
  60. 60. Night DragonPAGE 60 |
  61. 61. Night DragonPAGE 61 | Kaspersky Lab PowerPoint Template | 01 June 2011
  62. 62. hacktivismPAGE 62 |
  63. 63. AnonymousPAGE 63 |
  64. 64. HBGaryPAGE 64 |
  65. 65. HBGaryPAGE 65 |
  66. 66. HBGary http://hbgaryfederal.com «самодельная» CMS SQL-injection http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Usernames, emails, password hashes MD5, rainbow table-based атака CEO Aaron Barr и COO Ted Vera 6 букв и 2 цифрыPAGE 66 |
  67. 67. HBGaryPAGE 67 |
  68. 68. HBGaryPAGE 68 |
  69. 69. HBGaryPAGE 69 |
  70. 70. HBGaryPAGE 70 |
  71. 71. HBGaryPAGE 71 |
  72. 72. HBGary Custom CMS, без патчей и с дырами SQL-injection Простое шифрование Простые пароли Один и тот же пароль для разных сервисов Уязвимый сервер, без патчей Социальная инженерияPAGE 72 |
  73. 73. HBGaryPAGE 73 |
  74. 74. RSAPAGE 74 |
  75. 75. RSAPAGE 75 |
  76. 76. RSAPAGE 76 |
  77. 77. RSA Advanced Persistent Threat или “Asian-Pacific Threat” ?PAGE 77 |
  78. 78. RSA CVE-2011-0609PAGE 78 |
  79. 79. RSA • Фишинговая атака с 0-day (CVE-2011-0609) 1 • 2011 recruitment plan.xls • Установка бэкдора в системы 2 • Poison Ivy RAT • Повышение уровня доступа 3 • Получение доступа к другим машинам и сервисам • Сбор информации 4 • Шифрование собранного (RAR password-protected) • Отправка данных по ftp на C&C 5 • Удаление данных с машиныPAGE 79 |
  80. 80. RSAPAGE 80 |
  81. 81. RSA www.usgoodluck.com obama.servehttp.com prc.dynamiclink.ddns.us People’s Republic of China ?PAGE 81 |
  82. 82. RSAPAGE 82 |
  83. 83. RSAPAGE 83 |
  84. 84. RSAPAGE 84 |
  85. 85. RSAPAGE 85 |
  86. 86. Киберпреступность 2011 Сходство и различие
  87. 87. Итоги Уязвимости Традиционная Новые игроки Известные 0day уязвимости Собственные общие эксплоиты разработкиPAGE 87 |
  88. 88. Итоги Платформы Традиционная Новые игроки Windows *nix Windows Web-based MobilePAGE 88 |
  89. 89. Итоги Путь Традиционная Новые игроки Электронная почта Атаки через Атаки через браузер браузерPAGE 89 |
  90. 90. Итоги Методы Традиционная Новые игроки Социальная Фишинг инженерияPAGE 90 |
  91. 91. Итоги Масштаб Традиционная Новые игроки Массовость Точечные атакиPAGE 91 |
  92. 92. Итоги Цели Традиционная Новые игроки Корп.шпионаж Национальные Деньги интересы ПубличностьPAGE 92 |
  93. 93. Итоги 2003 2011PAGE 93 |
  94. 94. 2011: фронтовые сводки
  95. 95. 2011PAGE 95 |
  96. 96. СпасибоКиберпреступностьВчера, сегодня, завтра…Александр Гостев, Chief Security Expert, GReAT, Kaspersky LabВиталий Камлюк, Malware Expert, GReAT, Kaspersky Lab19.05.2011 / Positive Hack Days

×