SlideShare a Scribd company logo

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

Positive Hack Days
Positive Hack Days

Тенденции вирусной индустрии. Корпоративный кибершпионаж - фантастика или бизнес? Сколько стоит взломать вашу компанию? Хакерство: забава или выгода?

BusinessTechnology
1 of 96
Download to read offline
Киберпреступность вчера, сегодня, завтра … Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days
Global Research & Analysis Team PAGE 2 |
Киберпреступность Тенденции последнего года, методы, цели, причины, организаторы …и много прочих разных пунктов, которые заставляют нас порой работать по ночам и без выходных
Киберпреступность Расстановка точек над “I” Преступления, совершаемые при помощи компьютерных технологий PAGE 4 |
Kaspersky Security Bulletin 2010 PAGE 5 |
Новые организаторы, новые цели PAGE 6 |
Новые организаторы, новые цели PAGE 7 |
Новые организаторы, новые цели PAGE 8 |
Новые организаторы, новые цели PAGE 9 |
Новые организаторы, новые цели PAGE 10 |
Новые организаторы, новые цели PAGE 11 |
Новые организаторы, новые цели PAGE 12 |
Новые организаторы, новые цели PAGE 13 |
Инциденты за один год Насколько сложно взломать крупнейшие компании мира или устроить ядерный переполох …и не быть при этом арестованным
Операция Aurora PAGE 15 |
Operation Aurora PAGE 16 |
Operation Aurora PAGE 17 |
Operation Aurora PAGE 18 |
Operation Aurora PAGE 19 |
Operation Aurora «We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China. The decision to review our business operations in China has been incredibly hard, and we know that it will have potentially far-reaching consequences» PAGE 20 |
Operation Aurora Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 21 |
Operation Aurora MS10-002 CVE-2010-0249 PAGE 22 |
Operation Aurora Первая стадия Вторая стадия Третья стадия Сбор адресов Установка электронной Установка Электронная почта загрузчика в почты/IM/SM/ кейлоггера систему жертв Контроль IM и социальных сетей Загрузка Виртуализация браузера Подготовка веб- основного Установка ресурсов для модуля с Контроль сетевых соединений заражения подготовленного бэкдора сайта Контроль пользовательских привилегий Рассылка Сбор Взаимодействие писем/ссылок информации о с центром Контроль активности приложений на эксплоит системе управления Контроль поведения машины в Дальнейший локальной сети Заражение доступ в через браузер локальную сеть 9 действий, которые могли бы быть пресечены или Загрузка обнаружены дополнительны х модулей PAGE 23 |
Operation Aurora Source code repositories Интеллектуальная собственность PAGE 24 |
Operation Aurora PAGE 25 |
Большой переполох в маленьком Иране STUXNET PAGE 26 |
Stuxnet PAGE 27 |
Stuxnet ЧТО ? PAGE 28 |
Stuxnet Бушерская АЭС? PAGE 29 |
Stuxnet Основной функционал Siemens S7-300 system PLC с variable-frequency drives Vacon (Финляндия), Fararo Paya (Иран) 807 – 1210hz Насосы или газовые центрифуги Изменяет скорость вращения моторов от 2 до 1410hz PAGE 30 |
Stuxnet Ядерная промышленность Ирана PAGE 31 |
Stuxnet Завод по обогащению урана в Natanz PAGE 32 |
Stuxnet Завод по обогащению урана в Natanz PAGE 33 |
Stuxnet Завод по обогащению урана в Natanz PAGE 34 |
Stuxnet PAGE 35 |
Stuxnet PAGE 36 |
Stuxnet PAGE 37 |
Stuxnet Scott Borg, director of the US Cyber Consequences Unit Июнь 2009 Asked to speculate about how Israel might target Iran, Borg said malware -- a commonly used abbreviation for "malicious software" -- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians. "A contaminated USB stick would be enough," Borg said. PAGE 38 |
Stuxnet Модуль распространения и инсталляции червя Блок SCADA/PLC PAGE 39 |
Операция Myrtus b:myrtussrcobjfre_w2k_x86i386guava.pdb Проект менеджер Группа C&C Группа распространения 2 человека 7-10 человек Код червя Код PLC Код эксплоитов Тестеры 3-4 человека 2-3 человека 1-2 человека 6-8 человек (проект Guava) PAGE 40 |
Stuxnet Уязвимости Распространение через флешки via LNK (MS10-046) – 0-Day Распространение по локальной сети via Server Service (MS08-067) Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day Повышение привилегий via Task Scheduler (MS10-092) – 0-Day «Уязвимость» в авторизации Sematic WinCC PAGE 41 |
Stuxnet PAGE 42 |
Stuxnet Контроль USB-устройств Контроль внешних сетевых соединений Контроль пользовательских привилегий Контроль активности приложений Контроль поведения машины в локальной сети PAGE 43 |
Stuxnet Первая стадия (ноябрь 2008-июнь Вторая стадия (Июнь 2009 – Третья стадия (Январь 2010-Июль 2009) Декабрь 2009) 2010) Распространение на USB Добавление цифровых flash подписей Добавление новых Создание C&C Распространение по сети уязвимостей Внедрение червя – Вариант Разработка кода Взаимодействие с C&C B Внедрение червя – Вариант Тестирование кода P2P-ботнет C Внедрение червя - Вариант Закрытие C&C A PAGE 44 |
Stuxnet PAGE 45 |
Stuxnet PAGE 46 |
Stuxnet PAGE 47 |
Что дальше ? Gen. Keith Alexander, head of U.S. Cyber Command, recently told Congress “… We believe that state actors have developed cyber weapons to cripple infrastructure targets in ways tantamount to kinetic assaults. Some of these weapons could potentially destroy hardware as well as data and software.” PAGE 48 |
Что дальше ? PAGE 49 |
Night Dragon PAGE 50 |
Night Dragon Когда: с начала ноября 2009 года Цель: нефтяные, энергетические, химические компании (Казахстан, Тайвань, Греция, США) Методы: социальная инженерия, фишинг, использование уязвимостей SQL и Windows Способ: взлом LDAP и установка бэкдора Жертвы: руководство компаний PAGE 51 |
Night Dragon • SQL injection на веб-сайт 1 • Получение возможности выполнения команд • Загрузка средств взлома на сервера 2 • Подбор паролей и проникновение в интранет • Получение доступа к LDAP 3 • Получение доступа к машинам • Установка бэкдора 4 • Сбор информации • Отправка информации на C&C 5 • Загрузка новых модулей PAGE 52 |
Night Dragon PAGE 53 |
Night Dragon "Starting in November 2009, covert cyberattacks were launched against several global oil, energy and petrochemical companies. The target of the attacks were bidding information, prospecting data and other confidential information related to business ventures. This information is highly sensitive and can make or break multibillion- dollar deals in this extremely competitive industry” Files of interest focused on operational oil and gas field production systems and financial documents related to field exploration and bidding that were later copied from the compromised hosts or via extranet servers. In some cases, the files were copied to and downloaded from company web servers by the attackers. In certain cases, the attackers collected data from SCADA systems. PAGE 54 |
Night Dragon PAGE 55 |
Night Dragon PAGE 56 |
Night Dragon PAGE 57 |
Night Dragon Контроль веб-приложений и баз данных Контроль серверов и прав доступа Контроль электронной почты Виртуализация браузера Контроль мобильных устройств Контроль внутренней сетевой активности Контроль внешних соединений Контроль приложений Контроль утечек PAGE 58 |
Night Dragon PAGE 59 |
Night Dragon PAGE 60 |
Night Dragon PAGE 61 | Kaspersky Lab PowerPoint Template | 01 June 2011
hacktivism PAGE 62 |
Anonymous PAGE 63 |
HBGary PAGE 64 |
HBGary PAGE 65 |
HBGary http://hbgaryfederal.com «самодельная» CMS SQL-injection http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Usernames, emails, password hashes MD5, rainbow table-based атака CEO Aaron Barr и COO Ted Vera 6 букв и 2 цифры PAGE 66 |
HBGary PAGE 67 |
HBGary PAGE 68 |
HBGary PAGE 69 |
HBGary PAGE 70 |
HBGary PAGE 71 |
HBGary Custom CMS, без патчей и с дырами SQL-injection Простое шифрование Простые пароли Один и тот же пароль для разных сервисов Уязвимый сервер, без патчей Социальная инженерия PAGE 72 |
HBGary PAGE 73 |
RSA PAGE 74 |
RSA PAGE 75 |
RSA PAGE 76 |
RSA Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 77 |
RSA CVE-2011-0609 PAGE 78 |
RSA • Фишинговая атака с 0-day (CVE-2011-0609) 1 • 2011 recruitment plan.xls • Установка бэкдора в системы 2 • Poison Ivy RAT • Повышение уровня доступа 3 • Получение доступа к другим машинам и сервисам • Сбор информации 4 • Шифрование собранного (RAR password-protected) • Отправка данных по ftp на C&C 5 • Удаление данных с машины PAGE 79 |
RSA PAGE 80 |
RSA www.usgoodluck.com obama.servehttp.com prc.dynamiclink.ddns.us People’s Republic of China ? PAGE 81 |
RSA PAGE 82 |
RSA PAGE 83 |
RSA PAGE 84 |
RSA PAGE 85 |
Киберпреступность 2011 Сходство и различие
Итоги Уязвимости Традиционная Новые игроки Известные 0day уязвимости Собственные общие эксплоиты разработки PAGE 87 |
Итоги Платформы Традиционная Новые игроки Windows *nix Windows Web-based Mobile PAGE 88 |
Итоги Путь Традиционная Новые игроки Электронная почта Атаки через Атаки через браузер браузер PAGE 89 |
Итоги Методы Традиционная Новые игроки Социальная Фишинг инженерия PAGE 90 |
Итоги Масштаб Традиционная Новые игроки Массовость Точечные атаки PAGE 91 |
Итоги Цели Традиционная Новые игроки Корп.шпионаж Национальные Деньги интересы Публичность PAGE 92 |
Итоги 2003 2011 PAGE 93 |
2011: фронтовые сводки
2011 PAGE 95 |
Спасибо Киберпреступность Вчера, сегодня, завтра… Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days

Recommended

Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасностиCisco Russia
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Cisco Russia
 
Social network security
Social network securitySocial network security
Social network securityAleksey Lukatskiy
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Актуально про веб-безопасность – угрозы и реагирование.
Актуально про веб-безопасность – угрозы и реагирование. Актуально про веб-безопасность – угрозы и реагирование.
Актуально про веб-безопасность – угрозы и реагирование. Cisco Russia
 
Cognitive Threat Analytics
Cognitive Threat AnalyticsCognitive Threat Analytics
Cognitive Threat AnalyticsCisco Russia
 

Recommended

Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...Расследование инцидентов: как правильно понять, что он произошел и как об это...
Расследование инцидентов: как правильно понять, что он произошел и как об это...jet_information_security
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасностиCisco Russia
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Cisco Russia
 
Social network security
Social network securitySocial network security
Social network securityAleksey Lukatskiy
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Актуально про веб-безопасность – угрозы и реагирование.
Актуально про веб-безопасность – угрозы и реагирование. Актуально про веб-безопасность – угрозы и реагирование.
Актуально про веб-безопасность – угрозы и реагирование. Cisco Russia
 
Cognitive Threat Analytics
Cognitive Threat AnalyticsCognitive Threat Analytics
Cognitive Threat AnalyticsCisco Russia
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVKonstantin Matyukhin
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksDiana Frolova
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Reputation
ReputationReputation
Reputationbezmaly
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
01 Sachkov
01 Sachkov01 Sachkov
01 SachkovTraining center "Echelon"
 
Современные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиСовременные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиAndrey Beshkov
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакSkillFactory
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPSDenis Batrankov, CISSP
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиКРОК
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Решения по безопасности Juniper
Решения по безопасности JuniperРешения по безопасности Juniper
Решения по безопасности JuniperSergii Liventsev
 
Integrity control
Integrity controlIntegrity control
Integrity controlAndrei Novikau
 
WAN modelling
WAN modelling WAN modelling
WAN modelling ARCCN
 
Cisco ASA CX
Cisco ASA CXCisco ASA CX
Cisco ASA CXCisco Russia
 
Mykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атакMykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атакSergii Liventsev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 

More Related Content

What's hot

Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVKonstantin Matyukhin
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksDiana Frolova
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Reputation
ReputationReputation
Reputationbezmaly
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
Современные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиСовременные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиAndrey Beshkov
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакSkillFactory
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиКРОК
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Решения по безопасности Juniper
Решения по безопасности JuniperРешения по безопасности Juniper
Решения по безопасности JuniperSergii Liventsev
 
WAN modelling
WAN modelling WAN modelling
WAN modelling ARCCN
 

What's hot (20)

Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Reputation
ReputationReputation
Reputation
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1
 
01 Sachkov
01 Sachkov01 Sachkov
01 Sachkov
 
Современные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиСовременные методы борьбы с ботнетами
Современные методы борьбы с ботнетами
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADA
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Решения по безопасности Juniper
Решения по безопасности JuniperРешения по безопасности Juniper
Решения по безопасности Juniper
 
Integrity control
Integrity controlIntegrity control
Integrity control
 
WAN modelling
WAN modelling WAN modelling
WAN modelling
 
Cisco ASA CX
Cisco ASA CXCisco ASA CX
Cisco ASA CX
 

Similar to Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

Mykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атакMykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атакSergii Liventsev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
 
Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionDenis Zakharov
 
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Konstantin Matyukhin
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Expolink
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани... Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application SecurityMikhail Shcherbakov
 
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...Marina Gryshko
 
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...BAKOTECH
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco Russia
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодняDmitry Evteev
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 

Similar to Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра… (20)

Mykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атакMykonos лучший способ защитить ваш web сайт и web-приложение от атак
Mykonos лучший способ защитить ваш web сайт и web-приложение от атак
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short Version
 
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
Не дайте плохому трафику проникнуть в вашу сеть: Тенденции Киберпреступности ...
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани... Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудовани...
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...
Вебинар Threat prevention от Palo Alto Networks – защита вашей сети от киберу...
 
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database Security
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

  • 1. Киберпреступность вчера, сегодня, завтра … Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days
  • 2. Global Research & Analysis Team PAGE 2 |
  • 3. Киберпреступность Тенденции последнего года, методы, цели, причины, организаторы …и много прочих разных пунктов, которые заставляют нас порой работать по ночам и без выходных
  • 4. Киберпреступность Расстановка точек над “I” Преступления, совершаемые при помощи компьютерных технологий PAGE 4 |
  • 14. Инциденты за один год Насколько сложно взломать крупнейшие компании мира или устроить ядерный переполох …и не быть при этом арестованным
  • 20. Operation Aurora «We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China. The decision to review our business operations in China has been incredibly hard, and we know that it will have potentially far-reaching consequences» PAGE 20 |
  • 21. Operation Aurora Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 21 |
  • 22. Operation Aurora MS10-002 CVE-2010-0249 PAGE 22 |
  • 23. Operation Aurora Первая стадия Вторая стадия Третья стадия Сбор адресов Установка электронной Установка Электронная почта загрузчика в почты/IM/SM/ кейлоггера систему жертв Контроль IM и социальных сетей Загрузка Виртуализация браузера Подготовка веб- основного Установка ресурсов для модуля с Контроль сетевых соединений заражения подготовленного бэкдора сайта Контроль пользовательских привилегий Рассылка Сбор Взаимодействие писем/ссылок информации о с центром Контроль активности приложений на эксплоит системе управления Контроль поведения машины в Дальнейший локальной сети Заражение доступ в через браузер локальную сеть 9 действий, которые могли бы быть пресечены или Загрузка обнаружены дополнительны х модулей PAGE 23 |
  • 24. Operation Aurora Source code repositories Интеллектуальная собственность PAGE 24 |
  • 26. Большой переполох в маленьком Иране STUXNET PAGE 26 |
  • 28. Stuxnet ЧТО ? PAGE 28 |
  • 30. Stuxnet Основной функционал Siemens S7-300 system PLC с variable-frequency drives Vacon (Финляндия), Fararo Paya (Иран) 807 – 1210hz Насосы или газовые центрифуги Изменяет скорость вращения моторов от 2 до 1410hz PAGE 30 |
  • 32. Stuxnet Завод по обогащению урана в Natanz PAGE 32 |
  • 33. Stuxnet Завод по обогащению урана в Natanz PAGE 33 |
  • 34. Stuxnet Завод по обогащению урана в Natanz PAGE 34 |
  • 38. Stuxnet Scott Borg, director of the US Cyber Consequences Unit Июнь 2009 Asked to speculate about how Israel might target Iran, Borg said malware -- a commonly used abbreviation for "malicious software" -- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians. "A contaminated USB stick would be enough," Borg said. PAGE 38 |
  • 39. Stuxnet Модуль распространения и инсталляции червя Блок SCADA/PLC PAGE 39 |
  • 40. Операция Myrtus b:myrtussrcobjfre_w2k_x86i386guava.pdb Проект менеджер Группа C&C Группа распространения 2 человека 7-10 человек Код червя Код PLC Код эксплоитов Тестеры 3-4 человека 2-3 человека 1-2 человека 6-8 человек (проект Guava) PAGE 40 |
  • 41. Stuxnet Уязвимости Распространение через флешки via LNK (MS10-046) – 0-Day Распространение по локальной сети via Server Service (MS08-067) Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day Повышение привилегий via Task Scheduler (MS10-092) – 0-Day «Уязвимость» в авторизации Sematic WinCC PAGE 41 |
  • 43. Stuxnet Контроль USB-устройств Контроль внешних сетевых соединений Контроль пользовательских привилегий Контроль активности приложений Контроль поведения машины в локальной сети PAGE 43 |
  • 44. Stuxnet Первая стадия (ноябрь 2008-июнь Вторая стадия (Июнь 2009 – Третья стадия (Январь 2010-Июль 2009) Декабрь 2009) 2010) Распространение на USB Добавление цифровых flash подписей Добавление новых Создание C&C Распространение по сети уязвимостей Внедрение червя – Вариант Разработка кода Взаимодействие с C&C B Внедрение червя – Вариант Тестирование кода P2P-ботнет C Внедрение червя - Вариант Закрытие C&C A PAGE 44 |
  • 48. Что дальше ? Gen. Keith Alexander, head of U.S. Cyber Command, recently told Congress “… We believe that state actors have developed cyber weapons to cripple infrastructure targets in ways tantamount to kinetic assaults. Some of these weapons could potentially destroy hardware as well as data and software.” PAGE 48 |
  • 51. Night Dragon Когда: с начала ноября 2009 года Цель: нефтяные, энергетические, химические компании (Казахстан, Тайвань, Греция, США) Методы: социальная инженерия, фишинг, использование уязвимостей SQL и Windows Способ: взлом LDAP и установка бэкдора Жертвы: руководство компаний PAGE 51 |
  • 52. Night Dragon • SQL injection на веб-сайт 1 • Получение возможности выполнения команд • Загрузка средств взлома на сервера 2 • Подбор паролей и проникновение в интранет • Получение доступа к LDAP 3 • Получение доступа к машинам • Установка бэкдора 4 • Сбор информации • Отправка информации на C&C 5 • Загрузка новых модулей PAGE 52 |
  • 54. Night Dragon "Starting in November 2009, covert cyberattacks were launched against several global oil, energy and petrochemical companies. The target of the attacks were bidding information, prospecting data and other confidential information related to business ventures. This information is highly sensitive and can make or break multibillion- dollar deals in this extremely competitive industry” Files of interest focused on operational oil and gas field production systems and financial documents related to field exploration and bidding that were later copied from the compromised hosts or via extranet servers. In some cases, the files were copied to and downloaded from company web servers by the attackers. In certain cases, the attackers collected data from SCADA systems. PAGE 54 |
  • 58. Night Dragon Контроль веб-приложений и баз данных Контроль серверов и прав доступа Контроль электронной почты Виртуализация браузера Контроль мобильных устройств Контроль внутренней сетевой активности Контроль внешних соединений Контроль приложений Контроль утечек PAGE 58 |
  • 61. Night Dragon PAGE 61 | Kaspersky Lab PowerPoint Template | 01 June 2011
  • 66. HBGary http://hbgaryfederal.com «самодельная» CMS SQL-injection http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Usernames, emails, password hashes MD5, rainbow table-based атака CEO Aaron Barr и COO Ted Vera 6 букв и 2 цифры PAGE 66 |
  • 72. HBGary Custom CMS, без патчей и с дырами SQL-injection Простое шифрование Простые пароли Один и тот же пароль для разных сервисов Уязвимый сервер, без патчей Социальная инженерия PAGE 72 |
  • 77. RSA Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 77 |
  • 78. RSA CVE-2011-0609 PAGE 78 |
  • 79. RSA • Фишинговая атака с 0-day (CVE-2011-0609) 1 • 2011 recruitment plan.xls • Установка бэкдора в системы 2 • Poison Ivy RAT • Повышение уровня доступа 3 • Получение доступа к другим машинам и сервисам • Сбор информации 4 • Шифрование собранного (RAR password-protected) • Отправка данных по ftp на C&C 5 • Удаление данных с машины PAGE 79 |
  • 81. RSA www.usgoodluck.com obama.servehttp.com prc.dynamiclink.ddns.us People’s Republic of China ? PAGE 81 |
  • 86. Киберпреступность 2011 Сходство и различие
  • 87. Итоги Уязвимости Традиционная Новые игроки Известные 0day уязвимости Собственные общие эксплоиты разработки PAGE 87 |
  • 88. Итоги Платформы Традиционная Новые игроки Windows *nix Windows Web-based Mobile PAGE 88 |
  • 89. Итоги Путь Традиционная Новые игроки Электронная почта Атаки через Атаки через браузер браузер PAGE 89 |
  • 90. Итоги Методы Традиционная Новые игроки Социальная Фишинг инженерия PAGE 90 |
  • 91. Итоги Масштаб Традиционная Новые игроки Массовость Точечные атаки PAGE 91 |
  • 92. Итоги Цели Традиционная Новые игроки Корп.шпионаж Национальные Деньги интересы Публичность PAGE 92 |
  • 93. Итоги 2003 2011 PAGE 93 |
  • 96. Спасибо Киберпреступность Вчера, сегодня, завтра… Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days