Документ анализирует современные угрозы в области кибербезопасности, включая вредоносное ПО и методики борьбы с ним. Основное внимание уделяется недостаткам традиционных антивирусных решений и необходимости интеграции более комплексных подходов к защите информации. Подчеркивается важность адаптации методов защиты к новым методам атак и угрозам, в том числе с использованием специализированных инструментов для сбора информации и защиты сети.

1. 12 октября 2017
Бизнес-консультант по безопасности
Один из аспектов
технической защиты
информации
Борьба с вредоносным кодом
Алексей Лукацкий

2. Проблема сознания
• Ориентация на прошлый
опыт
• Следование принципу «здесь
и сейчас»
• Нежелание встать на место
злоумышленника
• Точечный подход
• Фокус только на ПК

3. К чему это приводит или как мы обычно
боремся с вредоносным ПО?
• ИБ или ИТ-службы, которые привыкли
делать «потому что так принято», не
задумываясь о актуальной модели угроз
• Традиционный (или даже продвинутый)
антивирус на ПК
• МСЭ на периметре для блокирования
вредоносных коммуникаций (C&C или
139-й порт)
• Настройки антивируса обычно
используются по умолчанию
Антивирус
МСЭ

4. C чем может бороться данный
сценарий?
• Широко
распространенное
вредоносное ПО
• Сигнатуры для него
известны в течение
месяцев
• Если используются
командные C&C-сервера,
то их IP-адреса обычно
известны
• Вложения в e-mail,
содержащие старые
исполняемые файлы
• Старое вредоносное ПО
на флешках
• Прямая загрузка
вредоносного ПО из
Интернет (например,
бесплатные антивирусы
или дефрагментаторы)
Уровень обнаружения на VT – выше 80%

5. Почему этого сценария недостаточно?
• Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН
вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на
99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки

6. С кем вы боретесь?

7. Чем вам поможет антивирус в этих
случаях?

8. Сбербанк – один из популярных мотивов

9. Клиенты банков – частые жертвы фишеров

10. Торговля страхом

11. Торговля страхом

12. Торговля страхом

13. Подставные Mail.ru, Gmail и Yandex

14. Не только через почту, но и через соцсети

15. Цель: Заставить что-то сделать

16. • TheHarvester – утилита
для сбора контактной
информации (e-mail,
поддомены, имена
сотрудников и т.п.)
• Ищут в поисковых
системах (включая
Яндекс), серверах ключей
PGP, SHODAN и т.п.
Сбор контактов с помощью TheHarvester
http://www.edge-security.com/theharvester.php

17. Пример работы утилиты TheHarvester

18. Сбор контактов с помощью recon-ng
• Recon-ng –
многофункциональный
инструмент для
изучения/разведки Web
• Множество разных
модулей, решающих
различные задачи,
включая и сбор контактов
• Входит в состав Kali Linux
https://bitbucket.org/LaNMaSteR53/recon-ng

19. Пример работы утилиты recon-ng

20. Попробуем перейти на базовый уровень
• Стандартизованные и централизованно
управляемые антивирусы, системы
управления патчами и резервного
копирования
• Ограничение использования прав
локальных администраторов
пользователями
• Защита электронной почты и
фильтрация URL
Email Security
Web Security
Антивирус
МСЭ

21. C чем может бороться данный
сценарий?
• Тривиальные
модификации известного
вредоносного ПО
• Вариации
использованных IP-
адресов, хешей файлов,
но с повторным
использованием
основных компонент ПО,
поведения и методов
заражения
• Эксплойты для известных
и старых уязвимостей в
пользовательском ПО
(браузеры, MS Office,
Acrobat Reader и т.п.)
Уровень обнаружения на VT – от 40 до 80%

22. Мы часто ошибаемся, нажимая на клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x» вместо
«c»?

23. Куда вы попадете, набрав sbirbank.ru?

24. Фальшивые домены и URLcrazy
• URLcrazy – утилита
для изучения
комбинаций
возможных имен
сайта, похожих на
«жертву»
• 8000 типичных
ошибок
• 15 типов вариантов
доменов
http://www.morningstarsecurity.com/research/urlcrazy
http://tools.kali.org/information-gathering/urlcrazy

25. Пример работы утилиты URLcrazy

26. Домены, найденные URLcrazy

27. Фальшивые домены Сбербанка

28. Bы мoжeтe найти oтличия?
* - в названии слайда тоже есть ошибки J

29. Вы можете найти отличия?
a а≠
U+0061
латиница
U+0430
кириллица
* - в названии слайда уже нет ошибок J

30. Клонирование сайта

31. Клонирование сайта для начинающих

32. Клонирование сайта для начинающих

33. Легко ли создать фишинговое сообщение?

34. Попробуем всем управлять
• Уход от антивируса в сторону EPP
• Стандартизованные образы ПО
• Несколько антивирусных движков на
уровне защиты e-mail и Web
• Перезапись URL в e-mail
• Песочница для средств защиты e-mail и
Web
• Антифишинговые тренинги
• Формализованный процесс управления
уязвимостями
• Обнаружение C&C
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
Мониторинг DNS

35. C чем может бороться данный
сценарий?
• Использование
полиморфизма в коде, но
поведение повторяется
• Обфускация файлов для
обхода распространенных
антивирусов и базовых
песочниц
• Безфайловые вирусы
• Эксплойты для
известных, но свежих
уязвимостей в
пользовательском ПО
(браузеры, MS Office,
Acrobat Reader и т.п.)
Уровень обнаружения на VT – от 5 до 40%

36. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Thi
s
Thi
s
This
image
cannot
Th
is
Th
is
Th
is
Th
is
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
This
imag
e
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Современный хакер обращает
внимание не только на периметр

37. Хакер не обязательно идет через периметр

38. И даже если у вас нет Wi-Fi, вас могут
через него атаковать

39. Подмена Wi-Fi-точки доступа и перехват
паролей
Видео-демонстрация

40. Помните кино «Хакеры»?

41. Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

42. А еще существует взлом через
переговорную комнату
Видео-демонстрация

43. Как попасть в помещение?
Видео-демонстрация

44. Как попасть в помещение?

45. Что вы будете делать, если найдете флешку
у дверей офиса?
Любопытство возьмет верх или нет?

46. Многие подбирают J

47. Немного кино

48. Продвинутая защита для большинства
случаев
• Threat Intelligence для всех элементов
системы защиты
• Расширение функционала решения за
счет контроля поведения трафика и
пользователей
• Дополнение функционала EPP функциями
обнаружения и реагирования на
инциденты (EDR) и круглосуточный
мониторинг и реагирование (MDR)
• Интеграция хостовых и сетевых средств
обнаружения и реагирования
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Мониторинг DNS
ИБ IaaS/PaaS
Mobile Device
Management (MDM)
Защита
серверов
CASB

49. C чем может бороться данный
сценарий?
• Отсутствие повтора
поведения
• Обфускация файлов для
обхода продвинутых
песочниц
• Маскировка под
нормальные файлы,
удаление индикаторов
заражение
• 0Day в пользовательских
приложениях
• Модификация известных
техник, адаптированных
под новые приложения и
ОС
• Распространение по сети
(например, после
компрометации ПК)
Уровень обнаружения на VT – менее 5%

50. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image
Signing и др.
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да

51. Вот так развивалась защита сетевого
оборудования Cisco
3900(E)
ISR 4451-X
2000
2005
2010
2015
Anti-Counterfeiting (ACT)
39[24]5 PPC (XSPACE, ASLR)
MIPs based G2 – Partial ASLR
39[24]5e Intel (XSPACE)
Image Signing
Common Criteria + НДВ ФСТЭК
FIPs
CSDL
Trust Anchor Module
(SUDI, Secure Storage,
Entropy)
Secure Boot,
Image Signing,
XSPACE.
ASLR enabled IOSd
Cisco SSL
Common Criteria, FIPs
ISR
Anti-Counterfeiting (ACT)
Common Criteria
FIPs
3900 Series
1900 Series
800 Series
Cisco 1800 Cisco 2800 Cisco 3800
G1
G2
G3
51

52. Как бороться со спецслужбами?
• Фокус на обнаружении
• Стратегия разрешения только хорошо
известного
• Белые списки приложений и изоляция
сегментов сети, приложений и узлов на
уровне данных, не допуская
взаимодействия доверенных и
недоверенных активов
• Виртуализация, удаленные браузеры на
уровне ПК
• TPM, контроль целостности ОС, подпись
всех e-mail, контроль потоков, удаленная
верификация
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)

53. C чем может бороться данный
сценарий?
• Разрешенные известные,
подписанные или в
памяти
• Скрытие в firmware или
других компонентах,
невидимых для ОС
• Продвинутые техники
обхода
• Отсутствие или хорошо
замаскированные
коммуникации с C&C
• 0Day, задействующие
новые техники
• Экслойты в
привилегированном коде
• Злоупотребление
разрешенными
приложениями
• Атака на firmware/BIOS
• Атака через физический
доступ
Уровень обнаружения на VT – 0%

54. Три измерения борьбы с вредоносным
ПО
Конкретный семпл
Инфраструктура злоумышленников
ПКВся сеть
ВПО
Канал управления
- традиционная защита
- рекомендуемая защита

55. Решение по защите от вредоносного ПО
1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015
Эффективное решение по защите от вредоносного ПО – это не
серебряная пуля и не гарантирует 100%-й защиты. Однако оно
способно помочь:
• Предотвратить попадание вредоносного ПО в сеть или на ПК, когда
это возможно
• Остановить его до того, как оно будет управляться извне
• Обнаружить, когда оно появится в сети
• Локализовать его для защиты от распространения по сети
• Обеспечить реагирование для устранения уязвимостей и локализации
атакованных участков

56. Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence

57. Резюмируя
Старое ВПО
VT >80%
Известные
эксплойты,
ботнеты
VT 40-80%
Новые варианты
VT 5-40%
Целевое ВПО
VT < 5%
Новое ВПО
VT =0%
Зрелость защиты от вредоносного ПО
СложностьвредоносногоПО
СтарыйИзвестныйНовыйЦелевойПродвинутый
Процесс
реагирования
Патчи, защита e-
mail
и URL-
фильтрация
Архитектура,
осведомленность
Управление
уязвимостями,
EPP, песочница
Мониторинг 24/7
и непрерывное
тестирование
EDR
Адаптивная
архитектура
Изоляция, threat
hunting
60% всех
вредоносных
программ
95% всех вредоносных программ
99% всех вредоносных программ

58. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после конференции?

59. Где вы можете узнать больше?
http://www.cisco.com/c/ru_ru/about/brochures.html
https://habrahabr.ru/company/cisco/
https://www.cisco.com/c/en/us/
solutions/enterprise-
networks/ransomware-
defense/index.html

60. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

61. Спасибо!
alukatsk@cisco.com