Ведущий: Владимир Иванов и Сергей Гордейчик Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.

1. Целенаправленные атаки
Прицелься первым Владимир Иванов
Сергей Гордейчик

2. На что я буду ссылаться

3. https://www.youtube.com/watch?v=bDJb8WOJYdA

4. https://www.youtube.com/watch?v=qlk4JDOiivM

5. На что похожа типичная сеть?

6. Мне нужен самый простой свич для
heartbeat. Их сеть пакеты теряет, и у
нас кластер разваливается. Мы
поставим выделенный свич, подключим к
нему ноды кластера.
> Зачем это тебе?

7. Высокоуровневая карта сети
7

8. Security Day 2016
Высокоуровневая карта сети
8

9. Чем гордится сисадмин?

12. Дивный новый мир

14. /* shocker: docker PoC VMM-container breakout (C) 2014 Sebastian Krahmer
*
* Demonstrates that any given docker image someone is asking
* you to run in your docker setup can access ANY file on your host,
* e.g. dumping hosts /etc/shadow or other sensitive info, compromising
* security of the host and any other docker VM's on it.
https://github.com/gabrtv/shocker/blob/master/shocker.c

15. FROM ubuntu:14.04
RUN apt-get update && apt-get upgrade
RUN apt-get install -y curl
RUN cd /usr/local && curl http://nodejs.org/... | tar … -zxf-
RUN npm -g update npm
RUN npm install -g forever
ADD . /opt/apps/node-docker
RUN cd /opt/apps/node-docker && npm install
EXPOSE 8000
CMD forever /opt/apps/node-docker/app.js

16. http://www.slideshare.net/jpetazzo/is-it-safe-to-run-applications-in-linux-containers

17. alias ssh = “LD_LIBRARY_PATH=/usr/lib/mylibc.so ssh”

18. Дело
«ОБ УПАВШЕМ
БАНКОМАТЕ»

19. Результаты расследования
Скомпрометирован контроллер домена сети банкоматов
На банкоматы установлены «USB-сниферы»
Сниферы собирают информацию о карточках клиентов
Информация монетизируются через другие банки
Основная IT-сеть и сетевой периметр не содержит следов атаки

20. Результаты расследования
Анализ инструментов: загрузка на VirusTotal из нескольких сетей
Один из источников: крупный телеком-провайдер
Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка
Совместный анализ инцидента
Источник атаки – магистраль MPLS подрядчика-телекома

21. Техники, тактики и процедуры
Не обязательно быть целью,
чтобы быть жертвой
Атаки на подрядчиков
Атаки на инфраструктуры
банков
В дополнение к атакам на
клиентов
Сложная монетизация
Metel
Carbanak
и другие…
http://bit.ly/1NySY1a
Ольга Кочетова
Malware and non-malware ways for ATM jackpotting. Extended cut

22. Дело
«о зашифрованном диске»
2
2

23. Результаты расследования
Более 500 станций под контролем злоумышленников
Проникновение произошло более 6 месяцев назад
Доступ был перепродан на черном рынке
Шифрование – ошибка оператора

24. Техники, тактики и процедуры
Обработка результатов массовых атак
Выбор «вкусных» целей
Черный рынок
НСД
Инсайдеры
Пароли
Уничтожение данных
Black Energy
Saudi Aramco
и другие…
Руслан Стоянов
Русскоязычная финансовая киберпреступность: как это работает
http://bit.ly/23S2ZIZ

26. Дело
«О ПОЖАРНОМ
КРАНЕ»

27. Анализ защищенности
Резервная копия web-сервера на ftp-сервере подрядчика
Пароли web-сервера подходят к VPN
Сенсоры системы пожаротушения в корпоративной сети
Система управления пожаротушением в технологической сети
Полный доступ к SCADA и PLC из Интернета за 3 дня

28. :
обратная
сторона периметра

29. Duqu
miniFlame
Gauss
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear /
Crouching Yeti
RedOctober
CosmicDuke
Darkhotel
Careto /
The Mask
Regin
2010
Sofacy
Carbanak
Desert
Falcons
Equation
Naikon
Hellsing
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
Stuxnet Flame2011 2012 2013 2014 2015
Darkhotel
– part 2.
MsnMM
Compaigns
Satellite
Turla
Wild Neutron
Blue Termite
Spring Dragon
В среднем 2-3 новых отчета об APT-угрозах в месяц
В марте 2016 г. – заказчикам APT Intelligence
Reporting предоставлено 4 отчета (в том числе
новая активность Carbanak)
В активной фазе расследование по 12 кампаниям

33. http://www.aup.ru/books/m56/5_1.htm
Г.Я. Гольдштейн
Стратегические аспекты управления НИОКР

34. Выживание в любой ситуации
34
Изменение прошивок
Seagate, Western Digital, IBM,
Toshiba, Samsung, Maxtor
«Выживает» при форматировании
«Невидимая» область данных
Может использоваться для выноса
данных из изолированных сетей

35. Работа в закрытых сетях
35
Заражение флэш-накопителей
Запуск в изолированных сетях
Сбор информации о сети
Копирование информации при
подключении к сети
Получение дальнейших команд

36. DUQU 2.0
36
3 «новых» уязвимости
Украденные сертификаты
Заражение через контроллеры
Минимум файловых IoC
Пиринговая сеть

37. Побочный ущерб
37
DUQU 2.0 DarkHotel

38. 38

39. Целевые атаки: уже повседневность
Криминальные группы и государственные организации
Региональные и нишевые атаки:
Банки
Кража денег, персональных данных
Государственные органы
Шпионаж
Производство
Промышленный шпионаж
Телеком
Доступ к биллингу, системам самообслуживания
Медиа
Электронная почта, новостные порталы

40. детский
сад
школа
контракторы
фитнесс
центр
штаб-квартира

41. Endpoint protection is dead
4
1

42. Security Day 2015
Malware не работает автономно
4
2

43. ISD в сети

44. Как отличить подозрительное
• Обнаружение аномалий
• Подозрительные адреса
• Подозрительные домены
• Подозрительные запросы
• Подозрительный траффик
• Сигнатуры
• Общее место

45. Как отличить подозрительное
4
5

46. Сколько «заражений» предотвращает антивирус в
сети на 10000 рабочих станций в неделю?

47. permit ip any any log

49. Buzzword Bingo

51. http://bit.ly/23S2ZIZ

52. 2004: Personal Firewalls/HIPS
https://securityvulns.com/advisories/bypassing.asp https://hacktivity.com/en/downloads/archives/429/
Перепрыгиваем …
2014: Sandbox

53. Игры в песочнице
• Выявление
• Выявление виртуализации
• Выявление трассировок
• Железо/ПО/ОС
• Обход
• Игры со временем
• Посчитать что-то
• CAPTCHA
• Утечки информации
• Взлом

54. Выявление
• Виртуализация
• Sandbox: qemu/virtualbox/KVM/«proprietary»
• Ent:HyperV/VmWare/Citrix
• Серверная/клиентская виртуализация
• Железо/ПО/ОС
• CPU/RAM/экрана/периферия/сеть…
• ПО для отладки/несовпадение с «разведкой»
• «Чистая» память, состояние системы
• Устаревшие ОС

55. To jump or not to jump
http://pelevin.nov.ru/images/Scorpion.html

56. Neutrino – DDoS-бот
• IsDebuggerPresent
• CheckRemoteDebuggerPresent(GetCurrentProcess(), pDebuggerPresent)
• GetProcAddress(GetModuleHandleW(“kernel32.dll”),
“wine_get_unix_file_name”)
• GetUserNameW vs {“MALTEST“, “TEQUILABOOMBOOM“, “SANDBOX“,
“VIRUS“,”MALWARE“}
• GetModuleNameW vs {“SAMPLE“, “VIRUS“, “SANDBOX” }
• “HARDWAREDescriptionSystem“, value “SystemBiosVersion” against:
{“VBOX“, “QEMU“, “BOCHS“}
• “HARDWAREDescriptionSystem“, value “VideoBiosVersion” against:
“VIRTUALBOX“
• “HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id“, value
“Identifier“), against {“VMWARE“, “VBOX“, “QEMU“}
• VMWareTools, via registry key: SOFTWAREVMware, Inc.VMware Tools
• VBoxGuestAdditions, via registry key: SOFTWAREOracleVirtualBox Guest
Additions
• …

57. Обход
•CAPTCHA
• Осмысленный пользовательский ввод
• Последовательность действий
• Взаимосвязь с корпоративным ПО/настройками (dll)
•Игры со временем
• “Sleep” a lot
• Внешние источники
• NTP/DNS/HTTP/…
• Расшифровать себя
• …
http://bit.ly/1NuMaSt

58. http://cuckoo-droid.readthedocs.io/en/latest/installation/guest_android_device/architecture/

59. https://threatpost.com/using-kernel-exploits-bypass-sandboxes-fun-and-profit-031813/77638/

60. Обработка данных из (очень-очень)
недоверенного источника
http://bit.ly/1VXzCpt

61. Как обойти обходы?
•Быть как цель
•Железо/ПО/ОС
•Вести себя как цель
•Пользовательский ввод
•Сетевая активность
•Работать долго

62. 2004: Personal Firewalls/HIPS
https://securityvulns.com/advisories/bypassing.asp https://hacktivity.com/en/downloads/archives/429/
Bypassing
2014: Sandbox
2018: NG AV/EEP/EDR
Endpoint Protection
Next Generation, old problems
J. Rand the Hacker
AnyCon 2018

63. Сколько нужно чтобы “украсть” все?!

64. ~40 секунд

65. A thousand battles, a thousand victories
• Awareness
• Process
• Preventive tools
FW/AV/IPS/WAF…
Exploit Prevention
AND FIGHT
AS YOU TRAIN
TRAIN AS
YOU FIGHT
PREVENT
DETECT
• (all these)SandBox
• Network/Host Behavior
• (NG)SIEM
RESPOND
• Incident response
• Network/Host Forensic
• Enterprise Response tools
CLOTHE THEE
IN WAR
ARM THEE IN
PEACE
PREDICT
• Security assessment
• Threat Intelligence
KNOW
YOURSELF
KNOW
THE ENEMY
SI VI SPACEM
PARA BELUM

66. Целенаправленные атаки
Прицелься первым
Владимир Иванов ivlad@yandex.com
Сергей Гордейчик 1337@kaspersky.com