Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
6. Мне нужен самый простой свич для
heartbeat. Их сеть пакеты теряет, и у
нас кластер разваливается. Мы
поставим выделенный свич, подключим к
нему ноды кластера.
> Зачем это тебе?
14. /* shocker: docker PoC VMM-container breakout (C) 2014 Sebastian Krahmer
*
* Demonstrates that any given docker image someone is asking
* you to run in your docker setup can access ANY file on your host,
* e.g. dumping hosts /etc/shadow or other sensitive info, compromising
* security of the host and any other docker VM's on it.
https://github.com/gabrtv/shocker/blob/master/shocker.c
15. FROM ubuntu:14.04
RUN apt-get update && apt-get upgrade
RUN apt-get install -y curl
RUN cd /usr/local && curl http://nodejs.org/... | tar … -zxf-
RUN npm -g update npm
RUN npm install -g forever
ADD . /opt/apps/node-docker
RUN cd /opt/apps/node-docker && npm install
EXPOSE 8000
CMD forever /opt/apps/node-docker/app.js
19. Результаты расследования
Скомпрометирован контроллер домена сети банкоматов
На банкоматы установлены «USB-сниферы»
Сниферы собирают информацию о карточках клиентов
Информация монетизируются через другие банки
Основная IT-сеть и сетевой периметр не содержит следов атаки
20. Результаты расследования
Анализ инструментов: загрузка на VirusTotal из нескольких сетей
Один из источников: крупный телеком-провайдер
Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка
Совместный анализ инцидента
Источник атаки – магистраль MPLS подрядчика-телекома
21. Техники, тактики и процедуры
Не обязательно быть целью,
чтобы быть жертвой
Атаки на подрядчиков
Атаки на инфраструктуры
банков
В дополнение к атакам на
клиентов
Сложная монетизация
Metel
Carbanak
и другие…
http://bit.ly/1NySY1a
Ольга Кочетова
Malware and non-malware ways for ATM jackpotting. Extended cut
23. Результаты расследования
Более 500 станций под контролем злоумышленников
Проникновение произошло более 6 месяцев назад
Доступ был перепродан на черном рынке
Шифрование – ошибка оператора
24. Техники, тактики и процедуры
Обработка результатов массовых атак
Выбор «вкусных» целей
Черный рынок
НСД
Инсайдеры
Пароли
Уничтожение данных
Black Energy
Saudi Aramco
и другие…
Руслан Стоянов
Русскоязычная финансовая киберпреступность: как это работает
http://bit.ly/23S2ZIZ
27. Анализ защищенности
Резервная копия web-сервера на ftp-сервере подрядчика
Пароли web-сервера подходят к VPN
Сенсоры системы пожаротушения в корпоративной сети
Система управления пожаротушением в технологической сети
Полный доступ к SCADA и PLC из Интернета за 3 дня
29. Duqu
miniFlame
Gauss
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear /
Crouching Yeti
RedOctober
CosmicDuke
Darkhotel
Careto /
The Mask
Regin
2010
Sofacy
Carbanak
Desert
Falcons
Equation
Naikon
Hellsing
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
Stuxnet Flame2011 2012 2013 2014 2015
Darkhotel
– part 2.
MsnMM
Compaigns
Satellite
Turla
Wild Neutron
Blue Termite
Spring Dragon
В среднем 2-3 новых отчета об APT-угрозах в месяц
В марте 2016 г. – заказчикам APT Intelligence
Reporting предоставлено 4 отчета (в том числе
новая активность Carbanak)
В активной фазе расследование по 12 кампаниям
34. Выживание в любой ситуации
34
Изменение прошивок
Seagate, Western Digital, IBM,
Toshiba, Samsung, Maxtor
«Выживает» при форматировании
«Невидимая» область данных
Может использоваться для выноса
данных из изолированных сетей
35. Работа в закрытых сетях
35
Заражение флэш-накопителей
Запуск в изолированных сетях
Сбор информации о сети
Копирование информации при
подключении к сети
Получение дальнейших команд
36. DUQU 2.0
36
3 «новых» уязвимости
Украденные сертификаты
Заражение через контроллеры
Минимум файловых IoC
Пиринговая сеть
39. Целевые атаки: уже повседневность
Криминальные группы и государственные организации
Региональные и нишевые атаки:
Банки
Кража денег, персональных данных
Государственные органы
Шпионаж
Производство
Промышленный шпионаж
Телеком
Доступ к биллингу, системам самообслуживания
Медиа
Электронная почта, новостные порталы
53. Игры в песочнице
• Выявление
• Выявление виртуализации
• Выявление трассировок
• Железо/ПО/ОС
• Обход
• Игры со временем
• Посчитать что-то
• CAPTCHA
• Утечки информации
• Взлом
54. Выявление
• Виртуализация
• Sandbox: qemu/virtualbox/KVM/«proprietary»
• Ent:HyperV/VmWare/Citrix
• Серверная/клиентская виртуализация
• Железо/ПО/ОС
• CPU/RAM/экрана/периферия/сеть…
• ПО для отладки/несовпадение с «разведкой»
• «Чистая» память, состояние системы
• Устаревшие ОС
55. To jump or not to jump
http://pelevin.nov.ru/images/Scorpion.html
56. Neutrino – DDoS-бот
• IsDebuggerPresent
• CheckRemoteDebuggerPresent(GetCurrentProcess(), pDebuggerPresent)
• GetProcAddress(GetModuleHandleW(“kernel32.dll”),
“wine_get_unix_file_name”)
• GetUserNameW vs {“MALTEST“, “TEQUILABOOMBOOM“, “SANDBOX“,
“VIRUS“,”MALWARE“}
• GetModuleNameW vs {“SAMPLE“, “VIRUS“, “SANDBOX” }
• “HARDWAREDescriptionSystem“, value “SystemBiosVersion” against:
{“VBOX“, “QEMU“, “BOCHS“}
• “HARDWAREDescriptionSystem“, value “VideoBiosVersion” against:
“VIRTUALBOX“
• “HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id“, value
“Identifier“), against {“VMWARE“, “VBOX“, “QEMU“}
• VMWareTools, via registry key: SOFTWAREVMware, Inc.VMware Tools
• VBoxGuestAdditions, via registry key: SOFTWAREOracleVirtualBox Guest
Additions
• …
57. Обход
•CAPTCHA
• Осмысленный пользовательский ввод
• Последовательность действий
• Взаимосвязь с корпоративным ПО/настройками (dll)
•Игры со временем
• “Sleep” a lot
• Внешние источники
• NTP/DNS/HTTP/…
• Расшифровать себя
• …
http://bit.ly/1NuMaSt
65. A thousand battles, a thousand victories
• Awareness
• Process
• Preventive tools
FW/AV/IPS/WAF…
Exploit Prevention
AND FIGHT
AS YOU TRAIN
TRAIN AS
YOU FIGHT
PREVENT
DETECT
• (all these)SandBox
• Network/Host Behavior
• (NG)SIEM
RESPOND
• Incident response
• Network/Host Forensic
• Enterprise Response tools
CLOTHE THEE
IN WAR
ARM THEE IN
PEACE
PREDICT
• Security assessment
• Threat Intelligence
KNOW
YOURSELF
KNOW
THE ENEMY
SI VI SPACEM
PARA BELUM
TIME: nn:nn
We’re out of time for now, but here’s a brief re-cap on building what we call an Adaptive Enterprise Security Strategy
And at each stage of the cycle, Kaspersky Lab has something to offer.