Разработка расширения для Google Chrome, защищающего от утечки информации чер...Positive Hack Days
Существует серьезная проблема утечки конфиденциальной информации через различные расширения при работе в браузере. Доклад посвящен расширению для браузера, которое позволит обезопасить пользователя, имеющего минимум технических навыков и знаний в области информационной безопасности.
Разработка расширения для Google Chrome, защищающего от утечки информации чер...Positive Hack Days
Существует серьезная проблема утечки конфиденциальной информации через различные расширения при работе в браузере. Доклад посвящен расширению для браузера, которое позволит обезопасить пользователя, имеющего минимум технических навыков и знаний в области информационной безопасности.
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Безкоровайный Денис Игоревич, руководитель направления по работе с финансовыми организациями Trend Micro
Источник: http://ural.ib-bank.ru/materials_2015
Осторожно Malware! Как защитить себя от вредоносного ПОChristina Molotova
Не стоит спешить записываться на прием к психотерапевту, если у вас появилось навязчивое чувство слежки. Нет –нет, это совсем не паранойя. Возможно, вы просто попали на крючок кибер-преступников, которые хитро пробрались на ваш компьютер с помощью вредоносного ПО. Однако, даже если такого чувства нет, это совсем не значит, что вы одни. В обоих случаях мы поможем вам разобраться.
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Безкоровайный Денис Игоревич, руководитель направления по работе с финансовыми организациями Trend Micro
Источник: http://ural.ib-bank.ru/materials_2015
Осторожно Malware! Как защитить себя от вредоносного ПОChristina Molotova
Не стоит спешить записываться на прием к психотерапевту, если у вас появилось навязчивое чувство слежки. Нет –нет, это совсем не паранойя. Возможно, вы просто попали на крючок кибер-преступников, которые хитро пробрались на ваш компьютер с помощью вредоносного ПО. Однако, даже если такого чувства нет, это совсем не значит, что вы одни. В обоих случаях мы поможем вам разобраться.
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...yaevents
Вячеслав Закоржевский, Kaspersky Lab
Пришёл в «Лабораторию Касперского» в середине 2007 года на должность вирусного аналитика. В конце 2008 года занял позицию старшего вирусного аналитика в группе эвристического детектирования. В область интересов входит исследование полиморфных вирусов и сильно изменяющихся зловредов. Также следит за современными тенденциями в методах обфускации, антиэмуляции и прочих, применяемых вредоносным программным обеспечением.
Тема доклада
Сложнейшие техники, применяемые буткитами и полиморфными вирусами.
Тезисы
Бытует мнение, что современные зловреды достаточно просты и пишутся неподготовленными людьми. Данное выступление призвано развеять этот миф. В презентации будут описаны три зловреда, которые используют нетривиальные и сложные методы в процессе своего функционирования. В частности, будет рассмотрена схема работы современных буткитов, которые всё больше и больше набирают обороты. На двух других примерах мы проиллюстрируем изобретательность вирусописателей, которые пытаются максимально усложнить жизнь исследователям и антивирусным компаниям. В одном случае они использовали собственную виртуальную машину совместно с EPO техникой заражения. А в другом - «подключение» нулевых виртуальных адресов для размещения в них своих данных.
Malware threats in our cyber infrastructure Charles Lim
Botnets have increased not only in numbers but also in sophistication of carrying out its design purpose. What are the lesson learned so far from the recent Botnet takedown?
Practical Malware Analysis: Ch 5: IDA ProSam Bowne
IDA Pro is a disassembler that supports interactive disassembly and analysis of executable files. It has both graph and text modes and uses color-coded arrows to indicate jump instructions. It contains useful windows like Functions, Names, Strings, Imports/Exports, and Cross-References to aid analysis. Functions can be analyzed by examining parameters, calls, and cross references. The disassembly can be enhanced through renaming locations, adding comments, and using named constants. IDA supports plugins for extended functionality.
Charles Lim presented on malware analysis at a conference in Yogyakarta, Indonesia. He discussed various techniques for analyzing malware, including static analysis of program code and files, dynamic analysis by executing programs in sandboxes or virtual machines, and memory analysis of running processes. He also provided a case study of analyzing a malware infection that caused a denial of service attack through traffic flooding. Future challenges in malware analysis include dealing with packed or encrypted malware, evasive malware that uses anti-analysis techniques, and continuing to improve analysis through machine learning.
Malware Analysis 101 - N00b to Ninja in 60 Minutes at BSidesLV on August 5, ...grecsl
Knowing how to perform basic malware analysis can go a long way in helping infosec analysts do some basic triage to either crush the mundane or recognize when its time to pass the more serious samples on to the the big boys. This presentation covers several analysis environment options and the three quick steps that allows almost anyone with a general technical background to go from n00b to ninja (;)) in no time. Well … maybe not a "ninja" per se but the closing does address follow-on resources on the cheap for those wanting to dive deeper into the dark world of malware analysis.
Malware Detection with OSSEC HIDS - OSSECCON 2014Santiago Bassett
My presentation on how to use malware indicators of compromise to create rootcheck signatures for OSSEC. Explains different malware collection and analysis techniques.
A short introduction into Sequential Pattern Mining in Russia. We consider frequent and frequent closed sequences along with two algorithms (SPADE and PrefixSpan). A demographic case study is provided as well. One can find links and references to relevant literature and software. We mainly follow Han & Kamber Data Mining book (2nd edition, Chapter 8.3).
Краткое введение в Sequential Pattern Mining на русском языке. Рассматриваются алгоритмы для поиска частых и частых замкнутых последовательностей (SPADE и PrefixSpan) Кейс-стади на примере демографических последовательностей. Приведены ссылки на библиотеки и реализации некоторых базовых алгоритмов. Основное изложение по мотивам учебника Джиавея Хана и Мишелин Камбер.
Ежегодная конференция IT UP (Сентябрь_Новосибирск)
предоставить бизнес-потребителям и представителям ИТ-компаний (вендоры, дистрибьюторы, интеграторы) независимую площадку для обсуждения актуальных решений для ИТ-структур в организациях.
http://askbda.ru/results/it/159-iii-ezhegodnaya-regionalnaya-konferenciya-sovremennye-it-resheniya-dlya-kompanij-yeffektivnost-logichnost-i-bezopasnost.html
Ежегодная конференция IT UP (Сентябрь_Новосибирск)
предоставить бизнес-потребителям и представителям ИТ-компаний (вендоры, дистрибьюторы, интеграторы) независимую площадку для обсуждения актуальных решений для ИТ-структур в организациях.
http://askbda.ru/results/it/159-iii-ezhegodnaya-regionalnaya-konferenciya-sovremennye-it-resheniya-dlya-kompanij-yeffektivnost-logichnost-i-bezopasnost.html
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годCisco Russia
Любые кибератаки, независимо от их масштаба, зарождаются в самом слабом звене цепи безопасности. Такими слабыми звеньями могут быть: устаревшее программное обеспечение, некорректно написанный код, неиспользуемый веб-
сайт, ошибки разработчиков, «слепое» доверие пользователя. Злоумышленники изыскивают такие слабые места и используют их в своих целях.
К несчастью для организаций и пользователей, на которых нацелены эти атаки, злоумышленникам не приходится особенно долго искать такие уязвимости. В условиях молниеносно развивающегося Всеобъемлющего Интернета, в основе которого — возможность взаимодействия с «Интернетом вещей», задача злоумышленников даже упрощается, поскольку все, что подключено к сети — от автомобилей до систем «умный дом» — содержит уязвимости, которые можно использовать при атаке.
Последствия кибератак разрушительны — как в плане затрат, так и в плане потери производительности и ущерба для репутации. Согласно данным института Ponemon Institute, в среднем ущерб для организаций в результате взлома данных с 4,5 млн долларов США в 2013 году возрос в 2014 году до 5,4 млн долларов США. Кроме того, по данным отчета Центра стратегических и международных исследований по оценке ущерба от киберпреступлений и кибершпионажа ущерб для экономики США составляет ежегодно 100 млрд долларов США, а также влечет за собой потерю 508 000 рабочих мест в США в результате злонамеренных действий в Интернете.
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
В полугодовом отчете Cisco по безопасности за 2014 год представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года. Исследование Cisco позволяет оценить количество разнообразных типов уязвимостей в системах, которые мы используем ежедневно, включая, собственно, Интернет, а также способы сокращения их числа и минимизации плачевных последствий. Основные выводы: состоят в следующем.
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
1. Обзор Windows Docker (кратко)
2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc)
3. Примеры Dockerfile (выложенные на github)
4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
1. Проблемы в построении CI процессов в компании
2. Структура типовой сборки
3. Пример реализации типовой сборки
4. Плюсы и минусы от использования типовой сборки
1. Что такое BI. Зачем он нужен.
2. Что такое Qlik View / Sense
3. Способ интеграции. Как это работает.
4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды.
5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
The document discusses preventing attacks in ASP.NET Core. It provides an overview of topics like preventing open redirect attacks, cross-site request forgery (CSRF), cross-site scripting (XSS) attacks, using and architecture of cookies, data protection, session management, and content security policy (CSP). The speaker is an independent developer and consultant who will discuss built-in mechanisms in ASP.NET Core for addressing these security issues.
2. 1. Создание одной сигнатуры для семейства
вирусов - Уменьшение размера баз антивируса -
Улучшение обобщения.
2. Исследование изменения конкретного вируса в
целом - отслеживание источника.
Сейчас выполняется "вручную":
IDA, ProcessExplorer, BinDiff.
Значительное время.
«Ручной» труд квалифицированных специалистов ->
Высокая стоимость анализа.
Актуальность 2
3. Задачи
Проанализировать существующие методы
классификации.
Разработать метод автоматической
классификации.
Реализовать и экспериментально
исследовать разработанный метод.
Цель исследования
Разработка метода автоматической
классификации вредоносного ПО на
основе поведенческих признаков.
3
4. Предыдущие исследования
Работы по статическому анализу
вредоносного кода:
V. Sai Sathyanarayan, Pankaj Kohli, Bezawada
Bruhadeshwar, Signature Generation and Detection of
Malware Families.
Lee H., Jeong K., Code graph for malware detection.
Stamp M., Wong W. Hunting for metamorphic engines.
F. Leder, B Steinbock, P Martini,Classification and
detection of metamorphic malware using value set
analysis.
4
5. Предыдущие исследования
Работы по динамическому анализу
вредоносного кода :
Christodorescu M., Jha S., Kruegel C., Mining specifications of
malicious behavior.
Vinod P., Harshit Jain, Yashwant K. Golecha MEDUSA:
MEtamorphic malware Dynamic Analysis Using Signature
from API.
Sun H., Lin Y., Wu M., Api monitoring system for defeating
Worms and exploits in ms-windows system
Vladislav V. Martynenko”System and method for
detection of complex malware”
5
6. Формулировка задачи
Разработать метод классификации
вредоносного ПО согласно следующим
требованиям:
6
1
• Исследование поведенческих признаков.
2
• Необходимость не менее одного образца
известного вируса. Больше – можно :)
3
• Возможность визуально
интерпретировать результаты анализа.
7. Разработанный метод 7
Получение поведенческих признаков –
трасс WinAPI и созданных файлов.
Вычисление меры близости трасс.
Вычисление меры близости файлов.
Формирование пространства признаков.
Кластеризация признаков.
Анализ результатов.
12. d23
*
d12
*
d13
*
YT
3 образец (F3,T3)
2 образец (F2,T2)
1 образец (F1,T1)
F
Методы снижения размерности.
Норма вектора и МНШ
12
Fi = ||Df
i ||
Ti = ||Dt
i||
3 образец
2 образец
1 образец
X
по трассам
* - учет влияния функции
стресса
13. Кластерный анализ признаков 13
Стандартная нечеткая кластеризацияМодифицированная нечеткая кластеризация
T
F