SlideShare a Scribd company logo
#KasperskyICS
Чат конференции: https://kas.pr/kicscon
Сергей
Повышев
Старший менеджер-руководитель
направления «Управление
информационной безопасности»,
ПАО «Северсталь», Россия
Практика киберучений
Делимся опытом
Повышев Сергей Алексеевич
Сентябрь 2021. Сочи
Содержание
● Киберучения. С чего начать?
● Теория. Не всё форензика, что блестит.
● Киберполигон. Если вы варите чугун, не учитесь
защищать банкоматы.
● Red vs Blue Team:
- Фишинг. RAT Merlin для обхода средств защиты.
- Несанкционированное воздействие на АСУ ТП
через физическое подключение подрядчика.
- Маскировка источника Wanna.
● Итоги киберучений.
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Киберучения. С чего начать?
ИТ
ИБ
Цель:
KPI:
Выявить 75%
100%
Предотвратить
100%
Ликвидировать последствия
1 этап - Теория
2 этап - Киберполигон
3 этап - Read Teaming
Атаки на реальную
инфраструктуру
Требования к исполнителю:
Он не вендор СЗИ, внедренных в Компании
Формат:
БИЗНЕС
Атаки
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Много теории
без закрепления
Хостовая форензика
«Сферические
кони в вакууме»
Только endpoint tools:
FTK Imager; Volatility
Incident Response и
Threat Hunting, hardening
Tactics, Techniques
Teaming
Forensics tools
for network and endpoint
Теория. Не всё форензика, что блестит.
Согласовывайте не только темы для
обучения, но и их содержание
Теория сразу должна сопровождается
практической демонстрацией
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Защита
Web-приложения
Защита
приложения с микро
сервисной архитектурой
Расследование атаки на производственный
сегмент сети (CTF)
Расследование АРТ атаки (CTF)
Расследование атаки на веб-сайт (CTF)
Киберполигон. Если вы варите чугун, не учитесь защищать банкоматы
5 команд
2 дня
18 часов
01
Роли участников
Назначенные роли в команде не
соблюдались
02
Теоретическая подготовка
Знаний, полученных на первом
этапе было недостаточно. Вопрос
отражения атак не был освещён
03
Применимость
Разобранные кейсы, по
наполнению, маловероятно
встретятся на практике
04
Составы команд
Необходимо правильно разделить
команды по уровню навыков и
компетенций участников
5
сценариев
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Red vs Blue Team. Три сценария атаки на инфраструктуру.
Сценарий 1
Точечная фишинговая рассылка.
Получение контроля над
рабочей станцией.
Сценарий 3
Industrial этап. Атака на цепочку
поставок.
Заражённая виртуальная машина
на внешнем накопителе
подрядчика
Сценарий 2
Industrial этап. Имитация действий
нерадивого подрядчика,
физически подключенного во
внутреннюю сеть
1
Phishing
2
Device
access
3
Exploitation
Red team
White team
Blue team
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
2 4
1 3
Запуск полезной
нагрузки, установка
удаленной сессии
Add title here Add title here
Add title here
Установка
«подсадного» с не
заблокированным
USB
2 4
1 5
3
Доставка на ПК
пользователя RAT
Merlin через
WhatsApp
Папка исключения
антивируса
C:ClusterStorage
Организации reverse
socks - туннеля
Использование RAT
Cobalt Strike
3
1 2
Неудачные попытки
доставки RAT Merlin
через внешние
каналы
Детект АВЗ Cobalt
Strike
Авторегистрация
инцидента
Углубленная
форензика хоста
Поиск DLL по SHA256
на других хостах
Прекращение атаки
Заблокирована
вредоносная
библиотека
Прекращение атаки
Блокировка DLL АВЗ
Фишинг. RAT Merlin для обхода средств защиты.
3.1
VPM split tunneling
Удалённая работа
пользователя
6
Internal Monologue
Attack - получение
NTLM хэшей
Подобран пароль по
хэшу
Атака
1
Атака
2
Red
Blue
Red
1
Углубленная
форензика
заражённых хостов
Blue
Длительность:
14 дней с 18.03 по 23.03
Средняя длительность
реакции: 4 дня
Детект:
2 из 5-и атак выявлены
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено. 9
Шаг 1 Шаг 2 Шаг 3 Шаг 4 РЕЗУЛЬТАТ
Анализ журналов и
реестра
• установлено, что
вектором заражения
служил съёмный
накопитель
Сбор и анализ
Timeline системы
• определили обращение
к документу на
съёмном накопителе
Анализ
PREFETCH
• определение
вредоносного скрипта и
DLL в prefetch-файле
WINWORD
Поиск по хэшу DLL в
инфраструктуре
• найдены все ПК, на
которых был загружен
вредоносный DLL
• Блокировка
вредоносной DLL
• Смена паролей УЗ
• Построение KillChain
Форензика заражённого ПК
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено. 10
Несанкционированное воздействие на АСУ ТП через физическое подключение
подрядчика
Сценарий атаки:
• Подключение миниПК с 3G в коммутатор ТСПД
• Сканирование сетевых портов сегмента АСУТП
• Сканирование на наличие уязвимостей ОТ устройств
• Эксплуатация уязвимостей, получение доступа
к целевым узлам
Длительность:
14 дней с 06.04 по 19.04
Средняя длительность
реакции: 5 дней
Детект:
4 из 11-и атак выявлены
1
Изменить область памяти
В ПЛК
2
Выполнить перезапуск ПЛК
Изменить значение счетчика
3
На управляющей SCADA заменить главную
маску экрана на вымогательскую надпись
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
2 4
1 3
Выполнение
медленного
сканирования
Add title here Add title here
Add title here
Подключение
хакерского ПК в
технологический
коммутатор
5
1 3
Обнаружение
неизвестного
устройства в трафике
промышленной сети
Определение порта и
коммутатора, куда
подключено устройство,
блокировка порта
Устройство изъято не
было
Блокировка порта
коммутатора.
Но 3G работает
Несанкционированное изменение проекта ПЛК №1
Атака
1
Red
Blue
2
Обнаружение
признаков
сканирования портов с
обнаруженного ПК
+3дня – регистрация
инцидента в ручном
режиме
Смена IP и MAC
устройства через
3G-канал
4
5
Подключение ПК в
новое место
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Перехват из NBNS и
LLMNR хэша Local USER
через Responder
1
m
2
Сканирование сети с
низким и высоким
рейтингом
3
Найден ПК, уязвимый к
MS17-010. Добавлена
УЗ для подключения
через RDP
4
В папку C:ClusterStorage
скопирован и запущен
Mimikatz. Получен пароль
от локальной УЗ
Найдена УЗ admin и
подобран пароль от нее.
Подключение под УЗ к
доменному серверу
5 6
Запуск Mimikatz.
Получение пароля от
доменной УЗ
7
Запуск BloodHound под
скомпрометированной
доменной УЗ.
Построение карты, до
сессии DC-админа
8
Реализована атака
Password spraying с
помощью Kerbrute
1
Реакция BlueTeam на
сетевые сканирования
+ 7 дней
9
Несанкционированное изменение проекта ПЛК №2
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Маскировка источника Wanna
Длительность:
5 дней с 04.04 по 10.04
Средняя длительность
реакции: 1 день
Детект:
Обнаружена
1
ПОДГОТОВКА
Модифицированный Wanna,
не шифрующий файлы
ЦЕЛЬ
Эксплуатация уязвимости BlueKeep
Сокрытие источника заражения
01
02
03
ЛЕГЕНДА
Подрядчик выполнял работы по наладке оборудования.
Единожды использовал в работе виртуальную машину, размещённую на USB-накопителе.
ВМ была заражена вирусом WannaCry.
Сразу после работ BM была отключена, а работа продолжена на ОС ноутбука.
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Обнаружение
• Событие IDS
Trojan-Ransom.Wanna.TCP.Spreading
• Регистрация инцидента
Маскировка источника Wanna
Локализация
• Выезд на место сотрудника ИТ
• Осмотрены ноутбуки подрядчиков,
искомые IP и MAC не найдены
• Следов заражения на ноутбуках не
найдено.
• Ноутбук не передан BlueTeam
Расследование
• В именах ноутбука содержатся фрагменты
искомого имени LOL-xxx
• Определено что источник заражения - ВМ
• Санкционированно эксплуатируемых ВМ в
исследуемом сегменте нет.
• Обнаружен Гипервизор VMware
• По логам установлен факт запуска ВМ с USB
• На столе найден USB c зараженной BM
Индикаторы
Ip: х.х.16.198
MAC: х.х.х.х.e3:09
Статус: не в сети
Индикаторы
Адрес источника вредоносной
активности находился в диапазоне
адресов, выданных подрядчику Х
В ARP- таблице АСО найдены
искомые MAC адреса и локализован
конкретный коммутатор
Индикаторы
Сетевое имя: LOL-win7PC
Тип ОС: VMware
Любое несанкционированное копирование, раскрытие или распространение материалов,
содержащихся в данном документе (или приложениях к нему), строго запрещено.
Мониторинг
Контролируйте
папки исключения
антивируса
Используйте
sysmon для
детальных логов.
Запускайте Только
подписанные
скрипты powershell
Предотвращение Ловушки Возможности
Получили независимую
оценку защищенности
инфраструктуры
Бенефиты
Используйте ловушки
для хакера, например
Canary Account, для
выявления SharpHound
Используйте другие
HoneyTokens
Недостаточное
покрытие сенсорами
анализа трафика
Устаревшие IRM и
сценарии выявления
инцидентов
Вывели навыки в
хостовой и сетевой
форензике на новый
уровень
Итоги киберучений
45%
действий RedTeam
обнаружено
4 дня
Среднее время
реакции
Event ID 4662
50 дней
Длительность
ReadTeaming

More Related Content

What's hot

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
Альбина Минуллина
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИ
Kaspersky
 
Владимир Туров. На грани информационной и физической безопасности. Защита про...
Владимир Туров. На грани информационной и физической безопасности. Защита про...Владимир Туров. На грани информационной и физической безопасности. Защита про...
Владимир Туров. На грани информационной и физической безопасности. Защита про...
Kaspersky
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Expolink
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
Aleksey Lukatskiy
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Kaspersky
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТП
Альбина Минуллина
 
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетикеЛев Палей. Центр экспертизы информационной безопасности в электроэнергетике
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
Kaspersky
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Expolink
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Айдар Гилязов
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 

What's hot (20)

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИ
 
Владимир Туров. На грани информационной и физической безопасности. Защита про...
Владимир Туров. На грани информационной и физической безопасности. Защита про...Владимир Туров. На грани информационной и физической безопасности. Защита про...
Владимир Туров. На грани информационной и физической безопасности. Защита про...
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
 
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
Fortinet. Алексей Андрияшин. "Корпоративная фабрика безопасности"
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТП
 
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетикеЛев Палей. Центр экспертизы информационной безопасности в электроэнергетике
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
 
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках ...
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 

Similar to Сергей Повышев. Практика киберучений — делимся опытом

Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктур
Компания УЦСБ
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Cisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
Denis Bezkorovayny
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
Cisco Russia
 
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
КРОК
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
Alexey Kachalin
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
Cisco Russia
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
journalrubezh
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
принципы функционирования брандмауэров. презентация.
принципы функционирования брандмауэров. презентация.принципы функционирования брандмауэров. презентация.
принципы функционирования брандмауэров. презентация.
Мариночка Мырза
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 

Similar to Сергей Повышев. Практика киберучений — делимся опытом (20)

Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктур
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
 
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
принципы функционирования брандмауэров. презентация.
принципы функционирования брандмауэров. презентация.принципы функционирования брандмауэров. презентация.
принципы функционирования брандмауэров. презентация.
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 

More from Kaspersky

A look at current cyberattacks in Ukraine
A look at current cyberattacks in UkraineA look at current cyberattacks in Ukraine
A look at current cyberattacks in Ukraine
Kaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
Kaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
Kaspersky
 
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктурыМаксим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Kaspersky
 
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Kaspersky
 
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
Kaspersky
 
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Kaspersky
 
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Kaspersky
 
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Kaspersky
 
Марина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных системМарина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных систем
Kaspersky
 
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Kaspersky
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Kaspersky
 
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугрозОлег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Kaspersky
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Kaspersky
 
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
Kaspersky
 
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
Kaspersky
 
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
Kaspersky
 
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
Kaspersky
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Kaspersky
 

More from Kaspersky (19)

A look at current cyberattacks in Ukraine
A look at current cyberattacks in UkraineA look at current cyberattacks in Ukraine
A look at current cyberattacks in Ukraine
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
 
The Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secureThe Log4Shell Vulnerability – explained: how to stay secure
The Log4Shell Vulnerability – explained: how to stay secure
 
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктурыМаксим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
 
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
 
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
 
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
 
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
 
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
 
Марина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных системМарина Сорокина. Криптография для промышленных систем
Марина Сорокина. Криптография для промышленных систем
 
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
 
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугрозОлег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
 
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
 
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
 
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
 
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 

Сергей Повышев. Практика киберучений — делимся опытом

  • 1. #KasperskyICS Чат конференции: https://kas.pr/kicscon Сергей Повышев Старший менеджер-руководитель направления «Управление информационной безопасности», ПАО «Северсталь», Россия
  • 2. Практика киберучений Делимся опытом Повышев Сергей Алексеевич Сентябрь 2021. Сочи
  • 3. Содержание ● Киберучения. С чего начать? ● Теория. Не всё форензика, что блестит. ● Киберполигон. Если вы варите чугун, не учитесь защищать банкоматы. ● Red vs Blue Team: - Фишинг. RAT Merlin для обхода средств защиты. - Несанкционированное воздействие на АСУ ТП через физическое подключение подрядчика. - Маскировка источника Wanna. ● Итоги киберучений.
  • 4. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Киберучения. С чего начать? ИТ ИБ Цель: KPI: Выявить 75% 100% Предотвратить 100% Ликвидировать последствия 1 этап - Теория 2 этап - Киберполигон 3 этап - Read Teaming Атаки на реальную инфраструктуру Требования к исполнителю: Он не вендор СЗИ, внедренных в Компании Формат: БИЗНЕС Атаки
  • 5. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Много теории без закрепления Хостовая форензика «Сферические кони в вакууме» Только endpoint tools: FTK Imager; Volatility Incident Response и Threat Hunting, hardening Tactics, Techniques Teaming Forensics tools for network and endpoint Теория. Не всё форензика, что блестит. Согласовывайте не только темы для обучения, но и их содержание Теория сразу должна сопровождается практической демонстрацией
  • 6. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Защита Web-приложения Защита приложения с микро сервисной архитектурой Расследование атаки на производственный сегмент сети (CTF) Расследование АРТ атаки (CTF) Расследование атаки на веб-сайт (CTF) Киберполигон. Если вы варите чугун, не учитесь защищать банкоматы 5 команд 2 дня 18 часов 01 Роли участников Назначенные роли в команде не соблюдались 02 Теоретическая подготовка Знаний, полученных на первом этапе было недостаточно. Вопрос отражения атак не был освещён 03 Применимость Разобранные кейсы, по наполнению, маловероятно встретятся на практике 04 Составы команд Необходимо правильно разделить команды по уровню навыков и компетенций участников 5 сценариев
  • 7. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Red vs Blue Team. Три сценария атаки на инфраструктуру. Сценарий 1 Точечная фишинговая рассылка. Получение контроля над рабочей станцией. Сценарий 3 Industrial этап. Атака на цепочку поставок. Заражённая виртуальная машина на внешнем накопителе подрядчика Сценарий 2 Industrial этап. Имитация действий нерадивого подрядчика, физически подключенного во внутреннюю сеть 1 Phishing 2 Device access 3 Exploitation Red team White team Blue team
  • 8. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. 2 4 1 3 Запуск полезной нагрузки, установка удаленной сессии Add title here Add title here Add title here Установка «подсадного» с не заблокированным USB 2 4 1 5 3 Доставка на ПК пользователя RAT Merlin через WhatsApp Папка исключения антивируса C:ClusterStorage Организации reverse socks - туннеля Использование RAT Cobalt Strike 3 1 2 Неудачные попытки доставки RAT Merlin через внешние каналы Детект АВЗ Cobalt Strike Авторегистрация инцидента Углубленная форензика хоста Поиск DLL по SHA256 на других хостах Прекращение атаки Заблокирована вредоносная библиотека Прекращение атаки Блокировка DLL АВЗ Фишинг. RAT Merlin для обхода средств защиты. 3.1 VPM split tunneling Удалённая работа пользователя 6 Internal Monologue Attack - получение NTLM хэшей Подобран пароль по хэшу Атака 1 Атака 2 Red Blue Red 1 Углубленная форензика заражённых хостов Blue Длительность: 14 дней с 18.03 по 23.03 Средняя длительность реакции: 4 дня Детект: 2 из 5-и атак выявлены
  • 9. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. 9 Шаг 1 Шаг 2 Шаг 3 Шаг 4 РЕЗУЛЬТАТ Анализ журналов и реестра • установлено, что вектором заражения служил съёмный накопитель Сбор и анализ Timeline системы • определили обращение к документу на съёмном накопителе Анализ PREFETCH • определение вредоносного скрипта и DLL в prefetch-файле WINWORD Поиск по хэшу DLL в инфраструктуре • найдены все ПК, на которых был загружен вредоносный DLL • Блокировка вредоносной DLL • Смена паролей УЗ • Построение KillChain Форензика заражённого ПК
  • 10. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. 10 Несанкционированное воздействие на АСУ ТП через физическое подключение подрядчика Сценарий атаки: • Подключение миниПК с 3G в коммутатор ТСПД • Сканирование сетевых портов сегмента АСУТП • Сканирование на наличие уязвимостей ОТ устройств • Эксплуатация уязвимостей, получение доступа к целевым узлам Длительность: 14 дней с 06.04 по 19.04 Средняя длительность реакции: 5 дней Детект: 4 из 11-и атак выявлены 1 Изменить область памяти В ПЛК 2 Выполнить перезапуск ПЛК Изменить значение счетчика 3 На управляющей SCADA заменить главную маску экрана на вымогательскую надпись
  • 11. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. 2 4 1 3 Выполнение медленного сканирования Add title here Add title here Add title here Подключение хакерского ПК в технологический коммутатор 5 1 3 Обнаружение неизвестного устройства в трафике промышленной сети Определение порта и коммутатора, куда подключено устройство, блокировка порта Устройство изъято не было Блокировка порта коммутатора. Но 3G работает Несанкционированное изменение проекта ПЛК №1 Атака 1 Red Blue 2 Обнаружение признаков сканирования портов с обнаруженного ПК +3дня – регистрация инцидента в ручном режиме Смена IP и MAC устройства через 3G-канал 4 5 Подключение ПК в новое место
  • 12. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Перехват из NBNS и LLMNR хэша Local USER через Responder 1 m 2 Сканирование сети с низким и высоким рейтингом 3 Найден ПК, уязвимый к MS17-010. Добавлена УЗ для подключения через RDP 4 В папку C:ClusterStorage скопирован и запущен Mimikatz. Получен пароль от локальной УЗ Найдена УЗ admin и подобран пароль от нее. Подключение под УЗ к доменному серверу 5 6 Запуск Mimikatz. Получение пароля от доменной УЗ 7 Запуск BloodHound под скомпрометированной доменной УЗ. Построение карты, до сессии DC-админа 8 Реализована атака Password spraying с помощью Kerbrute 1 Реакция BlueTeam на сетевые сканирования + 7 дней 9 Несанкционированное изменение проекта ПЛК №2
  • 13. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Маскировка источника Wanna Длительность: 5 дней с 04.04 по 10.04 Средняя длительность реакции: 1 день Детект: Обнаружена 1 ПОДГОТОВКА Модифицированный Wanna, не шифрующий файлы ЦЕЛЬ Эксплуатация уязвимости BlueKeep Сокрытие источника заражения 01 02 03 ЛЕГЕНДА Подрядчик выполнял работы по наладке оборудования. Единожды использовал в работе виртуальную машину, размещённую на USB-накопителе. ВМ была заражена вирусом WannaCry. Сразу после работ BM была отключена, а работа продолжена на ОС ноутбука.
  • 14. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Обнаружение • Событие IDS Trojan-Ransom.Wanna.TCP.Spreading • Регистрация инцидента Маскировка источника Wanna Локализация • Выезд на место сотрудника ИТ • Осмотрены ноутбуки подрядчиков, искомые IP и MAC не найдены • Следов заражения на ноутбуках не найдено. • Ноутбук не передан BlueTeam Расследование • В именах ноутбука содержатся фрагменты искомого имени LOL-xxx • Определено что источник заражения - ВМ • Санкционированно эксплуатируемых ВМ в исследуемом сегменте нет. • Обнаружен Гипервизор VMware • По логам установлен факт запуска ВМ с USB • На столе найден USB c зараженной BM Индикаторы Ip: х.х.16.198 MAC: х.х.х.х.e3:09 Статус: не в сети Индикаторы Адрес источника вредоносной активности находился в диапазоне адресов, выданных подрядчику Х В ARP- таблице АСО найдены искомые MAC адреса и локализован конкретный коммутатор Индикаторы Сетевое имя: LOL-win7PC Тип ОС: VMware
  • 15. Любое несанкционированное копирование, раскрытие или распространение материалов, содержащихся в данном документе (или приложениях к нему), строго запрещено. Мониторинг Контролируйте папки исключения антивируса Используйте sysmon для детальных логов. Запускайте Только подписанные скрипты powershell Предотвращение Ловушки Возможности Получили независимую оценку защищенности инфраструктуры Бенефиты Используйте ловушки для хакера, например Canary Account, для выявления SharpHound Используйте другие HoneyTokens Недостаточное покрытие сенсорами анализа трафика Устаревшие IRM и сценарии выявления инцидентов Вывели навыки в хостовой и сетевой форензике на новый уровень Итоги киберучений 45% действий RedTeam обнаружено 4 дня Среднее время реакции Event ID 4662 50 дней Длительность ReadTeaming