V (Юбилейная) Конференция «Развитие информационной безопасности в Казахстане» 28.10.2016г Астана

1. Вирусы в Казахстане – насколько они опасны?
Все, что Вы хотели, но боялись спросить!
Биль Олег Викторович –
главный специалист Службы реагирования на компьютерные инциденты

2. Обо мне
2
Место работы: KZ-CERT, вирусный аналитик.
Сфера интересов: информационная безопасность (ИБ),
борьба с компьютерными вирусами (более 10 лет).
Основные достижения в сфере ИБ:
 Принимал участие в проектировании системы безопасности
программного продукта, используемого в сфере образования
на республиканском уровне;
 Подготовил троих студентов к участию в конференции по ИБ, проводимой
ЗАО «Лаборатория Касперского» (2010-2012 годы) в г. Москва. Результат: два призера
(третье и второе места) тура Россия и СНГ (единственные из РК) и участие в международных
турах (Польша, Германия);
 Организовал визит экспертов ЗАО «Лаборатория Касперского» в г. Костанай для
тренинга по антивирусной безопасности на базе КГУ (2010) ;
 Вошел в состав финалистов (21 человек из примерно 2000 участников) конкурса
«Инновационный Казахстан» (АО «Самрук-Казына», 2011);
 Вошел в число победителей конкурса по анализу крэкми, проводимого
ЗАО «Лаборатория Касперского» (2016).

3. Результаты исследований: We are under attack!
больше половины проанализированных
объектов – шпионское ПО (еще треть –
бэкдоры!);
один компьютер: 20 вредоносных объектов,
12 – шпионов, 4 – установлены за один день!
8 месяцев – рекорд! Активное шпионское ПО
на компьютере! Второе место – 2,5 месяца.
Оба – имели логи клавиатурного шпиона
(пароли, письма и т.д.). Логи – расшифрованы!
> 20 компьютеров – цели одной атаки.
Идентификация – по модифицированному
MAC. MAC адреса целей – успешно
расшифрованы!
C&C сервер назван «в честь» объекта атаки
(казахстанская организация);
> 600 версий файлов обработано шпионом (в
логе).
3

4. Один из объектов: PlugX (Gulpix, Korplug). Схема работы.
4

5. Результаты исследований: Опасность - повсюду!
rtf, pps, xls, doc, pdf…;
DLL-side loading hijacking:
3 производителя антивирусного
ПО, 1 – крупный разработчик ПО,
легитимные файлы, сложно
искать вредонос;
доступные песочницы – не всегда
способны детектировать опасные
действия или дают множество
ложных срабатываний;
применение легитимного ПО для атак
– обход «белых» списков;
вредоносное ПО на скриптах.
5

6. Результаты исследований: Что делать?
правильно выбирать и настраивать защитные
продукты, развивать критическое мышление;
блокировать ненужные функции (обработчики
скриптов: wscript, cscript, PowerShell);
обучать информационной безопасности весь
персонал, включая офисных работников и
руководителей. Технических специалистов –
обучать методам обнаружения и борьбы с
вирусами;
правила безопасности – должны исполнять
все, без исключений. Нужно помнить: на
компьютере руководителя – самая ценная
информация!
при работе с важной информацией – детально
исследовать обнаруженное вредоносное ПО
(или сам подозрительный компьютер).
6

7. СПАСИБО ЗА ВНИМАНИЕ!
Web:
www.kz-cert.kz
E-mail:
o_bil@kz-cert.kz
Call-center:
1400