JSOC - кейсы ИБ

1. JSOC кейсы
Алексей Павлов
Аналитик JSOC

2. О ЧЕМ ПОЙДЕТ РЕЧЬ
• Интернет-магазин. Вредный инсайд
• APT: случай из жизни банка
• «Полезное» ПО, в чем подвох?
• Инцидент в АСУ ТП и его последствия
• Банковские системы – защищаем кредитный конвеер

3. • Сетевые коммуникации:
 Сетевой профиль исходящей активности
 Подключение администраторов с неразрешенных ip
• Контроль приложения:
 Контроль бизнес-процесса жизненного цикла заявки
 Эксплуатация уязвимостей
• Контроль БД:
 Нелегитимные подключения к БД
 Неправильный механизм запроса
 Изменение структуры таблиц
Интернет-магазин. Профиль JSOC

4. Интернет-магазин. Вредный инсайд
• Скомпрометированные заказы отсутствовали
в БД
• Профиль сетевой активности выявил
исходящие подключения с одной НОДы
• Сопоставление слепков сайта выявило два
JavaScript, выборочно перехватывающих
заказы (~10%)

5. APT: случай из жизни банка

6. APT: как все было?
1
2
3
4
1. Инициация подключения в
облачный хостинг LeaseWeb.
Локальная аутентификация
2. Подключение на терминальный
сервер под УЗ Администратора
процессинга
3. Подключение к БД банковских систем
под технологической УЗ
4. Вывод денежных средств
БД процессинга

7. APT: точки контроля
1. Изменение веток реестра и файлов system32
2. Профилировании легитимного ПО
3. Callback вируса по фидам партнеров
4. Аутентификация под разными УЗ. Локально и на терминальном сервере
5. Сетевой профиль – аномалия
6. Подключение к БД в нерабочее время и изменение ключевых таблиц

8. • 68 базовых сценариев выявления аномалии
• 10+ custom сценариев (специфичных для
инфраструктуры)
• Статистика срабатывания на Carbanak*:
• 93 – полный цикл эмуляции
• 15-20 – боевые расследования
• *http://habrahabr.ru/company/group-ib/blog/250627/
APT: точки контроля

9. «Полезное» ПО, в чем подвох?

10. «Комплект поставки» IOBIT
+ Средство удаленного
администрирования, работающее в
фоновом режиме
+ Zero-day вирус, типа
HiddenObject.Multi.Generic
+ Монетизатор трафика – bot-net клиент

11. Инцидент в АСУ ТП и его последствия
Особенности
1. Изолированный сегмент
2. Высокая критичность – значительный
экономический ущерб
Что было?
1. Подключение на рабочую станцию извне
2. Переход на терминальный сервер по RDP
3. Подключение к рабочей станции в
технологическом сегменте
Последствия
1. Заражение вирусами
2. Проникновение злоумышленников
3. Простой производства и аварии

12. Банковские системы – Спецусловия по кредиту
• Быстрый кредит на специальных условиях
• -2 % по программе «Кредит Доверия»
• Согласование – однозвенное, руководителем подразделения
• Возможность монетизации при получении доступа к согласованию

13. Банковские системы – защищаем кредитный
конвеер
 Контроль изменений ключевых полей
кредитных договоров
 Профилирование активностей сотрудников
и выявление аномалий
 Контроль обращений к БД учетной
финансовой системы

14. ОСНОВНЫЕ ШАГИ ПО
РЕАЛИЗАЦИИ
1. Определение систем зоны риска:
• Возможность финансовых операций
• Чувствительные к публикации данные
• Интересны для конкурентов
2. Выделение критичных сотрудников:
– ИТ и ИБ - администраторы
– VIP-пользователи и их секретари
– Узел связи, расчетный центр и т.д.
– Help desk и Call-center
– С прямым доступом в Интернет
3. Приоритезация срабатываний:
– Частотность (массовый инцидент)
– Системы зоны риска
– Критичные пользователи

15. Спасибо
Павлов Алексей
a.pavlov@solarsecurity.ru
+7 (916) 178 98 90