O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Логи (анти)вірусних війн
#2
22 / 02 / 19
Владислав Радецький
vr@optidata.com.ua
#whoami
Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проект...
OptiData – хто ми є ?
Ми – це команда спеціалістів з практичним досвідом
інтеграції та супроводу рішень з ІБ.
Працюємо лиш...
OptiData – наша розсилка IOC
Важливо
Усе про що я говоритиму – моя особиста точка зору
Уся статистика зібрана на основі
аналізів тих зразків, які мені ...
План
1. Що змінилося
2. Чого варто очікувати
3. Перехід на новий рівень
4. Висновки
#1 Що змінилося?
Атак стало більше. Не всі з них звичайні.
#1 Що змінилося?
Давайте порахуємо зразки за останні 2 місяці ? ))
#1 Що змінилося?
04/18 - 07/18 - проаналізовано за 4 місяці
Всього > 50 різних зразків
MS Office 17 зразків
із застосуванн...
#1 Що змінилося?
12/18 - 01/19 - проаналізовано за 2 місяці
Всього > 35 різних зразків
MS Office 11 зразків
із застосуванн...
Раніше
• Приманка визначала тип payload.
• Могла бути багаторазовою.
• Іноді була цікавішою за сам payload.
#1 Що змінилос...
Тепер
• Приманки роблять одноразовими.
• Результат інфікування визначається payload.
• Обхід фільтрів, без закріплення.
* ...
Тепер
• Затримка виконання 10-15 хв
• Перевірка віртуалізації
• Перевірка регіональних параметрів
• Специфічні архіви
• Но...
Тепер
• Затримка виконання 10-15 хв
• Перевірка віртуалізації
• Перевірка регіональних параметрів
• Специфічні архіви
• Но...
Швидкість реагування ?
#1 Що змінилося?
хв
Швидкість реагування ?
Контакт, фішинг / екплойт-кіт
#1 Що змінилося?
0
хв
Швидкість реагування ?
Контакт, фішинг / екплойт-кіт
Активація приманки, завантаження payload
#1 Що змінилося?
0
5
хв
Швидкість реагування ?
Контакт, фішинг / екплойт-кіт
Активація приманки, завантаження payload
Збір інформації / облікових ...
Швидкість реагування ?
Контакт, фішинг / екплойт-кіт
Активація приманки, завантаження payload
Збір інформації / облікових ...
Швидкість реагування ?
Контакт, фішинг / екплойт-кіт
Активація приманки, завантаження payload
Збір інформації / облікових ...
Тепер
• asd
Вкрасти паролі за 60 секунд – легко з pwgrab
#2 Чого варто очікувати
• Комбінування відомих засобів доставки
• Скорочення тривалості життя джерел
• Значне зменшення сл...
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
• Зняття інформації (майже) без створення файлів
• Сильна обфускація PowerShell
• Довантаження ...
#3 якщо для вас це інцидент – то ви не рухаєтесь
#3 якщо для вас це інцидент – то ви не рухаєтесь
#3 Перехід на новий рівень – emotet, PS = WMF 5.1
#4 Висновки
• Потрібно зменшити затримку реагування
• Потрібно навчати персонал (cyber awareness)
• Потрібно мати план на ...
#4 Висновки
• Оновлення/виправлення MS Office та Windows ! ! !
• Блок створення / запуску ?:Users***.exe
• Контроль/блок W...
#4 Висновки
#4 Висновки
#4 Висновки
#4 Висновки
Запитання ?
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
pastebin.com/u/VRad
Дякую вам за увагу!
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

0

Compartilhar

Baixar para ler offline

Логи (анти) вірусних війн #2

Baixar para ler offline

Аналітика по зразкам станом на початок 2019-го року.
Від примітивного Shade до Sobaken RAT.
Огляд технік актуальних атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.

  • Seja a primeira pessoa a gostar disto

Логи (анти) вірусних війн #2

  1. 1. Логи (анти)вірусних війн #2 22 / 02 / 19 Владислав Радецький vr@optidata.com.ua
  2. 2. #whoami Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту. Прийшов до вас, щоб поділитися досвідом. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad
  3. 3. OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
  4. 4. OptiData – наша розсилка IOC
  5. 5. Важливо Усе про що я говоритиму – моя особиста точка зору Уся статистика зібрана на основі аналізів тих зразків, які мені надсилали. Я говоритиму тільки про те, що розбирав власними руками.
  6. 6. План 1. Що змінилося 2. Чого варто очікувати 3. Перехід на новий рівень 4. Висновки
  7. 7. #1 Що змінилося? Атак стало більше. Не всі з них звичайні.
  8. 8. #1 Що змінилося? Давайте порахуємо зразки за останні 2 місяці ? ))
  9. 9. #1 Що змінилося? 04/18 - 07/18 - проаналізовано за 4 місяці Всього > 50 різних зразків MS Office 17 зразків із застосуванням powershell 7 зразків із застосуванням 11882 8 зразків Java Backdoor 3 зразків
  10. 10. #1 Що змінилося? 12/18 - 01/19 - проаналізовано за 2 місяці Всього > 35 різних зразків MS Office 11 зразків із застосуванням powershell 5 зразків із застосуванням 11882 6 зразків із макросами 4 зразка WSH 10 зразків (#shade) PowerShell (fileless) 4 зразка Java Backdoor 1 зразок
  11. 11. Раніше • Приманка визначала тип payload. • Могла бути багаторазовою. • Іноді була цікавішою за сам payload. #1 Що змінилося? 1 Приманка 2 Payload
  12. 12. Тепер • Приманки роблять одноразовими. • Результат інфікування визначається payload. • Обхід фільтрів, без закріплення. * Зміна фокусу від засобів доставки до malware #1 Що змінилося? 1 Приманка 2 Payload
  13. 13. Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
  14. 14. Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
  15. 15. Швидкість реагування ? #1 Що змінилося? хв
  16. 16. Швидкість реагування ? Контакт, фішинг / екплойт-кіт #1 Що змінилося? 0 хв
  17. 17. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload #1 Що змінилося? 0 5 хв
  18. 18. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів #1 Що змінилося? 0 5 7 хв
  19. 19. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM #1 Що змінилося? 0 5 7 30 хв
  20. 20. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM Аналіз інциденту… #1 Що змінилося? 0 5 7 30 60 хв
  21. 21. Тепер • asd Вкрасти паролі за 60 секунд – легко з pwgrab
  22. 22. #2 Чого варто очікувати • Комбінування відомих засобів доставки • Скорочення тривалості життя джерел • Значне зменшення слідової картини • Відхід від примітивного .exe • Застосування вбудованих механізмів ОС (!!!)
  23. 23. #3 Перехід на новий рівень
  24. 24. #3 Перехід на новий рівень
  25. 25. #3 Перехід на новий рівень
  26. 26. #3 Перехід на новий рівень
  27. 27. #3 Перехід на новий рівень
  28. 28. #3 Перехід на новий рівень
  29. 29. #3 Перехід на новий рівень • Зняття інформації (майже) без створення файлів • Сильна обфускація PowerShell • Довантаження інструкцій в процесі • Вибірковість джерела • Розповсюдження через скомпрометовані системи
  30. 30. #3 якщо для вас це інцидент – то ви не рухаєтесь
  31. 31. #3 якщо для вас це інцидент – то ви не рухаєтесь
  32. 32. #3 Перехід на новий рівень – emotet, PS = WMF 5.1
  33. 33. #4 Висновки • Потрібно зменшити затримку реагування • Потрібно навчати персонал (cyber awareness) • Потрібно мати план на випадок атаки + ще 5 шт. • Варто звернути увагу на вбудовані можливості ОС • Потрібно актуалізувати політики та sandbox
  34. 34. #4 Висновки • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску ?:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD • Заборона GET для нетипових User Agent • Відмова від RTF, макросів, JRE, Flash
  35. 35. #4 Висновки
  36. 36. #4 Висновки
  37. 37. #4 Висновки
  38. 38. #4 Висновки
  39. 39. Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com pastebin.com/u/VRad
  40. 40. Дякую вам за увагу!

Аналітика по зразкам станом на початок 2019-го року. Від примітивного Shade до Sobaken RAT. Огляд технік актуальних атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.

Vistos

Vistos totais

1.077

No Slideshare

0

De incorporações

0

Número de incorporações

1.028

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

0

×