O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Боротьба із “шкідниками”
Історії з практики
Львів 2018
Владислав Радецький
vr@optidata.com.ua
#whoami
Працюю у компанії OptiData
Аналізую віруси
Пишу статті
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектув...
Що таке OptiData ?
Ми – це команда спеціалістів з практичним досвідом
інтеграції та супроводу рішень з ІБ.
Працюємо лише з...
Важливо !
Усе про що я говоритиму – моя особиста точка зору
Усе, що ви сьогодні почуєте може не співпадати
із офіційною по...
Чого сьогодні не буде
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
Чого сьогодні не буде
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року
WannaCry
12-15 травень
+C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
Україна. Кібератаки 2017го року
xData
17-18 травень
-C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
Україна. Кібератаки 2017го року
PetyaA
27 червень
-C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року
BadRabbit
24 жовтень
-C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року
WannaCry xData PetyaA BadRabbit
травень травень червень жовтень
MS17-010 в травні була 0day ?
Mimikatz це щось нове (у 2017му) ?
Зауважте:
MS17-010 – був опублікований …
Mimikatz – був опублікований у 20..
Зауважте:
MS17-010 – був опублікований 14 / 03 / 17
Mimikatz – був опублікований у 2011
Зауважте:
• Не достатньо просто знати про вразливість
• Не достатньо розуміти як саме працює вразливість
• Не достатньо поставити ви...
Що змінилося для нас?
Україна. Кібератаки 2017го року
Сприйняття атак стало іншим
(але не у той бік…)
Україна. Кібератаки 2017го року
Мені нічого втрачати
Україна. Кібератаки до 2015го
Мені нічого втрачати
Я не боюсь – у мене є бекапи
(Petya.A із-за лаштунків “Ню-ню..”)
Україна. Кібератаки 2017го року
Мені нічого втрачати
Я не боюсь – у мене є бекапи
Ніколи знову !
Україна. Кібератаки 2020го року
Історія #1 “Макрос”
Історія #1 “Макрос”
• Хтось відкриває документ 2013го року
• Спрацьовує макрос – пандемія (файли .doc)
• Паніка, розслідув...
Історія #2 “Впертий ransomware”
Історія #2 “Впертий ransomware”
• Жертва отримує фішинг із приманкою
• Запускається ransomware
• “Ааааа, ваш антивірус про...
Історія #3 “Страх або як роблять новини про ІБ”
Історія #3 “Страх або як роблять новини про ІБ”
• Хтось “качає” фейковий AdobeFlash
• Зараження, виведення АРМ з ладу
• Чу...
Висновки #1
• Інструкції на випадок атаки
• Автономне прийняття рішень та контрзаходів
• Службові розслідування, форензика...
Висновки #2
• Оновлення/виправлення MS Office та Windows ! ! !
• Блок створення та запуску C:Users***.exe
• Контроль/блок ...
Запитання ?
Дякую вам за увагу!
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

0

Compartilhar

Baixar para ler offline

Історії з практики. Боротьба із malware.

Baixar para ler offline

Слайди з моєї доповіді на львівській конференції "Сталевий Бубен". Коротко про мої враження від ставлення фахівців до минулих та поточних атак. Що ми робимо не так, або не робимо взагалі. Три реальні історії з моєї практики аналізу вірусного коду та підтримки замовників.

  • Seja a primeira pessoa a gostar disto

Історії з практики. Боротьба із malware.

  1. 1. Боротьба із “шкідниками” Історії з практики Львів 2018 Владислав Радецький vr@optidata.com.ua
  2. 2. #whoami Працюю у компанії OptiData Аналізую віруси Пишу статті Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
  3. 3. Що таке OptiData ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
  4. 4. Важливо ! Усе про що я говоритиму – моя особиста точка зору Усе, що ви сьогодні почуєте може не співпадати із офіційною позицією компанії Усі події та персонажі є вигаданими, а будь-які співпадіння є випадковими
  5. 5. Чого сьогодні не буде #IOC та звіти шукайте тут: radetskiy.wordpress.com
  6. 6. Чого сьогодні не буде #IOC та звіти шукайте тут: radetskiy.wordpress.com
  7. 7. Україна. Кібератаки 2017го року
  8. 8. Україна. Кібератаки 2017го року WannaCry 12-15 травень +C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
  9. 9. Україна. Кібератаки 2017го року xData 17-18 травень -C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
  10. 10. Україна. Кібератаки 2017го року PetyaA 27 червень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  11. 11. Україна. Кібератаки 2017го року BadRabbit 24 жовтень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  12. 12. Україна. Кібератаки 2017го року
  13. 13. Україна. Кібератаки 2017го року WannaCry xData PetyaA BadRabbit травень травень червень жовтень
  14. 14. MS17-010 в травні була 0day ? Mimikatz це щось нове (у 2017му) ? Зауважте:
  15. 15. MS17-010 – був опублікований … Mimikatz – був опублікований у 20.. Зауважте:
  16. 16. MS17-010 – був опублікований 14 / 03 / 17 Mimikatz – був опублікований у 2011 Зауважте:
  17. 17. • Не достатньо просто знати про вразливість • Не достатньо розуміти як саме працює вразливість • Не достатньо поставити виправлення і заспокоїтись Що нам це дає?
  18. 18. Що змінилося для нас? Україна. Кібератаки 2017го року
  19. 19. Сприйняття атак стало іншим (але не у той бік…) Україна. Кібератаки 2017го року
  20. 20. Мені нічого втрачати Україна. Кібератаки до 2015го
  21. 21. Мені нічого втрачати Я не боюсь – у мене є бекапи (Petya.A із-за лаштунків “Ню-ню..”) Україна. Кібератаки 2017го року
  22. 22. Мені нічого втрачати Я не боюсь – у мене є бекапи Ніколи знову ! Україна. Кібератаки 2020го року
  23. 23. Історія #1 “Макрос”
  24. 24. Історія #1 “Макрос” • Хтось відкриває документ 2013го року • Спрацьовує макрос – пандемія (файли .doc) • Паніка, розслідування, розстріли • За 5 годин усі документи на х00 системах інжектовано • А якби це був #Pony або Ransom ? • …
  25. 25. Історія #2 “Впертий ransomware”
  26. 26. Історія #2 “Впертий ransomware” • Жертва отримує фішинг із приманкою • Запускається ransomware • “Ааааа, ваш антивірус пропустив…” • Надаю людині маркери + контрзаходи • Рекурсія, рекурсія, (сумно, боляче) • Зашифровано систему керівника • “То шо ви там казали, який параметр поставити?”
  27. 27. Історія #3 “Страх або як роблять новини про ІБ”
  28. 28. Історія #3 “Страх або як роблять новини про ІБ” • Хтось “качає” фейковий AdobeFlash • Зараження, виведення АРМ з ладу • Чутки поширюються зі швидкістю світла • В одному міністерстві вирішують вимкнути сервери • Журналіст намагається зайти на сайт міністрества • 503 = “Ааааа! Хакери поламали міністерство”
  29. 29. Висновки #1 • Інструкції на випадок атаки • Автономне прийняття рішень та контрзаходів • Службові розслідування, форензика • Мінімізація втрат • Навчання персоналу
  30. 30. Висновки #2 • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення та запуску C:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD etc. • Посилена фільтрація Web та Email • Відмова від RTF, макросів, JRE, Flash
  31. 31. Запитання ?
  32. 32. Дякую вам за увагу!

Слайди з моєї доповіді на львівській конференції "Сталевий Бубен". Коротко про мої враження від ставлення фахівців до минулих та поточних атак. Що ми робимо не так, або не робимо взагалі. Три реальні історії з моєї практики аналізу вірусного коду та підтримки замовників.

Vistos

Vistos totais

434

No Slideshare

0

De incorporações

0

Número de incorporações

376

Ações

Baixados

1

Compartilhados

0

Comentários

0

Curtir

0

×