Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
2. #whoami
Лінивий параноїк-зануда.
Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням
та супроводом засобів захисту
Прийшов до вас щоб поділитися досвідом
vr@optidata.com.ua
radetskiy.wordpress.com
3. OptiData – хто ми є ?
Ми – це команда спеціалістів з практичним досвідом
інтеграції та супроводу рішень з ІБ.
Працюємо лише з тим, в чому розбираємось.
Більшість здійснених нами проектів захищені NDA.
Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
5. Важливо !
Усе про що я говоритиму – моя особиста точка зору
Усе, що ви сьогодні почуєте може не співпадати
із офіційною позицією компанії
Усі події та персонажі є вигаданими,
а будь-які співпадіння є випадковими
Вибачте, етика, NDA etc…
9. Поточна ситуація по атакам
07/18
040718 - Trickbot #W97M/Downloader #powershell
050718 - HawkEye #xlam #powershell
100718 - Lokibot #rtf #11882
100718 - Lokibot #ACE #SCR
110718 - trojan #rar #exe
…
To be continued
.
10. Поточна ситуація по атакам
04/18 - 07/18
Всього – > 50 різних зразків
MS Office – 17 розсилок
з них:
із застосуванням powershell – 7 розсилок
із застосуванням 11882 – 8 розсилок
Java Backdoor – 3 розсилки
41. • Фільтр приєднань на рівні web/email - по заголовкам
• Фільтр на рівні Web proxy - по User Agent
- як на завантаження payload так і на зв’язок із С2 -
• Пустий, test, bits, Mozilla 4.x etc – блок
• В ідеалі – дозвіл лише актуальним IE, FF, Chrome
• Аналіз SSL, заборона завантаження .ехе
Перерізати канали доставки
42. • Фільтр по джерелу (web/email)
.ua, .gov.ua etc – не довірені по замовчуванню
• Взагалі, що стосується web трафіку –
усе, що не довірене і не потрібне для роботи блок
Перерізати канали доставки
43. • Execution Policy Bypass
• Hidden PowerShell
• PowerShell – WMI Script
• PowerShell – Download
• PowerShell – Encoded Command
Powershell – контроль та блок
44. • Блок вихідного трафіку
• Заборона запуску cmd, powershell, mshta (4User)
• Заборона перехресного виклику
• Заборона дочірніх процесів для MS Office
• Заборона запису та зчитування небезпечних типів
CMD, MSHTA, MS Office
55. • Привілеї Адміністратора – не обов'язкові
• Powershell, office, mshta
• Повторне використання приманок
• Зміна контрольних сум
• Затримки при виконанні
Поведінка при зараженні
56. • Для простих користувачів – пам'ятка на А4
• Для IT/IS – чітка послідовність процедур
• Автономно без очікування команди зверху
• Ізолювати, зібрати дані, перевстановити…
Реагування на інциденти
70. MS17-010 – був опублікований 14 / 03 / 17
Mimikatz – був опублікований десь у 2011
Зауважте:
71. • Не достатньо просто знати про вразливість
• Не достатньо розуміти як саме працює вразливість
• Не достатньо поставити виправлення і заспокоїтись
Що нам це дає?
73. • Частина змирилася і дбає лише про бекапи
• Інша частина колекціонує IOC
• 15-20% - почали змінювати захист
Україна. Кібератаки 2017го року
74. Хто з вас проводить розслідування по детекту ?
* по кожному спрацюванню систем захисту
А звідки ви впевнені що АВ не впіймав лише хвіст ?
Реагування на інциденти
78. Історія #1 “Макрос” - 14.03.18
• Хтось відкриває документ 2013го року
• Спрацьовує макрос – пандемія (файли .doc)
• Розслідування, розстріли
• За 5 годин усі документи на х00 системах інжектовано
• А якби це був #Pony або Ransom ?
• …
86. Історія #3 “Страх або як роблять новини про ІБ”
• Хтось “качає” щось .. ок, це був фейковий AdobeFlash
• Зараження, виведення АРМ з ладу
• Чутки поширюються зі швидкістю світла
• В одному міністерстві вирішують вимкнути сервери
• Журналіст намагається зайти на сайт міністерства
• 502 = “Ааааа! Хакери поламали міністерство”
88. Висновки #1
• Інструкції на випадок атаки
• Автономне прийняття рішень та контрзаходів
• Службові розслідування, форензика
• Мінімізація втрат
• Навчання персоналу
89. Висновки #2
• Оновлення/виправлення MS Office та Windows ! ! !
• Блок створення / запуску C:Users***.exe
• Контроль/блок WSH, PowerShell, HTA, CMD, MS Office
• Посилена фільтрація Web та Email
• Відмова від RTF, макросів, JRE, Flash