Слайди моєї доповіді з Форуму Кібербезпеки 2021. Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки. Відео: Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426 Доповідь: https://youtu.be/mibBBcQpgWM?t=13910 #OptiData #VR #McAfee #MVISION #ENS

1. ФОРУМ КІБЕРБЕЗПЕКИ
Державний сектор. Енергетика
Практичні
рецепти захисту
ВЛАДИСЛАВ РАДЕЦЬКИЙ
TechLead, OptiData
vr@optidata.com.ua ДЕНЬ 2

2. Зміст
1. Популярні вразливості документів MS Office
2. Налаштування MS Office
3. Політики і правила McAfee ENS що можуть захистити

3. Як інфікувати систему через документ ?
✓ Макроси + обфускація + WMI + соц. інженерія
✓ Шаблони – xml.rels (T1221 Template Injection)
✓ Редактор формул (CVE-2017-11882)
✓ Вбудовані OLE об'єкти (CVE-2017-0199)

4. Як інфікувати систему через документ ?
✓ Макроси + обфускація + WMI + соц. інженерія
✓ Шаблони – xml.rels (T1221 Template Injection)
✓ Редактор формул (CVE-2017-11882)
✓ Вбудовані OLE об'єкти (CVE-2017-0199)

5. Макрос + WMI

6. Шаблони

7. Шаблони

8. Редактор формул (11882)

9. Експерименти з Excel
Exploit Prevention
Adaptive(ATP)

10. Як має бути налаштований MS Office ?

11. Як має бути налаштований MS Office ?
✓ Режим безпечного подання (Application Guard) - ВКЛ
✓ Макроси, доступ до моделі VBA - ВИКЛ
✓ Зовнішній вміст (DDE, формули) - ВИКЛ
✓ Але усе це не врятує, якщо користувач натисне
“Дозволити зовнішній вміст” / “Активувати макрос” ..

12. Соц. інженерія

13. Соц. інженерія

14. Параметри MS Office – Word #1

15. Параметри MS Office – Word #2

16. Параметри MS Office – Excel

17. Чим може захистити McAfee ENS ?
✓ Ні слова про OAS – ми не сподіваємось на сканер !
✓ Exploit Prevention - DEP
✓ Exploit Prevention – 6131 + PowerShell
✓ Access Protection – блок небезпечних дій
✓ Adaptive (ATP) – контеймент нових .ЕХЕ

18. Чим може захистити McAfee ENS ?

19. Чим може захистити McAfee ENS ?

20. Чим може захистити McAfee ENS ?

21. ДЯКУЮ!
vr@optidata.com.ua
ВЛАДИСЛАВ РАДЕЦЬКИЙ
TechLead, OptiData