O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Атрибуция кибератак

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 54 Anúncio

Атрибуция кибератак

Baixar para ler offline

Обзор методов атрибуции кибератак - их достоинств и недостатков

Обзор методов атрибуции кибератак - их достоинств и недостатков

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Атрибуция кибератак (20)

Anúncio

Mais de Aleksey Lukatskiy (19)

Mais recentes (20)

Anúncio

Атрибуция кибератак

  1. 1. 06 декабря 2018 Бизнес-консультант по безопасности Атрибуция кибератак Алексей Лукацкий
  2. 2. Какие ваши доказательства?
  3. 3. США атакованы «Россией»! Кто в действительности стоит за атакой?
  4. 4. Что общего между серийным убийцей и киберпреступником? Евгений АникинТед Банди
  5. 5. …оставляемые следы Евгений АникинТед Банди
  6. 6. • Инструментарий • Код и его фрагменты • Адресное пространство • Web-сайты • Псевдонимы • E-mail • … Автоматизация – зло… для хакера Евгений АникинТед Банди
  7. 7. • Атрибуция отвечает на вопрос «Кто стоит за атакой?» • Мультидисциплинарное направление, включающее в себя знание и навыки в кибербезопасности, сетевых технологиях, законодательстве, криминалистике, социологии, геополитике, сборе данных, визуализации, математике (машинном обучении) Что такое атрибуция?
  8. 8. • Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов Возможные методы атрибуции
  9. 9. • Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка Возможные методы атрибуции
  10. 10. • «817 of the 832 (98%) IP addresses logging into APT1 controlled systems using Remote Desktop resolved back to China» IP как улика (APT1)
  11. 11. Размер имеет значение (APT1) Количество Адресные блоки Владелец 445 223.166.0.0 - 223.167.255.255 China Unicom Shanghai Network 217 58.246.0.0 - 58.247.255.255 China Unicom Shanghai Network 114 112.64.0.0 - 112.65.255.255 China Unicom Shanghai Network 12 139.226.0.0 - 139.227.255.255 China Unicom Shanghai Network 1 114.80.0.0 - 114.95.255.255 China Telecom Shanghai Network 1 101.80.0.0 - 101.95.255.255 China Telecom Shanghai Network 27 Other (non-Shanghai) Chinese IPs
  12. 12. • «Over 96% of the malware samples we have attributed to APT28 were compiled between Monday and Friday. More than 89% were compiled between 8AM and 6PM in the UTC+4 time zone, which parallels the working hours in Moscow and St. Petersburg.» Часовой пояс
  13. 13. Кто находится в UTC+4 ±1? • Россия • Иран • Ирак • Грузия • Азербайджан • Армения • Турция • Афганистан • Пакистан • Сирия • И др.
  14. 14. • «In 1,849 of the 1,905 (97%) of the Remote Desktop sessions APT1 conducted under our observation, the APT1 operator’s keyboard layout setting was “Chinese (Simplified) — US Keyboard”. Microsoft’s Remote Desktop client configures this setting automatically based on the selected language on the client system. Therefore, the APT1 attackers likely have their Microsoft® operating system configured to display Simplified Chinese fonts» Раскладка клавиатуры и шрифты
  15. 15. Язык (APT28) Locale ID Основной язык Страна / регион Число семплов APT28 0x0419 Russian (ru) Россия (RU) 59 0x0409 English (en) США (US) 27 0x0000 или 0x0800 Neutral locale / System default locale language Нейтральный 16 0x0809 English (en) Великобритания (GB) 1 • Ресурсы PE-файлов содержат языковую информацию
  16. 16. Язык (Guccifer и DNC)
  17. 17. ”Cyberresearchers found other clues pointing to Russia. Microsoft Word documents posted by Guccifer 2.0 had been edited by someone calling himself, in Russian, Felix Edmundovich — an obvious nom de guerre honoring the founder of the Soviet secret police, Felix Edmundovich Dzerzhinsky» Felix Edmundovich Тролли или подстава?
  18. 18. Русскоязычный хостинг
  19. 19. Русскоязычные VPN-сервера
  20. 20. Российские или американские?
  21. 21. Анализ владельца домена (Guccifer) sec.service@mail.ruinfo@vpn-service.us 2004Сегодня James Dermount Антон_Харьков Собственные NS- сервера NS-сервера Рустелекома vpn_support@mail.ru
  22. 22. Анализ фишинговых доменов onlimecorpwestpac.com
  23. 23. Анализ фишинговых доменов onlimecorpwestpac.com cs@now.cn 120 фишинговых доменов 178.33.213.12 - 178.33.213.15, OVH Khurran Nawaz khurram.nj@gmail.com 104.245.233.163 178.33.213.12 185.86.77.41 198.175.126.117 199.180.116.115 216.170.126.106 23.95.248.152 Westpac Amex Lloyds Chase Wells Fargo ANZ (Australia & New Zealand Banking Group) St.George Bank Standard Chartered Bank
  24. 24. Анализ фишинговых доменов aexp-support.com whois-agent@gmx.com 500 фишинговых доменов 37.187.222.168 - 37.187.222.171, OVH Khurran Nawaz khurram.nj@gmail.com 192.3.186.222 37.187.222.169 Банки, фарма, кардинг 192.3.186.216 - 192.3.186.223, AS-COLOCROSSING quexsolutions.com, Kabul Aladeen, Ali
  25. 25. Анализ доменов
  26. 26. Один метод обычно неэффективен – нужна совокупность
  27. 27. Атака на украинский ТЭК Relationship ID = rId1337 Relationship ID = rId1337
  28. 28. Анализ связей Twitter предлагает «друзей», опираясь на регион регистрации учетной записи
  29. 29. Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) • Систематизированный набор данных о техниках, тактиках и процедурах, используемых злоумышленниками • 10 тактик = 200 техник с подробным описанием в формате Wiki • «Корпоративная» версия матрицы рассчитана на Windows, Linux и MacOS • Разработана «Мобильная» версия • Готовится версия для АСУ ТП
  30. 30. Матрица ATT&CK
  31. 31. От ATT&CK к CAR • Какие известные нарушители (в базу CARET входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могут быть детектированы или не детектированы? CARET – Cyber Analytics Repository Exploration Tool
  32. 32. Оперативная информация
  33. 33. Атрибуция в стиле «Highly Likely»
  34. 34. Galina Antova, co-founder of Claroty Reports about Russian actors being behind the Dragonfly 2.0 campaign are more than plausible. Highly Likely?..
  35. 35. Dmitri Alperovitch, Co-founder of Crowdstrike, a cybersecurity firm retained by the D.N.C There’s no plausible actor that has an interest in all those victims other than Russia. Highly Likely?..
  36. 36. Передергивание фактов «Это русские! Никаких доказательств нет, но кто еще? Да и Symantec говорит, что это русские!» «Мы не знаем кто, но в коде есть текст на русском и французском»
  37. 37. False Flag?
  38. 38. Vault 7: UMBRAGE Евгений АникинТед Банди • Коллекция хакерских техник и вредоносных программ разработанных другими хакерами Маскировка Коллекция
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ML фундаментально отличается от обычной разработки – вы даете машине ответы и она пишет по ним код (модель) Машинное обучение наиболее эффективно для новых и неизвестных данных Обучающие данные Вывод Программа (модель) Машинное обучение
  40. 40. Основные алгоритмы машинного обучения Входные данные Классификация Вывод Выделение признаков Собака Машинное обучение с учителем Собака Машинное обучение без учителя
  41. 41. 3 компонента машинного обучения Данные ПризнакиАлгоритмы
  42. 42. • E-mail(ы) • Часовой пояс • Страна • Язык • Псевдоним(ы) и учетные записи • IP-адреса / домены / ASN • TTP Какие признаки могут быть?
  43. 43. Проект WOMBAT
  44. 44. Национальные проекты по атрибуции
  45. 45. Q-модель по атрибуции кибератак Концепция Практика Коммуникации
  46. 46. Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 47 Экономические Психологические
  47. 47. Кто виноват и что делать: геополитика - Политики не хотят разбираться, а хотят быстрого вердикта - Нужен «образ врага» - Отсутствие географическое привязки в киберпространстве - Налаживать взаимоотношения Почемунельзя? Чтоделать?
  48. 48. Кто виноват и что делать: юриспруденция - Юрисдикции разных стран - Отсутствие международных норм - Языковые проблемы взаимодействия - Выработка международных норм (СНВ, НЯВ) - Фокус локального законодательства на киберпреступления - Двусторонние соглашения Почемунельзя? Чтоделать?
  49. 49. Кто виноват и что делать: техника - Децентрализация и распределенность Интернет - IPv4 - Анонимайзеры и прокси (посредники) - Аренда abuse- устойчивого хостинга - Унификация правил мониторинга, учета и обмена трафиком - IPv6 - Межпровайдерские соглашения - ГосСОПКА Почемунельзя? Чтоделать?
  50. 50. Кто виноват и что делать: экономика - Бесперебойность функционирования и возврат в предатакованное состояние превыше безопасности - Сознательное скрытие следов - Долговременность хранения логов - Повышение культуры ИБ - Ответственность за сокрытие следов - Мотивация операторов связи Почемунельзя? Чтоделать?
  51. 51. Кто виноват и что делать: психология - Все неизвестное вызывает отторжение - Инертность мышления (ориентация на «войны» и «конфликты») - Повышение культуры ИБ - Привлечение экспертов Почемунельзя? Чтоделать?
  52. 52. • Однозначная атрибуция в современном мире невозможна даже на техническом уровне • Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо/группировку, стоящее за кибератакой, но не позволяет определить умысел • В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников • Это высший пилотаж ИБ, который нужен далеко не всем В качестве резюме
  53. 53. Спасибо! alukatsk@cisco.com

×