SlideShare a Scribd company logo

Анти-APT своими руками

Positive Hack Days
Positive Hack Days

Обфускация вредоносного кода, социальная инженерия, использование «то ли багов, то ли фич» Windows — сегодняшний арсенал злоумышленников дает возможность успешно обходить сигнатурные средства защиты. Доклад посвящен опыту построения в корпоративной среде системы на базе опенсорса, нацеленной на выявление атак, не детектируемых классическими средствами защиты. Речь пойдет о элементах статического и динамического анализа, интересных инцидентах, которые были выявлены за время работы системы (с использованием эксплойтов на MS Office, JS-кода в CHM-файлах, трюков с упаковкой OLE в PDF и Multipart, с промежуточным взломом предприятия-контрагента и крупного авиаперевозчика), будет озвучена накопленная статистика по детекту самодельной системы, сигнатурных средств и одного коммерческого анти-APT-решения.

Technology
1 of 72
АНТИ-APT СВОИМИ РУКАМИ Данил Бородавкин danil.borodavkin@gmail.com АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ
Расставим точки над «i» Предмет рассмотрения – в первую очередь выявление вредоносного содержимого на стадии доставки. Других методов это разумеется не умоляет Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 2
ТЕОРИЯ 3
Уровень абстракции Корень зла – принципиальное отсутствие критериев вредоносности Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 4
Пример VaultCrypt Sysinternals sdelete Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 5
Сигнатурный метод 01010100011100100110 11110110101001100001 01101110001011100100 00100110111101110100 01010100011100100110 11110110101001100001 01101110001011100100 11100110111101110100 Trojan.Bot Trojan.Not Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 6
Как развивается атака Доставка Развертывание Работа Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 7
Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 8
Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Выявлять Контро- лировать Определять параметры контроля Эвристика Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 9
Казалось бы, все просто ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 10
Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Понимание структуры данных Упаковка/обфускация Не всегда применимо Вычислительные затраты Задержки Критерии выделения аномалий 11 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Выявлять Контро- лировать Определять параметры контроля Предиктор КорректорЭвристика 12 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
ЭВРИСТИКА 13
Эвристика •  GeoIP (черные списки, соответствие страны домена) •  Подмена адресов и записей Received •  Подмена времени •  Белые/черные списки отправителей •  Проверка заголовков вложений •  Статистический подход по типам вложений Формат Знаем Анализируем Не знаем Повышаем критичность Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 14
Эвристика Received: from [185.5.136.50] (port=55953 helo=f379.i.mail.ru) by nt-8.ourdomain.ru (acSMTP/4.32.4964) with ESMTP id 67393.0.0 (envelope-from <social.engineer@mail.ru>) for <vip@ourdomain.ru>; Thu, 10 Mar 2016 14:46:46 +0700 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2; h=Content-Type:Message-ID:Reply-To:Date:MIME- Version:Subject:To:From; bh=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=; b=YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY=; Received: from [115.177.235.182] (ident=mail) by f379.i.mail.ru with local (envelope-from <social.engineer@mail.ru>) id 1advJ1-0002hU-IH for vip@ourdomain.ru; Thu, 10 Mar 2016 10:46:48 +0300 Received: from [115.177.235.182] by e.mail.ru with HTTP; Thu, 10 Mar 2016 10:46:47 +0300 From: Attacker < social.engineer@mail.ru > 15 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Эвристика 16 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Эвристика 17 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
СТАТИЧЕСКИЙ АНАЛИЗ 18
Microsoft Office / OLE Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 19
Microsoft Office / OLE (норма) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 20
Microsoft Office / OLE (макрос) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 21
Microsoft Office / OLE (CVE-2012-0158) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 22
PDF Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 23
PDF (норма) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 24
PDF (JS) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 25
Материалы по теме Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. Didier Stevens •  https://blog.didierstevens.com •  https://blog.nviso.be 26
ПЕСОЧНИЦА 27
Песочница 28 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Песочница ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 29
Песочница: проблема №1 30 Изменения Файлы Ключи реестра Объекты IPC Системные вызовы Запущенные процессы Обращения к DNS Сетевой трафик Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Песочница: проблема №1 31 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Песочница: проблема №2 32 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Песочница: проблема №2 •  Cuckoo Sandbox предлагает сигнатурный метод, основанный на черных списках. •  Мы же пошли другим путем: белые списки с возможностью обучения на легитимных файлах. 33 ЭТО ПЛОХО! ЭТО ХОРОШО, А ВСЕ, ЧТО НЕ ХОРОШО – ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Схема вынесения вердикта 34 Изменения после открытия файла Файлы Ключи реестра Объекты IPC Сис. вызовы Процессы DNS Сетевой трафик Глобальныеисключения Легитимныедействиядля.doc Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Схема вынесения вердикта 35 Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Правила вынесения вердикта: I + R + N = ALERT C + F + I = WARNING D + P + R = ALERT F + P + D = ALERT I + R = WARNING ETC ALERT WARNING CLEAN Аналогичная схема работает на стадии статического анализа Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Режим обучения 36 Изменения после открытия файла Файлы Ключи реестра Объекты IPC Сис. вызовы Процессы DNS Сетевой трафик Глобальныеисключения Легитимныедействиядля.doc Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Режим обучения Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
КОНТРОЛЬ IOC 37
Контроль IOC •  Запросы DNS •  Логи прокси •  Netflow •  Трафик (snort) •  Файлы •  «Зацикленный» nmap в локалке •  Nmap+OpenVAS в ДМЗ Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 38
СОБИРАЕМ ВСЕ ВМЕСТЕ 39
Что пришлось писать •  Агент для проверки почты (EmailAnalyzer aka EA) •  Очередь песочницы (многопоточность, приоритеты) •  Скрипт вынесения вердиктов песочницы (BirdBrain) •  Скрипты контроля запросов DNS и прокси •  Автоматизация nmap •  Система ведения разбирательств, база событий и IOC •  Универсальный извлекатель архивов (поддержка разных форматов, рекурсия, пароли) •  Веб-интерфейс •  Telegram-бот для уведомлений J Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 40
Схема работы системы 41 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Интерфейс системы Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 42
ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 43 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 44 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 45 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Интерфейс системы Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 46
Уведомления 47 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
YOU KNOW NOTHING JON SHOW 48
Век живи – век учись В процессе проблемы обнаруживаются на всех фронтах: •  статический анализатор регулярно не справляется с новыми ухищрениями вирусописателей; •  отсутствие результата в песочнице Для поддержания качества детекта необходимо периодически: •  «подтягивать» функционал; •  производить тюнинг FP (корректировка правил вынесения вердикта, «обучение» BirdBrain). 49 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Multipart Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 50
hh.exe Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 51
PDF: JS, Embedded File, OpenAction Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 52
И ЧТО НА ПРАКТИКЕ? 53
Целенаправленные атаки •  Социальная инженерия: •  рассылки по тематике деятельности предприятия •  письма от имени действующих сотрудников •  подмена отправителя: действующие сотрудники, контрагенты •  поздравления с праздниками •  Технический арсенал: •  эксплойты на MS Office •  chm-js •  multipart •  варианты попроще: .scr, .exe, запароленные архивы •  Доставка на личную почту сотрудников •  Рассылки с взломанных контрагентов На момент доставки не детектируются Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 54
Целенаправленные атаки 55 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Целенаправленные атаки 56 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Целенаправленные атаки 57 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Целенаправленные атаки 58 Exploit C:WindowsSystem32 %APPDATA% Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Целенаправленные атаки 59 <BGSOUND> %TEMP%file.mp3 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Трояны, вымогатели и др. С чем приходится иметь дело: •  MS Office VBS •  JS, VBS, etc •  PDF-JS •  PDF с вложенным MS Office •  MS Office с вложенным PDF •  Макросы MS Office •  Экзотические форматы архивов типа .ACE •  Облачные хранилища Курьезный случай: отправка вредоносного содержимого со взломанного Roundcube крупного авиаперевозчика. Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 60
СТАТИСТИКА Не из интернетов, своя! 61
Как собиралась статистика •  Статистика собрана на вредоносном содержимом в электронной почте (~8 тысяч писем в день). •  Данные по детекту антивирусов – результаты с Virustotal, полученные по хэшам вложенных файлов при обнаружении HANDMADE-системой. •  Сравнение с коммерческим AntiAPT – результат двухмесячного тестирования. На релевантность не претендуем! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 62
Вредоносная почта 63 0 50 100 150 200 250 300 350 400 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 2014 (276 инцидентов) 2015 (505 инцидентов) 2016 (1435 инцидентов) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
64 Вредоносная почта Исполняемые файлы 142 Справка (CHM) 4 Скрипты VBS 9 Ссылки 30 Java 41 MS Office (макросы) 103 MS Office (эксплоиты) 60 Скрипты JS 302 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
Антивирусы на стадии доставки Microsoft AVG Symantec TrendMicro Avira 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky Процент от выявления HANDMADE-системой Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 65
Антивирусы на стадии доставки 0 200 400 600 800 1000 1200 1400 1600 Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky HANDMADE Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 66
Антивирусы на стадии доставки 0 200 400 600 800 1000 1200 1400 1600 Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky HANDMADE С начала 2017 г. Лидер среди антивирусов Не выявлено Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 67
Антивирусы на стадии доставки 0% 20% 40% 60% 80% 100% июня.16 июля.16 авг..16 сент..16 окт..16 нояб..16 дек..16 янв..17 февр..17 марта.17 апр..17 мая.17 DrWeb ESET-NOD32 Kaspersky 0% 20% 40% 60% 80% 100% июня.16 июля.16 авг..16 сент..16 окт..16 нояб..16 дек..16 янв..17 февр..17 марта.17 апр..17 мая.17 McAfee Avira Kaspersky Лидеры российского рынка Лидеры сравнения Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 68
Пилот коммерческого Anti-APT •  Детект HANDMADE-системы адекватен в сравнении с коммерческим продуктом •  Преимущества самоделки: мы работаем интрузивно (привет шифровальщикам!), интеграция 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Выявлено Commercial (не выявлено HANDMADE) Не выявлено HANDMADE Антивирус Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 69
ИТОГО •  Антивирусом и файерволом нынче не обойтись •  Своими руками на базе опенсорса и костылей можно собрать Анти-APT с неплохим детектом •  Век живи – век учись Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 70
Даешь молодежь! 71 Мы работаем со студентами. Коммиты становятся дипломами J Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
FROM SIBERIA WITH LOVE

Recommended

Russian gost standards in english translations (catalog russian english versi...
Russian gost standards in english translations (catalog russian english versi...Russian gost standards in english translations (catalog russian english versi...
Russian gost standards in english translations (catalog russian english versi...Suhrob Nadjimov
 
Квалификация лидов Денис Кучумов Конференция РИФ 2013
Квалификация лидов Денис Кучумов Конференция РИФ 2013Квалификация лидов Денис Кучумов Конференция РИФ 2013
Квалификация лидов Денис Кучумов Конференция РИФ 2013Тарасов Константин
 
Предотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документооборотеПредотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документооборотеDocsvision
 
All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...Suhrob Nadjimov
 
All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...Suhrob Nadjimov
 
All sp standards, set of rules, code of practice, construction standards, bui...
All sp standards, set of rules, code of practice, construction standards, bui...All sp standards, set of rules, code of practice, construction standards, bui...
All sp standards, set of rules, code of practice, construction standards, bui...Suhrob Nadjimov
 
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализа
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализаСтажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализа
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализаSmartTools
 
Device Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхDevice Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхExpolink
 

Recommended

Russian gost standards in english translations (catalog russian english versi...
Russian gost standards in english translations (catalog russian english versi...Russian gost standards in english translations (catalog russian english versi...
Russian gost standards in english translations (catalog russian english versi...Suhrob Nadjimov
 
Квалификация лидов Денис Кучумов Конференция РИФ 2013
Квалификация лидов Денис Кучумов Конференция РИФ 2013Квалификация лидов Денис Кучумов Конференция РИФ 2013
Квалификация лидов Денис Кучумов Конференция РИФ 2013Тарасов Константин
 
Предотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документооборотеПредотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документооборотеDocsvision
 
All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...Suhrob Nadjimov
 
All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...All iso standards available in english and russian (translation) languages, s...
All iso standards available in english and russian (translation) languages, s...Suhrob Nadjimov
 
All sp standards, set of rules, code of practice, construction standards, bui...
All sp standards, set of rules, code of practice, construction standards, bui...All sp standards, set of rules, code of practice, construction standards, bui...
All sp standards, set of rules, code of practice, construction standards, bui...Suhrob Nadjimov
 
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализа
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализаСтажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализа
Стажировка 2016-08-11 01 Юлия Ашаева. Техники тест-анализаSmartTools
 
Device Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхDevice Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхExpolink
 
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Expolink
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Expolink
 
Positive Hack Days
Positive Hack DaysPositive Hack Days
Positive Hack DaysPositive Hack Days
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
Device lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхDevice lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхExpolink
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Контроль за качеством кода
Контроль за качеством кодаКонтроль за качеством кода
Контроль за качеством кодаКирилл Борисов
 
Software engineering seminars: jira
Software engineering seminars: jira Software engineering seminars: jira
Software engineering seminars: jiraSemen Martynov
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 

More Related Content

Similar to Анти-APT своими руками

Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Expolink
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Expolink
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
Device lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхDevice lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхExpolink
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Контроль за качеством кода
Контроль за качеством кодаКонтроль за качеством кода
Контроль за качеством кодаКирилл Борисов
 
Software engineering seminars: jira
Software engineering seminars: jira Software engineering seminars: jira
Software engineering seminars: jiraSemen Martynov
 

Similar to Анти-APT своими руками (8)

Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
Device Lock. DLP-технологии. Построение эффективной системы защиты от утечек...
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 
Positive Hack Days
Positive Hack DaysPositive Hack Days
Positive Hack Days
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
 
Device lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхDevice lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данных
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
Контроль за качеством кода
Контроль за качеством кодаКонтроль за качеством кода
Контроль за качеством кода
 
Software engineering seminars: jira
Software engineering seminars: jira Software engineering seminars: jira
Software engineering seminars: jira
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Анти-APT своими руками

  • 1. АНТИ-APT СВОИМИ РУКАМИ Данил Бородавкин danil.borodavkin@gmail.com АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ
  • 2. Расставим точки над «i» Предмет рассмотрения – в первую очередь выявление вредоносного содержимого на стадии доставки. Других методов это разумеется не умоляет Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 2
  • 4. Уровень абстракции Корень зла – принципиальное отсутствие критериев вредоносности Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 4
  • 5. Пример VaultCrypt Sysinternals sdelete Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 5
  • 7. Как развивается атака Доставка Развертывание Работа Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 7
  • 8. Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 8
  • 9. Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Выявлять Контро- лировать Определять параметры контроля Эвристика Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 9
  • 10. Казалось бы, все просто ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 10
  • 11. Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Понимание структуры данных Упаковка/обфускация Не всегда применимо Вычислительные затраты Задержки Критерии выделения аномалий 11 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 12. Как детектировать? Доставка Контейнер OLE PDF etc Развертывание Дроппер Файлы Ключи реестра Объекты IPC Работа Осн. модуль Сетевая активность DNS-запросы IP-трафик Файловая активность Аномалии данных Аномалии поведения Неотличимо от легитимного, но уникально Выявлять Контро- лировать Определять параметры контроля Предиктор КорректорЭвристика 12 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 14. Эвристика •  GeoIP (черные списки, соответствие страны домена) •  Подмена адресов и записей Received •  Подмена времени •  Белые/черные списки отправителей •  Проверка заголовков вложений •  Статистический подход по типам вложений Формат Знаем Анализируем Не знаем Повышаем критичность Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 14
  • 15. Эвристика Received: from [185.5.136.50] (port=55953 helo=f379.i.mail.ru) by nt-8.ourdomain.ru (acSMTP/4.32.4964) with ESMTP id 67393.0.0 (envelope-from <social.engineer@mail.ru>) for <vip@ourdomain.ru>; Thu, 10 Mar 2016 14:46:46 +0700 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2; h=Content-Type:Message-ID:Reply-To:Date:MIME- Version:Subject:To:From; bh=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=; b=YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY=; Received: from [115.177.235.182] (ident=mail) by f379.i.mail.ru with local (envelope-from <social.engineer@mail.ru>) id 1advJ1-0002hU-IH for vip@ourdomain.ru; Thu, 10 Mar 2016 10:46:48 +0300 Received: from [115.177.235.182] by e.mail.ru with HTTP; Thu, 10 Mar 2016 10:46:47 +0300 From: Attacker < social.engineer@mail.ru > 15 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 16. Эвристика 16 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 17. Эвристика 17 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 19. Microsoft Office / OLE Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 19
  • 20. Microsoft Office / OLE (норма) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 20
  • 21. Microsoft Office / OLE (макрос) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 21
  • 22. Microsoft Office / OLE (CVE-2012-0158) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 22
  • 23. PDF Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 23
  • 24. PDF (норма) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 24
  • 25. PDF (JS) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 25
  • 26. Материалы по теме Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. Didier Stevens •  https://blog.didierstevens.com •  https://blog.nviso.be 26
  • 28. Песочница 28 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 29. Песочница ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 29
  • 30. Песочница: проблема №1 30 Изменения Файлы Ключи реестра Объекты IPC Системные вызовы Запущенные процессы Обращения к DNS Сетевой трафик Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 31. Песочница: проблема №1 31 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 32. Песочница: проблема №2 32 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 33. Песочница: проблема №2 •  Cuckoo Sandbox предлагает сигнатурный метод, основанный на черных списках. •  Мы же пошли другим путем: белые списки с возможностью обучения на легитимных файлах. 33 ЭТО ПЛОХО! ЭТО ХОРОШО, А ВСЕ, ЧТО НЕ ХОРОШО – ПЛОХО! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 34. Схема вынесения вердикта 34 Изменения после открытия файла Файлы Ключи реестра Объекты IPC Сис. вызовы Процессы DNS Сетевой трафик Глобальныеисключения Легитимныедействиядля.doc Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 35. Схема вынесения вердикта 35 Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Правила вынесения вердикта: I + R + N = ALERT C + F + I = WARNING D + P + R = ALERT F + P + D = ALERT I + R = WARNING ETC ALERT WARNING CLEAN Аналогичная схема работает на стадии статического анализа Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 36. Режим обучения 36 Изменения после открытия файла Файлы Ключи реестра Объекты IPC Сис. вызовы Процессы DNS Сетевой трафик Глобальныеисключения Легитимныедействиядля.doc Флаг F Флаг R Флаг I Флаг C Флаг P Флаг D Флаг N Режим обучения Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 38. Контроль IOC •  Запросы DNS •  Логи прокси •  Netflow •  Трафик (snort) •  Файлы •  «Зацикленный» nmap в локалке •  Nmap+OpenVAS в ДМЗ Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 38
  • 40. Что пришлось писать •  Агент для проверки почты (EmailAnalyzer aka EA) •  Очередь песочницы (многопоточность, приоритеты) •  Скрипт вынесения вердиктов песочницы (BirdBrain) •  Скрипты контроля запросов DNS и прокси •  Автоматизация nmap •  Система ведения разбирательств, база событий и IOC •  Универсальный извлекатель архивов (поддержка разных форматов, рекурсия, пароли) •  Веб-интерфейс •  Telegram-бот для уведомлений J Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 40
  • 41. Схема работы системы 41 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 42. Интерфейс системы Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 42
  • 43. ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 43 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 44. ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 44 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 45. ПРЕДЛАГАЕМОЕ РЕШЕНИЕ 45 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 46. Интерфейс системы Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 46
  • 47. Уведомления 47 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 49. Век живи – век учись В процессе проблемы обнаруживаются на всех фронтах: •  статический анализатор регулярно не справляется с новыми ухищрениями вирусописателей; •  отсутствие результата в песочнице Для поддержания качества детекта необходимо периодически: •  «подтягивать» функционал; •  производить тюнинг FP (корректировка правил вынесения вердикта, «обучение» BirdBrain). 49 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 50. Multipart Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 50
  • 51. hh.exe Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 51
  • 52. PDF: JS, Embedded File, OpenAction Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 52
  • 53. И ЧТО НА ПРАКТИКЕ? 53
  • 54. Целенаправленные атаки •  Социальная инженерия: •  рассылки по тематике деятельности предприятия •  письма от имени действующих сотрудников •  подмена отправителя: действующие сотрудники, контрагенты •  поздравления с праздниками •  Технический арсенал: •  эксплойты на MS Office •  chm-js •  multipart •  варианты попроще: .scr, .exe, запароленные архивы •  Доставка на личную почту сотрудников •  Рассылки с взломанных контрагентов На момент доставки не детектируются Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 54
  • 55. Целенаправленные атаки 55 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 56. Целенаправленные атаки 56 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 57. Целенаправленные атаки 57 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 58. Целенаправленные атаки 58 Exploit C:WindowsSystem32 %APPDATA% Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 59. Целенаправленные атаки 59 <BGSOUND> %TEMP%file.mp3 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 60. Трояны, вымогатели и др. С чем приходится иметь дело: •  MS Office VBS •  JS, VBS, etc •  PDF-JS •  PDF с вложенным MS Office •  MS Office с вложенным PDF •  Макросы MS Office •  Экзотические форматы архивов типа .ACE •  Облачные хранилища Курьезный случай: отправка вредоносного содержимого со взломанного Roundcube крупного авиаперевозчика. Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 60
  • 62. Как собиралась статистика •  Статистика собрана на вредоносном содержимом в электронной почте (~8 тысяч писем в день). •  Данные по детекту антивирусов – результаты с Virustotal, полученные по хэшам вложенных файлов при обнаружении HANDMADE-системой. •  Сравнение с коммерческим AntiAPT – результат двухмесячного тестирования. На релевантность не претендуем! Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 62
  • 63. Вредоносная почта 63 0 50 100 150 200 250 300 350 400 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 2014 (276 инцидентов) 2015 (505 инцидентов) 2016 (1435 инцидентов) Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 64. 64 Вредоносная почта Исполняемые файлы 142 Справка (CHM) 4 Скрипты VBS 9 Ссылки 30 Java 41 MS Office (макросы) 103 MS Office (эксплоиты) 60 Скрипты JS 302 Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.
  • 65. Антивирусы на стадии доставки Microsoft AVG Symantec TrendMicro Avira 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky Процент от выявления HANDMADE-системой Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 65
  • 66. Антивирусы на стадии доставки 0 200 400 600 800 1000 1200 1400 1600 Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky HANDMADE Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 66
  • 67. Антивирусы на стадии доставки 0 200 400 600 800 1000 1200 1400 1600 Microsoft Avast AVG DrWeb Symantec ESET-NOD32 TrendMicro McAfee Avira Kaspersky HANDMADE С начала 2017 г. Лидер среди антивирусов Не выявлено Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 67
  • 68. Антивирусы на стадии доставки 0% 20% 40% 60% 80% 100% июня.16 июля.16 авг..16 сент..16 окт..16 нояб..16 дек..16 янв..17 февр..17 марта.17 апр..17 мая.17 DrWeb ESET-NOD32 Kaspersky 0% 20% 40% 60% 80% 100% июня.16 июля.16 авг..16 сент..16 окт..16 нояб..16 дек..16 янв..17 февр..17 марта.17 апр..17 мая.17 McAfee Avira Kaspersky Лидеры российского рынка Лидеры сравнения Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 68
  • 69. Пилот коммерческого Anti-APT •  Детект HANDMADE-системы адекватен в сравнении с коммерческим продуктом •  Преимущества самоделки: мы работаем интрузивно (привет шифровальщикам!), интеграция 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Выявлено Commercial (не выявлено HANDMADE) Не выявлено HANDMADE Антивирус Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 69
  • 70. ИТОГО •  Антивирусом и файерволом нынче не обойтись •  Своими руками на базе опенсорса и костылей можно собрать Анти-APT с неплохим детектом •  Век живи – век учись Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г. 70
  • 71. Даешь молодежь! 71 Мы работаем со студентами. Коммиты становятся дипломами J Бородавкин Д. А. <danil.borodavkin@gmail.com> // Анти-APT своими руками // PHDays 7 // Москва, 2017 г.