Upload File

Алексей Ясинский - Опыт расследования современных...

  • Home
  • Engineering
  • Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy
30
ОПЫТ РАССЛЕДОВАНИЯ СОВРЕМЕННЫХ КИБЕР-АТАК НА ПРИМЕРЕ BLACKENERGY ИСТОРИЯ ОДНОГО ИНЦИДЕНТА Ясинский Алексей Директор кибер-лаборатории

Upload: hackit-ukraine

Post on 09-Apr-2017

371 views

Category:

Engineering


10 download

Report

TRANSCRIPT

Page 1: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ОПЫТ РАССЛЕДОВАНИЯ СОВРЕМЕННЫХ КИБЕР-АТАК НА

ПРИМЕРЕ BLACKENERGY

ИСТОРИЯ ОДНОГО ИНЦИДЕНТА

Ясинский Алексей

Директор кибер-лаборатории

Page 2: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy
Page 3: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

Знакомство с моделью Cyber Kill Chain1. Разведка. Злоумышленник собирает информацию о цели перед началом реальной атаки. Он

может сделать это, глядя на общедоступную информацию в Интернете.

2. Вооружение. Атакующий использует эксплойты и создает вредоносное ПО, чтобы отправить жертве. Этот шаг происходит на стороне атакующего без контакта с жертвой.

3. Доставка. Злоумышленник отправляет свой вредоносный пакет жертве по электронной почте или одним из многих методов проникновения, которые злоумышленник может использовать.

4. Эксплойтация. Фактическое исполнение эксплойта, которое, опять же, актуально только когда злоумышленник использует эксплойт.

5. Установка. Инсталляция вредоносных программ на зараженном компьютере имеет значение только если злоумышленник использует вредоносные программы, и даже тогда, установка может быть только небольшой частью гораздо более сложного процесса атаки, который длится несколько месяцев.

6. Командование и управление (C&C). Злоумышленник создает канал командования и управления для того, чтобы продолжать дистанционно управлять внутренними активами.

7. Достижение целей. Злоумышленник выполняет шаги для достижения своих фактических целей внутри сети жертвы. Это активный сложный процесс атаки, который проходит несколько месяцев, и требует тысячи малых шагов для достижения успеха.

Page 4: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ЭТАП «ACTIONS ON OBJECTIVES»

Page 5: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ЭТАП «ACTIONS ON OBJECTIVES»

Page 6: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ИЗУЧЕНИЕ СКОМПРОМЕТИРОВАННОГО СЕРВЕРА

Page 7: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ИЗУЧЕНИЕ СКОМПРОМЕТИРОВАННОГО СЕРВЕРА

Page 8: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

LOGPARSER – НЕЗАМЕНИМ ДЛЯ АВТОМАТИЗАЦИИ ОБРАБОТКИ ОГРОМНЫХ МАССИВОВ ЖУРНАЛОВ С РАБОЧИХ

СТАНЦИЙ И СЕРВЕРОВ

Page 9: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

НЕПОСРЕДСТВЕННЫЕ ДЕЙСТВИЯ ЗЛОУМЫШЛЕННИКОВ

Page 10: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ИЗУЧЕНИЕ АНОМАЛИЙ ОТ ИМЕНИ СКОМПРОМЕТИРОВАННЫХ УЧЁТНЫХ ЗАПИСЕЙ

АДМИНИСТРАТОРОВ

Page 11: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ИЗУЧЕНИЕ АНОМАЛИЙ ОТ ИМЕНИ СКОМПРОМЕТИРОВАННЫХ УЧЁТНЫХ ЗАПИСЕЙ

АДМИНИСТРАТОРОВ

Page 12: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

«INSTALLATION» И «EXPLOITATION»VBoxDrv.sys (CVE-2008-3431)

14 МИНУТ НА УСТАНОВКУ НУЖНЫХ ИНСТРУМЕНТОВ!

Page 13: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

«ИНСТРУМЕНТЫ» ГОТОВЯТСЯ ПЕРЕД АТАКОЙ ПОД КАЖДУЮ КОНКРЕТНУЮ ЦЕЛЬ

Page 14: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

«COMMAND & CONTROL (C2)»

Page 15: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

«COMMAND & CONTROL (C2)»

Page 16: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

«DELIVERY» — ДОСТАВКА МОДУЛЕЙ BLACKENERGY

Page 17: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ТО САМОЕ ПИСЬМО!

Page 18: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ИНСТРУМЕНТЫ ПРОНИКНОВЕНИЯ СКРЫВАЮЩИЕСЯ В МАКРОСЕ

Page 19: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

КАК «ОНИ» УЗНАЮТ ОБ УСПЕШНОМ ПРОНИКНОВЕНИИ

Page 20: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ДОСТАВКА «ИНСТРУМЕНТОВ»

Page 21: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ДОСТАВКА «ИНСТРУМЕНТОВ»

Page 22: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ПРЕПАРИРОВАНИЕ «ИНСТРУМЕНТА»

Page 23: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ПРЕПАРИРОВАНИЕ «ИНСТРУМЕНТА»

Page 24: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ДЕЛЬНЕЙШИЕ ШАГИ…

Page 25: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

АТАКА НА КОНТРОЛЛЕР ДОМЕНА ЧЕРЕЗ LM-HASH

Page 26: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ВЗЛОМ ПАРОЛЯ СОСТОЯЩИЙ ИЗ 14 СИМВОЛОВ, ПРИ НАЛИЧИИ LM-ХЕША, ЗАНЯЛ ВСЕГО 40

СЕКУНД!

316 УЧЁТНЫХ ЗАПИСЕЙ СОДЕРЖАЛИ LM-HASH ВЗЛОМ ИХ СОСТАВИЛ 2 ЧАСА 38

МИНУТ !

Page 27: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ПРОДОЛЖИТЕЛЬНОСТЬ АТАКИ И ЭТАПЫ ЕЁ РАССЛЕДОВАНИЯ

Page 28: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ОЦЕНКА ПОСЛЕДСТВИЙ И ВЫВОДЫИз негативных последствий: была уничтожена информация на двух контроллерах домена, одном сервере приложений и чуть более десятка ПК.

Из положительных: бесплатный пентест, неоценимый опыт в реальном расследовании, было написано множество инструментов автоматизирующих работу не только с логами но и при реверсе зловредов (но не буду забегать вперёд, это тема для отдельной статьи). Руководству стало более понятной роль информационной безопасности (бесценно!), Эта единоразовая демонстрация реальной угрозы и её расследование помогли намного больше, чем озвучивание нами гипотетических угроз. Плотное взаимодействие с админами из ИТ отдела позволило выстроить грамотные отношения и даже сплотить коллектив. Поэтому считаю, что это были реальные боевые учения и только на таких уроках можно получить реальное представление о методах и техниках атаки.

Page 29: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

РесурсыСтатьи на русском:https://socprime.com/ru/blog-ru/demontag-killdisk-blackenergy/https://socprime.com/ru/blog-ru/blackenergy-2-shtamp/https://socprime.com/ru/blog-ru/ohota-za-zlovredami-s-pomoshyu-shtampa-dobitogo-iz-blackenergy/https://socprime.com/ru/blog-ru/razbor-blackenergy-chast-3-abordazh/https://socprime.com/ru/blog-ru/ataka-na-bazu-kontrollera-domena-ntds-dit/Эти же статьи для англоговорящих читателей:https://socprime.com/en/blog/dismantling-killdisk-reverse-of-the-blackenergy-destructive-component/https://socprime.com/en/blog/dismantling-blackenergy-part2-the-mark/https://socprime.com/en/blog/threat-hunting-assisted-by-blackenergy-mark/https://socprime.com/en/blog/dismantling-blackenergy-part-3-all-aboard/https://socprime.com/en/blog/attack-on-domain-controller-database-ntds-dit/

https://socprime.com/ru/blog-ru/demontag-killdisk-blackenergy/
https://socprime.com/ru/blog-ru/blackenergy-2-shtamp/
https://socprime.com/ru/blog-ru/ohota-za-zlovredami-s-pomoshyu-shtampa-dobitogo-iz-blackenergy/
https://socprime.com/ru/blog-ru/razbor-blackenergy-chast-3-abordazh/
https://socprime.com/ru/blog-ru/ataka-na-bazu-kontrollera-domena-ntds-dit/
https://socprime.com/en/blog/dismantling-killdisk-reverse-of-the-blackenergy-destructive-component/
https://socprime.com/en/blog/dismantling-blackenergy-part2-the-mark/
https://socprime.com/en/blog/threat-hunting-assisted-by-blackenergy-mark/
https://socprime.com/en/blog/dismantling-blackenergy-part-3-all-aboard/
https://socprime.com/en/blog/attack-on-domain-controller-database-ntds-dit/
Page 30: Алексей Ясинский - Опыт расследования современных кибер-атак на примере BlackEnergy

ВОПРОСЫ?


Эволюция атак на веб приложения (Evolution of web applications attacks)

Опыт по защите от DDOS атак: теория и практикаib6.ib-bank.ru/files/files/d2/18 Arbor - Microtest.pdfОпыт иностранных банков В

SECURITY INFORMATION ANALYTICS - The SPARKS … · SECURITY INFORMATION ANALYTICS Dr. Andrew Byrne, EMC Research Europe ... RSA Security Analytics: – BlackEnergy malware detection

DNS REBINDING - ptsecurity.com · атак Anti DNS pinning, так же известное как DNS rebinding. èтакам типа Anti DNS pinning подвержены веб-серверы,

Analyzing a New Variant of BlackEnergy 3 - SentinelOne

DIGITAL REVIEW - Boston Consulting Group...10 | Digital Review 40 атак новых игроков наиболее значимой зачастую становится цифровизация

Техника и философия хакерских атак

План управления азиатским козерогом (Capra sibirica) · практически не уязвимыми для атак волков; их основной

BLACKENERGY – WHAT WE REALLY KNOW ABOUT THE NOTORIOUS CYBER ATTACKS€¦ ·  · 2017-07-03BLACKENERGY – WHAT WE REALLY KNOW... ... VIRUS BULLETIN CONFERENCE OCTOBER 2016 1 BLACKENERGY

CyRes - sis.pitt.edu€¦ · Recent cyberattacks, such as the Target breach, Sony hacking incident, BlackEnergy malware, Anthem cyber-attack, the Chinese hacking incidents, etc.,

Human factor in CyberSecurity - Deutsche Messe AGfiles.messe.de/abstracts/70071_HAMO16_00Petrashcuk.pdf · BlackEnergy Attack BlackEnergy is a well-known cybercrime toolkit that has

Anatomy of a threat...Какво ни очаква в близкаобъдеще 2.1 трлн. доларамогат да достигнат щетите от кибер-престъпност

ОПИСАНИЕ ПРОДУКТА › upload › corporate › ru-ru › ... · Расширенная защита от DDoS-атак уровня приложений. С помощью

Как посчитать эффективность ИБ - Cisco...Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно насколько)

BlackEnergy DDoS Bot - ausnog.net · BlackEnergy Weaknesses •No authorization –Anyone can poll URL •No checks enforced on bot or build IDs •Weak “encoding” of commands

NCCIC | NATIONAL CYBERSECURITY & COMMUNICATIONS ......BlackEnergy •An official invite from the government! •The ministry of energy asked for my help! [email protected]

INFOWATCH TRAFFIC MONITOR · Многие компании защищаются от вирусов и внеш- них атак, но главная угроза таится внутри

Криптография Почему сейчас Почему Microchip? · Устойчив к типам атак: Микрощуп Атака по времени Анализ

Analyzing a New Variant of BlackEnergy 3 · BlackEnergy was first reported in 2007 (named BlackEnergy 1) and at the time was a relatively simple form of malware that generated random

Защита от пропаганды в кибер-пространстве

Marketing Planning Overview - euroins.bg · КИБЕР ПРЕСТЪПЛЕНИЕ: Това е престъпна дейност, извършена с помощта на компютри

Blackenergy malware iicybersecurity

Защищаем WordPress-сайт от хакерских атак

InfoWatch Attack Killerрешение проблемы всех направленных атак

Anatomy of a threat · Какво ни очаква в близкаобъдеще 2.1 трлн. доларамогат да достигнат щетите от кибер-престъпност

Специализированные продукты компании Cisco по обнаружению и блокированию атак. Области применения,

BlackEnergy 2 Revealed - FIRST · • BlackEnergy v2 – In development since August 2008 – Very limited distribution throughout 2008-2009 – Program name unconfirmed, but author

The notorious BlackEnergy (BE) malware is once again a hot

Развитие атак на мобильных Chaikin.pdfIPsec Encrypted Tunnel Managed Devices To Internet Gateway Server web proxy Perimeter Network Company Network : Company

Multidimensional Intrusion Detection System for IEC 61850 ... · coordinated intentional cyberattack via the BlackEnergy malware was directly responsible for power outages for at

The notorious BlackEnergy (BE) malware is once again … notorious BlackEnergy (BE) malware is once again a hot topic in the security world. This celebrity status is mainly due to

PowerPoint PresentationSepio Systems | Start-Up Nation Finder. Vdoo | LinkedIn. Claroty - Team8. Armis Security - Crunchbase Company Profile & Funding. BlackEnergy Report. Radiflow

Analyzing a New Variant of BlackEnergy 3 - SentinelOne · Analyzing a New Variant of BlackEnergy 3 ... vba_macro.exe using the ... The basic rule of thumb when unpacking a Crypter/Packer

Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной

BLACKENERGY & QUEDAGH · BlackEnergy 3 10 Information-stealing plugin 11 Network traffic 12 Conclusions13 Appendix A | Samples 14 BlackEnergy is a toolkit that has been used for years