Cisco. Лукацкий Алексей. "Методы современных киберпреступников"

21  апреля  2016Бизнес-­консультант  по  безопасности

Методы  современных  киберпреступниковАлексей  Лукацкий

2

Угрозы ОкружениеПериметр

Email-­вектор

Web-­вектор

3Жертвкликает  на  резюме

Инсталляция  бота,  установка  соединения  с  сервером  C2

4 5Сканирование  LAN  &  альтернативный  бэкдори  поиск  привилегированных  пользователей

Система  скомпрометирована   и  данные  утекли.  Бэкдорсохранен

8Архивирует  данные,  разделение  на  разные  файлы  и  отправка  их  на  внешние  сервера  по  HTTPS

7

Посылка  фальшивогорезюме(you@gmail.com)

2

Админ

Изучение  жертвы  (SNS)

1

Привилегированные  пользователи  найдены.6

Админ ЦОДПК

ЕленаИванова

Елена  Иванова• HR-­координатор• Нужны  инженеры• Под  давлением  времени

Анатомия  современной  атаки

3

Чего  опасаются  организации?

4

Изменение  в  поведении  атак

Скорость Ловкость Адаптация Уничтожение

Инновации,  использование  старых  приемов  на  новый  лади  обход  защитных  механизмов

5

Ловкость  нарушителей  – их  сила

Постоянные  обновления  увеличили  уровень  проникновения  Angler  до 40%    В  два  раза  эффективнее,  чем  другие  exploit  kits  в 2014

Скомпрометированная  система

Уязвимости  Flash

Смена  цели

AnglerНепрерывное   забрасывание  «крючков  в  воду»  увеличивает  шанс   на  компрометацию

Социальный  инжиниринг

Сайты-­однодневки

TTD

Мерызащиты Блокирование  Web Блокирование  IP Ретроспективный  анализ Антивирус Защита  ПКСканирование  Email

6

Прямые  атаки  формируют  большие  доходыБолее  эффективны  и  более  прибыльны

7

Эволюция  вымогателей:  Цель  – данные,  а  не  системы

TORВымогатели  теперь  полностью  автоматизированы  и  работают  через  анонимные  сети

$300-­$500Злоумышленники  провели  собственное  исследованиеидеальной  точки  цены.  Сумма  выкупа  не  чрезмерна

Личные  файлы

Финансовые  данные

Email

Фото

Фокусировка  вымогателей  –редкие  языки  (например,  исландский)  или  группы  пользователей  (например,  онлайн-­геймеры)

8

Теневая  инфраструктура  устойчива  и  скрытнаРазработаны  для  уклонения,  восстановления  и  контроля  работоспособности  

15000Уникальных  сайтов,

перенаправляющих  на  Angler

99,8%из  них  использовались  менее  10  раз  

9

76110

12/2014 1/2015 2/2015 3/2015 4/2015 5/2015

New URLScheme

Com

prom

ised

Use

rs

Old URLScheme

27425 2404018960 20863

47688

76110

736913163

9010 11958 14730 12008

Постоянная  модификация  вредоносного  кодаAdware  MultiPlug использует  собственную  схему  кодирования  URL для  обхода  обнаружения,  тем  самым  увеличивая  «эффективность» по  отношению  к  скомпрометированным  пользователям

Число  скомпрометированных  пользователей:Новая  схема  URL  vs.  старая схема  URL

Новая  схема  URLдраматически  опережает  старую.

Изменение  домена  –раз  в  3  месяца  (уже  500  доменов)Непрерывное  изменение  имен  Add-­On для  браузера  (уже  4000  имен)

10

Dridex:  воскрешение  старых  методовИспользование  «старых»  методов,  краткосрочность  и  постоянная  мутация  приводят  к  сложностям  в  блокировании  макровирусов

Кампаниястартовала

Обнаружена  с  помощьюOutbreak  Filters

Антивирусный  движокобнаруживаетDridex

Но  злоумышленники  все  равно  проникли  в  систему

Мы  обнаружили  с  начала  года  850  уникальных  образцов  рассылок  Dridex,  действующих  не  более  нескольких  часов

11

RombertikВредоносное  ПО  эволюционирует  не  только  в  сторону  кражи  данных  — если  его  обнаруживают  и  пытаются  воздействовать  на  него, он  может  уничтожить  зараженную  систему.

Уничтожение  если  обнаружено• Уничтожение  MBR• После  перезагрузки  компьютер  перестает  работать

Получение  доступа• Спам• Фишинг• Социальный  инжиниринг

Уход  от  обнаружения• Записать  случайные  данные  в  память  960  миллионов  раз

• Засорение  памяти  в  песочнице

Украсть  данные  пользователя• Доставка  данных  пользователя  обратно  злоумышленникам

• Кража  любых  данных,  а  не  только  банковских

Анти-­анализ Стойкость Вредоносное  поведение

12

Обход  «песочниц»Вредоносное  ПО  эволюционирует  в  сторону  защиты  от  исследования  в  песочницах,  где  вредоносный  код  запускается  и  анализируется.  Данные  методы  не  новы,  но  в  2015-­м  году  они    стали  применяться  все  чаще.

13

SSHPsycho (она  же  группа  93)  атакуетГлобально  взаимодействующие  атаки

14

Распределенная  угроза

Свыше

35%  мирового  SSH-­трафика  приходилось  на  SSHPsycho в  отдельные  моменты  времени

15

Уязвимая  инфраструктура  используется  оперативно  и  широкоРост  атак  на  221  процент  на  WordPress

16

Надежность  порождает  самоуверенность

устройств,  доступных  через  Интернет,  содержали  известные  уязвимости  (в  среднем  26  на  устройство)

устройств,  доступных  через  Интернет,  были  сняты  с  поддержки

устройств,  доступных  через  Интернет,  находились  за  пределами  своего  жизненного  цикла

92%

31%5%

17

Кто  забывает  обновлять  инфраструктуру?

18

Для  многих  версий  ПО  уже  нет  обновлений!

19

Аппетит  к  Flash

Платформа  Flash  – популярный  вектор  атак  для  киберпреступности

20

Идет  спад  использования  Flash,  Java и  Silverlight

Но  общедоступных  эксплойтов для  Flash больше,  чем  для  других  производителей

21

Интерес  к  продукции  Apple возрастает

22

Бот-­сети

Многоцелевые  бот-­сети  (например,  Gamarue и  Sality)

Бот-­сети  для  «скликивания»  (например,  Bedep и  Miuref)

Банковские  трояны

I

IIIII

23

DNS:  слепая  зона  для  безопасности

91,3%  ВредоносногоПОиспользует  DNS

68%  Организаций  немониторят его

Популярный  протокол,  который  используют  злоумышленники  для  управления,  утечки  данных  и  перенаправления  трафика

24

Что  еще  было  выявлено?• Адресное  пространство  заказчика  входит  в  блок-­списки  третьих  сторон  по  спаму  и  вредоносному  ПО

• Адресное  пространство  заказчиков  маркировано  для  известных  серверов  внешнего  управления  Zeus и  Palevo

• Активные  кампании  вредоносного  ПО,  в  том  числе  CTB-­Locker,  Anglerи  DarkHotel

• Подозрительные  действия,  включая  использование  сети  Tor,  автоматическое  перенаправление  электронной  почты  и  онлайн-­преобразование  документов

• Повсеместное  туннелированиеDNS  на  домены,  зарегистрированные  в  Китае

• «Тайпсквоттинг»  DNS• Внутренние  клиенты,  обходящие  доверенную  инфраструктуру  DNS  клиента

25

Заражения  браузера:  чума,  которая  не  проходит

Более  чем

85%  опрошенных  компанийстрадают  каждый  месяц

26

Менее  популярное  не  значит  менее  эффективное

27

К  чему  это  все  приводит?

Bitglass

205

Trustwave

188

Mandiant

229

2287  дней  – одно  из  самых  длинных  незамеченных  вторжений

Ponemon

206

HP

416Symantec

305

28

Осведомленность  о  методах  хакеров  снижает  уверенность  в  своих  силах

59%  уверены  в  наличии  у  себя  последних  технологий  защиты

51%  уверены,  что  могут  обнаруживать  свои  слабые  места  заранее

54%  уверены  в  своей  способности  противостоять  атакам

45%  уверены  в  своей  способности  локализовать  и  нейтрализовать  атаки

54%  уверены  в  своей  способности  подтвердить  факт  атаки

56%  Пересматривают  политики  ИБ  на  регулярной  основе

-­5% 0% -­4%

-­1% +0% +0%

29

1. Требуется  архитектура  безопасности  и  сети

2. Даже  лучшие  в  своем  классе  технологии  в  одиночку  не  способны  справляться  с  современным  ландшафтом  угроз

3. Интегрированная  безопасность  поможет  бороться  с  зашифрованной  вредоносной  активностью

4. Открытые  API  имеют  критическое  значение5. Требуется  меньше  компонентов  для  установки  и  управления

6. Автоматизация  и  координация  помогают  снизить  время  на  обнаружение,  локализацию  и  устранение  последствий  от  атак

6  принципов  комплексной  защиты  от  угроз

30

2016  Ежегодный  отчет  по  безопасности

Злоумышленники,  атакую  легальные  ресурсы,  развертывают  трудно  

обнаруживаемые  и  очень  прибыльные  инфраструктуры  

вредоносного  ПО

Уверенность  защитников  снижается,  

но  рост  осведомленности  приводит  к  смене  и  внедрению  новой  стратегии  ИБ

Взаимодействие  необходимо  для  борьбы  с  современными  и  инновационными  атаками  и  развития  архитектуры  ИБ  для  противодействия  угрозам  

будущего

Спасибо!