11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 1
Phishingové útoky v roce 2014
Aleš Padrta
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 2
FLAB a CESNET-CERTS
● CESNET-CERTS● Bezpečnostní tým pro reakci na incidenty
● Přehled o proběhlých incidentech
● FLAB● Forenzní LABoratoř
● Podpůrné pracoviště CESNET-CERTS● Analýza incidentů● Další služby
● Blízký kontakt s phishingy● Analýza závadných příloh
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 3
Věčné dilema uživatele
… nebo je IT oddělení outsourcovánoa posílá e-maily ze Zimbabwe ...
Nejsem si jistý, zda jde o podvod ...
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 4
Scam, phishing, podvodný e-mail
● Zvyklosti uživatelů (a médií)● Podvodný e-mail = phishing
● Terminologii si nenechají vymluvit● Radost, že poznají „problémový e-mail“
● Phishing● Podmnožina podvodných e-mailů
● Název z password harvesting fishing
● Využívá sociální inženýrství
● Podvodný e-mail (scam - podvod)● Není omezen na sbírání credentials
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 5
Evoluce podvodných e-mailů
● Evo-level 1 (phishing)● Lákání credentials jako odpověď na e-mail
● Milášek zákazník, pošlete vaše heslo a čislo boty …
● Evo-level 2 (phishing)● Přesměrování na podvodnou stránku
● Náš klient, zkontrolovat si stav účet na www...
● Evo-level 3 (scam)● Závadná příloha
● Vážený dlužník, zaplať nebo přijde exekutor … pohledávka popsána v přiloze.
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 6
Seminář o bezpečnosti
Populární podvodné e-maily2014 (a trochu 2015)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 7
Populární podvodné e-maily
● 17. 3. 2014 – „dokument“ pro uživatele Google Docs
II
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 8
Populární podvodné e-maily
● 28. 4. 2014 – malware „smlouva“ (botnet klient)
III
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 9
Populární podvodné e-maily
● 28.5.2014 – „bankovní data“ (karty, e-banking)
I
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 10
Populární podvodné e-maily
● 15. 7. 2014 – malware „exekuce“ (evoluce „smlouvy“)
III
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 11
Populární podvodné e-maily
● 8. 9. 2014 – platba za doménu (peníze na jiný účet)
I
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 12
Populární podvodné e-maily
● 13.11.2014 – „zásilka České pošty“ (cryptolocker)
III
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 13
Populární podvodné e-maily
● 29. 12. 2014 – příloha „vánoční pohlednice“ (.src)
III
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 14
Populární podvodné e-maily
● 12. 1. 2015 – malware „objednávka“ (.src)
III
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 15
Populární podvodné e-maily
● 1.2.2015 – přístup do KBPředmět: Certifikat: error #910Datum: Sun, 1 Feb 2015 14:47:36 +0100Od: MojeBanka <[email protected]>Komu: [email protected]
Vážení zákazníci.
Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu.Ověřit nyní <http://healthymemphis.org/admin/includes/uploadify/cz/>
II
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 16
Populární podvodné e-maily
● 9.2.2015 – příloha „srážky z účtu“
(eskalace dluh exekutor srážky)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 17
Populární podvodné e-maily
● Společné znaky● Nátlak (sociální inženýrství)
● Vhodné načasování
● Pretexting (mluví se o faktuře – v příloze MUSÍ BÝT faktura)
● Problém● Obcházení technických opatření
● Kličkování před spamfiltrem● Např. přílohy v archivu v zaheslovaném archivu
● Přesvědčivost● Uživatel nakonec reaguje
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 18
Seminář o bezpečnosti
Co se s tím dá dělat?
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 19
Prevence
● Technické prostředky● Filtrování pošty
● Generický závadný obsah● Filtrování spustitelných příloh● Není 100% + soukromé schránky
● Restrikce v systému zabezpečení stanic● Antivirová řešení, Host IPS, …
● Vzdělaní uživatelé● Řešení pro kulové univerzity ve vakuu
● Snaha vzdělávat (směřovat k ideálu)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 20
Reakce na konkrétní vlnu
● Zkomplikovat další příjem● Specifický spamfiltr
● Zkomplikovat malware spuštění● Konkrétní pravidla v HIPS/AV řešení
● Smazat z e-mailových schránek
● Informovat uživatele
● Minimalizovat dopady● Zakázat odchozí poštu na „reply-to“ pro evo-level 1
● Blokovat URL pro podvržené stránky pro evo-level 2
● Blokovat na perimetru spojení s IP C&C / dropzóny
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 21
Reakce na konkrétní vlnu
● Identifikovat kompromitované stanice● Lokálně (souborový systém, registry)
● Podle síťového provozu ● využití informací z Passive DNS (pokud je používán fast flux)
● Identifikovat dopady kompromitace● Lokální
● Odchycení hesel, uložená data (změna, smazání, krádež)
● „Dosah“ ze stanice● Změny v informačních systémech● Šíření přes úložiště (např. Cryptolocker a namapované disky)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 22
Analýza malware
● Cíl = získat informace● Co malware v systému dělá
● Jak poznat kompromitovanou stanici● Lokálně (filesystem, registry, běžící procesy)● Síťové chování (netflow)
● Jak malware ztížit život● Doručení uživateli● Spuštění● Komunikace s C&C
● Jak se k informacím dobrat?
● Forenzní analýza
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 23
Analýza malware
● Požadavek na rychlost
dynamická analýza
● Kontrolované prostředí● Pozorování změn v systému
● Pozorování používaných procesů
● Pozorování používaných knihoven/funkcí
● Pozorování snah o komunikaci
● Vyhodnocení
● Test detekovatelnosti malware AV● www.virustotal.com
?
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 24
Plány pro rozsáhlý incident
● Běžní uživatelé + chytrý podvod = hodně práce● Desítky, stovky kompromitovaných PC
● Mít „reakční plán“● Dohled a plánování
● Sdílené úložiště, dohledový manažer
● Notifikace uživatelů
● Získat vzorky malware pro analýzu
● Identifikovat a zablokovat útočný vektor
● Identifikovat a napravit kompromitované stanice
● Globální náprava (revokace hesel, certifikátů, ...)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 25
Shrnutí
● Lidi jsou nepoučitelní● Podvody byly, jsou a budou
● Phishing, podvodné e-maily
● Příprava● Prevence + reakce
● Počítat s plány na řešení rozsáhlých incidentů
● Analýza chování malware● Dává potřebné informace
● FLAB: příprava služby „rychlá analýza malware“● Pro členské sítě (vzorek → informace pro řešení)
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 26
Prevence – cesty k řešení
Cesta vědění (uživatele)
Cesta síly(bezpečnostních opatření)
+
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 27
Zdroje obrázků
● www.lupa.cz
● www.root.cz
● www.viry.cz
● www.hoax.cz
● www.ceskaposta.cz
● www.kb.cz
● www.clker.com
11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 28
Dotazy, diskuse, ...
???