Атаки на критичну інфраструктуру України. Висновки. Рекомендації.

Information about Атаки на критичну інфраструктуру України. Висновки. Рекомендації.

Published on February 19, 2016

Author: Glok17

Source: slideshare.net

Content

1. Атаки на критичну інфраструктуру України Висновки. Рекомендації. Владислав Радецький Technical Lead, CEH [email protected]

2. Кілька слів про мене В ІТ галузі офіційно з 2007 року. З 2011 працюю в групі компаній БАКОТЕК®. Більше 5 років досвіду в сфері ІБ. Відповідаю за координацію технічної підтримки проектів ІБ. У січні 2015 почав приймати участь у розслідуванні атак. https://radetskiy.wordpress.com https://ua.linkedin.com/in/vladislav-radetskiy-80940547 Владислав Радецький Technical Lead [email protected]

3. Термінологія Фішинг – спосіб атаки, що базується на розсилках спеціально складених, підроблених електронних листів, що змушують жертву запустити приєднання або перейти за посиланням. Соц. інженерія – акт психологічної маніпуляції/обману жертви для досягнення певних цілей в інтересах зловмисників.

4. Термінологія Sandworm – одна із сильних команд кіберзлочинців. Спеціалізуються на зламі систем з метою крадіжки інформації. Причетні до низки цільових атак. BlackEnergy (BE) – “візитна картка” команди Sandworm. Модульний, багатоцільовий різновид шкідливого програмного забезпечення.

5. Термінологія ZBot (ZeuS) – відомий банківський троян, що застосовувався для крадіжки даних клієнт-банкінгу. Отримав надзвичайне широке розповсюдження. Досі перебуває в активному стані. Dridex – відносно молодий (порівняно із ZeuS) інший вид банківського трояну. Розповсюджується через документи з макросами у фішингових листах.

6. Термінологія Dropper – приманка, частина шкідливого коду, активація якої запускає процес атаки (макроси в документах, *.EXE, *.JS) RAT – (remote administration tool) модуль шкідливого коду, що дозволяє отримати доступ і керувати системою. C&C (2c) – сервер(и) комунікації та керування системами, що були скомпрометовані.

7. Резонанс у ЗМІ

8. Резонанс у ЗМІ

9. Активність Sandworm Team щодо України • травень 2014 - держ. сектор (BlackEnergy2/BE2 light) • серпень 2014 - PowerPoint, політика (BE2, CVE2014-4114) . . . певний час не проводили активних дій . . . • березень 2015 - держ. сектор (BE3, macros)

10. З чого почався BE у 2014-му році

11. З чого почався BE у 2014-му році

12. Декілька нещодавніх атак (усі кажуть про BlackEnergy але насправді атак та дійових осіб було більше) • 23 грудня 2015 - енергетика (BlackEnergy3)

13. Декілька нещодавніх атак (усі кажуть про BlackEnergy але насправді атак та дійових осіб було більше) • 23 грудня 2015 - енергетика/макроси (BlackEnergy3) • 19 січня 2016 - енергетика/макроси (RAT, Sandworm) • 1 лютого 2016 - широкий спектр/.exe (ZBot/ZeuS) • 4 лютого 2016 - широкий спектр/макроси (Dridex)

14. .XLS та .EXE – 24 години після розсилки

15. Розсилка 19-го січня

16. Активація через макрос в XLS

17. Активація через макрос в XLS

18. Маркери компрометації даної атаки: • Ocenka.xls [MD5: B209A3EB543622195E13CE32490189F1] [SHA-1:1DD4241835BD741F8D40BE63CA14E38BBDB0A816] [SHA-256:0BB5E98F77E69D85BF5068BCBC5B5876F8E5855D34D9201D1CAFFBF83460CCCC] • test_vb.exe [MD5: 057D6A1F26C102187D90B5AD43741CC7] [SHA-1:920EB07BC8321EC6DE67D02236CF1C56A90FEA7D] [SHA-256:43B69A81693488905EF655D22E395C3F8DEE2486ABA976D571D3B12433D10C93]

19. Маркери компрометації даної атаки: • 2С: 208.43.30.85 193.239.152.131 41.77.136.250 31.210.111.154 5.149.248.67 109.236.88.12 124.217.253.10 146.0.74.7 184.22.205.194 188.128.123.52 188.227.176.74 188.40.8.72 194.28.172.58 212.124.110.62 212.175.109.10 31.210.111.154 37.220.34.56 46.165.222.101 46.165.222.28 46.165.222.6 46.4.28.218 5.149.254.114 5.255.87.39 5.61.38.31 5.79.80.166 5.9.32.230 78.46.40.239 84.19.161.123 85.17.94.134 88.198.25.92 89.149.223.205 93.170.127.100 94.185.85.122 95.143.193.182 95.211.122.36

20. Типова схема атаки Розвідка Підготовка приманки Засоби доставки Активація Закріплення Command & Control (C2) Функції Макроси в XLS та DOC ФІшинг Запуск макросу Інсталляція Завантаження основного Перехоплення контролю

21. Типова схема атаки Зловмисники запускають розсилку фішингових листів із приєднаннями. Текст листів підштовхує жертву запустити/відкрити приєднання.

22. Типова схема атаки Якщо жертва відкрила приєднання та активувала макрос, він видобуває із себе dropper І зберігає його у %temp%vb_test.exe

23. Типова схема атаки vb_test.exe перевіряє параметри системи, змінює налаштування проксі та активує комунікацію із C&C сервером

24. Типова схема атаки vb_test.exe завантажує з C&C сервера модуль віддаленого керування (RAT), і зберігає його у *AppData*iesecurity.exe

25. Типова схема атаки Функції, що забезпечує RAT: •кейлогер •знімки екрану •завантаження/вигрузка файлів •запуск процесів та ін.

26. Модифікований ZBot/ZeuS

27. Модифікований Zbot/Zeus

28. Маркери компрометації даної атаки: • pasport.exe [MD5:3a862e46081b8e035f9c8a6b85aeaee2] winrar.exe [MD5:429d404c65d86586e971d4a95885eac5] 448D.tmp.exe [MD5:7536ed5fcc4d8b241c224a9a027a533d] • 2С IP Address: 104.251.176.218 • 2С IP Address: 164.132.15.27 • Hostname: acreditationflexmasterdoorfitch.ru

29. Dridex

30. Маркери компрометації даної атаки: • 843tf.exe [MD5:bba6c087e28273f2f951448b4b3387da] • 2С IP Address: 213.186.33.18 • 2С IP Address: 62.76.191.108 • Hostname: 62.76.191.108.clodo.ru

31. Різні інструменти = різний рівень • 23 грудня 2015 - енергетика (BlackEnergy3, BE Group) • 19 січня 2016 - енергетика (RAT_gcat, BE Group) • 1 лютого 2016 - держ. установи (Zbot/Zeus) • 4 лютого 2016 - держ. установи (Dridex) Розвідка, збір інформації

32. Трохи аналітики Розсилка була виключно по енергетикам. Був претекст і сам файл містив прохання. Розсилка була загальною (по держ. установам) Файл містив макрос без прохання. DridexRAT_gcat (BE Group)

33. Чому ці атаки були успішними? • Звичайний антивірус (сигнатури) не захищає від цільових атак При цільових атаках достатньо “вікна” у 1-2 години • Люди не вчаться на помилках (запуск приєднань) Персонал був не готовий до фішингу з елементами соц. інженерії. • Слабка фільтрація пошти, відсутність “пісочниць” Приєднання із макросами, скриптами та запускними файлами.

34. Рекомендації #1 • Постійні співбесіди з персоналом на тему фішингу та соц. Інженерії Люди повинні знати про загрози та усвідомлювати як їх можуть обманювати • Жорстка фільтрація каналів доставки Блокування/карантин листів, що містять додатки, скрипти, документи із макросами • Посилення безпеки кінцевих точок, серверів та мережі 1) застосування механізмів т.з. “білих списків”; 2) Блок створення та запуску .exe із %temp% та %AppData%

35. Рекомендації #2 • Застосування так званих “пісочниць” або sandboxing Статичний та динамічний аналіз файлів до того, як вони потраплять до персоналу • Відокремлення мереж, стандартизація ПЗ на АРМ Упорядкування внутрішньої ІТ інфраструктури підприємств • Тести на проникнення. В першу чергу через соціальний канал. З метою закріплення у персоналу навичок протидії фішингу та соц. інженерії

36. Джерела додаткової інформації • Sandworm Team – Targeting SCADA Systems (October 21, 2014) • Ukrainian Cyber Attack Sample (January 01, 2016) • Sandworm Team and Ukrainian Attacks (January 07, 2016) • Coordinated Attack on Ukrainian Power Grid (January 09, 2016) • BlackEnergy Trojan Grows More Powerful (January 14, 2016) • Role of BlackEnergy in UA Power Disruption (February 05, 2016) • Malware Campaign Compromising ICS (February 11, 2016)

37. Дякую Вам за увагу! Владислав Радецький Technical Lead, CEH [email protected] radetskiy.wordpress.com

Related presentations


Other presentations created by Glok17

McAfee Data Protection 2014
10. 06. 2014
0 views

McAfee Data Protection 2014

McAfee Endpoint Protection 2014
16. 06. 2014
0 views

McAfee Endpoint Protection 2014

McAfee Encryption 2015
03. 03. 2015
0 views

McAfee Encryption 2015

McAfee Endpoint Security 10.1
29. 02. 2016
0 views

McAfee Endpoint Security 10.1