SlideShare a Scribd company logo

Логи (анти) вірусних війн #2

Vladyslav Radetsky
Vladyslav Radetsky

Аналітика по зразкам станом на початок 2019-го року. Від примітивного Shade до Sobaken RAT. Огляд технік актуальних атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.

Technology
1 of 40
Download to read offline
Логи (анти)вірусних війн #2 22 / 02 / 19 Владислав Радецький vr@optidata.com.ua
#whoami Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту. Прийшов до вас, щоб поділитися досвідом. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad
OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
OptiData – наша розсилка IOC
Важливо Усе про що я говоритиму – моя особиста точка зору Уся статистика зібрана на основі аналізів тих зразків, які мені надсилали. Я говоритиму тільки про те, що розбирав власними руками.
План 1. Що змінилося 2. Чого варто очікувати 3. Перехід на новий рівень 4. Висновки
#1 Що змінилося? Атак стало більше. Не всі з них звичайні.
#1 Що змінилося? Давайте порахуємо зразки за останні 2 місяці ? ))
#1 Що змінилося? 04/18 - 07/18 - проаналізовано за 4 місяці Всього > 50 різних зразків MS Office 17 зразків із застосуванням powershell 7 зразків із застосуванням 11882 8 зразків Java Backdoor 3 зразків
#1 Що змінилося? 12/18 - 01/19 - проаналізовано за 2 місяці Всього > 35 різних зразків MS Office 11 зразків із застосуванням powershell 5 зразків із застосуванням 11882 6 зразків із макросами 4 зразка WSH 10 зразків (#shade) PowerShell (fileless) 4 зразка Java Backdoor 1 зразок
Раніше • Приманка визначала тип payload. • Могла бути багаторазовою. • Іноді була цікавішою за сам payload. #1 Що змінилося? 1 Приманка 2 Payload
Тепер • Приманки роблять одноразовими. • Результат інфікування визначається payload. • Обхід фільтрів, без закріплення. * Зміна фокусу від засобів доставки до malware #1 Що змінилося? 1 Приманка 2 Payload
Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
Швидкість реагування ? #1 Що змінилося? хв
Швидкість реагування ? Контакт, фішинг / екплойт-кіт #1 Що змінилося? 0 хв
Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload #1 Що змінилося? 0 5 хв
Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів #1 Що змінилося? 0 5 7 хв
Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM #1 Що змінилося? 0 5 7 30 хв
Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM Аналіз інциденту… #1 Що змінилося? 0 5 7 30 60 хв
Тепер • asd Вкрасти паролі за 60 секунд – легко з pwgrab
#2 Чого варто очікувати • Комбінування відомих засобів доставки • Скорочення тривалості життя джерел • Значне зменшення слідової картини • Відхід від примітивного .exe • Застосування вбудованих механізмів ОС (!!!)
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень
#3 Перехід на новий рівень • Зняття інформації (майже) без створення файлів • Сильна обфускація PowerShell • Довантаження інструкцій в процесі • Вибірковість джерела • Розповсюдження через скомпрометовані системи
#3 якщо для вас це інцидент – то ви не рухаєтесь
#3 якщо для вас це інцидент – то ви не рухаєтесь
#3 Перехід на новий рівень – emotet, PS = WMF 5.1
#4 Висновки • Потрібно зменшити затримку реагування • Потрібно навчати персонал (cyber awareness) • Потрібно мати план на випадок атаки + ще 5 шт. • Варто звернути увагу на вбудовані можливості ОС • Потрібно актуалізувати політики та sandbox
#4 Висновки • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску ?:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD • Заборона GET для нетипових User Agent • Відмова від RTF, макросів, JRE, Flash
#4 Висновки
#4 Висновки
#4 Висновки
#4 Висновки
Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com pastebin.com/u/VRad
Дякую вам за увагу!

Recommended

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 

Recommended

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
"Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів""Мистецтво захисту бар'єрів"
"Мистецтво захисту бар'єрів"Vladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1Vladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Vladyslav Radetsky
 

More Related Content

More from Vladyslav Radetsky

Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Vladyslav Radetsky
 

More from Vladyslav Radetsky (20)

Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафіку
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атаки
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
 

Логи (анти) вірусних війн #2

  • 1. Логи (анти)вірусних війн #2 22 / 02 / 19 Владислав Радецький vr@optidata.com.ua
  • 2. #whoami Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом засобів захисту. Прийшов до вас, щоб поділитися досвідом. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad
  • 3. OptiData – хто ми є ? Ми – це команда спеціалістів з практичним досвідом інтеграції та супроводу рішень з ІБ. Працюємо лише з тим, в чому розбираємось. Більшість здійснених нами проектів захищені NDA. Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
  • 4. OptiData – наша розсилка IOC
  • 5. Важливо Усе про що я говоритиму – моя особиста точка зору Уся статистика зібрана на основі аналізів тих зразків, які мені надсилали. Я говоритиму тільки про те, що розбирав власними руками.
  • 6. План 1. Що змінилося 2. Чого варто очікувати 3. Перехід на новий рівень 4. Висновки
  • 7. #1 Що змінилося? Атак стало більше. Не всі з них звичайні.
  • 8. #1 Що змінилося? Давайте порахуємо зразки за останні 2 місяці ? ))
  • 9. #1 Що змінилося? 04/18 - 07/18 - проаналізовано за 4 місяці Всього > 50 різних зразків MS Office 17 зразків із застосуванням powershell 7 зразків із застосуванням 11882 8 зразків Java Backdoor 3 зразків
  • 10. #1 Що змінилося? 12/18 - 01/19 - проаналізовано за 2 місяці Всього > 35 різних зразків MS Office 11 зразків із застосуванням powershell 5 зразків із застосуванням 11882 6 зразків із макросами 4 зразка WSH 10 зразків (#shade) PowerShell (fileless) 4 зразка Java Backdoor 1 зразок
  • 11. Раніше • Приманка визначала тип payload. • Могла бути багаторазовою. • Іноді була цікавішою за сам payload. #1 Що змінилося? 1 Приманка 2 Payload
  • 12. Тепер • Приманки роблять одноразовими. • Результат інфікування визначається payload. • Обхід фільтрів, без закріплення. * Зміна фокусу від засобів доставки до malware #1 Що змінилося? 1 Приманка 2 Payload
  • 13. Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
  • 14. Тепер • Затримка виконання 10-15 хв • Перевірка віртуалізації • Перевірка регіональних параметрів • Специфічні архіви • Нові набори команд PowerShell (>WMF 5) #1 Що змінилося?
  • 15. Швидкість реагування ? #1 Що змінилося? хв
  • 16. Швидкість реагування ? Контакт, фішинг / екплойт-кіт #1 Що змінилося? 0 хв
  • 17. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload #1 Що змінилося? 0 5 хв
  • 18. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів #1 Що змінилося? 0 5 7 хв
  • 19. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM #1 Що змінилося? 0 5 7 30 хв
  • 20. Швидкість реагування ? Контакт, фішинг / екплойт-кіт Активація приманки, завантаження payload Збір інформації / облікових / документів Спрацювання AV / сповіщення SIEM Аналіз інциденту… #1 Що змінилося? 0 5 7 30 60 хв
  • 21. Тепер • asd Вкрасти паролі за 60 секунд – легко з pwgrab
  • 22. #2 Чого варто очікувати • Комбінування відомих засобів доставки • Скорочення тривалості життя джерел • Значне зменшення слідової картини • Відхід від примітивного .exe • Застосування вбудованих механізмів ОС (!!!)
  • 23. #3 Перехід на новий рівень
  • 24. #3 Перехід на новий рівень
  • 25. #3 Перехід на новий рівень
  • 26. #3 Перехід на новий рівень
  • 27. #3 Перехід на новий рівень
  • 28. #3 Перехід на новий рівень
  • 29. #3 Перехід на новий рівень • Зняття інформації (майже) без створення файлів • Сильна обфускація PowerShell • Довантаження інструкцій в процесі • Вибірковість джерела • Розповсюдження через скомпрометовані системи
  • 30. #3 якщо для вас це інцидент – то ви не рухаєтесь
  • 31. #3 якщо для вас це інцидент – то ви не рухаєтесь
  • 32. #3 Перехід на новий рівень – emotet, PS = WMF 5.1
  • 33. #4 Висновки • Потрібно зменшити затримку реагування • Потрібно навчати персонал (cyber awareness) • Потрібно мати план на випадок атаки + ще 5 шт. • Варто звернути увагу на вбудовані можливості ОС • Потрібно актуалізувати політики та sandbox
  • 34. #4 Висновки • Оновлення/виправлення MS Office та Windows ! ! ! • Блок створення / запуску ?:Users***.exe • Контроль/блок WSH, PowerShell, HTA, CMD • Заборона GET для нетипових User Agent • Відмова від RTF, макросів, JRE, Flash
  • 39. Запитання ? #IOC та звіти шукайте тут: radetskiy.wordpress.com pastebin.com/u/VRad
  • 40. Дякую вам за увагу!