Слайди моєї доповіді з #CyberCrimeOperationUkraine Відео дивіться тут: https://youtu.be/kxQdF6m_feU Стисла аналітика по зразкам malware за 2019-2020. Розглянуто 3 основні типи: примітивні, середні та складні. Певні слайди публікуються вперше. Приємного перегляду. #OptiData #VR #malware #cybercrime #samples2020

1. Malware 2019 - 2020
#OperationUkraine
Владислав Радецький
vr@optidata.com.ua

2. #whoami
Мене звати Влад.
Я працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням та
супроводом різних засобів захисту.
vr@optidata.com.ua
radetskiy.wordpress.com
pastebin.com/u/VRad
VR

3. • ІТ/ІБ зациклюються на ІОС, ігноруючи вектори атак
• Частина ОС та ПЗ не оновлюються вчасно (або взагалі…)
• Відсутність чітких правил для персоналу (Web, Email, USB …)
• Соціальна інженерія (фішинг як конкретний приклад)
• Доступність інформації про жертву в мережі
• Не закриті вразливості (мережа та інше)
• Брак навчання / тестів на проникнення
Чому компанії ламають ?

4. Доступність інформації про жертву – метадані

5. Доступність інформації про жертву – індексація адрес email
https://hunter.io/

6. Типи атак
За рівнем небезпеки
Масово -
примітивні
Масові, по галузям
бізнесу
Цільові, по
установам
#shade (troldesh)
#pony (fareit)
#TrickBot
#Emotet
#Smokeloader
#Turla
#Gamaredon
#Sobaken

7. 1. фів
Тип1 – #shade (troldesh) ransomware
https://radetskiy.wordpress.com/2019/01/31/shade_ransom/

8. 1. фів
Тип1 – #shade (troldesh) ransomware
https://radetskiy.wordpress.com/2019/01/31/shade_ransom/

9. 1. фів
Тип1 – #xmrig (coinminer)
https://radetskiy.wordpress.com/2019/04/10/ioc_digest_03_2019/

10. 1. фів
Тип2 – #cobaltstrike

11. 1. фів
Тип2 – макроси https://radetskiy.wordpress.com/2018/03/23/ioc_vba_d0c_worm_140318/

12. 1. фів
Тип2 – макроси https://radetskiy.wordpress.com/2018/03/23/ioc_vba_d0c_worm_140318/
• Перший контакт – 14/03/18
• Другий контакт – нац. поліція
• Третій контакт – 21/10/19

13. 1. фів
Тип2 – #emotet

14. 1. фів
Тип2 – #smokeloader

15. 1. фів
Тип2 – #smokeloader

16. 1. фів
Тип2 – #smokeloader

17. 1. фів
Тип2 – #AgentTesla

18. 1. фів
Тип2 – #AgentTesla
• ~254 системи за 2 дні
• Персональні / робочі ПК
• Браузери, пошта, ssh, FTP …
• Це відбувається щодня
• Крапля по краплі йде збір даних

19. Тип3 – PowerShell + Pastebin (#revengeRAT)
https://radetskiy.wordpress.com/2019/05/07/revengerat/

20. 1. фів
Тип3 – PowerShell + Pastebin (#revengeRAT)
https://radetskiy.wordpress.com/2019/05/07/revengerat/

21. 1. фів
Тип3 – #sobakenRAT

22. Тип3 – #sobakenRAT
https://petrimazepa.com/uk/torpedi_u_vodi

23. 1. фів
Тип3 – #sobakenRAT
https://petrimazepa.com/uk/torpedi_u_vodi

24. Тип3 – #Gamaredon
https://radetskiy.wordpress.com/2019/11/19/ioc_gamaredon_181119/

25. Кібератаки 2017го – хронологія
WannaCry xData PetyaA BadRabbit
травень травень червень жовтень
SMB, dump, files SMB, dump, files SMB, dump,
MBR/MFT
SMB, dump,
MBR/MFT
(!) UAC

26. Кібератаки 2017го – наслідки
• Зміна пріоритетів : АВ > резервне копіювання
• Частина постраждалих досі не змінила мережеві параметри
• Частина організацій просто змирилася з атаками
• …

27. • Успішні операції – недолік ІБ
• В мережі повно інформації для підготовки атаки
• Людський фактор досі залишається найслабшою точкою
• Бекапи не врятують від професійних операторів (Sodinokibi, Maze, Ryuk)
• Домашні системи теж під прицілом
• Старі способи інфікування та розповсюдження досі працюють (макроси)
Висновки:

28. Дякую вам за увагу!
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
pastebin.com/u/VRad