Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
1. 1
1 Trellix | Always Learning. Always Adapting.
1
Мистецтво захисту бар'єрів
(доповнена версія)
Владислав Радецький
vr@optidata.com.ua
2. 2
2
Мене звати Влад.
Я працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням,
впровадженням та супроводом різних
засобів захисту.
• vr@optidata.com.ua
• radetskiy.wordpress.com
• pastebin.com/u/VRad
• slideshare.net/Glok17
#whoami
3. 3
3 Trellix | Always Learning. Always Adapting.
3
"Той, хто знає ворога й себе, ніколи не програє війни"
“Мистецтво війни”
4. 4
4 Trellix | Always Learning. Always Adapting.
4
Цей сценарій є реконструкцією
реальної атаки
(засновано на реальних подіях)
5. 5
5 Trellix | Always Learning. Always Adapting.
5
• Втручання через віддалений доступ підрядника
• Підрядник має постійний неконтрольований доступ
до двох SCADA систем через AnyDesk (VNC/Radmin/TV)
• Імітуємо TTPs Ransomware
• Місія – не дати відключити АВ та запустити malware
* Захист від витоку в рамках цього демо не розглядається
(це окрема задача для McAfee DLP Endpoint)
Сценарій
7. 7
7 Trellix | Always Learning. Always Adapting.
7
• Підняти права до SYSTEM через LPE CVE-2022-21882
• Змінити пароль поточного користувача
• Додати поточного користувача у групу Адміністратори
• Відключити антивірусний захист
• Запустити Ransomware
Практичне – порядок дій
8. 8
8 Trellix | Always Learning. Always Adapting.
8
• whoami
• net user %name%
• net user %name% *
• net localgroup administrators %name% /add
• reg.exe ADD "HKLMSOFTWAREMicrosoftWindows DefenderExclusionsPaths"
/f /t REG_DWORD /v “C:Users" /d "0" **
* команда net user може працювати як з локальними так і з AD користувачами
** спосіб з реєстром був актуальним ще з 2014го, але MS його вже виправила
Практичне – порядок дій
9. 9
9 Trellix | Always Learning. Always Adapting.
9
• Маючи права можна додати каталог у виключення
через add-mppreference (powershell)
• Відключення Windows Defender можуть зробити:
✓ Руками через GUI (просто, але не цікаво)
✓ Trinity
✓ Defender Control
✓ Утилітами для керування телеметрією: O&O , WPD
Практичне – деактивація Defender
18. 18
18 Trellix | Always Learning. Always Adapting.
18
• Неконтрольований віддалений доступ = ризик
• Microsoft має багато LPE у Windows = оновлюйтесь
• Засоби захисту мають бути захищені від втручання
• Змінюйте стандартні політики, посилюйте захист
Висновки#1
".. не покладатися на те, що противник не прийде,
а покладатися на те, з чим я можу його зустріти.."
“Мистецтво війни”
19. 19
19 Trellix | Always Learning. Always Adapting.
19
• Якщо ви не встигаєте ізолювати заражену систему за
15-20 хв з моменту втручання – ви програли
• Ви маєте відстежувати і враховувати нові вразливості
(LPE/RCE) при корекції політик вашого захисту
• Ознайомтесь з цими звітами:
• BlackCat Ransomware (McAfee / Trellix)
• Qbot Likes to Move It (The DFIR Report)
Висновки#2
21. 21
21 Trellix | Always Learning. Always Adapting.
21
• Захист від Endpoint Product Removal Tool*
(Access Protection / Expert Rule) - Block Process Execute
> MD5=6ccd2e2ec573f0b3d3a738a450043af0
• Захист від видалення McAfee Agent (KB65863)
(Access Protection Rule) - Block Process Execute
> **FrmInst.exe + Signature Validation
Практичні поради#2
".. не покладатися на те, що він не нападе, а покладатися на те,
що я зроблю напад на себе неможливим для нього.."
“Мистецтво війни”