15. Malware Credential Stealing
• Command line
– Modified version of Mimikatz pen testing tool.
– Credentials passed over a named pipe.
• Malware collects stolen credentials as it propagates.
• Collects users token via Windows API.
rundll32.exe C:Windowsperfc.dat,#1 60 "username:password”
C:WINDOWSTEMP561D.tmp, .pipe{C1F0bf2d-8c17-4550-af5a-65a22c61739c}
23. Cisco Talos: “Злоумышленники отказались то возможности доставлять любой код в
80% вредоносных компаний, которые используют M.E.Doc. Маловероятно терять
доступ такого уровня без уверенности, что можно получить аналогичный доступ с
высоким приоритетом в будущем
Один из выводов
28. WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
§ Patching
§ Least Functionality
§ Least Privilege
§ System and Network Monitoring
§ Network Segmentation
§ Processes and Policies
http://blog.talosintelligence.com/2017/08/worm-defense.html
Back to Basics: Worm Defense in the Ransomware Age
29. Безопасность серверных и клиентских ОС
....Patching and upgrades should
be prioritized on these systems
and customers should move to
transition these systems to
Windows 10, following
the guidance from Microsoft on
securing those systems…
Cisco TALOS
The MEDoc Connection
Безопасность ОС
Windows 10, Mac и Linux не являются панацеей
35. Stay Informed
Spreading security news, updates, and
other information to the public
ThreatSource Newsletter
cs.co/TalosUpdate
Social Media Posts
Facebook: TalosGroupatCisco
Twitter: @talossecurity
White papers, articles, & other information
talosintelligence.com
Talos Blog
blog.talosintelligence.com
Instructional Videos
cs.co/talostube