Date post: | 30-Jun-2015 |
Category: |
Business |
Upload: | positive-hack-days |
View: | 2,995 times |
Download: | 1 times |
Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab
Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab
19.05.2011 / Positive Hack Days
Киберпреступностьвчера, сегодня, завтра …
Global Research & Analysis Team
PAGE 2 |
Киберпреступность
Тенденции последнего года, методы, цели, причины, организаторы
…и много прочих разных пунктов, которые заставляют нас порой
работать по ночам и без выходных
Киберпреступность
Преступления, совершаемые при
помощи компьютерных технологий
PAGE 4 |
Расстановка точек над “I”
Kaspersky Security Bulletin 2010
PAGE 5 |
Новые организаторы, новые цели
PAGE 6 |
Новые организаторы, новые цели
PAGE 7 |
Новые организаторы, новые цели
PAGE 8 |
Новые организаторы, новые цели
PAGE 9 |
Новые организаторы, новые цели
PAGE 10 |
Новые организаторы, новые цели
PAGE 11 |
Новые организаторы, новые цели
PAGE 12 |
Новые организаторы, новые цели
PAGE 13 |
Инциденты за один год
Насколько сложно взломать крупнейшие компании мира или
устроить ядерный переполох
…и не быть при этом арестованным
Операция Aurora
PAGE 15 |
Operation Aurora
PAGE 16 |
Operation Aurora
PAGE 17 |
Operation Aurora
PAGE 18 |
Operation Aurora
PAGE 19 |
Operation Aurora
PAGE 20 |
«We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China.
The decision to review our business operations in China has been incredibly hard,and we know that it will have potentially far-reaching consequences»
Operation Aurora
PAGE 21 |
Advanced Persistent Threat
или
“Asian-Pacific Threat” ?
Operation Aurora
PAGE 22 |
MS10-002
CVE-2010-0249
Operation Aurora
PAGE 23 |
Электронная почта
Контроль IM и социальных сетей
Виртуализация браузера
Контроль сетевых соединений
Контроль пользовательских
привилегий
Контроль активности приложений
Контроль поведения машины в
локальной сети
9 действий, которые могли бы
быть пресечены или
обнаружены
Первая стадия Вторая стадия Третья стадия
Сбор адресов
электронной
почты/IM/SM/
жертв
Установка
загрузчика в
систему
Установка
кейлоггера
Подготовка веб-
ресурсов для
заражения
Загрузка
основного
модуля с
подготовленного
сайта
Установка
бэкдора
Рассылка
писем/ссылок
на эксплоит
Сбор
информации о
системе
Взаимодействие
с центром
управления
Заражение
через браузер
Дальнейший
доступ в
локальную сеть
Загрузка
дополнительны
х модулей
Operation Aurora
PAGE 24 |
Source code repositories
Интеллектуальная
собственность
Operation Aurora
PAGE 25 |
PAGE 26 |
Большой переполох в маленьком Иране
STUXNET
PAGE 27 |
Stuxnet
PAGE 28 |
Stuxnet
ЧТО ?
PAGE 29 |
StuxnetБушерская АЭС?
PAGE 30 |
StuxnetОсновной функционал
Siemens S7-300 system
PLC с variable-frequency drives
Vacon (Финляндия), Fararo Paya (Иран)
807 – 1210hz
Насосы или газовые центрифуги
Изменяет скорость вращения моторов от 2 до 1410hz
PAGE 31 |
StuxnetЯдерная промышленность Ирана
PAGE 32 |
StuxnetЗавод по обогащению урана в Natanz
PAGE 33 |
StuxnetЗавод по обогащению урана в Natanz
PAGE 34 |
StuxnetЗавод по обогащению урана в Natanz
PAGE 35 |
Stuxnet
PAGE 36 |
Stuxnet
PAGE 37 |
Stuxnet
PAGE 38 |
Stuxnet
Scott Borg, director of the US Cyber Consequences Unit
Июнь 2009
Asked to speculate about how Israel might target Iran, Borg said malware
-- a commonly used abbreviation for "malicious software" -- could be
inserted to corrupt, commandeer or crash the controls of sensitive sites
like uranium enrichment plants. Israeli agents would have to conceal the
malware in software used by the Iranians or discreetly plant it on portable
hardware brought in, unknowingly, by technicians.
"A contaminated USB stick would be enough," Borg said.
PAGE 39 |
Stuxnet
Блок SCADA/PLC
Модуль распространения
и инсталляции червя
PAGE 40 |
Операция Myrtus
Проект менеджер
Код червя
3-4 человека
(проект Guava)
Код PLC
2-3 человека
Код эксплоитов
1-2 человека
Тестеры
6-8 человек
Группа C&C
2 человека
Группа распространения
7-10 человек
b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
PAGE 41 |
StuxnetУязвимости
Распространение через флешки via LNK (MS10-046) – 0-Day
Распространение по локальной сети via Server Service (MS08-067)
Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day
Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day
Повышение привилегий via Task Scheduler (MS10-092) – 0-Day
«Уязвимость» в авторизации Sematic WinCC
PAGE 42 |
Stuxnet
PAGE 43 |
Stuxnet
Контроль USB-устройств
Контроль внешних сетевых соединений
Контроль пользовательских привилегий
Контроль активности приложений
Контроль поведения машины в локальной сети
PAGE 44 |
Stuxnet
Первая стадия (ноябрь 2008-июнь
2009)
Вторая стадия (Июнь 2009 –
Декабрь 2009)
Третья стадия (Январь 2010-Июль
2010)
Распространение на USB
flash
Добавление цифровых
подписей
Создание C&C Распространение по сетиДобавление новых
уязвимостей
Разработка кода Взаимодействие с C&CВнедрение червя – Вариант
B
Тестирование кода P2P-ботнетВнедрение червя – Вариант
C
Внедрение червя - Вариант
AЗакрытие C&C
PAGE 45 |
Stuxnet
PAGE 46 |
Stuxnet
PAGE 47 |
Stuxnet
PAGE 48 |
Что дальше ?
Gen. Keith Alexander,
head of U.S. Cyber
Command, recently told
Congress “… We believe
that state actors have
developed cyber weapons
to cripple infrastructure
targets in ways tantamount
to kinetic assaults. Some
of these weapons could
potentially destroy
hardware as well as data
and software.”
PAGE 49 |
Что дальше ?
PAGE 50 |
Night Dragon
PAGE 51 |
Night Dragon
Когда: с начала ноября 2009 года
Цель: нефтяные, энергетические, химические компании
(Казахстан, Тайвань, Греция, США)
Методы: социальная инженерия, фишинг,
использование уязвимостей SQL и Windows
Способ: взлом LDAP и установка бэкдора
Жертвы: руководство компаний
PAGE 52 |
Night Dragon
1
• SQL injection на веб-сайт
• Получение возможности выполнения команд
2
• Загрузка средств взлома на сервера
• Подбор паролей и проникновение в интранет
3
• Получение доступа к LDAP
• Получение доступа к машинам
4
• Установка бэкдора
• Сбор информации
5
• Отправка информации на C&C
• Загрузка новых модулей
PAGE 53 |
Night Dragon
PAGE 54 |
Night Dragon
"Starting in November 2009, covert cyberattacks were launched
against several global oil, energy and petrochemical companies. The
target of the attacks were bidding information, prospecting data
and other confidential information related to business ventures.
This information is highly sensitive and can make or break multibillion-
dollar deals in this extremely competitive industry”
Files of interest focused on operational oil and gas field production
systems and financial documents related to field exploration and
bidding that were later copied from the compromised hosts or via
extranet servers. In some cases, the files were copied to and
downloaded from company web servers by the attackers. In certain
cases, the attackers collected data from SCADA systems.
PAGE 55 |
Night Dragon
PAGE 56 |
Night Dragon
PAGE 57 |
Night Dragon
PAGE 58 |
Night Dragon
Контроль веб-приложений и баз данных
Контроль серверов и прав доступа
Контроль электронной почты
Виртуализация браузера
Контроль мобильных устройств
Контроль внутренней сетевой активности
Контроль внешних соединений
Контроль приложений
Контроль утечек
PAGE 59 |
Night Dragon
PAGE 60 |
Night Dragon
| 01 June 2011PAGE 61 | Kaspersky Lab PowerPoint Template
Night Dragon
PAGE 62 |
hacktivism
PAGE 63 |
Anonymous
PAGE 64 |
HBGary
PAGE 65 |
HBGary
PAGE 66 |
HBGary
http://hbgaryfederal.com«самодельная» CMS
SQL-injectionhttp://www.hbgaryfederal.com/pages.php?pageNav=2&page=27
Usernames, emails, password hashes
MD5, rainbow table-based атака
CEO Aaron Barr и COO Ted Vera
6 букв и 2 цифры
PAGE 67 |
HBGary
PAGE 68 |
HBGary
PAGE 69 |
HBGary
PAGE 70 |
HBGary
PAGE 71 |
HBGary
PAGE 72 |
HBGary
Custom CMS, без патчей и с дырами
SQL-injection
Простое шифрование
Простые пароли
Один и тот же пароль для разных сервисов
Уязвимый сервер, без патчей
Социальная инженерия
PAGE 73 |
HBGary
PAGE 74 |
RSA
PAGE 75 |
RSA
PAGE 76 |
RSA
RSA
PAGE 77 |
Advanced Persistent Threat
или
“Asian-Pacific Threat” ?
RSA
PAGE 78 |
CVE-2011-0609
RSA
PAGE 79 |
1
• Фишинговая атака с 0-day (CVE-2011-0609)
• 2011 recruitment plan.xls
2
• Установка бэкдора в системы
• Poison Ivy RAT
3
• Повышение уровня доступа
• Получение доступа к другим машинам и сервисам
4
• Сбор информации
• Шифрование собранного (RAR password-protected)
5
• Отправка данных по ftp на C&C
• Удаление данных с машины
RSA
PAGE 80 |
RSA
PAGE 81 |
www.usgoodluck.comobama.servehttp.comprc.dynamiclink.ddns.us
People’s Republic of China ?
RSA
PAGE 82 |
RSA
PAGE 83 |
RSA
PAGE 84 |
RSA
PAGE 85 |
Киберпреступность 2011
Сходство и различие
Итоги
PAGE 87 |
Традиционная Новые игроки
Известные
уязвимости
общие эксплоиты
0day
Собственные
разработки
Уязвимости
Итоги
PAGE 88 |
Традиционная Новые игроки
Windows
Windows
*nix
Web-based
Mobile
Платформы
Итоги
PAGE 89 |
Традиционная Новые игроки
Атаки через
браузер
Электронная почта
Атаки через
браузер
Путь
Итоги
PAGE 90 |
Традиционная Новые игроки
ФишингСоциальная
инженерия
Методы
Итоги
PAGE 91 |
Традиционная Новые игроки
Массовость Точечные атаки
Масштаб
Итоги
PAGE 92 |
Традиционная Новые игроки
Деньги
Корп.шпионаж
Национальные
интересы
Публичность
Цели
Итоги
PAGE 93 |
2003
2011
2011: фронтовые сводки
2011
PAGE 95 |
Спасибо
КиберпреступностьВчера, сегодня, завтра…
Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab
Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab
19.05.2011 / Positive Hack Days