ݺߣ

ݺߣShare a Scribd company logo

Охота на угрозы на BIS summit 2016

Sergey Soldatov
Sergey Soldatov

Презентация о Cyber Threat hunting на BIS Summit в секции, посвященной киберразведке угроз (Threat intelligence)

1 of 18
Download to read offline
Сергей Солдатов, эксперт BISA «… ИДЕТ ОХОТА!» В. Высоцкий «Охота на волков»
СКАЖИТЕ, КАК ЕГО…? А. Рыбников/Ю. Энтин «Буратино» 2 Руководитель Центра мониторинга кибер безопасности: Превратить «искусство» в «ремесло» : практически реализовать и предложить «Threat hunting» в РФ Обеспечить адаптивную защиту для клиентов Повысить качество продуктов Руководитель операционных подразделений ИБ Эксперт/архитектор по ИТ-инфраструктуре и ИБ в ИТ-проектах Разработчик ПО Спикер на технических и бизнес-конференциях Автор/соавтор ряда статей Музыкант Спортсмен
«…ЧТО БУДЕТ» М.Дунаевский/Л.Дербенев «Гадалка» В чем идея и зачем это? В чем отличие от того, что было? Что надо, чтобы это делать? Как это работает? Примеры из жизни Если останется время (снова теория) …
ЗАТВОРЯЮТ МЫСЛИ В РАМКИ ЧайФ «За полшага» * http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html С уменьшением объема качество обнаружения возрастает (Законы физики работают везде*) Дополнительные плюшкисы: это фактические Ваши угрозы
НЕ ВЕДЬМА, НЕ КОЛДУНЬЯ КО МНЕ ЯВИЛАСЬ В ДОМ… Ария «Там высоко» РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Alerting Threat hunting Бизнес: Минимизировать Остаточный риск Технически: Обнаружение нового ВПО Обнаружение атак (в т.ч. APT) независимо от применения в них ВПО Получение дополнительной информации при расследовании
ЛИШЬ ВЧЕРА МНЕ МИР ОБЪЯТЬЯ РАСКРЫВАЛ… А. Пугачева «Белая дверь» ALERTING: Реактивно – обнаружение известного Уничтожает после поиска сигнатуры HUNTING (MINING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка http://reply-to-all.blogspot.ru/2016/07/blog-post.html Вендор ITW IRAlerting Предположение Hunting MA DF Alerting IR Вендор ITW
А ЧТО НАМ НАДО? Серьга «А что нам надо?» Данные в т.ч. «Большие» Инструменты Люди интуиция Инструменты алгоритмы Взаимное дополнение Машины и Человека
ТО ЛИ ПТИЦЫ ЛЕТЯТ ПЕРЕЛЕТНЫЕ, ТО ЛИ КРЫСЫ БЕГУТ С КОРАБЛЯ Воскресение «Я ни раз за морем не был» Что «нормально», а что «подозрительно»? Инструменты администрирования (psexec? Teamviewer?) Стандартная операционная среда (tor? Openvpn?) Сегментация сетей, принадлежность АРМ («Сломали админа AD» vs. «Сломали техника АХО») … Ложные срабатывания: http://reply-to-all.blogspot.ru/2016/07/blog-post_25.html Контекст: http://reply-to-all.blogspot.ru/2014/10/blog-post_27.html СУИБ из практики: http://reply-to-all.blogspot.ru/2013/01/blog-post.html
А Я МИЛОГО УЗНАЮ ПО… Г. Сукачев «Я милого узнаю по походке» Старт неизвестного или не доверенного исполняемого файла Создание секции на исполнение Инсталляция неизвестного или не доверенного драйвера Запуск неизвестного или не доверенного jar файла через командную строку java*.exe Получение неизвестного или не доверенного почтового вложения Скачивание неизвестного или не доверенного файла Обнаружение неизвестного или не доверенного файла во время проверки объектов автозапуска Входящее или исходящее сетевое соединение Детектирование AV базами Исходящее HTTP соединение Внедрение в код чужого процесса …
ИГРАЙ, КАК МОЖЕШЬ СЫГРАЙ… ДДТ «Метель» 4624 / 528 с типом 10. Логин по RDP 4697 / 601 / 7045. Создание нового сервиса 5154 / 5155 / 861. Приложение попыталось начать прослушивание порта 106, 129, 200, 201. Работа планировщика заданий 1102 / 517 / 104. Очистка EventLog 4740 / 644. Блокировка по причине многократной неправильной аутентификации 4657. Изменение реестра 4648 / 552. Попытка входа с явно заданной УЗ …
НА ЗВЕРЯ СТРАШНОГО НАЙДЕТСЯ СВОЙ… Мельница «Волкодав» Уровень 1: «TI Farm» Уровень 2: «Cases» Объекты (MD5, FQDN) Действия в системе и IPC (может использовать метки на объектах) Метки характеристик Промаркированные объекты и системы, «сырые нотификации» Уровень 3: Аналитик DF, IR MA
ИЩУТ ЧАДА, НЕ ЖАЛЕЯ СИЛ… Калинов мост «Золотое толокно» Уровень 1: «TI Farm» Фиды: IoC, C2, pDNS «Белые списки» Популярность! Похожесть Уровень 2: «Cases» - TTP Контекст! Практика мониторинга Отчеты об известных [APT]-атаках* Практика DF, IR, MA Практика тестов на проникновение Уровень 3: Аналитик Результаты авто обработки (навешанные метки) Связи (по нотификациям) Поведение (по нотификациям) Эмуляция, песочница Вторая линия: DF, MA * Здорово, если есть доступ к непубличным источникам
СКОВАННЫЕ ОДНОЙ ЦЕПЬЮ Наутилус Помпилиус «Круговая порука» Связи файлов Комбинации событий ОС И то и другое Файл 1 Файл 2 Файл 3 Файл 2 Запускал Создавал Скачивал …….. Файл 4 Есть Событие ОС 1 Отсутствует: Событие ОС 2 Или: Событие ОС 4 Файл 1 Событие ОС 1 Файл 2 Событие ОС 2 Файл 3 Время Есть: Событие ОС 3
ТАК БЫЛО ВСЕГДА ЛЕГКО ГОВОРИТЬ… Машина времени «В добрый час»
ПРИМЕР №1: «ХАКЕР-САМОУЧКА» 15 Периодические обращения к серверам TeamViewer Процесс: notepad.exe Что еще на этой машине? Неправильные аутентификации Запуск редактора реестра от system Изменение состава группы «Администраторы» Запуск psexec HTTP-обращения на сайты вида: http://vugffdtokzeww/
ПРИМЕР №2: «ШАНХАЙСКИЙ СЮРПРИЗ» 16 Открыт пользователем Записал себя в AppData/Roaming/ <другое имя>.doc .doc по почте Запись .dll в AppData/Roaming/<не важно что>.<не dll> Запись в автозагрузке запуска этого файла Скачивание новых PE с HTTP Периодические отстуки по известным C&C Их запуск… … и много другого интересного…
И ТОТ, КТО ШЕЛ ЗА МНОЙ - ПУСТЬ ПОСПЕШИТ НЕМНОГО, УСПЕВ ВСЕ ТО, ЧЕГО МНЕ НЕ УСПЕТЬ Машина времени «Скажи, мой друг...»/Памяти Леннона 17 ТН – единственный эффективный способ противостоять кастомизированным угрозам ТН – замкнутый цикл через IR/DF/MA ТН не может быть полностью автоматизирован ТН потребляет всевозможный TI Для ТН нужны: данные «человекомашина» = инструменты + аналитики
Сергей Солдатов, CISA, CISSP www.linkedin.com/in/sergeysoldatov reply-to-all.blogspot.ru НА ВСЕ ВОПРОСЫ… Пикник «Иероглиф»

More Related Content

Охота на угрозы на BIS summit 2016

  • 1. Сергей Солдатов, эксперт BISA «… ИДЕТ ОХОТА!» В. Высоцкий «Охота на волков»
  • 2. СКАЖИТЕ, КАК ЕГО…? А. Рыбников/Ю. Энтин «Буратино» 2 Руководитель Центра мониторинга кибер безопасности: Превратить «искусство» в «ремесло» : практически реализовать и предложить «Threat hunting» в РФ Обеспечить адаптивную защиту для клиентов Повысить качество продуктов Руководитель операционных подразделений ИБ Эксперт/архитектор по ИТ-инфраструктуре и ИБ в ИТ-проектах Разработчик ПО Спикер на технических и бизнес-конференциях Автор/соавтор ряда статей Музыкант Спортсмен
  • 3. «…ЧТО БУДЕТ» М.Дунаевский/Л.Дербенев «Гадалка» В чем идея и зачем это? В чем отличие от того, что было? Что надо, чтобы это делать? Как это работает? Примеры из жизни Если останется время (снова теория) …
  • 4. ЗАТВОРЯЮТ МЫСЛИ В РАМКИ ЧайФ «За полшага» * http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html С уменьшением объема качество обнаружения возрастает (Законы физики работают везде*) Дополнительные плюшкисы: это фактические Ваши угрозы
  • 5. НЕ ВЕДЬМА, НЕ КОЛДУНЬЯ КО МНЕ ЯВИЛАСЬ В ДОМ… Ария «Там высоко» РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Alerting Threat hunting Бизнес: Минимизировать Остаточный риск Технически: Обнаружение нового ВПО Обнаружение атак (в т.ч. APT) независимо от применения в них ВПО Получение дополнительной информации при расследовании
  • 6. ЛИШЬ ВЧЕРА МНЕ МИР ОБЪЯТЬЯ РАСКРЫВАЛ… А. Пугачева «Белая дверь» ALERTING: Реактивно – обнаружение известного Уничтожает после поиска сигнатуры HUNTING (MINING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка http://reply-to-all.blogspot.ru/2016/07/blog-post.html Вендор ITW IRAlerting Предположение Hunting MA DF Alerting IR Вендор ITW
  • 7. А ЧТО НАМ НАДО? Серьга «А что нам надо?» Данные в т.ч. «Большие» Инструменты Люди интуиция Инструменты алгоритмы Взаимное дополнение Машины и Человека
  • 8. ТО ЛИ ПТИЦЫ ЛЕТЯТ ПЕРЕЛЕТНЫЕ, ТО ЛИ КРЫСЫ БЕГУТ С КОРАБЛЯ Воскресение «Я ни раз за морем не был» Что «нормально», а что «подозрительно»? Инструменты администрирования (psexec? Teamviewer?) Стандартная операционная среда (tor? Openvpn?) Сегментация сетей, принадлежность АРМ («Сломали админа AD» vs. «Сломали техника АХО») … Ложные срабатывания: http://reply-to-all.blogspot.ru/2016/07/blog-post_25.html Контекст: http://reply-to-all.blogspot.ru/2014/10/blog-post_27.html СУИБ из практики: http://reply-to-all.blogspot.ru/2013/01/blog-post.html
  • 9. А Я МИЛОГО УЗНАЮ ПО… Г. Сукачев «Я милого узнаю по походке» Старт неизвестного или не доверенного исполняемого файла Создание секции на исполнение Инсталляция неизвестного или не доверенного драйвера Запуск неизвестного или не доверенного jar файла через командную строку java*.exe Получение неизвестного или не доверенного почтового вложения Скачивание неизвестного или не доверенного файла Обнаружение неизвестного или не доверенного файла во время проверки объектов автозапуска Входящее или исходящее сетевое соединение Детектирование AV базами Исходящее HTTP соединение Внедрение в код чужого процесса …
  • 10. ИГРАЙ, КАК МОЖЕШЬ СЫГРАЙ… ДДТ «Метель» 4624 / 528 с типом 10. Логин по RDP 4697 / 601 / 7045. Создание нового сервиса 5154 / 5155 / 861. Приложение попыталось начать прослушивание порта 106, 129, 200, 201. Работа планировщика заданий 1102 / 517 / 104. Очистка EventLog 4740 / 644. Блокировка по причине многократной неправильной аутентификации 4657. Изменение реестра 4648 / 552. Попытка входа с явно заданной УЗ …
  • 11. НА ЗВЕРЯ СТРАШНОГО НАЙДЕТСЯ СВОЙ… Мельница «Волкодав» Уровень 1: «TI Farm» Уровень 2: «Cases» Объекты (MD5, FQDN) Действия в системе и IPC (может использовать метки на объектах) Метки характеристик Промаркированные объекты и системы, «сырые нотификации» Уровень 3: Аналитик DF, IR MA
  • 12. ИЩУТ ЧАДА, НЕ ЖАЛЕЯ СИЛ… Калинов мост «Золотое толокно» Уровень 1: «TI Farm» Фиды: IoC, C2, pDNS «Белые списки» Популярность! Похожесть Уровень 2: «Cases» - TTP Контекст! Практика мониторинга Отчеты об известных [APT]-атаках* Практика DF, IR, MA Практика тестов на проникновение Уровень 3: Аналитик Результаты авто обработки (навешанные метки) Связи (по нотификациям) Поведение (по нотификациям) Эмуляция, песочница Вторая линия: DF, MA * Здорово, если есть доступ к непубличным источникам
  • 13. СКОВАННЫЕ ОДНОЙ ЦЕПЬЮ Наутилус Помпилиус «Круговая порука» Связи файлов Комбинации событий ОС И то и другое Файл 1 Файл 2 Файл 3 Файл 2 Запускал Создавал Скачивал …….. Файл 4 Есть Событие ОС 1 Отсутствует: Событие ОС 2 Или: Событие ОС 4 Файл 1 Событие ОС 1 Файл 2 Событие ОС 2 Файл 3 Время Есть: Событие ОС 3
  • 14. ТАК БЫЛО ВСЕГДА ЛЕГКО ГОВОРИТЬ… Машина времени «В добрый час»
  • 15. ПРИМЕР №1: «ХАКЕР-САМОУЧКА» 15 Периодические обращения к серверам TeamViewer Процесс: notepad.exe Что еще на этой машине? Неправильные аутентификации Запуск редактора реестра от system Изменение состава группы «Администраторы» Запуск psexec HTTP-обращения на сайты вида: http://vugffdtokzeww/
  • 16. ПРИМЕР №2: «ШАНХАЙСКИЙ СЮРПРИЗ» 16 Открыт пользователем Записал себя в AppData/Roaming/ <другое имя>.doc .doc по почте Запись .dll в AppData/Roaming/<не важно что>.<не dll> Запись в автозагрузке запуска этого файла Скачивание новых PE с HTTP Периодические отстуки по известным C&C Их запуск… … и много другого интересного…
  • 17. И ТОТ, КТО ШЕЛ ЗА МНОЙ - ПУСТЬ ПОСПЕШИТ НЕМНОГО, УСПЕВ ВСЕ ТО, ЧЕГО МНЕ НЕ УСПЕТЬ Машина времени «Скажи, мой друг...»/Памяти Леннона 17 ТН – единственный эффективный способ противостоять кастомизированным угрозам ТН – замкнутый цикл через IR/DF/MA ТН не может быть полностью автоматизирован ТН потребляет всевозможный TI Для ТН нужны: данные «человекомашина» = инструменты + аналитики
  • 18. Сергей Солдатов, CISA, CISSP www.linkedin.com/in/sergeysoldatov reply-to-all.blogspot.ru НА ВСЕ ВОПРОСЫ… Пикник «Иероглиф»