ݺߣ

ݺߣShare a Scribd company logo

Хронология кибератаки. Точки выявления и контроля. Место SOC

Solar Security
Solar Security

Хронология кибератаки. Точки выявления и контроля. Место SOC

1 of 18
Downloaded 14 times
Хронология кибератаки. Точки выявления и контроля. Место SOC Алексей Павлов, аналитик JSOC
solarsecurity.ru +7 (499) 755-07-70 Поиск цифрового следа на всех этапах атаки 2 Проникновение в инфраструктуру Повышение привилегий Получение доступа к ключевым системам (ERP, CRM, АБС, процессинг) Хищение информации, вывод денежных средств
solarsecurity.ru +7 (499) 755-07-70 4 чувства для поиска злоумышленника 3 Сетевые коммуникации (включая локальные) Аутентификация в ОС и приложениях Работа с ключевыми файлами и объектами ОС Операции с приложениями/сервисами
solarsecurity.ru +7 (499) 755-07-70 Шаг первый: Точка входа в инфраструктуру 4 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN ….
solarsecurity.ru +7 (499) 755-07-70 Точка входа в инфраструктуру Индикаторы 5 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN • Mail AV • Репутационные базы • Последующая активность на рабочей станции • Репутационные базы • Контроль процессов/фай лов/реестра на критичных машинах • AV / Mail AV • Логи VPN • Профили пользователей
solarsecurity.ru +7 (499) 755-07-70 Шаг второй: Обустройство. Типовые шаги 6 Повышение привилегий Callback: получение команд от управляющих серверов RemoteAdmi nTools Сканирование хостов, портов Массовая рассылка писем с вредоносами Получение доступа к целевой рабочей станции
solarsecurity.ru +7 (499) 755-07-70 Агрегация репутационных баз 7 Opensource базы Репутационные базы вендоров Информация с СЗИ Собственная информация JSOC Технологические партнеры Партнерства с CERT
solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 8 Анализ IOC Добавление сигнатур Оповещение Заказчиков Ретроспективный анализ
solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 9 Indicators of compromise Сетевой кусок: ip-адреса Следы присутствия вредоноса Реестр Файлы Сопутствующие уязвимости Процессы
solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 10 Источники:  Контроллеры домена  Сетевые устройства – МСЭ, Прокси  Локальные логи Сценарии срабатывания:  Встроенная категоризация сетевых устройств  Алерты по известным портам Расследование:  Анализ сетевой активности  Проверка запускаемых процессов (если хост подключен) Эскалация:  Ночное время  Критичные хосты
solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 11 18 Jul 2015 03:08:02 MSK Зафиксирован инцидент: Запуск RemoteAdminTools на хосте Исходные данные: Машина руководителя отдела Локальные логи недоступны Расследование: Оповещение аналитика Согласование с Заказчиком подключения машины к JSOC Подключение хоста. Для организации ретроспективного анализа – в agent properties «startatend=false»
solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Пример уведомления 12
solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Details… 13  17 Jul 2015 17:23:44 MSK Запуск MediaGet  17 Jul 2015 18:59:14 MSK Логаут пользователя, блокировка компьютера  18 Jul 2015 03:07:57 MSK Запуск процесса vuupc.exe  18 Jul 2015 03:08:02 MSK Инцидент  18 Jul 2015 03:26:00 MSK Оповещение аналитика по телефону  18 Jul 2015 03:32:48 MSK Оповещение от 1-й линии в сторону Заказчика  18 Jul 2015 03:55:00 MSK подключение машины к ArcSight
solarsecurity.ru +7 (499) 755-07-70 Шаг третий: контроль за целевой станцией 14 Операции в домене Отклонение от профиля, несоответствия учетных данных Изменения на критичных хостах – процессы, файлы, реестр
solarsecurity.ru +7 (499) 755-07-70 «Полезные уязвимости» Skeleton key – использование любой учетной записи в домене без пароля 15
solarsecurity.ru +7 (499) 755-07-70 Шаг Четвертый: поход за информацией, деньгами 16 Аутентификации в нерабочее время Использование технологических УЗ Нестандартные механизмы подключения к БД Изменения на критичных серверах – процессы, файлы, реестр
solarsecurity.ru +7 (499) 755-07-70 Основные шаги по реализации 17 1. Определение систем зоны риска:  Возможность финансовых операций  Чувствительные к публикации данные  Интересны для конкурентов 2. Выделение критичных сотрудников:  ИТ и ИБ – администраторы  Владельцы систем  Профильные отделы компаний  Руководители 3. Приоритезация срабатываний:  Частотность (массовый инцидент)  Системы зоны риска  Критичные пользователи
Павлов Алексей av.pavlov@solarsecurity.ru +7 (916) 178 98 90 Спасибо! Вопросы?

More Related Content

Хронология кибератаки. Точки выявления и контроля. Место SOC

  • 1. Хронология кибератаки. Точки выявления и контроля. Место SOC Алексей Павлов, аналитик JSOC
  • 2. solarsecurity.ru +7 (499) 755-07-70 Поиск цифрового следа на всех этапах атаки 2 Проникновение в инфраструктуру Повышение привилегий Получение доступа к ключевым системам (ERP, CRM, АБС, процессинг) Хищение информации, вывод денежных средств
  • 3. solarsecurity.ru +7 (499) 755-07-70 4 чувства для поиска злоумышленника 3 Сетевые коммуникации (включая локальные) Аутентификация в ОС и приложениях Работа с ключевыми файлами и объектами ОС Операции с приложениями/сервисами
  • 4. solarsecurity.ru +7 (499) 755-07-70 Шаг первый: Точка входа в инфраструктуру 4 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN ….
  • 5. solarsecurity.ru +7 (499) 755-07-70 Точка входа в инфраструктуру Индикаторы 5 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN • Mail AV • Репутационные базы • Последующая активность на рабочей станции • Репутационные базы • Контроль процессов/фай лов/реестра на критичных машинах • AV / Mail AV • Логи VPN • Профили пользователей
  • 6. solarsecurity.ru +7 (499) 755-07-70 Шаг второй: Обустройство. Типовые шаги 6 Повышение привилегий Callback: получение команд от управляющих серверов RemoteAdmi nTools Сканирование хостов, портов Массовая рассылка писем с вредоносами Получение доступа к целевой рабочей станции
  • 7. solarsecurity.ru +7 (499) 755-07-70 Агрегация репутационных баз 7 Opensource базы Репутационные базы вендоров Информация с СЗИ Собственная информация JSOC Технологические партнеры Партнерства с CERT
  • 8. solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 8 Анализ IOC Добавление сигнатур Оповещение Заказчиков Ретроспективный анализ
  • 9. solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 9 Indicators of compromise Сетевой кусок: ip-адреса Следы присутствия вредоноса Реестр Файлы Сопутствующие уязвимости Процессы
  • 10. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 10 Источники:  Контроллеры домена  Сетевые устройства – МСЭ, Прокси  Локальные логи Сценарии срабатывания:  Встроенная категоризация сетевых устройств  Алерты по известным портам Расследование:  Анализ сетевой активности  Проверка запускаемых процессов (если хост подключен) Эскалация:  Ночное время  Критичные хосты
  • 11. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 11 18 Jul 2015 03:08:02 MSK Зафиксирован инцидент: Запуск RemoteAdminTools на хосте Исходные данные: Машина руководителя отдела Локальные логи недоступны Расследование: Оповещение аналитика Согласование с Заказчиком подключения машины к JSOC Подключение хоста. Для организации ретроспективного анализа – в agent properties «startatend=false»
  • 12. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Пример уведомления 12
  • 13. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Details… 13  17 Jul 2015 17:23:44 MSK Запуск MediaGet  17 Jul 2015 18:59:14 MSK Логаут пользователя, блокировка компьютера  18 Jul 2015 03:07:57 MSK Запуск процесса vuupc.exe  18 Jul 2015 03:08:02 MSK Инцидент  18 Jul 2015 03:26:00 MSK Оповещение аналитика по телефону  18 Jul 2015 03:32:48 MSK Оповещение от 1-й линии в сторону Заказчика  18 Jul 2015 03:55:00 MSK подключение машины к ArcSight
  • 14. solarsecurity.ru +7 (499) 755-07-70 Шаг третий: контроль за целевой станцией 14 Операции в домене Отклонение от профиля, несоответствия учетных данных Изменения на критичных хостах – процессы, файлы, реестр
  • 15. solarsecurity.ru +7 (499) 755-07-70 «Полезные уязвимости» Skeleton key – использование любой учетной записи в домене без пароля 15
  • 16. solarsecurity.ru +7 (499) 755-07-70 Шаг Четвертый: поход за информацией, деньгами 16 Аутентификации в нерабочее время Использование технологических УЗ Нестандартные механизмы подключения к БД Изменения на критичных серверах – процессы, файлы, реестр
  • 17. solarsecurity.ru +7 (499) 755-07-70 Основные шаги по реализации 17 1. Определение систем зоны риска:  Возможность финансовых операций  Чувствительные к публикации данные  Интересны для конкурентов 2. Выделение критичных сотрудников:  ИТ и ИБ – администраторы  Владельцы систем  Профильные отделы компаний  Руководители 3. Приоритезация срабатываний:  Частотность (массовый инцидент)  Системы зоны риска  Критичные пользователи
  • 18. Павлов Алексей av.pavlov@solarsecurity.ru +7 (916) 178 98 90 Спасибо! Вопросы?