КОРПОРАТИВНЫЕ УГРОЗЫ Алексей Денисюк, Инженер предпродажной подготовки в Восточной Европе

АГЕНДА Направленные атаки Угрозы для промышленных систем Резюме и прогнозы Векторы заражений & технологии

Векторы заражений

Как может проникнуть вредоносное ПО Снаружи Изнутри Через Броузер Через интернет-сервисы ( , instant messenger, etc) С помощью уязвимостей в ПО С помощью социальной инженерии Инфицированные устройства (removable disks, cd/dvd, floppies) Социальная инженерия Инсайдеры

Векторы заражений Загрузки Основные проблемы: »Новые уязвимости в ПО обнаруживаются каждый день »Исправления выходят слишком медленно »Пользователи не заботятся об обновлениях Вредоносные скрипты внедряются HTML и PHP коды: »Перенаправление пользователя на вредоносный URLs »Использование уязвимостей в ПО на пользовательском ПК »Кража учетных данных FTP »Обфускация усложняет обнаружение зловредного ПО Никакая веб-страница не может быть полностью доверенной!

Векторы заражений Загрузки

Векторы заражений Социальные сети Один из наиболее общих векторов атак! » зловреды & спам » фишинг & социальная инженерия » сбор информации

Векторы заражений Почта, IM Большое кол-во заражение этим способом » инфицированные приложения » инфицированные ссылк » социальная инженерия Спуфинг -адресов, например » » Правдоподобно выглядящие темы, например » « Пожалуйста, проверьте документ" » « Важное обновление безопасности"

Векторы заражений Внешние устройства Автозапуск вирусов и червей » само-распространение, авто- репликация » использование функции Windows автозапуска » инфицирование файлов на диске » обычно полиморфы » процесс инфицирования незаметен для пользователя

Продвинутые технологии Rootkits, bootkits Высоко-интеллектуальные угрозы Чрезвычайно сложно выявить и обезвредить Могут скрывать другие вредоносные приложения Могут создавать обширные бот-сети Новые идеи и технологии появляются постоянно MBR инфекции Использование собственных файловых систем Использование продвинутых методов шифрования Первые атаки на 64-битные платформы

Продвинутые технологии Зловреды с цифровой подписью Цифровая подпись »Дает гарантию подлинности ПО »Не предрасположена к фальсификации без приватного ключа »Требуется некоторыми операционными системами »Подписанные доверенным сертификатом файлы часто помещаются в «белые списки» вендорами антивирусного ПО Кибер-криминал может украсть сертификаты Зловреды с действительными цифровыми подписями: » Zeus, Stuxnet, Worm.SymbOS.Yxe...

Направленные атаки

Lethal injection vs. hail of bullets Направленные атакиОбычные атаки Точно заданная цельВсе вовлечены Профильные технологииНаиболее universal технологии Тихие и молниеносные атакиБольшие и продолжительные вирусные эпидемии Вредоносы очень сложны технически (очень часто созданы профессиональными разработчиками) Вредоносы менее иннованивные, их легче выявить (часто созданы непрофессиональными разработчиками) Угрозы остаются необнаруженными на протяжении длительного времени Угрозы легко обраружими Учреждения не хотят раскрывать детали инцидента или же не знают об этом Пользователи говорят о проблеме т.к. хотят получить помощь

Направленные атаки Рекогносцировка и подготовка выбор наиболее уязвимой цели e.g. YourCompany Inc. сбор публично доступной информации касательно YourCompany сбор информации об инфраструктуре и решениях ИБ - YourCompany »проникновение, социальная инженерия ШАГ 1 ШАГ 2 Подготовка персонализированной атаки : »Подготовка уникальной вредоносной программы »Использование уязвимостей в ПО - YourCompany »Использование сотрудников YourCompany как вектор атаки -Социальная инженерия, оплошность, небрежность, коррупция...

Направленные атаки Компрометация и использование уязвимостей Получение доступа к ресурсам - YourCompany Контроль систем - YourCompany Коммуникация с центром управления как правило зашифрованы »Шифрованный трафик не может быть «прочитан» ШАГ 4 Копирование всех интересующих данных в одном месте в LAN Загрузка данных на внешний сервер Контроль или «освобождение» цели ШАГ 3

Пример 1: Aurora Более недели! В то время как достаточно 1 часа...

Пример 2: Stuxnet Направленность: 32-bit Windows системы Выявлен в средине Июля 2010 Возможность слежки and перепрограммирования промышленных систем контроля »Siemens Simatic WinCC SCADA Один из наиболее профессиональных и специализированных зловредов в истории вредоносов: »Продвинутые rootkit-технологии позволили скрыть следы присутствия в системе и замаскировать коммуникацию с системой контроля, а также PLC-модификации »Оригинальные цифровые сигратуры усложняют детектирование с помощью AV »Инфицирование использует 0-day уязвимость

Пример 2: Stuxnet Методы распространения »LNK exploit, zero-day Vuln: MS Вектор атаки: съемные устройства »Spool server exploit, zero-day, Vuln: MS Вектор атаки: сетевые принтеры »RPC exploit Vuln: MS Вектор атаки: сетевые папки »2 x zero-day EoP exploit (повышение привилегий)

Пример 2: Stuxnet Сертификаты

Пример 2: Stuxnet PLC заражение s7otbxdx.dll Использовался файл WinCC Step 7 ПО для коммуникации с устройством PLC Содержит набор инструкций включая функции отвечающие за чтение / запись данных на устройство Stuxnet записывает собственный файл с тем же именем, содержащий собственные определения ключевых функций, с целью: »Перехвата всех коммуникаций с PLC »Изменения кода PLC »Выполнения собственного кода на PLC »Скрытия модификаций

Пример 2: Stuxnet География 12 Sep Feb 2011 СтранаКол-во заражений India Indonesia95100 Russian Federation77514 Islamic Republic of Iran44228 Kazakhstan35243 Bangladesh30344 Syrian Arab Republic15998 Pakistan11107 Belarus10217 Iraq8764

Пример 3: Anonymous vs. HBGary Интернет-группа активистов сформирована в 2003 Хакинг-активности с 2008 (в основном DDoS атаки) Связаны с WikiLeaks Атака на HBGary Federal Anonymous

Пример 3: Anonymous vs. HBGary

Компания ИБ, сотрудничает с правительством США Вовлечена в расследование деятельности Anonymous HBGary Federal

Пример 3: Anonymous vs. HBGary Компрометированы - Anonymous в Феврале 2011 »SQL injection + social engineering »Вывод из строя телефонной системы компании »Доступ к конфиденциальным данным »Компрометация Twitter-учетки CEO компании Результаты: »Более 50,000 конфиденциальных писем украдены опубликованы »Серьезный публичный урон »Привело к отставке CEO HBGary Federal

Пример 4: LulzSec Хакерская группа, активность май-июнь 2011 Направленные атаки: »Sony Pictures, MediaFire »Bethesda Game Studios »American Public Broadcasting System »United States Senate »United States Central Intelligence Agency Опубликовано большое кол-во персональных данных и конфиденциальной информации 26 June 2011 – группа выпустила финальное заявление LulzSec

Пример 4: LulzSec

От виртуальных к физическим Угрозы производству, здоровью и жизни

Промышленные системы Почему уязвимы к атакам Промышленные системыДругие IT-системы остаются неизменными десятилетиями более динамично развиваются the process of publishing patches for applications usually takes a long time Обновления выпускаются более часто Должны работать 24 / 7Возможно отключить во время обслуживания Внедрение популярных сетевых протоколов (напримерEthernet) Непрямой или прямой доступ к Интернет Контроль систем на ПК с Windows OS »Наибольшее кол-во атак нацелено на эту ОС

Промышленные системы Атаки: векторы и последствия Вирусы и черви распространяются в сети Инфицирование съемных устройств DoS и DDoS атаки Доступ к инфраструктуре: удаленное управление системой Угрозы Последствия Угрозы жизни и здоровью Повреждение оборудования Приостановка транспорта и коммуникаций Приостановка в производстве »Приостановка подачи энергии / воды / газа »Огромные производственные и экономические потери

Промышленные системы Не только Stuxnet 2005 Червь Mytob worm провел атаку на промышленные ПК компании по производству автомобилей Результат: остановка на 1 час Один из атомных заводов в США был выведен из строя благодаря перегрузке внутренней сети Причина : неправильная работа драйвера PLC Результат : потеря контроля над водными помпами реактора Кибер-атака (Proof-of-concept) использующая уязвимость 0-day в ПО,ответственном за контроль электростанции Результат : само-разрушение тестового генератора Несколько городов отключены от электроснабжения. ЦРУ выяснило что атака проведена киберпреступниками

| August 28, 2012Kaspersky Lab PowerPoint Template PA GE 32 |

Меры противодействия

Основные правила безопасности Самое слабое звено Образование Доверие

Основные правила безопасности Для сотрудников Образование «Безопасный» тип мышления Осторожность, ответственность Осведомленность и рисках безопасности Внимание и предотвращение угроз Периодичные обновления ОС Периодичные обновления всего используемого ПО Комплексные решения безопасности Включая anti-spam, firewall

Основные правила безопасности Для работодателей и сисадминов Образование сотрудников по текущим угрозам безопасности Использование безопасных паролей пользователями Регулярная смена паролей Использование безопасных протоколов для коммуникации Ограничение прав пользователей насколько возможно Безопасная сетевая инфраструктура Регулярные обновления всего серверного ПО Регулярные обновления всего ПО на рабочих станциях Использование комплексных решений безопасности (включая файрвол и анти-спам) Проведение регулярных пентестов всей инфраструктуры

Основные правила безопасности Работа над укреплением локальной инфраструктуры »Убедиться что приложения и ОС настроены в соответствии с необходимостями и требованиями Работа над сегментацией »Разделение сетей и функций »Ограничение сетевого доступа к / от ПК » задание ограничений / ACL для функций приложений там где это возможно Убедиться в том что существует порядок для аудита и обновления систем (которые обычно исключены от автоматического аудита / обновления) Убедиться в том что работающие ОС and конфигурация наиболее предназначены для приложений / сервисов которые на них работают Промышленные системы

Чего ожидать в будущем?

Тренды угроз Spyware 2.0 Атаки с использованием сетей P2P Угрозы для 64-битных платформ Угрозы для мобильных телефонов и других мобильных устройств Атаки на банковские учетных записи направленные атаки Уходящие тренды: игровое ПО почтовые атаки

Spyware 2.0 Наращивание технической изощренности Лучшие методы обхода безопасности and скрытия в системе Четко определенные цели Тихо и профессионально Кража всего идентичности оnline-учетки сбор логинов к разным сервисам кража конфиденциальных данных сбор любой информации о личности или компании

Thank you! Спасибо!