Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Целенаправленные атаки на мобильные устройства

DialogueScience
DialogueScience

Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае? Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP

Related slideshows

Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
1 of 19
Download to read offline
Целенаправленные атаки на мобильные устройства
Обо мне Николай Николаевич Петров, CISSP Заместитель генерального директора, АО ДиалогНаука Первым в России был удостоен звания CISSP На протяжении многих лет являюсь единственным сертифицированным инструктором (ISC)2 в России Работал в компаниях Philip Morris, Kerberus, MIS Training Institute, (ISC)2, Ernst & Young 2
План презентации 1. Целевые атаки – общая информация 2. Целевые атаки на мобильные устройства 3. Пример решения для защиты 4. Советы по обеспечению безопасности Продолжительность 25 мин 3
Особенности APT 4 APT - целенаправленная атака, при которой злоумышленник получает неавторизованный доступ в сеть и остается необнаруженным в течении длительного времени Термин APT введен U.S. Air Force в 2006 • Advanced: Атакующий является экспертом и использует свои собственные, неизвестные другим инструменты для эксплуатации уязвимостей • Persistent: Атакующий не ограничен во времени, т. е. он будет тратить столько времени, сколько нужно, чтобы получить доступ и остаться незамеченным • Threat: Атакующий организован, мотивирован, обладает необходимыми финансовыми ресурсами APT • считается наиболее опасным типом атак • Характерные признаки целевых атак – использование социальной инженерии, применение эксплойтов «нулевого дня» • спланированная атака, мотивированная деньгами, политикой/национальными интересами и направленная для достижения определенной цели (как получение доступа в проектах тестов на проникновение)
Типичный сценарий атаки Скомпрометированный веб-сайт Callback Server IPS Файловый ресурс 1 Файловый ресурс 2 2. Загрузка вредоносного кода 1. Эксплуатация уязвимости 3. Связь с сервером управления 5. Мошеннические операции Вывод данных 4. Дальнейшее распространение 0. Подготовка
Особенности APT 6 Межсетевые экраны IDS/IPS Шлюзы Web- безопасности Средства защиты от спама Антивирус Традиционные технологии не могут остановить APT
Известные атаки 2014 Атакованы 100 банков из 30 стран 7
Известные атаки 2016 8 Пострадали • Металлинвестбанк • Алтынбанк • Русский Международный Банк • Система денежных переводов Рапида • Swift
Известные атаки 2015 9 Топ-5 банк РФ – атака на мобильные устройства клиентов Телефон все время находился в руках абонента. По его словам, он ничего не делал, никакие смс не отправлял, но деньги с банковского счета все равно исчезли Анатомия атаки • Клиент устанавливает проигрыватель Flash злоумышленника • Вредоносный код посылает СМС на короткий номер «Баланс» • Если получен ответ, значит телефонный номер привязан к банковскому счету • Осуществляется перевод денежных средств • Весь СМС обмен с банком стирается, включая СМС подтверждения операций
Известные атаки В феврале 2015 года, Google удалил 3 вредоносных приложения из Google Play, которые были скачаны 15 миллионов раз! 10
Известные атаки Вот эти приложения: • «Durak» – предназначенное для англоговорящих пользователей • «IQ Test» • «Russian History» – для русскоговорящих пользователей Вредоносное ПО начало действовать, когда после его инсталляции прошло 30 дней Когда пользователь обращался к устройству, ему выводилось сообщение о проблеме, например, устройство заражено, ПО устарело или выводилась порно- картинка на весь экран, которую нельзя было убрать. После этого предлагалось совершить определенные действия: посетить фальшивый сайт, скачать новую версию приложения, отправить платный СМС, провести оплату с помощью банковской карты 11
Решение FireEye 12 • Компания FireEye с 2004 г в США • Поставляет продукты с 2006 г • Мировой лидер – FireEye используют 40% компаний Fortune 100
Решение FireEye 13 • Специализированный гипервизор • Разработан для анализа угроз Аппаратный гипервизор FireEye 1 Многопоточный виртуальный запуск 2 • Разные ОС • Разные сервис-паки • Разные приложения • Разные типы файлов Защита от угроз в масштабе 3 • Параллельный запуск • Многоуровневый анализ Оборудование Аппаратный гипервизор FireEye Многорежимный виртуальный запуск Параллельный запуск Более 10 микро-задач v1v1 v2 v3 v2 v3 FireEye
Решение FireEye 14 FireEye Mobile Threat Prevention поддерживают Android и iOS На мобильное устройство устанавливается пассивный агент FireEye Mobile Threat Prevention, который можно загрузить из Google Play или AppStore Управление агентами осуществляется с помощью сервера управления, размещаемого в корпоративной сети. Виртуальная машина, используемая для анализа приложений, находится в Облаке FireEye. Проанализировать приложение можно несколькими способами: • Самостоятельно загрузить его в облако FireEye • Передать URL ссылку на его файл • Или указать, что для анализа нужно использовать версию, находящуюся в Google Play или AppStore.
Решение FireEye 15 Работа агента заключается в инвентаризации установленных приложений. Для того, чтобы отличать установленные версии приложений, агент использует криптографические хеши. Решение обнаруживает: • неизвестное вредоносное ПО, которое пропускают антивирусы • библиотеки, используемые для рекламы (adware) • уязвимости в приложениях • подозрительное/нестандартное поведение приложений
Решение FireEye 16 Если анализ приложения уже проводился, то FireEye оповещает пользователя об опасном приложении до того, как оно будет установлено. FireEye Mobile Threat Prevention интегрируется с MDM решениями • MobileIron • AirWatch • Samsung Knox Использование MDM решений позволяет блокировать и удалять вредоносное ПО, уничтожать корпоративную информацию или блокировать устройство в случае потери или кражи.
Советы 17 • Не отвечайте на запросы содержащие персональную информацию, в том числе пароли. • Для контакта с банком используйте номера с ваших банковских карт • Если вам приходит СМС или звонок – будьте осторожны, не доверяйте • Ограничьте сумму доступную на ваших банковских картах • Установите СМС и e-mail оповещения • Посетите офис вашего мобильного оператора. Запретите обращение по доверенности • Регулярно отслеживайте состояние ваших счетов
Дополнительная информация – мои статьи 18 «Защищаемся от целенаправленных атак» Национальный Банковский Журнал, №2 февраль 2014 «Целенаправленные атаки – обнаружение и защита» Информационная безопасность, №2 май 2014 «Расследование целевых атак» Безопасность Деловой Информации, №06 II квартал 2014 «Защита от вредоносного кода на мобильных устройствах» Информационная безопасность банков, №3 / 2015 «Защита банков от незаконного вывода денежных средств» Информационная безопасность банков, №2 / 2016
Вопросы? Контакты для связи: info@dialognauka.ru marketing@dialognauka.ru +7 (495) 980-67-76

More Related Content

Целенаправленные атаки на мобильные устройства

  • 2. Обо мне Николай Николаевич Петров, CISSP Заместитель генерального директора, АО ДиалогНаука Первым в России был удостоен звания CISSP На протяжении многих лет являюсь единственным сертифицированным инструктором (ISC)2 в России Работал в компаниях Philip Morris, Kerberus, MIS Training Institute, (ISC)2, Ernst & Young 2
  • 3. План презентации 1. Целевые атаки – общая информация 2. Целевые атаки на мобильные устройства 3. Пример решения для защиты 4. Советы по обеспечению безопасности Продолжительность 25 мин 3
  • 4. Особенности APT 4 APT - целенаправленная атака, при которой злоумышленник получает неавторизованный доступ в сеть и остается необнаруженным в течении длительного времени Термин APT введен U.S. Air Force в 2006 • Advanced: Атакующий является экспертом и использует свои собственные, неизвестные другим инструменты для эксплуатации уязвимостей • Persistent: Атакующий не ограничен во времени, т. е. он будет тратить столько времени, сколько нужно, чтобы получить доступ и остаться незамеченным • Threat: Атакующий организован, мотивирован, обладает необходимыми финансовыми ресурсами APT • считается наиболее опасным типом атак • Характерные признаки целевых атак – использование социальной инженерии, применение эксплойтов «нулевого дня» • спланированная атака, мотивированная деньгами, политикой/национальными интересами и направленная для достижения определенной цели (как получение доступа в проектах тестов на проникновение)
  • 5. Типичный сценарий атаки Скомпрометированный веб-сайт Callback Server IPS Файловый ресурс 1 Файловый ресурс 2 2. Загрузка вредоносного кода 1. Эксплуатация уязвимости 3. Связь с сервером управления 5. Мошеннические операции Вывод данных 4. Дальнейшее распространение 0. Подготовка
  • 6. Особенности APT 6 Межсетевые экраны IDS/IPS Шлюзы Web- безопасности Средства защиты от спама Антивирус Традиционные технологии не могут остановить APT
  • 7. Известные атаки 2014 Атакованы 100 банков из 30 стран 7
  • 8. Известные атаки 2016 8 Пострадали • Металлинвестбанк • Алтынбанк • Русский Международный Банк • Система денежных переводов Рапида • Swift
  • 9. Известные атаки 2015 9 Топ-5 банк РФ – атака на мобильные устройства клиентов Телефон все время находился в руках абонента. По его словам, он ничего не делал, никакие смс не отправлял, но деньги с банковского счета все равно исчезли Анатомия атаки • Клиент устанавливает проигрыватель Flash злоумышленника • Вредоносный код посылает СМС на короткий номер «Баланс» • Если получен ответ, значит телефонный номер привязан к банковскому счету • Осуществляется перевод денежных средств • Весь СМС обмен с банком стирается, включая СМС подтверждения операций
  • 10. Известные атаки В феврале 2015 года, Google удалил 3 вредоносных приложения из Google Play, которые были скачаны 15 миллионов раз! 10
  • 11. Известные атаки Вот эти приложения: • «Durak» – предназначенное для англоговорящих пользователей • «IQ Test» • «Russian History» – для русскоговорящих пользователей Вредоносное ПО начало действовать, когда после его инсталляции прошло 30 дней Когда пользователь обращался к устройству, ему выводилось сообщение о проблеме, например, устройство заражено, ПО устарело или выводилась порно- картинка на весь экран, которую нельзя было убрать. После этого предлагалось совершить определенные действия: посетить фальшивый сайт, скачать новую версию приложения, отправить платный СМС, провести оплату с помощью банковской карты 11
  • 12. Решение FireEye 12 • Компания FireEye с 2004 г в США • Поставляет продукты с 2006 г • Мировой лидер – FireEye используют 40% компаний Fortune 100
  • 13. Решение FireEye 13 • Специализированный гипервизор • Разработан для анализа угроз Аппаратный гипервизор FireEye 1 Многопоточный виртуальный запуск 2 • Разные ОС • Разные сервис-паки • Разные приложения • Разные типы файлов Защита от угроз в масштабе 3 • Параллельный запуск • Многоуровневый анализ Оборудование Аппаратный гипервизор FireEye Многорежимный виртуальный запуск Параллельный запуск Более 10 микро-задач v1v1 v2 v3 v2 v3 FireEye
  • 14. Решение FireEye 14 FireEye Mobile Threat Prevention поддерживают Android и iOS На мобильное устройство устанавливается пассивный агент FireEye Mobile Threat Prevention, который можно загрузить из Google Play или AppStore Управление агентами осуществляется с помощью сервера управления, размещаемого в корпоративной сети. Виртуальная машина, используемая для анализа приложений, находится в Облаке FireEye. Проанализировать приложение можно несколькими способами: • Самостоятельно загрузить его в облако FireEye • Передать URL ссылку на его файл • Или указать, что для анализа нужно использовать версию, находящуюся в Google Play или AppStore.
  • 15. Решение FireEye 15 Работа агента заключается в инвентаризации установленных приложений. Для того, чтобы отличать установленные версии приложений, агент использует криптографические хеши. Решение обнаруживает: • неизвестное вредоносное ПО, которое пропускают антивирусы • библиотеки, используемые для рекламы (adware) • уязвимости в приложениях • подозрительное/нестандартное поведение приложений
  • 16. Решение FireEye 16 Если анализ приложения уже проводился, то FireEye оповещает пользователя об опасном приложении до того, как оно будет установлено. FireEye Mobile Threat Prevention интегрируется с MDM решениями • MobileIron • AirWatch • Samsung Knox Использование MDM решений позволяет блокировать и удалять вредоносное ПО, уничтожать корпоративную информацию или блокировать устройство в случае потери или кражи.
  • 17. Советы 17 • Не отвечайте на запросы содержащие персональную информацию, в том числе пароли. • Для контакта с банком используйте номера с ваших банковских карт • Если вам приходит СМС или звонок – будьте осторожны, не доверяйте • Ограничьте сумму доступную на ваших банковских картах • Установите СМС и e-mail оповещения • Посетите офис вашего мобильного оператора. Запретите обращение по доверенности • Регулярно отслеживайте состояние ваших счетов
  • 18. Дополнительная информация – мои статьи 18 «Защищаемся от целенаправленных атак» Национальный Банковский Журнал, №2 февраль 2014 «Целенаправленные атаки – обнаружение и защита» Информационная безопасность, №2 май 2014 «Расследование целевых атак» Безопасность Деловой Информации, №06 II квартал 2014 «Защита от вредоносного кода на мобильных устройствах» Информационная безопасность банков, №3 / 2015 «Защита банков от незаконного вывода денежных средств» Информационная безопасность банков, №2 / 2016