Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
2. Обо мне
Николай Николаевич Петров, CISSP
Заместитель генерального директора, АО ДиалогНаука
Первым в России был удостоен звания CISSP
На протяжении многих лет являюсь единственным
сертифицированным инструктором (ISC)2 в России
Работал в компаниях Philip Morris, Kerberus,
MIS Training Institute, (ISC)2, Ernst & Young
2
3. План презентации
1. Целевые атаки – общая информация
2. Целевые атаки на мобильные устройства
3. Пример решения для защиты
4. Советы по обеспечению безопасности
Продолжительность 25 мин
3
4. Особенности APT
4
APT - целенаправленная атака, при которой злоумышленник получает
неавторизованный доступ в сеть и остается необнаруженным в течении длительного
времени
Термин APT введен U.S. Air Force в 2006
• Advanced: Атакующий является экспертом и использует свои собственные,
неизвестные другим инструменты для эксплуатации уязвимостей
• Persistent: Атакующий не ограничен во времени, т. е. он будет тратить столько
времени, сколько нужно, чтобы получить доступ и остаться незамеченным
• Threat: Атакующий организован, мотивирован, обладает необходимыми
финансовыми ресурсами
APT
• считается наиболее опасным типом атак
• Характерные признаки целевых атак – использование социальной инженерии,
применение эксплойтов «нулевого дня»
• спланированная атака, мотивированная деньгами, политикой/национальными
интересами и направленная для достижения определенной цели (как получение
доступа в проектах тестов на проникновение)
5. Типичный сценарий атаки
Скомпрометированный
веб-сайт
Callback Server
IPS
Файловый
ресурс 1
Файловый
ресурс 2
2. Загрузка
вредоносного кода
1. Эксплуатация
уязвимости
3. Связь с сервером
управления
5. Мошеннические операции
Вывод данных
4. Дальнейшее
распространение
0. Подготовка
9. Известные атаки
2015
9
Топ-5 банк РФ – атака на мобильные устройства клиентов
Телефон все время находился в руках абонента. По его словам, он ничего не
делал, никакие смс не отправлял, но деньги с банковского счета все равно
исчезли
Анатомия атаки
• Клиент устанавливает проигрыватель Flash злоумышленника
• Вредоносный код посылает СМС на короткий номер «Баланс»
• Если получен ответ, значит телефонный номер привязан к банковскому
счету
• Осуществляется перевод денежных средств
• Весь СМС обмен с банком стирается, включая СМС подтверждения
операций
10. Известные атаки
В феврале 2015 года, Google удалил 3 вредоносных приложения из Google Play,
которые были скачаны 15 миллионов раз!
10
11. Известные атаки
Вот эти приложения:
• «Durak» – предназначенное для англоговорящих пользователей
• «IQ Test»
• «Russian History» – для русскоговорящих пользователей
Вредоносное ПО начало действовать, когда после его инсталляции прошло 30 дней
Когда пользователь обращался к устройству, ему выводилось сообщение о
проблеме, например, устройство заражено, ПО устарело или выводилась порно-
картинка на весь экран, которую нельзя было убрать.
После этого предлагалось совершить определенные действия: посетить
фальшивый сайт, скачать новую версию приложения, отправить платный СМС,
провести оплату с помощью банковской карты
11
12. Решение FireEye
12
• Компания FireEye с 2004 г в США
• Поставляет продукты с 2006 г
• Мировой лидер – FireEye используют 40% компаний Fortune 100
13. Решение FireEye
13
• Специализированный
гипервизор
• Разработан для анализа угроз
Аппаратный
гипервизор FireEye
1
Многопоточный
виртуальный запуск
2
• Разные ОС
• Разные сервис-паки
• Разные приложения
• Разные типы файлов
Защита от угроз в
масштабе
3
• Параллельный запуск
• Многоуровневый анализ
Оборудование
Аппаратный гипервизор FireEye
Многорежимный виртуальный запуск
Параллельный
запуск
Более 10 микро-задач
v1v1 v2 v3 v2 v3
FireEye
14. Решение FireEye
14
FireEye Mobile Threat Prevention поддерживают Android и iOS
На мобильное устройство устанавливается пассивный агент FireEye Mobile Threat
Prevention, который можно загрузить из Google Play или AppStore
Управление агентами осуществляется с помощью сервера управления,
размещаемого в корпоративной сети.
Виртуальная машина, используемая для анализа приложений, находится в Облаке
FireEye.
Проанализировать приложение можно несколькими способами:
• Самостоятельно загрузить его в облако FireEye
• Передать URL ссылку на его файл
• Или указать, что для анализа нужно использовать версию, находящуюся в
Google Play или AppStore.
15. Решение FireEye
15
Работа агента заключается в инвентаризации установленных приложений. Для того,
чтобы отличать установленные версии приложений, агент использует
криптографические хеши.
Решение обнаруживает:
• неизвестное вредоносное ПО, которое пропускают антивирусы
• библиотеки, используемые для рекламы (adware)
• уязвимости в приложениях
• подозрительное/нестандартное поведение приложений
16. Решение FireEye
16
Если анализ приложения уже проводился, то FireEye оповещает пользователя об
опасном приложении до того, как оно будет установлено.
FireEye Mobile Threat Prevention интегрируется с MDM решениями
• MobileIron
• AirWatch
• Samsung Knox
Использование MDM решений позволяет блокировать
и удалять вредоносное ПО, уничтожать корпоративную
информацию или блокировать устройство в случае
потери или кражи.
17. Советы
17
• Не отвечайте на запросы содержащие персональную информацию, в том числе
пароли.
• Для контакта с банком используйте номера с ваших банковских карт
• Если вам приходит СМС или звонок – будьте осторожны, не доверяйте
• Ограничьте сумму доступную на ваших банковских картах
• Установите СМС и e-mail оповещения
• Посетите офис вашего мобильного оператора. Запретите обращение по
доверенности
• Регулярно отслеживайте состояние ваших счетов
18. Дополнительная информация – мои статьи
18
«Защищаемся от целенаправленных атак»
Национальный Банковский Журнал, №2 февраль 2014
«Целенаправленные атаки – обнаружение и защита»
Информационная безопасность, №2 май 2014
«Расследование целевых атак»
Безопасность Деловой Информации, №06 II квартал 2014
«Защита от вредоносного кода на мобильных устройствах»
Информационная безопасность банков, №3 / 2015
«Защита банков от незаконного вывода денежных средств»
Информационная безопасность банков, №2 / 2016