Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

Positive Hack Days
Positive Hack Days

Тенденции вирусной индустрии. Корпоративный кибершпионаж - фантастика или бизнес? Сколько стоит взломать вашу компанию? Хакерство: забава или выгода?

1 of 96
Киберпреступность вчера, сегодня, завтра … Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days
Global Research & Analysis Team PAGE 2 |
Киберпреступность Тенденции последнего года, методы, цели, причины, организаторы …и много прочих разных пунктов, которые заставляют нас порой работать по ночам и без выходных
Киберпреступность Расстановка точек над “I” Преступления, совершаемые при помощи компьютерных технологий PAGE 4 |
Kaspersky Security Bulletin 2010 PAGE 5 |
Новые организаторы, новые цели PAGE 6 |
Новые организаторы, новые цели PAGE 7 |
Новые организаторы, новые цели PAGE 8 |
Новые организаторы, новые цели PAGE 9 |
Новые организаторы, новые цели PAGE 10 |
Новые организаторы, новые цели PAGE 11 |
Новые организаторы, новые цели PAGE 12 |
Новые организаторы, новые цели PAGE 13 |
Инциденты за один год Насколько сложно взломать крупнейшие компании мира или устроить ядерный переполох …и не быть при этом арестованным
Операция Aurora PAGE 15 |
Operation Aurora PAGE 16 |
Operation Aurora PAGE 17 |
Operation Aurora PAGE 18 |
Operation Aurora PAGE 19 |
Operation Aurora «We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China. The decision to review our business operations in China has been incredibly hard, and we know that it will have potentially far-reaching consequences» PAGE 20 |
Operation Aurora Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 21 |
Operation Aurora MS10-002 CVE-2010-0249 PAGE 22 |
Operation Aurora Первая стадия Вторая стадия Третья стадия Сбор адресов Установка электронной Установка Электронная почта загрузчика в почты/IM/SM/ кейлоггера систему жертв Контроль IM и социальных сетей Загрузка Виртуализация браузера Подготовка веб- основного Установка ресурсов для модуля с Контроль сетевых соединений заражения подготовленного бэкдора сайта Контроль пользовательских привилегий Рассылка Сбор Взаимодействие писем/ссылок информации о с центром Контроль активности приложений на эксплоит системе управления Контроль поведения машины в Дальнейший локальной сети Заражение доступ в через браузер локальную сеть 9 действий, которые могли бы быть пресечены или Загрузка обнаружены дополнительны х модулей PAGE 23 |
Operation Aurora Source code repositories Интеллектуальная собственность PAGE 24 |
Operation Aurora PAGE 25 |
Большой переполох в маленьком Иране STUXNET PAGE 26 |
Stuxnet PAGE 27 |
Stuxnet ЧТО ? PAGE 28 |
Stuxnet Бушерская АЭС? PAGE 29 |
Stuxnet Основной функционал Siemens S7-300 system PLC с variable-frequency drives Vacon (Финляндия), Fararo Paya (Иран) 807 – 1210hz Насосы или газовые центрифуги Изменяет скорость вращения моторов от 2 до 1410hz PAGE 30 |
Stuxnet Ядерная промышленность Ирана PAGE 31 |
Stuxnet Завод по обогащению урана в Natanz PAGE 32 |
Stuxnet Завод по обогащению урана в Natanz PAGE 33 |
Stuxnet Завод по обогащению урана в Natanz PAGE 34 |
Stuxnet PAGE 35 |
Stuxnet PAGE 36 |
Stuxnet PAGE 37 |
Stuxnet Scott Borg, director of the US Cyber Consequences Unit Июнь 2009 Asked to speculate about how Israel might target Iran, Borg said malware -- a commonly used abbreviation for "malicious software" -- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians. "A contaminated USB stick would be enough," Borg said. PAGE 38 |
Stuxnet Модуль распространения и инсталляции червя Блок SCADA/PLC PAGE 39 |
Операция Myrtus b:myrtussrcobjfre_w2k_x86i386guava.pdb Проект менеджер Группа C&C Группа распространения 2 человека 7-10 человек Код червя Код PLC Код эксплоитов Тестеры 3-4 человека 2-3 человека 1-2 человека 6-8 человек (проект Guava) PAGE 40 |
Stuxnet Уязвимости Распространение через флешки via LNK (MS10-046) – 0-Day Распространение по локальной сети via Server Service (MS08-067) Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day Повышение привилегий via Task Scheduler (MS10-092) – 0-Day «Уязвимость» в авторизации Sematic WinCC PAGE 41 |
Stuxnet PAGE 42 |
Stuxnet Контроль USB-устройств Контроль внешних сетевых соединений Контроль пользовательских привилегий Контроль активности приложений Контроль поведения машины в локальной сети PAGE 43 |
Stuxnet Первая стадия (ноябрь 2008-июнь Вторая стадия (Июнь 2009 – Третья стадия (Январь 2010-Июль 2009) Декабрь 2009) 2010) Распространение на USB Добавление цифровых flash подписей Добавление новых Создание C&C Распространение по сети уязвимостей Внедрение червя – Вариант Разработка кода Взаимодействие с C&C B Внедрение червя – Вариант Тестирование кода P2P-ботнет C Внедрение червя - Вариант Закрытие C&C A PAGE 44 |
Stuxnet PAGE 45 |
Stuxnet PAGE 46 |
Stuxnet PAGE 47 |
Что дальше ? Gen. Keith Alexander, head of U.S. Cyber Command, recently told Congress “… We believe that state actors have developed cyber weapons to cripple infrastructure targets in ways tantamount to kinetic assaults. Some of these weapons could potentially destroy hardware as well as data and software.” PAGE 48 |
Что дальше ? PAGE 49 |
Night Dragon PAGE 50 |
Night Dragon Когда: с начала ноября 2009 года Цель: нефтяные, энергетические, химические компании (Казахстан, Тайвань, Греция, США) Методы: социальная инженерия, фишинг, использование уязвимостей SQL и Windows Способ: взлом LDAP и установка бэкдора Жертвы: руководство компаний PAGE 51 |
Night Dragon • SQL injection на веб-сайт 1 • Получение возможности выполнения команд • Загрузка средств взлома на сервера 2 • Подбор паролей и проникновение в интранет • Получение доступа к LDAP 3 • Получение доступа к машинам • Установка бэкдора 4 • Сбор информации • Отправка информации на C&C 5 • Загрузка новых модулей PAGE 52 |
Night Dragon PAGE 53 |
Night Dragon "Starting in November 2009, covert cyberattacks were launched against several global oil, energy and petrochemical companies. The target of the attacks were bidding information, prospecting data and other confidential information related to business ventures. This information is highly sensitive and can make or break multibillion- dollar deals in this extremely competitive industry” Files of interest focused on operational oil and gas field production systems and financial documents related to field exploration and bidding that were later copied from the compromised hosts or via extranet servers. In some cases, the files were copied to and downloaded from company web servers by the attackers. In certain cases, the attackers collected data from SCADA systems. PAGE 54 |
Night Dragon PAGE 55 |
Night Dragon PAGE 56 |
Night Dragon PAGE 57 |
Night Dragon Контроль веб-приложений и баз данных Контроль серверов и прав доступа Контроль электронной почты Виртуализация браузера Контроль мобильных устройств Контроль внутренней сетевой активности Контроль внешних соединений Контроль приложений Контроль утечек PAGE 58 |
Night Dragon PAGE 59 |
Night Dragon PAGE 60 |
Night Dragon PAGE 61 | Kaspersky Lab PowerPoint Template | 01 June 2011
hacktivism PAGE 62 |
Anonymous PAGE 63 |
HBGary PAGE 64 |
HBGary PAGE 65 |
HBGary http://hbgaryfederal.com «самодельная» CMS SQL-injection http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Usernames, emails, password hashes MD5, rainbow table-based атака CEO Aaron Barr и COO Ted Vera 6 букв и 2 цифры PAGE 66 |
HBGary PAGE 67 |
HBGary PAGE 68 |
HBGary PAGE 69 |
HBGary PAGE 70 |
HBGary PAGE 71 |
HBGary Custom CMS, без патчей и с дырами SQL-injection Простое шифрование Простые пароли Один и тот же пароль для разных сервисов Уязвимый сервер, без патчей Социальная инженерия PAGE 72 |
HBGary PAGE 73 |
RSA PAGE 74 |
RSA PAGE 75 |
RSA PAGE 76 |
RSA Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 77 |
RSA CVE-2011-0609 PAGE 78 |
RSA • Фишинговая атака с 0-day (CVE-2011-0609) 1 • 2011 recruitment plan.xls • Установка бэкдора в системы 2 • Poison Ivy RAT • Повышение уровня доступа 3 • Получение доступа к другим машинам и сервисам • Сбор информации 4 • Шифрование собранного (RAR password-protected) • Отправка данных по ftp на C&C 5 • Удаление данных с машины PAGE 79 |
RSA PAGE 80 |
RSA www.usgoodluck.com obama.servehttp.com prc.dynamiclink.ddns.us People’s Republic of China ? PAGE 81 |
RSA PAGE 82 |
RSA PAGE 83 |
RSA PAGE 84 |
RSA PAGE 85 |
Киберпреступность 2011 Сходство и различие
Итоги Уязвимости Традиционная Новые игроки Известные 0day уязвимости Собственные общие эксплоиты разработки PAGE 87 |
Итоги Платформы Традиционная Новые игроки Windows *nix Windows Web-based Mobile PAGE 88 |
Итоги Путь Традиционная Новые игроки Электронная почта Атаки через Атаки через браузер браузер PAGE 89 |
Итоги Методы Традиционная Новые игроки Социальная Фишинг инженерия PAGE 90 |
Итоги Масштаб Традиционная Новые игроки Массовость Точечные атаки PAGE 91 |
Итоги Цели Традиционная Новые игроки Корп.шпионаж Национальные Деньги интересы Публичность PAGE 92 |
Итоги 2003 2011 PAGE 93 |
2011: фронтовые сводки
2011 PAGE 95 |
Спасибо Киберпреступность Вчера, сегодня, завтра… Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days

More Related Content

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня, завтра…

  • 1. Киберпреступность вчера, сегодня, завтра … Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days
  • 2. Global Research & Analysis Team PAGE 2 |
  • 3. Киберпреступность Тенденции последнего года, методы, цели, причины, организаторы …и много прочих разных пунктов, которые заставляют нас порой работать по ночам и без выходных
  • 4. Киберпреступность Расстановка точек над “I” Преступления, совершаемые при помощи компьютерных технологий PAGE 4 |
  • 14. Инциденты за один год Насколько сложно взломать крупнейшие компании мира или устроить ядерный переполох …и не быть при этом арестованным
  • 20. Operation Aurora «We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China. The decision to review our business operations in China has been incredibly hard, and we know that it will have potentially far-reaching consequences» PAGE 20 |
  • 21. Operation Aurora Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 21 |
  • 22. Operation Aurora MS10-002 CVE-2010-0249 PAGE 22 |
  • 23. Operation Aurora Первая стадия Вторая стадия Третья стадия Сбор адресов Установка электронной Установка Электронная почта загрузчика в почты/IM/SM/ кейлоггера систему жертв Контроль IM и социальных сетей Загрузка Виртуализация браузера Подготовка веб- основного Установка ресурсов для модуля с Контроль сетевых соединений заражения подготовленного бэкдора сайта Контроль пользовательских привилегий Рассылка Сбор Взаимодействие писем/ссылок информации о с центром Контроль активности приложений на эксплоит системе управления Контроль поведения машины в Дальнейший локальной сети Заражение доступ в через браузер локальную сеть 9 действий, которые могли бы быть пресечены или Загрузка обнаружены дополнительны х модулей PAGE 23 |
  • 24. Operation Aurora Source code repositories Интеллектуальная собственность PAGE 24 |
  • 26. Большой переполох в маленьком Иране STUXNET PAGE 26 |
  • 28. Stuxnet ЧТО ? PAGE 28 |
  • 30. Stuxnet Основной функционал Siemens S7-300 system PLC с variable-frequency drives Vacon (Финляндия), Fararo Paya (Иран) 807 – 1210hz Насосы или газовые центрифуги Изменяет скорость вращения моторов от 2 до 1410hz PAGE 30 |
  • 32. Stuxnet Завод по обогащению урана в Natanz PAGE 32 |
  • 33. Stuxnet Завод по обогащению урана в Natanz PAGE 33 |
  • 34. Stuxnet Завод по обогащению урана в Natanz PAGE 34 |
  • 38. Stuxnet Scott Borg, director of the US Cyber Consequences Unit Июнь 2009 Asked to speculate about how Israel might target Iran, Borg said malware -- a commonly used abbreviation for "malicious software" -- could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians. "A contaminated USB stick would be enough," Borg said. PAGE 38 |
  • 39. Stuxnet Модуль распространения и инсталляции червя Блок SCADA/PLC PAGE 39 |
  • 40. Операция Myrtus b:myrtussrcobjfre_w2k_x86i386guava.pdb Проект менеджер Группа C&C Группа распространения 2 человека 7-10 человек Код червя Код PLC Код эксплоитов Тестеры 3-4 человека 2-3 человека 1-2 человека 6-8 человек (проект Guava) PAGE 40 |
  • 41. Stuxnet Уязвимости Распространение через флешки via LNK (MS10-046) – 0-Day Распространение по локальной сети via Server Service (MS08-067) Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day Повышение привилегий via Task Scheduler (MS10-092) – 0-Day «Уязвимость» в авторизации Sematic WinCC PAGE 41 |
  • 43. Stuxnet Контроль USB-устройств Контроль внешних сетевых соединений Контроль пользовательских привилегий Контроль активности приложений Контроль поведения машины в локальной сети PAGE 43 |
  • 44. Stuxnet Первая стадия (ноябрь 2008-июнь Вторая стадия (Июнь 2009 – Третья стадия (Январь 2010-Июль 2009) Декабрь 2009) 2010) Распространение на USB Добавление цифровых flash подписей Добавление новых Создание C&C Распространение по сети уязвимостей Внедрение червя – Вариант Разработка кода Взаимодействие с C&C B Внедрение червя – Вариант Тестирование кода P2P-ботнет C Внедрение червя - Вариант Закрытие C&C A PAGE 44 |
  • 48. Что дальше ? Gen. Keith Alexander, head of U.S. Cyber Command, recently told Congress “… We believe that state actors have developed cyber weapons to cripple infrastructure targets in ways tantamount to kinetic assaults. Some of these weapons could potentially destroy hardware as well as data and software.” PAGE 48 |
  • 51. Night Dragon Когда: с начала ноября 2009 года Цель: нефтяные, энергетические, химические компании (Казахстан, Тайвань, Греция, США) Методы: социальная инженерия, фишинг, использование уязвимостей SQL и Windows Способ: взлом LDAP и установка бэкдора Жертвы: руководство компаний PAGE 51 |
  • 52. Night Dragon • SQL injection на веб-сайт 1 • Получение возможности выполнения команд • Загрузка средств взлома на сервера 2 • Подбор паролей и проникновение в интранет • Получение доступа к LDAP 3 • Получение доступа к машинам • Установка бэкдора 4 • Сбор информации • Отправка информации на C&C 5 • Загрузка новых модулей PAGE 52 |
  • 54. Night Dragon "Starting in November 2009, covert cyberattacks were launched against several global oil, energy and petrochemical companies. The target of the attacks were bidding information, prospecting data and other confidential information related to business ventures. This information is highly sensitive and can make or break multibillion- dollar deals in this extremely competitive industry” Files of interest focused on operational oil and gas field production systems and financial documents related to field exploration and bidding that were later copied from the compromised hosts or via extranet servers. In some cases, the files were copied to and downloaded from company web servers by the attackers. In certain cases, the attackers collected data from SCADA systems. PAGE 54 |
  • 58. Night Dragon Контроль веб-приложений и баз данных Контроль серверов и прав доступа Контроль электронной почты Виртуализация браузера Контроль мобильных устройств Контроль внутренней сетевой активности Контроль внешних соединений Контроль приложений Контроль утечек PAGE 58 |
  • 61. Night Dragon PAGE 61 | Kaspersky Lab PowerPoint Template | 01 June 2011
  • 66. HBGary http://hbgaryfederal.com «самодельная» CMS SQL-injection http://www.hbgaryfederal.com/pages.php?pageNav=2&page=27 Usernames, emails, password hashes MD5, rainbow table-based атака CEO Aaron Barr и COO Ted Vera 6 букв и 2 цифры PAGE 66 |
  • 72. HBGary Custom CMS, без патчей и с дырами SQL-injection Простое шифрование Простые пароли Один и тот же пароль для разных сервисов Уязвимый сервер, без патчей Социальная инженерия PAGE 72 |
  • 77. RSA Advanced Persistent Threat или “Asian-Pacific Threat” ? PAGE 77 |
  • 78. RSA CVE-2011-0609 PAGE 78 |
  • 79. RSA • Фишинговая атака с 0-day (CVE-2011-0609) 1 • 2011 recruitment plan.xls • Установка бэкдора в системы 2 • Poison Ivy RAT • Повышение уровня доступа 3 • Получение доступа к другим машинам и сервисам • Сбор информации 4 • Шифрование собранного (RAR password-protected) • Отправка данных по ftp на C&C 5 • Удаление данных с машины PAGE 79 |
  • 81. RSA www.usgoodluck.com obama.servehttp.com prc.dynamiclink.ddns.us People’s Republic of China ? PAGE 81 |
  • 86. Киберпреступность 2011 Сходство и различие
  • 87. Итоги Уязвимости Традиционная Новые игроки Известные 0day уязвимости Собственные общие эксплоиты разработки PAGE 87 |
  • 88. Итоги Платформы Традиционная Новые игроки Windows *nix Windows Web-based Mobile PAGE 88 |
  • 89. Итоги Путь Традиционная Новые игроки Электронная почта Атаки через Атаки через браузер браузер PAGE 89 |
  • 90. Итоги Методы Традиционная Новые игроки Социальная Фишинг инженерия PAGE 90 |
  • 91. Итоги Масштаб Традиционная Новые игроки Массовость Точечные атаки PAGE 91 |
  • 92. Итоги Цели Традиционная Новые игроки Корп.шпионаж Национальные Деньги интересы Публичность PAGE 92 |
  • 93. Итоги 2003 2011 PAGE 93 |
  • 96. Спасибо Киберпреступность Вчера, сегодня, завтра… Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab 19.05.2011 / Positive Hack Days