1. 20 ноября 2018
Бизнес-консультант по безопасности
История одного взлома
(на самом деле двух)
Алексей Лукацкий

2. Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки

3. К чему это все приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
206
HP
416
Symantec
305
Среднее время
обнаружения с Cisco –
3,5 часа
Cisco
200

5. Что случилось с Equifax
• Equifax – американское бюро
кредитных историй
• 7 сентября 2017 стало известно о
взломе Equifax и утечке персональных
данных 145 миллионов человек из
США, Канады и других стран
• 14 сентября Equifax подтвердил взлом
• В августе 2018 года GAO выпустил
детальный отчет о взломе

6. Типичная современная кибератака?

7. Шаг 1. Обнаружение уязвимости
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax,
позволившую получить доступ к Web-порталу и
выполнять на нем команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было

8. Шаг 2. Эксплуатация уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее зашифрованное
соединение для генерации
запросов/получения ответов

9. Шаг 3. Скрытие активности и обнаружение
логинов/паролей администратора
• Шифрованный канал позволял
долго оставаться незамеченным
• Злоумышленники проникли на
внутренние сервера баз данных
и в течение 76 дней
осуществляли кражу и выкачку
данных (9000 запросов)
• Также злоумышленники смогли
узнать незашифрованные
логины и пароли к 51 другим БД
Equifax

10. Шаг 4. Обнаружение инцидента
• 29 июля Equifax обнаружил
инцидент в рамках обычной
процедуру проверки ОС и
конфигураций ИТ-систем
• Equifax использовала решение
FireEye по обнаружению
вредоносного трафика, которое
не смогло анализировать
зашифрованный трафик из-за
просроченного сертификата,
позволяющего реализовать MitM

11. Шаг 5. Расследование инцидента
• После обновления сертификата
администратор Equifax смог обнаружить
признаки взлома в зашифрованном
трафике
• Equifax заблокировал ряд IP-адресов, с
которыми взаимодействовала вредоносная
программа
• 30 июля CISO информировал CEO об атаке
• Расследование длилось с 2 августа по 2
октября

12. Одноходовка? Как же!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция Троян или
backdoor
Повышение
привилегий Руткит Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

13. Причины инцидента
• Невыстроенный процесс управления уязвимостями
Список лиц, которым направлялось уведомление US CERT, был устаревшим
Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале
• Скрытие активности в шифрованном канале
• Отсутствие сегментации в сети
• Логины и пароли в открытом виде
• Ненастроенное средство инспекции сетевого трафика с просроченным
сертификатом

14. Индикаторы компрометации в инциденте с
Equifax
• Превышение объема исходящего трафика
• Соединение с редко используемыми доменами
• Необычный доступ с Web-сервера к оконечным устройствам внутри сети
• Необычные взаимодействия родительского и дочернего процессов на
узле
• Редкий процесс на узле

15. Взлом British Airways
• Между 21 августа и 5 сентября
2018 года хакерская группа
Magecart (или маскирующаяся
под нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов

16. Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а CDN,
используемый провайдерами связи
для кеширования популярных
ресурсов или сервер третьей стороны

17. Одноходовка? Как же!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция Троян или
backdoor
Повышение
привилегий Руткит Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

18. Индикаторы компрометации в инциденте с
BA
• Соединение с редко используемыми
доменами
• Соединение с известными вредоносными
или подозрительными доменами
• Соединение с доменами, использующими
схожее написание с жертвой
• baways[.]com – инцидент с BA
• neweggstats[.]com - инцидент с Newegg

19. Рекомендации
1. Выстроить процесс устранения уязвимостей и установки патчей
2. Тесно контактировать с ИТ-командой, отвечающей за процесс
управления патчами и иметь актуальный список лиц, которые
занимаются устранением дыр
3. Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри
4. Поддерживать актуальную конфигурацию как сетевого оборудования,
так и средств защиты
5. Отслеживать изменения на Web-серверах и серверах БД

20. Рекомендации
6. Сегментировать сеть для предотвращения несанкционированного
доступа
7. Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
8. Понимать риски использования злоумышленниками шифрования для
скрытия своей активности и использования решений, которые борются с
этим (EDR на оконечных устройствах, устройства для SSL Offload,
инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников, использование технологий
машинного обучения для обнаружения вредоносной активности внутри
зашифрованного трафика без его расшифрования)

21. Что может порекомендовать Cisco?
ISE Stealthwatch
AMP4E Umbrella
Cisco

22. Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативамP
Что
Когда
Где
Как
Как предотвратить? Cisco ISE
Дверь в
сеть
Контекст
Интеграция с Cisco ISE, ASA, FTD, Meraki, Tetration, AnyConnect, WSA, Umbrella, Threat Grid, AMP…

23. Программно-определяемая сегментация
Пример:
ISE
ASA
FW
Сегмент внутренних
устройств
Защита внутренних устройств от
неизвестных угроз
Блокирование любого
неожиданного трафика с
не внутренних устройствКаждый ПК
проверяется на
соответствие
политикам
безопасности
ИТ-сегмент
Блокирование
SMB/TCP для
остановки инфекции
WannaCry!

24. Монитор
Контроль доступа на всем протяжении
Этаж 1 SW
Этаж 2 SW
ЦОД
DC FW
Гости
БД
биллинга
ISE
БД
сервер
Станция
админа
OS Type: Windows XP Embedded
User: Mary
AD Group: Nurse
Device Group: Nurse Workstation
Security Group = Clinical Device
OS Type: Windows 8.1
User: guest123@yahoo.com
AD Group: None
Device Group: BYOD Laptop
Security Group = GuestАвторизационный
доступ через группы
безопасности SGT
ASA with FirePower Policy
Сеть клиники
Использование
TrustSec-свитчей
Мобильное
устройство

25. Монитор
В том числе и для офисных устройств
Этаж 1 SW
Этаж 2 SW
ЦОД
DC FW
Гости
БД
биллинга
ISE
БД
сервер
Станция
админа
Коммутатор автоматически получает
все политики с ISE
только для подключенных устройств
TrustSec Policy
(SGACL)
конфигурируется и
передается через ISE
Трафик
фильтруется через
ту же VLAN
SGACL
Policy
Сеть клиники
Мобильные
устройства

26. Как мониторить? Cisco Stealthwatch!
Транзакции Контекст
Аналитика и выводы
Сеть
Идентификация
Разведка
Классификация
Аналитические
движки
Модель данных
Cisco Stealthwatch: это коллектор и агрегатор сетевой телеметрии для
целей моделирования данных, анализа и мониторинга безопасности

27. Поведенческая модель обнаружения
аномалий
Alarm table
Host snapshot
Email
Syslog / SIEM
Mitigation
Реагирование
Подозрение
Утечка данных
C&C
Разведка
Перемещение
данных
Эксплуатация
Цель DDoS’а
Категория события
События
безопасностиСбор и анализ
сетевых потоков
Сетевые
потоки
Addr_Scan
..
Bad_Flag_ACK**
Beaconing Host
Bot Infected Host - Successful
Brute Force Login
Fake Application
Flow_Denied
..
ICMP Flood
..
Max Flows Initiated
Max Flows Served
..
Suspect Data Hoarding
Suspect Data Loss
Suspect Long Flow
..
UDP Received

28. Внутренний нарушитель

29. Внутренний нарушитель крадет данные из
ЦОДа
Дай мне все ассоциированные соединения?

30. Внутренний нарушитель использует SSH

31. … а потом сливает все через HTTPS

32. Encrypted Traffic Analytics (ETA)
Соответствие требованиям с
точки зрения регуляторики
Вредоносное ПО в
зашифрованных соединениях
Является ли то, что передаётся
внутри TLS вредоносным?
• Конфиденциальность сохраняется
• Обеспечивается целостность
информации
• Адаптируется к новым стандартам
шифрования
Какие приложения используют
сильное шифрование и как?
• Аудит нарушения политик использования
TLS
• Пассивное обнаружение криптонаборов с
известными уязвимостями
• Мониторинг использования шифрования
в сети

33. Encrypted Traffic Analytics (ETA)
Известный
вредоносный
трафик
Известный
«хороший» трафик
Выделение
характерных признаков
в сетевом трафике
Применение
технологий машинного
обучения для
получения
классификаторов
Сессии известного
вредоносного ПО
определяются в
сетевом трафике с
99% аккуратностью и
низким FDR
“Deciphering Malware's use of TLS (without Decryption)”
Blake Anderson, Subharthi Paul, David McGrew
https://arxiv.org/abs/1607.01639

34. Эффективность обнаружения ВПО в
шифрованном трафике
Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP SPLT+BD

35. Cognitive Analytics
Обнаружение зашифрованного вредоноса
Expanded CTA dashboard view
Cognitive Analytics

36. Контроль сегментации и мониторинг
нарушений
Запрещенные
взаимодействия
Межсистемное
взаимодействие

37. Нарушение политик
Клиентская
группа Группа серверов
Условия
клиентского
трафика
Условия
Серверного
трафика
Удачное или
неудачное
соединение

38. Нарушение политик
Связи в нарушении политики
• Мониторинг активных тревог в соответствии с
политикой
Утечка данных

39. Предотвращаем Обнаруживаем Снижаем риск
•Антивирус
•Обнаружение бестелесного
ВПО
•Облачная аналитика (1:1,
1:многим)
•Клиентские индикаторы
компрометации
•Статический анализ
•Песочница
•Защита от вредоносной
активности
•Машинное обучение
•Корреляция потоков данных
с устройства
•Облачные индикаторы
компрометации
•Уязвимое ПО
•Редко встречаемые файлы
•Анализ логов прокси
Как защитить ПК и сервера? AMP4E!

40. Что произошло?
Где точка отсчета?
Куда попало ВПО?
Что происходит?
Как остановить это?
Непрерывный мониторинг

41. Поиск следов угроз (Threat hunting)
Лечение в один клик
Корреляция данных об угрозах
Обеспечение глубокого расследования

42. • Предотвращение, обнаружение и
реагирование в едином решении
• Увидеть 1% того, что другие
упускают
• Быстрое внедрение через облако
или on-premises
• Снижение времени обнаружения
<4 часов
• Автоматическое лечение: увидеть
однажды, блокировать везде
• Широкий охват платформ для
защиты вашего бизнеса
1%
Увидеть то, что вы
пропустили
AMP for Endpoints

43. Как бороться с зашифрованным
трафиком?
Проблема
55% глобального web-трафика в
2017-м году передавалось в
зашифрованном виде, что на 12%
больше, чем в 2016-м
Источник: Cisco ACR 2018
В 2017-м году число вредоносных
программ, использующих
шифрование, выросло в три раза
Источник: Cisco ACR 2018
К 2019-му году 80% всего web-
трафика будет передаваться в
зашифрованном виде
Источник: Gartner
41% хакеров используют шифрование
для обхода средств защиты
Источник: Ponemon Report, 2016
Решение Cisco
Cisco AMP позволяет обнаруживать вредоносный код,
действующий на оконечных и мобильных устройствах (до
шифрования канала управления с C&C-серверами
Cisco ETA позволяет обнаруживать вредоносный код в
зашифрованном трафике, используя машинное обучение и
не прибегая к расшифрованию трафика
Radware Alteon выполняет функции SSL Offload и позволяет
расшифровывать зашифрованный трафик для анализа
Cisco NGFW / Cisco WSA умеют расшифровывать SSL-трафик
(функция SSL Offload) и применять к нему соответствующие
политики безопасности
Cisco Umbrella и Cisco Cognitive Threat Analytics позволяют
отслеживать соединения (даже зашифрованные) с C&C-
серверами вредоносного ПО
*Продается через Cisco
DLP, IPS и другие средства защиты
«не видят» зашифрованный трафик

44. 70-90%
вредоносного кода
уникально – AV не
спасает
DNS нельзя
запретить на МСЭ,
а 49%
пользователей
работают за
пределами МСЭ
Сканеры
уязвимостей ищут
дыры, а DNS-ВПО
использует
стандартные
функции
VPN частично
решает проблему,
но 69% филиалов
подключается
напрямую
Почему традиционная защита не помогает?
А как вы защищаете мобильные устройства?

45. Как мониторить доступ в Интернет?
LABS
Umbrella
(Блокирование)
208.67.222.222 ДОМЕН, IP, ASN, EMAIL, ХЭШ
API
КАТЕГОРИЯ IDENTITY
MALWARE INTERNAL IP
C2 CALLBACK HOSTNAME
PHISHING AD USER
CUSTOM (API) HOSTNAME
Investigate
(Аналитика)
СТАТУС & УРОВЕНЬ
СВЯЗИ
ВЗАИМОДЕЙСТВИЯ
АТРИБУЦИЯ
ШАБЛОНЫ & GEOs

46. Вредоносный код
и шифровальщики
Сайты-клоны и
тайпсквотинг
Сайты фейковых
новостей
Редиректы, DGA и
Fast Flux
Что можем обнаруживать и блокировать?

47. Внедрение за 5 минут! Malware
C2 Callbacks
Phishing
ЦЕНТР
Sandbox
NGFW
Proxy
Netflow
AV AV
ФИЛИАЛ
Router/UTM
AV AV
РОУМИНГ
AV
Первая линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с
DNS
Предвосхищает открытие
файлов и IP соединение
Используется всеми
устройствами
Не зависит от порта

48. Что такое Cisco Umbrella Investigate?
• Данные записей WHOIS
• Атрибуция ASN
• Геолокация IP
• Репутация доменов и IP
• Анализ вредоносных файлов
• Связи между доменами
• Обнаружение аномалий (DGA,
FFN)
• Шаблоны запросов DNS
• База пассивного DNS
На базе машинного обучения

49. Для расследования каких атак может быть
использован Cisco Umbrella Investigate?
InvestigateВредоносное
ПО
Фишинг
DDoS-атаки Спам
Фейковые
новости
Кража
бренда

50. В качестве заключения
• Для борьбы с современными угрозами
недостаточно только одного решения,
установленного на периметре
• У Cisco есть полный спектр решений
для обеспечения сетевой
безопасности и предотвращения
инцидентов, схожих с Equifax
• Мы готовы предоставить все эти
решения для тестирования заказчикам
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)

51. Спасибо!