Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня,...

Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab

Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab

19.05.2011 / Positive Hack Days

Киберпреступностьвчера, сегодня, завтра …

Global Research & Analysis Team

PAGE 2 |

Киберпреступность

Тенденции последнего года, методы, цели, причины, организаторы

…и много прочих разных пунктов, которые заставляют нас порой

работать по ночам и без выходных

Киберпреступность

Преступления, совершаемые при

помощи компьютерных технологий

PAGE 4 |

Расстановка точек над “I”

Kaspersky Security Bulletin 2010

PAGE 5 |

Новые организаторы, новые цели

PAGE 6 |


PAGE 7 |


PAGE 8 |


PAGE 9 |


PAGE 10 |


PAGE 11 |


PAGE 12 |


PAGE 13 |

Инциденты за один год

Насколько сложно взломать крупнейшие компании мира или

устроить ядерный переполох

…и не быть при этом арестованным

Операция Aurora

PAGE 15 |

Operation Aurora

PAGE 16 |

Operation Aurora

PAGE 17 |

Operation Aurora

PAGE 18 |

Operation Aurora

PAGE 19 |

Operation Aurora

PAGE 20 |

«We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China.

The decision to review our business operations in China has been incredibly hard,and we know that it will have potentially far-reaching consequences»

Operation Aurora

PAGE 21 |

Advanced Persistent Threat

или

“Asian-Pacific Threat” ?

Operation Aurora

PAGE 22 |

MS10-002

CVE-2010-0249

Operation Aurora

PAGE 23 |

Электронная почта

Контроль IM и социальных сетей

Виртуализация браузера

Контроль сетевых соединений

Контроль пользовательских

привилегий

Контроль активности приложений

Контроль поведения машины в

локальной сети

9 действий, которые могли бы

быть пресечены или

обнаружены

Первая стадия Вторая стадия Третья стадия

Сбор адресов

электронной

почты/IM/SM/

жертв

Установка

загрузчика в

систему

Установка

кейлоггера

Подготовка веб-

ресурсов для

заражения

Загрузка

основного

модуля с

подготовленного

сайта

Установка

бэкдора

Рассылка

писем/ссылок

на эксплоит

Сбор

информации о

системе

Взаимодействие

с центром

управления

Заражение

через браузер

Дальнейший

доступ в

локальную сеть

Загрузка

дополнительны

х модулей

Operation Aurora

PAGE 24 |

Source code repositories

Интеллектуальная

собственность

Operation Aurora

PAGE 25 |

|

Большой переполох в маленьком Иране

STUXNET

|

Stuxnet

|

Stuxnet

ЧТО ?

|

StuxnetБушерская АЭС?

|

StuxnetОсновной функционал

Siemens S7-300 system

PLC с variable-frequency drives

Vacon (Финляндия), Fararo Paya (Иран)

807 – 1210hz

Насосы или газовые центрифуги

Изменяет скорость вращения моторов от 2 до 1410hz

|

StuxnetЯдерная промышленность Ирана

|

StuxnetЗавод по обогащению урана в Natanz

|

Stuxnet

|

Stuxnet

Scott Borg, director of the US Cyber Consequences Unit

Июнь 2009

Asked to speculate about how Israel might target Iran, Borg said malware

-- a commonly used abbreviation for "malicious software" -- could be

inserted to corrupt, commandeer or crash the controls of sensitive sites

like uranium enrichment plants. Israeli agents would have to conceal the

malware in software used by the Iranians or discreetly plant it on portable

hardware brought in, unknowingly, by technicians.

"A contaminated USB stick would be enough," Borg said.

|

Stuxnet

Блок SCADA/PLC

Модуль распространения

и инсталляции червя

|

Операция Myrtus

Проект менеджер

Код червя

3-4 человека

(проект Guava)

Код PLC


Код эксплоитов


Тестеры

6-8 человек

Группа C&C

2 человека

Группа распространения

7-10 человек

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb

|

StuxnetУязвимости

Распространение через флешки via LNK (MS10-046) – 0-Day

Распространение по локальной сети via Server Service (MS08-067)

Распространение по локальной сети via Print Spooler (MS10-061) – 0-Day

Повышение привилегий via Keyboard layout file (MS10-073) – 0-Day

Повышение привилегий via Task Scheduler (MS10-092) – 0-Day

«Уязвимость» в авторизации Sematic WinCC

|

Stuxnet

|

Stuxnet

Контроль USB-устройств

Контроль внешних сетевых соединений

Контроль пользовательских привилегий

Контроль активности приложений

Контроль поведения машины в локальной сети

|

Stuxnet

Первая стадия (ноябрь 2008-июнь

2009)

Вторая стадия (Июнь 2009 –

Декабрь 2009)

Третья стадия (Январь 2010-Июль

2010)

Распространение на USB

flash

Добавление цифровых

подписей

Создание C&C Распространение по сетиДобавление новых

уязвимостей

Разработка кода Взаимодействие с C&CВнедрение червя – Вариант

B

Тестирование кода P2P-ботнетВнедрение червя – Вариант

C

Внедрение червя - Вариант

AЗакрытие C&C

|

Stuxnet

|

Что дальше ?

Gen. Keith Alexander,

head of U.S. Cyber

Command, recently told

Congress “… We believe

that state actors have

developed cyber weapons

to cripple infrastructure

targets in ways tantamount

to kinetic assaults. Some

of these weapons could

potentially destroy

hardware as well as data

and software.”

|

Что дальше ?

|

Night Dragon

|

Night Dragon

Когда: с начала ноября 2009 года

Цель: нефтяные, энергетические, химические компании

(Казахстан, Тайвань, Греция, США)

Методы: социальная инженерия, фишинг,

использование уязвимостей SQL и Windows

Способ: взлом LDAP и установка бэкдора

Жертвы: руководство компаний

|

Night Dragon

1

• SQL injection на веб-сайт

• Получение возможности выполнения команд

2

• Загрузка средств взлома на сервера

• Подбор паролей и проникновение в интранет

3

• Получение доступа к LDAP

• Получение доступа к машинам

4

• Установка бэкдора

• Сбор информации

5

• Отправка информации на C&C

• Загрузка новых модулей

|

Night Dragon

|

Night Dragon

"Starting in November 2009, covert cyberattacks were launched

against several global oil, energy and petrochemical companies. The

target of the attacks were bidding information, prospecting data

and other confidential information related to business ventures.

This information is highly sensitive and can make or break multibillion-

dollar deals in this extremely competitive industry”

Files of interest focused on operational oil and gas field production

systems and financial documents related to field exploration and

bidding that were later copied from the compromised hosts or via

extranet servers. In some cases, the files were copied to and

downloaded from company web servers by the attackers. In certain

cases, the attackers collected data from SCADA systems.

|

Night Dragon

|

Night Dragon

Контроль веб-приложений и баз данных

Контроль серверов и прав доступа

Контроль электронной почты

Виртуализация браузера

Контроль мобильных устройств

Контроль внутренней сетевой активности

Контроль внешних соединений

Контроль приложений

Контроль утечек

|

Night Dragon

| 01 June 2011PAGE 61 | Kaspersky Lab PowerPoint Template

Night Dragon

|

hacktivism

|

Anonymous

|

HBGary

|

HBGary

http://hbgaryfederal.com«самодельная» CMS

SQL-injectionhttp://www.hbgaryfederal.com/pages.php?pageNav=2&page=27

Usernames, emails, password hashes

MD5, rainbow table-based атака

CEO Aaron Barr и COO Ted Vera

6 букв и 2 цифры

|

HBGary

|

HBGary

Custom CMS, без патчей и с дырами

SQL-injection

Простое шифрование

Простые пароли

Один и тот же пароль для разных сервисов

Уязвимый сервер, без патчей

Социальная инженерия

|

HBGary

|

RSA

RSA

PAGE 77 |

Advanced Persistent Threat

или

“Asian-Pacific Threat” ?

RSA

PAGE 78 |

CVE-2011-0609

RSA

PAGE 79 |

1

• Фишинговая атака с 0-day (CVE-2011-0609)

• 2011 recruitment plan.xls

2

• Установка бэкдора в системы

• Poison Ivy RAT

3

• Повышение уровня доступа

• Получение доступа к другим машинам и сервисам

4

• Сбор информации

• Шифрование собранного (RAR password-protected)

5

• Отправка данных по ftp на C&C

• Удаление данных с машины

RSA

PAGE 80 |

RSA

PAGE 81 |

www.usgoodluck.comobama.servehttp.comprc.dynamiclink.ddns.us

People’s Republic of China ?

RSA

PAGE 82 |

RSA

PAGE 83 |

RSA

PAGE 84 |

RSA

PAGE 85 |

Киберпреступность 2011

Сходство и различие

Итоги

PAGE 87 |

Традиционная Новые игроки

Известные

уязвимости

общие эксплоиты

0day

Собственные

разработки

Уязвимости

Итоги

PAGE 88 |


Windows

Windows

*nix

Web-based

Mobile

Платформы

Итоги

PAGE 89 |


Атаки через

браузер

Электронная почта

Атаки через

браузер

Путь

Итоги

PAGE 90 |


ФишингСоциальная

инженерия

Методы

Итоги

PAGE 91 |


Массовость Точечные атаки

Масштаб

Итоги

PAGE 92 |


Деньги

Корп.шпионаж

Национальные

интересы

Публичность

Цели

Итоги

PAGE 93 |

2003

2011

2011: фронтовые сводки

2011

PAGE 95 |

Спасибо

КиберпреступностьВчера, сегодня, завтра…

Александр Гостев, Chief Security Expert, GReAT, Kaspersky Lab

Виталий Камлюк, Malware Expert, GReAT, Kaspersky Lab

19.05.2011 / Positive Hack Days

Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня,...

Business

Transcript of Positive Hack Days. Гостев. Киберпреступность: вчера, сегодня,...