презентация вирусы в_казахстане_гтс
TRANSCRIPT
Вирусы в Казахстане – насколько они опасны? Все, что Вы хотели, но боялись спросить!
Биль Олег Викторович –
главный специалист Службы реагирования на компьютерные инциденты
Обо мне
2
Место работы: KZ-CERT, вирусный аналитик.
Сфера интересов: информационная безопасность (ИБ),
борьба с компьютерными вирусами (более 10 лет).
Основные достижения в сфере ИБ:
Принимал участие в проектировании системы безопасности
программного продукта, используемого в сфере образования
на республиканском уровне;
Подготовил троих студентов к участию в конференции по ИБ, проводимой
ЗАО «Лаборатория Касперского» (2010-2012 годы) в г. Москва. Результат: два призера
(третье и второе места) тура Россия и СНГ (единственные из РК) и участие в международных
турах (Польша, Германия);
Организовал визит экспертов ЗАО «Лаборатория Касперского» в г. Костанай для
тренинга по антивирусной безопасности на базе КГУ (2010) ;
Вошел в состав финалистов (21 человек из примерно 2000 участников) конкурса
«Инновационный Казахстан» (АО «Самрук-Казына», 2011);
Вошел в число победителей конкурса по анализу крэкми, проводимого
ЗАО «Лаборатория Касперского» (2016).
Результаты исследований: We are under attack!
больше половины проанализированных объектов – шпионское ПО (еще треть – бэкдоры!); один компьютер: 20 вредоносных объектов, 12 – шпионов, 4 – установлены за один день! 8 месяцев – рекорд! Активное шпионское ПО на компьютере! Второе место – 2,5 месяца. Оба – имели логи клавиатурного шпиона (пароли, письма и т.д.). Логи – расшифрованы! > 20 компьютеров – цели одной атаки. Идентификация – по модифицированному MAC. MAC адреса целей – успешно расшифрованы! C&C сервер назван «в честь» объекта атаки (казахстанская организация); > 600 версий файлов обработано шпионом (в логе).
3
Один из объектов: PlugX (Gulpix, Korplug). Схема работы.
4
Результаты исследований: Опасность - повсюду!
rtf, pps, xls, doc, pdf…; DLL-side loading hijacking:
3 производителя антивирусного ПО, 1 – крупный разработчик ПО, легитимные файлы, сложно искать вредонос;
доступные песочницы – не всегда способны детектировать опасные действия или дают множество ложных срабатываний; применение легитимного ПО для атак – обход «белых» списков; вредоносное ПО на скриптах.
5
Результаты исследований: Что делать?
правильно выбирать и настраивать защитные продукты, развивать критическое мышление; блокировать ненужные функции (обработчики скриптов: wscript, cscript, PowerShell); обучать информационной безопасности весь персонал, включая офисных работников и руководителей. Технических специалистов – обучать методам обнаружения и борьбы с вирусами; правила безопасности – должны исполнять все, без исключений. Нужно помнить: на компьютере руководителя – самая ценная информация! при работе с важной информацией – детально исследовать обнаруженное вредоносное ПО (или сам подозрительный компьютер).
6