confidence 2015: analiza przypadku: carbanak - jak uniknąć powtórki - przemysław skowron
TRANSCRIPT
Przemysław Skowron White Cat Security
Analiza przypadku: Carbanak
Agenda • Motywacja • Carbanak • Bezpieczeństwo aktywne • KillChain • Win vs. NOT Lost • Podsumowanie
Motywacja • Motywowanie jest przereklamowane,
inspiruj • Szukaj ludzi, których nie musisz
motywować, nadal tacy są • Stwórz warunki pracy przyjazne
pracownikom
Carbanak • Do 1 MLD $ strat w sektorze finansowym
na świecie (02/2014-) (by Kaspersky)
• FS-ISAC zaprzecza skutecznym atakom w US
• „polski” akcent w postaci IP, ale nie należącego do banku
Carbanak • Phishing -> załącznik -> instalacja
złośliwego oprogramowania -> kradzież danych
• Nagrania video oraz wyniki pracy keyloggera trafiają do C2 – szukali metody na wyciągnięcie $ z banków
Carbanak • Wypłaty:
• Bankomaty • Przelewy
• “Wpłaty”: • Rachunki z saldami równoważącymi wypłaty
(bilans się zgadza)
Bezpieczeństwo aktywne • Adaptacja – ciągła
• Wywiad na temat zagrożeń (ang. Threat intelligence) – zacznij od takiego, który potrafisz konsumować
• Reaguj – automatycznie, tak często jak tylko możesz
KillChain • Czy ktoś słyszał o tej metodyce?
• Czy ktoś próbował?
• Czy ktoś używa?
KillChain • Recon (rekonesans punktów wejścia i jak ich
użyć) • Weaponization (przygotowanie narzędzia
ataku/ładunku) • Delivery (dostarczenie: e-mail, pendrive, itp.) • Exploitation (“odpalenie” ładunku) • Installation (instalacja kanału komunikacyjnego) • C2 (zestawienie komunikacji z
“Command&Control”) • Actions or Objectives (kradzież danych, skok
dalej, itp.)
KillChain • Recon (rekonesans punktów wejścia i jak ich
użyć) • Weaponization (przygotowanie narzędzia
ataku/ładunku) • Delivery (dostarczenie: e-mail, pendrive, itp.) • Exploitation (“odpalenie” ładunku) • Installation (instalacja kanału komunikacyjnego) • C2 (zestawienie komunikacji z
“Command&Control”) • Actions or Objectives (kradzież danych, skok
dalej, itp.)
KillChain • Recon (rekonesans punktów wejścia i jak ich
użyć) • Weaponization (przygotowanie narzędzia
ataku/ładunku) • Delivery (dostarczenie: e-mail, pendrive, itp.) • Exploitation (“odpalenie” ładunku) • Installation (instalacja kanału komunikacyjnego) • C2 (zestawienie komunikacji z
“Command&Control”) • Actions or Objectives (kradzież danych, skok
dalej, itp.)
KillChain • Recon (rekonesans punktów wejścia i jak ich
użyć) • Weaponization (przygotowanie narzędzia
ataku/ładunku) • Delivery (dostarczenie: e-mail, pendrive, itp.) • Exploitation (“odpalenie” ładunku) • Installation (instalacja kanału komunikacyjnego) • C2 (zestawienie komunikacji z
“Command&Control”) • Actions or Objectives (kradzież danych, skok
dalej, itp.)
Kill Chain – Home Work Faza Detekcja Prewencja Zakłócenie Degradacja Zwodzenie
Rekonesans
Uzbrojenie
Dostarczenie
Wykorzystanie
Instalacja
C2
A or O
Kill Chain • Przyjmijcie scenariusz ataku i wypełnijcie
tabelkę (tym co macie, tym co potrzebujecie mieć)
• Szukajcie wspólnych mianowników, atrybutów, cech dla analizowanych zdarzeń
• Agregujcie zdarzenia w oparciu o te cechy
Kill Chain • Powtarzajcie proces dla kolejnych
scenariuszy (metody wykrywania wektorów zaczną się powtarzać, najczęściej zmieniają się scenariusze socjotechniczne)
• Daj sobie szansę na zatrzymanie wroga choćby u bram, którymi będzie chciał uciec z łupem
Win vs. NOT Lost • Defensywni nie są od wygrywania, nie
dajmy przegrać
• Przegrana bitwa nie oznacza przegranej wojny
• Akceptacja powyższych pozwoli walczyć dłużej, inaczej poddasz się bez walki
Podsumowanie • W Polsce trudno znaleźć przykłady metodyk
adaptowanych do świata IT -> szukaj w US
• Wykorzystaj to co masz, rozejrzyj się (nawet AV może pomóc)
• Nie deprymuj się brakiem idealnych rozwiązań, WALCZ!
