![Page 1: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/1.jpg)
НИКОЛАЙ РОМАНОВВЕДУЩИЙ ТЕХНИЧЕСКИЙ КОНСУЛЬТАНТ, СЕРТИФИЦИРОВАННЫЙ ТРЕНЕРTREND MICRO
СКРЫТЫЕ УГРОЗЫ – МОЖНО ЛИ ТАЙНОЕ СДЕЛАТЬ ЯВНЫМ?
![Page 2: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/2.jpg)
Source: GTIR, Solutionary, 2013
1-й день: жертва получает вредоносный код через фишинговое письмо
1-й день: жертва получает вредоносный код через фишинговое письмо
В 3-недельный срок в продукционной системе
атакующим «авторизовано» создается учетная запись,
меняющая права пользователя
В 3-недельный срок в продукционной системе
атакующим «авторизовано» создается учетная запись,
меняющая права пользователя
Примерно к концу 3-й недели сотрудники обнаруживают и
удаляют поддельную учетную запись
Примерно к концу 3-й недели сотрудники обнаруживают и
удаляют поддельную учетную запись
Клиент обращается к независимым аналитикам для
расследования
Клиент обращается к независимым аналитикам для
расследования
Удается найти точку входа и оставленный backdoor
Удается найти точку входа и оставленный backdoor
2012 – СКРЫТАЯ АТАКА НА БАНК СТОИМОСТЬЮ $5.2 МЛН.
![Page 3: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/3.jpg)
![Page 4: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/4.jpg)
3.5 недели – это не самый плохой
вариант!
Source: GTIR, Solutionary, 2013
2012 – СКРЫТАЯ АТАКА НА $5.2 МЛН.
ИСПОЛЬЗУЕМЫЕ И НАСТРОЕННЫЕ IDS И
ANTIMALWARE НЕ ЗАПОДОЗРИЛИ НЕЛАДНОЕ!
Атакующий смог получить возможность управлять системами перевода средств в обход политик!
![Page 5: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/5.jpg)
Выявление сложнообнаружимых угроз— опыт Trend Micro в проектах (по миру)
• Известное вредоносное по обнаружено в 98% случаев
• Действующие ботнеты — 94%
• Недопустимые приложения — 88%
• Вредоносные файлы нацеленные на банки — 75%
• Вредоносные документы — 75%
• Неизвестное вредоносное ПО – 49%
• Сетевые атаки — 84%
• Вредоносные приложения для Андроид — 28%
• Использование облачных хранилищ — 60%
![Page 6: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/6.jpg)
• Выявлены попытки целевого фишинга — пару раз
• Обнаружена связь с центрами управления ботнетами — очень часто
• Обнаружены неоспоримые признаки присутствия вредоносных программ (ZACCESS, TROJ_MOSERAN.BMC, SQLSLAMMER.A, ZBOT, Spyware) — почти всегда
Deep Discovery
ВЫЯВЛЕНИЕ СЛОЖНООБНАРУЖИМЫХ УГРОЗ - ОПЫТ TREND MICRO В ПРОЕКТАХ (В РФ)
![Page 7: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/7.jpg)
![Page 8: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/8.jpg)
Источник: Максим Гончаров, Russian Underground Revisited, апрель 2014
ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ
![Page 9: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/9.jpg)
Пример: scan4you.net
ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ (ПРОДОЛЖЕНИЕ)
![Page 10: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/10.jpg)
ИзменяющиесяАтаки
Мобильные устройства и ПКРазные ОС и ПО FTP
IRC
Порт 2056ИзвестныеУгрозы
НеизвестныеУгрозы
Сотни протоколов
Десятки сетевыхпортов
i
i
i
i
ii
i ii
i HTTP
СТАНДАРТНЫЕ КАНАЛЫ ДЛЯ ПРОНИКНОВЕНИЯ
![Page 11: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/11.jpg)
ЕСТЬ ЛИ У ВАС СЕЙЧАС КАКИЕ-ТО МЕХАНИЗМЫ ЗАЩИТЫ ОТ ПОДОБНОГО?
![Page 12: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/12.jpg)
• Анализ всевозможных протоколов, используемых вредоносными программами и хакерами
• Выявление «поперечного» перемещения
• Обнаружение попыток взлома
• Детектирование вредоносных документов и файлов, для Mac и мобильных платформ
• Возможность использовать индивидуальные песочницы
• Адаптивная блокировка
• Интеграция с SIEM
• Сопоставление с глобальной информацией о ландшафте угроз
• Использует открытую аппаратную или виртуальную платформу
• Полная защита, начиная с одной системы
04/12/23 12
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
![Page 13: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/13.jpg)
Решение для мониторинга сети
предприятия с использованием
настраиваемой изолированной среды
(«песочниц») и оперативных сведений,
позволяющих выявлять и отражать
атаки на ранних стадиях
Решение: Deep Discovery
![Page 14: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/14.jpg)
Анализ «слабых»сигналов
Обнаружение
Разбор угрозыОткуда? Риск? Канал?
Анализ Блокировка
Мгновенная блокировка динамической
сигнатурой
Реакция
Избавление от заразы
Deep Discovery Inspector Deep Discovery Endpoint Sensor
Сеть Конечный узел
ИНДИВИДУАЛЬНАЯ ЗАЩИТА — ПРАВИЛЬНЫЙ ПОДХОД
![Page 15: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/15.jpg)
ИНДИВИДУАЛЬНАЯ ЗАЩИТА В ДЕЙСТВИИ
• Обновления «черныхсписков» IP/доменов
• Индивидуальныесигнатуры
15
Веб доступКонечные точки
Обмен сообщениями
Сервер
![Page 16: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/16.jpg)
Обнаружение
Анализируется более80 протоколов
Модуль Network Content InspectionМодуль Network Content Inspection
Модуль Advanced Threat SecurityМодуль Advanced Threat Security
Репутация IP & URLРепутация IP & URL
Виртуальный анализаторВиртуальный анализатор
Модуль корреляции сетевых данныхМодуль корреляции сетевых данных
DNSDNS
SQLSQL P2PP2P
HTTPHTTP SMTPSMTP
CIFSCIFS
FTPFTP
-----
Эксплойты, внедренные в документы
Незаметная загрузкаДропперы
Неизвестный ВПКДоступ к C&CКража данных
Черви/распространениеБекдор-активность
Передача данных наружу
Подход 360°
• Анализ содержимого
• Эмуляция открытия документов
• Анализ «полезной нагрузки»
• Анализ поведения
• Обнаружение взлома
• Мониторинг сети
Расползание в сети
Взлом
Точка входа
ТЕХНОЛОГИИ DEEP DISCOVERY
![Page 17: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/17.jpg)
• «Свой» образ ОС
• Ускоренное выполнение
• Обнаружение Anti-VM
• 32/64 бит
• Исполняемые файлы, документы, URL...
WinXP SP3WinXP SP3 Win7BaseWin7Base
Isolated Network
Индивидуальная песочница
«Живой» мониторинг• Интеграция с ядром (хуки, инъекции в dll)
• Анализ сетевых потоков
• Корреляция событий
Filesystemmonitor
Registry
monitor
Processmonitor
Rootkitscanner
Networkdriver
Fake Explorer
Fake Server
Fake AVAPI
Hooks
Win7HardenedWin7Hardened
Core Threat Simulator
LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000key: HKEY_CURRENT_USER\Local Settings\MuiCache\48\52C64B7E\LanguageList value:key: HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4fWrite: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exesocket ARGs: ( 2, 2, 0 ) Return value: 28bfesocket ARGs: ( 23, 1, 6 ) Return value: 28c02window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008.......
Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz
Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz
!
Анализ
ВИРТУАЛЬНЫЙ АНАЛИЗАТОР
![Page 18: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/18.jpg)
Эмуляция окружения
Извлечение икорреляция• Сценарии
• Взлом
• Скрипты (JS/AS)
• Структура файла
• «полезная нагрузка»...
Win32 DLLsWin32 DLLs Process Environment
Process Environment
Virtual Processor
Virtual Processor
File & Registry Simulation
File & Registry Simulation
• Быстрый анализ
• Типы документов• Microsoft Office
• Adobe PDF
• Adobe Flash и др.
Высокий уровеньдетектирования
Анализдокументов
Разборформатов
Эмулятор
Обнаружение
МОДУЛЬ DOCODE
![Page 19: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/19.jpg)
• Готовые к работе устройства
• Формирование понятных отчетов силами аналитиков Trend Micro
• Инженерные ресурсы Trend Micro
Наша помощь в проекте
![Page 20: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/20.jpg)
Зависит от требуемой пропускной способности
250 Мбит/с↓ 500 Мбит/с↓ 1000 Мбит/с ↓4 Гбит/с
Лицензирование
![Page 21: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/21.jpg)
Просто обнаружить угрозу – недостаточно
Установите источник и причину
Устраните последствия заражения
Обнаруживаете что-то подозрительное – а что дальше?
![Page 22: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/22.jpg)
Какие выводы можно сделать?..
Целевые атаки – потенциальная опасность для российских компаний, неважно госсектор или нет
Не всегда целевая атака = продвинутая атака!
![Page 23: Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?](https://reader035.vdocuments.pub/reader035/viewer/2022062312/556ada11d8b42a1d668b4eb3/html5/thumbnails/23.jpg)