phishingové útoky v roce 2014 - cesnet.cz filenázev z password harvesting fishing ... 2014 –...

11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha 1

Phishingové útoky v roce 2014

Aleš Padrta


FLAB a CESNET-CERTS

● CESNET-CERTS● Bezpečnostní tým pro reakci na incidenty

● Přehled o proběhlých incidentech

● FLAB● Forenzní LABoratoř

● Podpůrné pracoviště CESNET-CERTS● Analýza incidentů● Další služby

● Blízký kontakt s phishingy● Analýza závadných příloh


Věčné dilema uživatele

… nebo je IT oddělení outsourcovánoa posílá e-maily ze Zimbabwe ...

Nejsem si jistý, zda jde o podvod ...


Scam, phishing, podvodný e-mail

● Zvyklosti uživatelů (a médií)● Podvodný e-mail = phishing

● Terminologii si nenechají vymluvit● Radost, že poznají „problémový e-mail“

● Phishing● Podmnožina podvodných e-mailů

● Název z password harvesting fishing

● Využívá sociální inženýrství

● Podvodný e-mail (scam - podvod)● Není omezen na sbírání credentials


Evoluce podvodných e-mailů

● Evo-level 1 (phishing)● Lákání credentials jako odpověď na e-mail

● Milášek zákazník, pošlete vaše heslo a čislo boty …

● Evo-level 2 (phishing)● Přesměrování na podvodnou stránku

● Náš klient, zkontrolovat si stav účet na www...

● Evo-level 3 (scam)● Závadná příloha

● Vážený dlužník, zaplať nebo přijde exekutor … pohledávka popsána v přiloze.


Seminář o bezpečnosti

Populární podvodné e-maily2014 (a trochu 2015)


Populární podvodné e-maily

● 17. 3. 2014 – „dokument“ pro uživatele Google Docs

II



● 28. 4. 2014 – malware „smlouva“ (botnet klient)

III



● 28.5.2014 – „bankovní data“ (karty, e-banking)

I



● 15. 7. 2014 – malware „exekuce“ (evoluce „smlouvy“)

III



● 8. 9. 2014 – platba za doménu (peníze na jiný účet)

I



● 13.11.2014 – „zásilka České pošty“ (cryptolocker)

III



● 29. 12. 2014 – příloha „vánoční pohlednice“ (.src)

III



● 12. 1. 2015 – malware „objednávka“ (.src)

III



● 1.2.2015 – přístup do KBPředmět: Certifikat: error #910Datum: Sun, 1 Feb 2015 14:47:36 +0100Od: MojeBanka <[email protected]>Komu: [email protected]

Vážení zákazníci.

Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu.Ověřit nyní <http://healthymemphis.org/admin/includes/uploadify/cz/>

II



● 9.2.2015 – příloha „srážky z účtu“

(eskalace dluh exekutor srážky)



● Společné znaky● Nátlak (sociální inženýrství)

● Vhodné načasování

● Pretexting (mluví se o faktuře – v příloze MUSÍ BÝT faktura)

● Problém● Obcházení technických opatření

● Kličkování před spamfiltrem● Např. přílohy v archivu v zaheslovaném archivu

● Přesvědčivost● Uživatel nakonec reaguje


Seminář o bezpečnosti

Co se s tím dá dělat?


Prevence

● Technické prostředky● Filtrování pošty

● Generický závadný obsah● Filtrování spustitelných příloh● Není 100% + soukromé schránky

● Restrikce v systému zabezpečení stanic● Antivirová řešení, Host IPS, …

● Vzdělaní uživatelé● Řešení pro kulové univerzity ve vakuu

● Snaha vzdělávat (směřovat k ideálu)


Reakce na konkrétní vlnu

● Zkomplikovat další příjem● Specifický spamfiltr

● Zkomplikovat malware spuštění● Konkrétní pravidla v HIPS/AV řešení

● Smazat z e-mailových schránek

● Informovat uživatele

● Minimalizovat dopady● Zakázat odchozí poštu na „reply-to“ pro evo-level 1

● Blokovat URL pro podvržené stránky pro evo-level 2

● Blokovat na perimetru spojení s IP C&C / dropzóny


Reakce na konkrétní vlnu

● Identifikovat kompromitované stanice● Lokálně (souborový systém, registry)

● Podle síťového provozu ● využití informací z Passive DNS (pokud je používán fast flux)

● Identifikovat dopady kompromitace● Lokální

● Odchycení hesel, uložená data (změna, smazání, krádež)

● „Dosah“ ze stanice● Změny v informačních systémech● Šíření přes úložiště (např. Cryptolocker a namapované disky)


Analýza malware

● Cíl = získat informace● Co malware v systému dělá

● Jak poznat kompromitovanou stanici● Lokálně (filesystem, registry, běžící procesy)● Síťové chování (netflow)

● Jak malware ztížit život● Doručení uživateli● Spuštění● Komunikace s C&C

● Jak se k informacím dobrat?

● Forenzní analýza


Analýza malware

● Požadavek na rychlost

dynamická analýza

● Kontrolované prostředí● Pozorování změn v systému

● Pozorování používaných procesů

● Pozorování používaných knihoven/funkcí

● Pozorování snah o komunikaci

● Vyhodnocení

● Test detekovatelnosti malware AV● www.virustotal.com

?


Plány pro rozsáhlý incident

● Běžní uživatelé + chytrý podvod = hodně práce● Desítky, stovky kompromitovaných PC

● Mít „reakční plán“● Dohled a plánování

● Sdílené úložiště, dohledový manažer

● Notifikace uživatelů

● Získat vzorky malware pro analýzu

● Identifikovat a zablokovat útočný vektor

● Identifikovat a napravit kompromitované stanice

● Globální náprava (revokace hesel, certifikátů, ...)


Shrnutí

● Lidi jsou nepoučitelní● Podvody byly, jsou a budou

● Phishing, podvodné e-maily

● Příprava● Prevence + reakce

● Počítat s plány na řešení rozsáhlých incidentů

● Analýza chování malware● Dává potřebné informace

● FLAB: příprava služby „rychlá analýza malware“● Pro členské sítě (vzorek → informace pro řešení)


Prevence – cesty k řešení

Cesta vědění (uživatele)

Cesta síly(bezpečnostních opatření)

+


Zdroje obrázků

● www.lupa.cz

● www.root.cz

● www.viry.cz

● www.hoax.cz

● www.ceskaposta.cz

● www.kb.cz

● www.clker.com


Dotazy, diskuse, ...

???

phishingové útoky v roce 2014 - cesnet.cz filenázev z password harvesting fishing ... 2014 –...

Documents