7. Кейс 3. Схема работы. 7
6. Кейс 2: интересный метод заражения . 6
1. Вирусы в Казахстане: обзор реальных кейсов. Биль Олег Код ИБ, Астана 6 декабря, 2018
4. Кейс 1: компиляция вредоносного кода на компьютере - жертве ( CS + bat + powershell ). 4
5. CVE - 2015 - 6128 Кейс 2: интересный метод заражения . 5
10. СПАСИБО ЗА ВНИМАНИЕ! Web: www.sts.kz www.kz - cert.kz E - mail: o_bil@sts.kz o_bil@kz - cert.kz Call - center: 1400
8. использует множество доменов для получения реальных адресов (URL) загрузки вредоносных объектов (один из объектов содержит более 1400 доменов) ; исполняемый код, содержащийся в файлах вредоносных объектов – не содержит признаков вредоносного ; загружаемые вредоносные файлы имеют намеренно испорченный PE - заголовок ; для противодействия локальным песочницам, перед выполнением реального кода, осуществляется множественная проверка на исполнение в контролируемой среде . Картинка : www . lastline . com Кейс 3. Технологии противодействия обнаружению. 8
3. Результаты исследований : We are under attack ! около 90 % исследованных объектов – либо бэкдоры (исполнение произвольных команд), либо – объекты, имеющие явный шпионский функционал + выполнение произвольных команд ; один компьютер : 20 вредоносных объектов, 12 – шпионов, 4 – установлены за один день! 2 года и 3 месяца – рекорд! Активное шпионское ПО на компьютере . Второе место – 1 год и 10 месяцев ; по нашим индикаторам компрометации обнаружено более 10 зараженных компьютеров в ходе 1 инцидента ; усложнение объектов, попытки обхода многих защитных технологий (учет песочниц) . 3
9. Что делать, если Вас съели или как искать выход в безвыходной ситуации? Обнаружен лог - файл клавиатурного шпиона ( PlugX ) . Проблемы : имеющийся скрипт расшифровки понимает формат, но не расшифровывает ; загрузчик и «полезная нагрузка » ( payload) удалены антивирусом больше года назад ; надо расшифровать . Решение : редкое имя файла вредоноса . Предположение : кастомизация сборки ; поиск с помощью VT Intelligence «связанных файлов» : найден загрузчик (но не payload) ; поиск по хешу загрузчика выдал объект с payload на одном из сервисов ; анализ payload позволил разобрать алгоритм шифрования и написать скрипт расшифровки ; определена точная дата заражения, объем и характер скомпрометированной информации, связь с другим инцидентом, и вероятный почтовый адрес злоумышленников! 9
2. Обо мне . 2 Место работы: РГП «Государственная техническая служба», главный архитектор (руководитель) Лаборатории исследования вредоносного кода. Основные достижения в сфере ИБ: Подготовил троих студентов к участию в конференции по ИБ, проводимой Лабораторией Касперского ( 2010 - 2012 годы) в г . Москва . Результат : два призера ( третье и второе места) тура Россия и СНГ и участие в международных турах (Польша, Германия) ; Вошел в число победителей конкурса по анализу CrackMe , проводимого Лабораторией Касперского ( 2016 ) ; Консультировал работы по противодействию троянцам - шифровальщикам ( Talent Lab, Лаборатория Касперского – специальный приз) (март 2017 ) и защите данных от потенциально опасных расширений браузера (обе работы презентовались на секции Young School конференции Positive Hack Days 2017 ) (апрель - май 2017 ) ; Выступал на конференциях PHDays ( Москва, 2018 ) и BIS S ummit ( Баку, 2018 ), а также ряде конференций в Казахстане .