7. Кейс 3. Схема работы. 7

6. Кейс 2: интересный метод заражения . 6

1. Вирусы в Казахстане: обзор реальных кейсов. Биль Олег Код ИБ, Астана 6 декабря, 2018

4. Кейс 1: компиляция вредоносного кода на компьютере - жертве ( CS + bat + powershell ). 4

5. CVE - 2015 - 6128 Кейс 2: интересный метод заражения . 5

10. СПАСИБО ЗА ВНИМАНИЕ! Web: www.sts.kz www.kz - cert.kz E - mail: o_bil@sts.kz o_bil@kz - cert.kz Call - center: 1400

8. использует множество доменов для получения реальных адресов (URL) загрузки вредоносных объектов (один из объектов содержит более 1400 доменов) ; исполняемый код, содержащийся в файлах вредоносных объектов – не содержит признаков вредоносного ; загружаемые вредоносные файлы имеют намеренно испорченный PE - заголовок ; для противодействия локальным песочницам, перед выполнением реального кода, осуществляется множественная проверка на исполнение в контролируемой среде . Картинка : www . lastline . com Кейс 3. Технологии противодействия обнаружению. 8

3. Результаты исследований : We are under attack ! около 90 % исследованных объектов – либо бэкдоры (исполнение произвольных команд), либо – объекты, имеющие явный шпионский функционал + выполнение произвольных команд ; один компьютер : 20 вредоносных объектов, 12 – шпионов, 4 – установлены за один день! 2 года и 3 месяца – рекорд! Активное шпионское ПО на компьютере . Второе место – 1 год и 10 месяцев ; по нашим индикаторам компрометации обнаружено более 10 зараженных компьютеров в ходе 1 инцидента ; усложнение объектов, попытки обхода многих защитных технологий (учет песочниц) . 3

9. Что делать, если Вас съели или как искать выход в безвыходной ситуации? Обнаружен лог - файл клавиатурного шпиона ( PlugX ) . Проблемы : имеющийся скрипт расшифровки понимает формат, но не расшифровывает ; загрузчик и «полезная нагрузка » ( payload) удалены антивирусом больше года назад ; надо расшифровать  . Решение : редкое имя файла вредоноса . Предположение : кастомизация сборки ; поиск с помощью VT Intelligence «связанных файлов» : найден загрузчик (но не payload) ; поиск по хешу загрузчика выдал объект с payload на одном из сервисов ; анализ payload позволил разобрать алгоритм шифрования и написать скрипт расшифровки ; определена точная дата заражения, объем и характер скомпрометированной информации, связь с другим инцидентом, и вероятный почтовый адрес злоумышленников!  9

2. Обо мне . 2 Место работы: РГП «Государственная техническая служба», главный архитектор (руководитель) Лаборатории исследования вредоносного кода. Основные достижения в сфере ИБ:  Подготовил троих студентов к участию в конференции по ИБ, проводимой Лабораторией Касперского ( 2010 - 2012 годы) в г . Москва . Результат : два призера ( третье и второе места) тура Россия и СНГ и участие в международных турах (Польша, Германия) ;  Вошел в число победителей конкурса по анализу CrackMe , проводимого Лабораторией Касперского ( 2016 ) ;  Консультировал работы по противодействию троянцам - шифровальщикам ( Talent Lab, Лаборатория Касперского – специальный приз) (март 2017 ) и защите данных от потенциально опасных расширений браузера (обе работы презентовались на секции Young School конференции Positive Hack Days 2017 ) (апрель - май 2017 ) ;  Выступал на конференциях PHDays ( Москва, 2018 ) и BIS S ummit ( Баку, 2018 ), а также ряде конференций в Казахстане .