Post on 16-Aug-2015
JSOC кейсы
Алексей ПавловАналитик JSOC
О ЧЕМ ПОЙДЕТ РЕЧЬ
• Интернет-магазин. Вредный инсайд
• APT: случай из жизни банка
• «Полезное» ПО, в чем подвох?
• Инцидент в АСУ ТП и его последствия
• Банковские системы – защищаем кредитный конвеер
• Сетевые коммуникации:
Сетевой профиль исходящей активности
Подключение администраторов с неразрешенных ip
• Контроль приложения:
Контроль бизнес-процесса жизненного цикла заявки
Эксплуатация уязвимостей
• Контроль БД:
Нелегитимные подключения к БД
Неправильный механизм запроса
Изменение структуры таблиц
Интернет-магазин. Профиль JSOC
Интернет-магазин. Вредный инсайд
• Скомпрометированные заказы отсутствовали в БД
• Профиль сетевой активности выявил исходящие подключения с одной НОДы
• Сопоставление слепков сайта выявило два JavaScript, выборочно перехватывающих заказы (~10%)
APT: случай из жизни банка
APT: как все было?
1
2
3
4
1. Инициация подключения в облачный хостинг LeaseWeb. Локальная аутентификация
2. Подключение на терминальный сервер под УЗ Администратора процессинга
3. Подключение к БД банковских систем под технологической УЗ
4. Вывод денежных средств
БД процессинга
APT: точки контроля
1. Изменение веток реестра и файлов system32
2. Профилировании легитимного ПО
3. Callback вируса по фидам партнеров
4. Аутентификация под разными УЗ. Локально и на терминальном сервере
5. Сетевой профиль – аномалия
6. Подключение к БД в нерабочее время и изменение ключевых таблиц
• 68 базовых сценариев выявления аномалии• 10+ custom сценариев (специфичных для инфраструктуры)• Статистика срабатывания на Carbanak*:
• 93 – полный цикл эмуляции• 15-20 – боевые расследования
• *http://habrahabr.ru/company/group-ib/blog/250627/
APT: точки контроля
«Полезное» ПО, в чем подвох?
«Комплект поставки» IOBIT
+ Средство удаленного администрирования, работающее в фоновом режиме
+ Zero-day вирус, типа HiddenObject.Multi.Generic
+ Монетизатор трафика – bot-net клиент
Инцидент в АСУ ТП и его последствия
Особенности
1. Изолированный сегмент
2. Высокая критичность – значительный экономический ущерб
Что было?
1. Подключение на рабочую станцию извне
2. Переход на терминальный сервер по RDP
3. Подключение к рабочей станции в технологическом сегменте
Последствия
1. Заражение вирусами
2. Проникновение злоумышленников
3. Простой производства и аварии
Банковские системы – Спецусловия по кредиту
• Быстрый кредит на специальных условиях
• -2 % по программе «Кредит Доверия»
• Согласование – однозвенное, руководителем подразделения
• Возможность монетизации при получении доступа к согласованию
Банковские системы – защищаем кредитный конвеер
Контроль изменений ключевых полей кредитных договоров
Профилирование активностей сотрудников и выявление аномалий
Контроль обращений к БД учетной финансовой системы
ОСНОВНЫЕ ШАГИ ПО РЕАЛИЗАЦИИ
1. Определение систем зоны риска:• Возможность финансовых операций• Чувствительные к публикации данные• Интересны для конкурентов
2. Выделение критичных сотрудников:– ИТ и ИБ - администраторы– VIP-пользователи и их секретари– Узел связи, расчетный центр и т.д.– Help desk и Call-center– С прямым доступом в Интернет
3. Приоритезация срабатываний:– Частотность (массовый инцидент)– Системы зоны риска – Критичные пользователи