Данил Бородавкин. Приглядываем за Windows

Transcript

1. ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин [email protected] АО «Информационные спутниковые

   системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ

2. О чем поговорим •  Говорить будем о выявлении работы вредоносного

   ПО c использованием sysmon •  В сущности, никакой rocket-science •  Популярные инструменты, много информации в интернете •  Тем не менее, речь о практическом опыте и некоторых собственных поделках •  Доклад рассчитан на широкую аудиторию, 2

3. Тренды 2017 3

4. Тренды 2017 4

5. Тренды 2017 5

6. Тренды 2017 6

7. Сигнатурная классика Знаем что искать Ищем 7

8. Сигнатурная классика Знаем что искать Ищем 8 Не всегда работает!

9. Поведенческий анализ Знаем вектор атаки Описываем его в терминах системных

   событий Мониторим 9

10. Инструменты 10

11. Инструменты 11

12. Инструменты 12

13. Инструменты 13

14. Практика •  Скоро сказка сказывается, да не скоро дело делается

    14

15. Практика 15

16. Практика Для удобства мониторинга сделали небольшую собственную поделку: •  собираем

    данные о всех уникальных запускавшихся исполняемых файлах; •  прокидываем хэши на Вирустотал; •  анализируем пути, откуда запускалось; •  с эталонной машины берем «хорошие» хэши, чтобы их откинуть (еще не прикрутили); Как итог, имеем ранжированный список, с которым можно работать. 16

17. Практика 17

18. Практика 18

19. Практика 19

20. Практика 20

21. Практика 21

22. Практика 22

23. Практика Понравились наши поделки – посмотрите доклад с PHDays, там

    есть еще. J https://www.slideshare.net/phdays/apt-76552281 23

24. FROM SIBERIA WITH LOVE

25. ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин [email protected] АО «Информационные спутниковые

    системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ