ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин danil.borodavkin@gmail.com АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ

О чем поговорим •  Говорить будем о выявлении работы вредоносного ПО c использованием sysmon •  В сущности, никакой rocket-science •  Популярные инструменты, много информации в интернете •  Тем не менее, речь о практическом опыте и некоторых собственных поделках •  Доклад рассчитан на широкую аудиторию, 2

Тренды 2017 3

Тренды 2017 4

Тренды 2017 5

Тренды 2017 6

Сигнатурная классика Знаем что искать Ищем 7

Сигнатурная классика Знаем что искать Ищем 8 Не всегда работает!

Поведенческий анализ Знаем вектор атаки Описываем его в терминах системных событий Мониторим 9

Инструменты 10

Инструменты 11

Инструменты 12

Инструменты 13

Практика •  Скоро сказка сказывается, да не скоро дело делается 14

Практика 15

Практика Для удобства мониторинга сделали небольшую собственную поделку: •  собираем данные о всех уникальных запускавшихся исполняемых файлах; •  прокидываем хэши на Вирустотал; •  анализируем пути, откуда запускалось; •  с эталонной машины берем «хорошие» хэши, чтобы их откинуть (еще не прикрутили); Как итог, имеем ранжированный список, с которым можно работать. 16

Практика 17

Практика 18

Практика 19

Практика 20

Практика 21

Практика 22

Практика Понравились наши поделки – посмотрите доклад с PHDays, там есть еще. J https://www.slideshare.net/phdays/apt-76552281 23

FROM SIBERIA WITH LOVE

ПРИГЛЯДЫВАЕМ ЗА WINDOWS Д. А. Бородавкин danil.borodavkin@gmail.com АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва» НУЛ «Информационная безопасность» каф. ПМКБ ИКИТ СФУ