Pro Yearly is on sale from $80 to $50! »

CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki

CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki

Carbanak jako pretekst do tego by spróbować inaczej niż dotychczas popatrzeć na obronę uwzględniając modelowanie zagrożeń i metodykę Cyber Kill Chain.

Link do video: https://www.youtube.com/watch?v=EFFC49bTuzI

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

May 26, 2015
Tweet

Transcript

  1. Przemysław Skowron White Cat Security Analiza przypadku: Carbanak

  2. Agenda •  Motywacja •  Carbanak •  Bezpieczeństwo aktywne •  KillChain

    •  Win vs. NOT Lost •  Podsumowanie
  3. Motywacja •  Motywowanie jest przereklamowane, inspiruj •  Szukaj ludzi, których

    nie musisz motywować, nadal tacy są •  Stwórz warunki pracy przyjazne pracownikom
  4. Carbanak •  Do 1 MLD $ strat w sektorze finansowym

    na świecie (02/2014-) (by Kaspersky) •  FS-ISAC zaprzecza skutecznym atakom w US •  „polski” akcent w postaci IP, ale nie należącego do banku
  5. Carbanak •  Phishing -> załącznik -> instalacja złośliwego oprogramowania ->

    kradzież danych •  Nagrania video oraz wyniki pracy keyloggera trafiają do C2 – szukali metody na wyciągnięcie $ z banków
  6. Carbanak •  Wypłaty: •  Bankomaty •  Przelewy •  “Wpłaty”: • 

    Rachunki z saldami równoważącymi wypłaty (bilans się zgadza)
  7. Bezpieczeństwo aktywne •  Adaptacja – ciągła •  Wywiad na temat

    zagrożeń (ang. Threat intelligence) – zacznij od takiego, który potrafisz konsumować •  Reaguj – automatycznie, tak często jak tylko możesz
  8. KillChain •  Czy ktoś słyszał o tej metodyce? •  Czy

    ktoś próbował? •  Czy ktoś używa?
  9. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  10. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  11. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  12. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)
  13. Kill Chain – Home Work Faza Detekcja Prewencja Zakłócenie Degradacja

    Zwodzenie Rekonesans Uzbrojenie Dostarczenie Wykorzystanie Instalacja C2 A or O
  14. Kill Chain •  Przyjmijcie scenariusz ataku i wypełnijcie tabelkę (tym

    co macie, tym co potrzebujecie mieć) •  Szukajcie wspólnych mianowników, atrybutów, cech dla analizowanych zdarzeń •  Agregujcie zdarzenia w oparciu o te cechy
  15. Kill Chain •  Powtarzajcie proces dla kolejnych scenariuszy (metody wykrywania

    wektorów zaczną się powtarzać, najczęściej zmieniają się scenariusze socjotechniczne) •  Daj sobie szansę na zatrzymanie wroga choćby u bram, którymi będzie chciał uciec z łupem
  16. Win vs. NOT Lost •  Defensywni nie są od wygrywania,

    nie dajmy przegrać •  Przegrana bitwa nie oznacza przegranej wojny •  Akceptacja powyższych pozwoli walczyć dłużej, inaczej poddasz się bez walki
  17. Podsumowanie •  W Polsce trudno znaleźć przykłady metodyk adaptowanych do

    świata IT -> szukaj w US •  Wykorzystaj to co masz, rozejrzyj się (nawet AV może pomóc) •  Nie deprymuj się brakiem idealnych rozwiązań, WALCZ!
  18. Dziękuję! (szczególnie z uwagi na porę) kontakt@whitecatsec.com http://www.whitecatsec.com