CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki

Transcript

1. Przemysław Skowron White Cat Security Analiza przypadku: Carbanak

2. Agenda •  Motywacja •  Carbanak •  Bezpieczeństwo aktywne •  KillChain

   •  Win vs. NOT Lost •  Podsumowanie

3. Motywacja •  Motywowanie jest przereklamowane, inspiruj •  Szukaj ludzi, których

   nie musisz motywować, nadal tacy są •  Stwórz warunki pracy przyjazne pracownikom

4. Carbanak •  Do 1 MLD $ strat w sektorze finansowym

   na świecie (02/2014-) (by Kaspersky) •  FS-ISAC zaprzecza skutecznym atakom w US •  „polski” akcent w postaci IP, ale nie należącego do banku

5. Carbanak •  Phishing -> załącznik -> instalacja złośliwego oprogramowania ->

   kradzież danych •  Nagrania video oraz wyniki pracy keyloggera trafiają do C2 – szukali metody na wyciągnięcie $ z banków

6. Carbanak •  Wypłaty: •  Bankomaty •  Przelewy •  “Wpłaty”: • 

   Rachunki z saldami równoważącymi wypłaty (bilans się zgadza)

7. Bezpieczeństwo aktywne •  Adaptacja – ciągła •  Wywiad na temat

   zagrożeń (ang. Threat intelligence) – zacznij od takiego, który potrafisz konsumować •  Reaguj – automatycznie, tak często jak tylko możesz

8. KillChain •  Czy ktoś słyszał o tej metodyce? •  Czy

   ktoś próbował? •  Czy ktoś używa?

9. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

   •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)

10. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)

11. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)

12. KillChain •  Recon (rekonesans punktów wejścia i jak ich użyć)

    •  Weaponization (przygotowanie narzędzia ataku/ładunku) •  Delivery (dostarczenie: e-mail, pendrive, itp.) •  Exploitation (“odpalenie” ładunku) •  Installation (instalacja kanału komunikacyjnego) •  C2 (zestawienie komunikacji z “Command&Control”) •  Actions or Objectives (kradzież danych, skok dalej, itp.)

13. Kill Chain – Home Work Faza Detekcja Prewencja Zakłócenie Degradacja

    Zwodzenie Rekonesans Uzbrojenie Dostarczenie Wykorzystanie Instalacja C2 A or O

14. Kill Chain •  Przyjmijcie scenariusz ataku i wypełnijcie tabelkę (tym

    co macie, tym co potrzebujecie mieć) •  Szukajcie wspólnych mianowników, atrybutów, cech dla analizowanych zdarzeń •  Agregujcie zdarzenia w oparciu o te cechy

15. Kill Chain •  Powtarzajcie proces dla kolejnych scenariuszy (metody wykrywania

    wektorów zaczną się powtarzać, najczęściej zmieniają się scenariusze socjotechniczne) •  Daj sobie szansę na zatrzymanie wroga choćby u bram, którymi będzie chciał uciec z łupem

16. Win vs. NOT Lost •  Defensywni nie są od wygrywania,

    nie dajmy przegrać •  Przegrana bitwa nie oznacza przegranej wojny •  Akceptacja powyższych pozwoli walczyć dłużej, inaczej poddasz się bez walki

17. Podsumowanie •  W Polsce trudno znaleźć przykłady metodyk adaptowanych do

    świata IT -> szukaj w US •  Wykorzystaj to co masz, rozejrzyj się (nawet AV może pomóc) •  Nie deprymuj się brakiem idealnych rozwiązań, WALCZ!

18. Dziękuję! (szczególnie z uwagi na porę) [email protected] http://www.whitecatsec.com