Чем запомнился первый день PHDays VII

Чем запомнился первый день PHDays VII

Чем запомнился первый день PHDays VII

В известной карикатуре от Joy of Tech поумневшая кухонная техника регулярно занята в атаках злоумышленников и требует плату то за разблокировку холодильника, то за включение отопления. События седьмого Positive Hack Days неслучайно объединены темой «Противостояние: враг внутри»: эта реальность уже приходит в наши офисы и квартиры.

В первый день на международном форуме по практической безопасности собрались более 4000 человек из разных стран, чтобы выступить с докладами, принять участие в мастер-классах, круглых столах, хакерских конкурсах. Эксперты демонстрировали процесс заражения криптолокерами, создавали экспериментальный ботнет из маршрутизаторов, показывали процесс взлома электрических подстанций и аккаунтов WhatsApp, техники перехвата SMS и телефонных разговоров.

Массовое заражение российских государственных организаций вирусом в мае 2016 года — очередной повод обсудить защищенность корпоративной инфраструктуры. Согласно исследованию Positive Technologies, в 55% случаев нарушитель с минимальными знаниями может преодолеть внешний периметр, а в 76% корпоративных систем есть возможность получить полный контроль над отдельными критически важными ресурсами; средний возраст наиболее устаревших неустановленных обновлений составляет более шести лет. Надо что-то делать! Ключевые факторы состояния защищенности коммерческих компаний и госорганизаций обсуждали на пленарном заседании PHDays «Открытие ИБ сегодня: блеск и нищета корпоративной безопасности». Вел дискуссию заместитель генерального директора Positive Technologies по развитию бизнеса Борис Симис.

Сергей Лебедь (руководитель службы информационной безопасности Сбербанка) напомнил о 14 апреля, когда хакеры The Shadow Brokers выложили архивы с модулями, на базе одного из которых был сделан WannaCry. Сергей тогда выступал на одной из конференций. «Я спросил коллег, хорошо ли прошли их выходные, — потому что мы круглые сутки разбирали эти модули и готовили рекомендации для наших специалистов по безопасности. Однако многие на профильной даже не слышали об этой утечке! Часть специалистов по ИБ существуют словно в отрыве от практической безопасности», — вспоминает Сергей Лебедь.

«Показательна недавняя история, когда выяснилось, что хакеры стали перехватывать одноразовые банковские пароли через SS7. Мы два года показывали телекомам, что так может случиться, но операторы отвечали, что все под контролем», — рассказал Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies.

Сергей Гордейчик («Лаборатория Касперского») отметил, что «своего периметра не знает никто». Чем крупнее корпорация, тем сложнее все охватить. Однако нельзя и перекладывать ответственность на пользователей: «Все должны осознать, что гражданин не может самостоятельно обеспечить свою безопасность — ни цифровую, ни физическую. За карточный фрод должны отвечать банки, а защищенность электронного правительства и его пользователей должно контролировать государство».

Как не закричать от WannaCry

Начальник отдела обеспечения информационной безопасности ПАО «МТС» Андрей Дугин выступил с докладом «SOC в большой корпоративной сети. Challenge accepted». Он рассказал об этапах построения Security Operations Center в компании «МТС» в докладе «SOC: позавчера-вчера-сегодня-завтра». В компании «МТС» SOC существует с 2005 года, и основное его развитие пришлось на период с 2010 по 2015 год. Посетители форума узнали о технологиях, которые были использованы, о штате операторов и выстроенных процессах. В последние два года компания оттачивает технологии и оптимизирует процессы, а операторы с режима работы 8х5 перешли на 24х7. Не обошлось без обсуждения горячей темы WannaCry. Андрей Дугин поделился информацией о том, как команда SOC отразила атаку. В «МТС» сделали ставку на проактивные действия — на patch management, резервное копирование, работу с пользователями, мониторинг событий ИБ — в журналах собственных систем и в мире.

Продолжили дискуссию на тему SOC в секции «Эволюция SOC — 2017: план развития». Олег Бакшинский (IBM), Александр Лесников (Сбербанк), Алексей Новиков (Positive Technologies), Аркадий Прокудин и Алексей Шабанов (SAP), Эльман Бейбутов (IBM), Александр Бондаренко (R-Vision), Владимир Дрюков (Solar Security), Дмитрий Пудов (ANGARA), Владимир Шадрин (ПАО «Ростелеком») и Сергей Солдатов («Лаборатория Касперского») поделились опытом построения и эксплуатации центров по мониторингу и реагированию на инциденты ИБ.

Новая еда для ботнетов

Важно понимать, что интернет вещей придуман не только для того, чтобы утром со смартфона запустить кофеварку. IoT, например, уже сейчас активно используется в медицине. Один из примеров — имплантаты для мониторинга сердцебиения. О темной стороне интернета вещей рассказали специалисты Positive Technologies во время пресс-брифинга, продемонстрировав, как злоумышленники могут взломать самые разные устройства. По данным экспертов Positive Technologies, в мире более 3,5 млн уязвимых камер. Для доступа к видеозаписям камеры отдельно взятого пользователя достаточно 60 секунд, пары запросов в Shodan и одного запроса в Google. Кроме того, более 90% всех камер видеонаблюдения, которые используются в корпоративной среде, имеют критически опасные уязвимости. Не менее удобны для заражения домашние роутеры. Пароли примерно 15 из 100 таких девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар логин—пароль (в тройку входят admin:admin, support:support, admin:0000), можно получить доступ к «админке» каждого десятого устройства.

Сегодня все боятся DDoS-атак, и тема защиты IoT поэтому особенно важна. Тяжелую поступь взломанных устройств уже прочувствовали в Spotify, Twitter, Github и PayPal: множество интеллектуальных термостатов и видеокамер легко вывели из строя сайты гигантов интернет-индустрии. Артем Гавриченков, CTO в Qrator Labs, объяснил, каким образом ситуация в области DDoS-атак кардинально изменилась буквально за один год, и в чем заключаются новые подходы к борьбе с подобными атаками. Говоря о необходимом запасе прочности для объектов в сейсмически опасных районах, он привел любопытный пример. Инженер одной из японских АЭС, которая была расположена ближе к эпицентру памятного цунами, чем знаменитая Фукусима, — лично настоял на дамбе высотой 14 метров, хотя нормы предусматривали высоту лишь 12 метров... В результате 13-метрового цунами станция не пострадала — в отличие от Фукусимы.

Говорить об IoT продолжили участники секции «(Не)безопасность интернета вещей», модерировал которую эксперт в области информационной безопасности Алексей Лукацкий. Он поднял тему мотивации злоумышленника. По словам Павла Новикова, руководителя группы исследований телекоммуникационных систем Positive Technologies, вскоре атакующие найдут достаточно много причин для эксплуатации IoT помимо идейного хулиганства: «В начале 2000-x годов встречались "черви", которые уничтожали винчестеры, однако широкого распространения они не получили, так как у злоумышленников не было никакой стратегии монетизации. Но стоит вспомнить недавние проблемы со связью одного из сотовых операторов, приведшие к остановке множества шлагбаумов, которые сегодня открываются зачастую с помощью мобильных телефонов. Что будет, если после массового внедрения систем умных городов такие инциденты начнут происходить со светофорами? Очевидным способом монетизации тогда станет простое вымогательство».

Армия из маршрутизаторов

Эксперт по ИБ должен плавать как рыба в воде в проблемах создателей ботнетов, чтобы эффективно бороться со злоумышленниками. У «ботнетовода» множество задач: найти интернет-трафик и подготовить инфраструктуры для эксплойтов и dropzone, арендовать «пуленепробиваемый» хостинг, зашифровать вредоносный бинарный файл для антивирусов, создать протоколы управления, запустить C2 и при этом постоянно скрываться за несколькими комбинированными слоями VPN, SSH и прокси. Но есть способ обойти острые углы. Как хакер может упростить создание своей армии зомби-компьютеров, рассказали Максим Гончаров и Илья Нестеров в докладе «Вивисекция: анатомия ботнета из маршрутизаторов».

«Ботнетоводам сегодня не хватает маршрутизаторов, которые можно легко перепрошить, — рассказывают исследователи. — Для большинства роутеров сложно написать свой код: надо знать версию Linux и библиотеки. Например, в ситуации с 5 млн роутеров Deutsche Telekom злоумышленники не могли сменить прошивку, в результате восстановить нормальную работу роутера можно было просто выключив его из розетки и подождав 30 секунд. Однако есть, к примеру, такие девайсы, как OpenWRT производства NetGear: для них прошивку написать можно».

Готовимся к вымогателям

О шифровальщиках как о проблеме номер один еще полтора года назад говорили аналитики Palo Alto Networks, IBM X-Force, TrendMicro и других компаний. Сегодня, когда вирус-вымогатель WannaCry заразил сотни тысяч компьютеров более чем в 150 странах, доклад Моны Архиповой «Инциденты с использованием ransomware. Расследование» звучит особенно актуально. Руководитель направления архитектуры и мониторинга информационной безопасности компании Acronis шаг за шагом воспроизвела процесс заражения конечного ПК программой Osiris, показав наблюдателям слабые места в системе защиты. Для снижения риска Мона посоветовала регулярно проверять работоспособность агентов антивирусов, DLP и других систем, тестировать восстановление из бэкапов и иметь резервные рабочие станции для критически важных пользователей.

Взламываем MacBook

Пользователи Windows регулярно хватаются за голову, но владельцам макбуков тоже не стоит расслабляться. В Москве выступил экс-сотрудник АНБ и NASA Патрик Уордл с технический обзором нового вредоносного ПО для macOS. Доклад включал в себя обсуждение свойств, векторов заражения и механизмов устойчивости «яблочных» зловредов. Уордл представил универсальные методы обнаружения атак (generic detections), которые обеспечивают безопасность macOS. «Не надо верить маркетологам Apple, утверждающим, что у них самые защищенные системы на свете», — призывает Патрик Уордл. Он рассказал о первом шифровальщике KeRanger для macOS. Вначале злоумышленники воспользовались веб-уязвимостью, взломав сайт популярного торрент-трекера Transmission, после чего разместили в этой свободно распространяемой программе свой код. Вредоносная версия провисела на официальном сайте несколько ночных часов. От пользователей, загрузивших Transmission, торрент-трекер требовал один биткойн, в противном случае угрожая блокировать все файлы на жестком диске. Патрик также привел несколько случаев эксплуатации стороннего ПО. Например, на предварительно инфицированную систему для повышения привилегий можно удаленно установить старую версию межсетевого экрана для macOS — Little Snitch. Экран одновременно имеет необходимые сертификат и уязвимость, позволяющие выполнять операции на уровне ядра.

Перехватываем аккаунты в WhatsApp и Telegram

Сегодня для получения доступа к секретам крупной компании зачастую достаточно взломать аккаунт сотрудника в популярном мультиплатформенном мессенджере, куда переносится все больше корпоративных чатов. Эксперт по вопросам информационной безопасности компании Check Point Роман Заикин рассказал об интересной уязвимости в WhatsApp и Telegram. Атакующий, направив безобидный с виду файл с вредоносным кодом, сможет прочитать все старые чаты пользователя и наблюдать за новыми сообщениями, получить список контактов, а также все загруженные в мессенджеры видеоролики и фотографии.

«Сквозное шифрование, используемое современными мессенджерами, выглядит очень красиво: только у двух участников дискуссии есть ключи, — рассказывает Роман Заикин. — На странице WhatsApp написано, что даже они сами не могут получить доступ к переписке. Но зачем ломать сквозное шифрование, если можно его использовать? Мы можем действовать ниже радара. В список допустимых файлов DOC_MIMES веб-интерфейса WhatsApp web.whatsapp.com можно самостоятельно добавить разрешение загружать Text/HTML. Затем жертве отправляется любой файл, в том числе JavaScript. После этого пользователь нажимает на файл, который ворует реквизиты пользователя и запускает мессенджер уже в нашем браузере. В результате все информацию в мессенджере пользователя, поступающую на его мобильный телефон, наблюдает и атакующий в своем браузере».

Для тех людей, кто не нажимает на все подряд, исследователи создали гибрид картинки и HTML-файла, который можно оправить в чат с множеством участников.

Противостояние

Форум Positive Hack Days — это не только дискуссии, выступления или мастер-классы. Наиболее яркая его часть — приближенная к реальности битва за город между атакующими и защитниками Противостояние. В распоряжении участников Противостояния оказался целый полигон с моделью мегаполиса, в котором помимо офисов, телеком-операторов, банка, ТЭЦ и прочих объектов находится множество IoT-устройств. В первый день одна из команд атакующих вырвалась вперед благодаря взлому интернет-магазина.

Желающие почувствовать себя банковскими взломщиками боролись за виртуальные деньги в конкурсе «Большой куш», организованном при участии компаний ARinteg и QIWI. В этом году «Большой куш» превратился в полноценную финансовую систему, включающую банки, банкоматы, киоски самообслуживания, интернет-магазины. Как известно, злоумышленники могут также добраться до денег, эксплуатируя уязвимости сотовых сетей. На площадке PHDaysбыл построен собственный оператор мобильной связи. Участники конкурсаMITM Mobile пробовали перехватить SMS и USSD, клонировать мобильные телефоны и прослушивать телефонные разговоры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar 4RAYS подготовили рекомендации на каникулы

Эксперты центра Solar 4RAYS подготовили рекомендации для киберзащитников компаний, которые помогут наладить инфраструктуру так, чтобы можно было беззаботно встретить новый год.

Как напоминают эксперты, новогодние праздники редко обходятся без инцидентов. Злоумышленники пользуются тем, что ИБ-подразделения уходят на каникулы или переходят на удаленный режим работы.

В результате ИБ-специалисты не всегда могут оперативно распознать признаки инцидента и вовремя отреагировать на него, а злоумышленники почти беспрепятственно проникают в инфраструктуры компаний.

Начать эксперты Solar 4RAYS рекомендуют с инвентаризации. Необходимо убедиться, что известны все сегменты сети и активы, которые там находятся. Очень часто злоумышленники атакуют через уязвимые узлы, которые не контролируют ИТ и ИБ-службы, и их обслуживанием занимаются какие-то другие подразделения.

Полезно также будет просканировать пул публичных адресов компании. Это позволит понять и оценить, как ИТ-инфраструктура выглядит с точки зрения потенциальных злоумышленников и определить потенциально уязвимые компоненты. Часть сервисов и приложений на период каникул лучше вообще сделать недоступными из публичного интернета.

Другой важной мерой является создание резервных копий наиболее важных систем. Это позволит восстановить их работоспособность, если ситуация будет развиваться по самому неблагоприятному сценарию.

При этом хранить резервные копии нужно таким образом, чтобы до них не добрались злоумышленники. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий, а лучше хранить резервные копии в том сегменте сети, который изолирован от основного.

Необходимо также установить патчи для всех ключевых приложений, прежде всего для публично доступных сервисов. Причем эту задачу надо решать заранее, не откладывая ее на последний рабочий день перед каникулами.

Другой важной мерой является ревизия и смена паролей. Необходимо найти и удалить неиспользуемые учетные записи, сменить пароли администраторов и удаленных пользователей, установить многофакторную аутентификацию для них. Учетные записи подрядчиков нужно отключить на время каникул.

Полезным будет также аудит парольных политик, что позволит исключить «слабые» пароли, которые очень часто используют злоумышленники для атак. Также нужно убедиться в том, что никакие критичные пароли не хранятся в открытом виде на различных ресурсах. 

Полезной мерой будет проверка компрометации инфраструктуры, хотя бы на базовом уровне. Сюда входят срабатывания средств защиты, появление подозрительных файлов, запуск системных служб, появление новых пользователей, установка нового ПО. Также необходима проверка системных журналов на предмет сомнительных аутентификаций, сетевых соединений и всплесков объемов передачи трафика. Эти меры нужно повторить и сразу после каникул, чтобы убедиться в том, что в инфраструктуру компании никто не проник.

В компании также должны быть назначены ответственные за реагирование на инциденты. Необходимы пошаговые инструкции для каждого из участников команды, которые бы описывали первоочередные меры реагирования. Причем ответственные лица должны быть доступны в режиме 24/7. Данную функцию можно делегировать внешнему поставщику услуг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru