telecom №30. История кибератак APT

Вирусы и прочие зловреды эволюционируют. С шуточных самокопирующихся программ они прошли путь до инструмента, который может использоваться государствами друг против друга. Они могут собрать ботнет из миллионов станций, который запросто уложит почти любого крупного игрока. Третьи просто вымогают деньги у обычных людей, но это происходит настолько массово, что становится общей проблемой сродни эпидемии. И если у одних из них нет задачи максимально скрыть своё присутствие, а иной раз даже наоборот — очень ярко и громко о себе заявить, то другие путешествуют со станции на станцию в режиме стелс, подчищают за собой любые следы, скрываются за легитимным трафиком и могут по-тихоньку собирать данные в течение многих лет, оставаясь невидимыми. Последние — это инструмент для шпионажа и относятся к классу APT — Advanced Persistent Threat. И это уже не просто относительно короткий кусок кода — это целый комплекс, достигающий размеров в несколько мегабайтов и проводится атака не почти слепым размножением, а под чутким руководством группы операторов. Александр Синистер рассказывает в 30-м выпуске об этом классе атак, приоткрывая дверь в мир шпионов, агентств безопасности, охоты на создателей и расследований. Скачать файл подкаста. Подписаться на podfm. Добавить RSS в подкаст-плеер. Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска. Хронометраж: 0:00:00 — 0:09:25: Вступление и новости. 0:09:25 — 0:14:55: Когда появился термин APT и что за ним скрывается. 0:14:55 — 0:37:30: Самая технологичная троица из недавнего прошлого: Stuxnet, Duqu и Flame. 0:37:30 — 0:52:15: Атака на «Лабораторию Касперского» или Duqu 2.0 0:52:15 — 1:03:50: Как заражают nix системы: Windigo, Mayhem и linux DDoS-боты. 1:03:50 — 1:21:00: Новейшие крупномасштабные атаки: Epic Turla, Darkhotel и Regin. 1:21:00 — 1:27:50: Как удается долго оставаться незамеченными и маскировка трафика (HAMMERTOSS и Terracotta). 1:27:50 — 1:43:50: Hacking Team — до компрометации и после нее. 1:43:50 — 2:06:36: Возможно ли от всего этого защититься. Хроника целевых кибератак Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM. История чата. (2015-08-21 7:36:45 PM) Upakoffka: не, типа рагантированный в обе стороны (2015-08-21 7:40:07 PM) sinister: да, я помню что такое 512к) и даже 128к) Если пользователей много, тогда сложнее, тогда надо видимо шейпером всё резать) (2015-08-21 7:40:37 PM) sinister: и блокировка всего по максимуму) (2015-08-21 7:38:05 PM) sinister: ну в таком случае жить вполне можно. наверное только стоимость останется из недостатков (2015-08-21 7:39:24 PM) Upakoffka: sinister: 512к, но парк юзеров не маленький) (2015-08-21 7:46:40 PM) sinister: майкрософт вроде окончательно закопали свой ISA, который в последнее время выпускался как TMG(Threat Management Gateway) (2015-08-21 7:47:11 PM) sinister: вероятно теперь для энтерпрайза будет что-то от других вендоров (2015-08-21 7:44:45 PM) sinister: только про антивирус ихний слышал) (2015-08-21 7:47:43 PM) Upakoffka: sinister: у MS богатый опыт в плане "заруинить" ) (2015-08-21 7:40:26 PM) sinister: и конечно же кеширующий прокси (2015-08-21 7:44:27 PM) Upakoffka: sinister: кстати о проксях, у Макафи что там не знаеш? (2015-08-21 7:44:49 PM) Upakoffka: Интеграторы смотрят в сторону какой то их реализации прокси (8:14:23 PM) Upakoffka entered the room. (2015-08-21 7:48:23 PM) sinister: несомненно) (2015-08-21 7:49:10 PM) sinister: да вроде в 19 по МСК (2015-08-21 7:49:39 PM) Upakoffka: Я почему то думал в 17 Оо (2015-08-21 7:49:56 PM) Upakoffka: да я вот уже проверил ты прав (8:04:52 PM) Upakoffka: Ну ниче обождем, завтра суббота) (2015-08-21 7:49:46 PM) sinister: там на сайте наприсано (8:14:00 PM) Upakoffka: Александер, порекомендуйте RFC почитать о приоритезации маршрутов статических (8:14:24 PM) The topic is: Подкаст №30 21.08.2015 в 19:00 время Московское linkmeup.ru (2015-08-21 7:48:51 PM) Upakoffka: Вы там ещё не начинаете? (8:14:53 PM) eucariot: Всем привет! (8:14:57 PM) eucariot: Саша уже на месте :) (8:15:09 PM) sinister: привет. Конечно) (8:15:25 PM) Upakoffka: Здравствуйте Марат. (8:15:47 PM) eucariot: Добрый вечер) (8:15:54 PM) Upakoffka: Вот Марат то наверно ткнет в меня нужным RFC? ) (8:16:04 PM) sinister: точно. потому что я не знаю) (8:16:41 PM) eucariot: С ходу не ткну. В чём конкретнее вопрос? (8:17:54 PM) Upakoffka: два статичных маршрута с одинаковой метрикой, но один более специфичный (8:18:29 PM) Upakoffka: но в то же время пакету удовлетворяют оба, какой будет выбран (8:18:48 PM) eucariot: Более специфичный при прочих равных. (8:19:00 PM) eucariot: RFC в голове не всплывает (8:19:42 PM) Upakoffka: Вот тоже имею такую инфу а хотелось бы опираться на RFC (8:20:46 PM) eucariot: Не RFC, но принцип: en.wikipedia.org/wiki/Longest_prefix_match (8:22:12 PM) eucariot: Вот ещё: cisco.com/c/en/us/support/docs/ip/enhanced-interior-gateway-routing-protocol-eigrp/8651-21.html#classless (8:25:20 PM) Upakoffka: благодарю (8:34:24 PM) Upakoffka: Ребят расскажите как вообще дела с проектом? Очень рад был узнать, к сожалению довольно недавно, что вы делаете подкаст. Поскольку считаю у аудио есть неоспоримые преимущества. (8:35:43 PM) eucariot: Проект по-тихоньку стагнирует. Есть как минимум две нереализованные идеи, которыми очень хотелось бы заняться. Но пока даже 11-й выпуск СДСМ не закончен. (8:36:15 PM) Upakoffka: Представьте, Урал-вахта, 300километровый переезд через горный перевал, вокруг полупьяные вахтовики а в уах ва подкаст xD (8:36:28 PM) Upakoffka: ушах* (8:36:35 PM) sinister: суровая картина) (8:37:36 PM) Upakoffka: eucariot: Да СДСМ тоже тема, прям заставляю нерадивых коллег читать) (8:39:43 PM) eucariot: Вот трёхчасовой выпуск про NOC - самое оно под такие поездки) (8:40:27 PM) Upakoffka: Он у меня как раз впереди) (8:49:16 PM) Upakoffka: eucariot: Проект по-тихоньку стагнирует Может быть нужна какая-то помощь? С удовольствием приобщился бы к вашему делу. Даже если чуть чуть :) (8:50:15 PM) eucariot: Пока нет. Но следи за новостями. Если со временем подберётся пул таких людей, желающих помочь, может, что-то интересное и сделаем) (8:50:40 PM) eucariot: Хотя впрочем, линкмиап открыт для статей) Можешь в гости в подкаст придти, рассказать про вахту :) (8:51:16 PM) eucariot: Есть ещё проект лукмиап, который пока не доведён до ума. Его нужно пополнять. Но я им сейчас тоже не занимаюсь. (8:54:59 PM) Upakoffka: Возможно именно о вахте будет интересно людям послушать. (8:56:00 PM) Upakoffka: В техническом же плане у нас все печально ) (8:56:25 PM) eucariot: А чем занимаешься? (8:56:57 PM) Upakoffka: Я говорю именно о уровне организации инфраструктуры, несмотря на то что контора большая. (9:02:24 PM) Upakoffka: eucariot: По должности нас щас в сапорт забрали, по факту от монтажа и настройки SAT оборудования до поддержки по месту сетки и юзеров. Кароче 2 технаря на 300км вокруг) (9:03:45 PM) eucariot: Слушай, ну если будет что рассказать на техническую тему, добро пожаловать в подкаст :) (9:04:56 PM) Upakoffka: В смысле не меня забрали а весь IT отдел закинули в вышестоящее смежное предприятие. (9:05:33 PM) Upakoffka: Я если начну рассказывать что тут в плане инфраструктуры то без мата не обойдется) (9:12:45 PM) Upakoffka: Вот пока есть время немного вброшу: в конце 13го года, московские цискари что то с местными решили наменять(железо) на своей стороне, позвонили поинтересовались можно ли ложить канал. Я как раз уезжал, приехал в январе 14го, господа что то намутили с тунелями, любой вебгуй аля ржд, сберонлайн просто дропается по таймауту. Люди не билеты заказать не бабло перевести не могут. Уговаривал решить вопрос пол года, вымаливал конфиг глянуть если уж у них на это нету времени. Че вы думаете? Через пол года решили вопрос установкой ещё 1го канала чисто под серф. %( (9:13:44 PM) sinister left the room. (9:13:59 PM) sinister.real entered the room. (9:14:21 PM) Upakoffka: В общем мрак. Когда слушаю вас и вспоминаю что тут у меня - вновь ужосаюсь. (9:16:31 PM) Upakoffka: Вобщем если и рассказывать то надо заранее обсудить о чем именно, не все тут приятно) (9:17:31 PM) Upakoffka: Но контраст вам будет однозначно интересен. :) (9:22:51 PM) eucariot: Пиши на eucariot@linkmeup.ru (9:25:44 PM) Upakoffka: ок (9:31:39 PM) stan entered the room. (9:38:55 PM) nickname entered the room. (9:40:32 PM) nickname left the room. (9:47:14 PM) gluck gluck entered the room. (9:50:16 PM) Upakoffka left the room (Replaced by new connection). (9:50:20 PM) Upakoffka entered the room. (9:51:28 PM) artyomkaes entered the room. (9:51:52 PM) artyomkaes: Добрый вечер. (9:52:17 PM) Upakoffka: Добрый. (9:54:04 PM) probeerka entered the room. (9:55:33 PM) probeerka left the room. (9:55:36 PM) probeerka entered the room. (9:55:53 PM) purtman@jabber.zsttk.ru entered the room. (9:56:25 PM) artyomkaes: А почему Роман не появляется в последних подкастах? (9:56:47 PM) gluck gluck: весь в работе (9:57:01 PM) artyomkaes: :) (9:58:17 PM) dmitry_k7 entered the room. (9:59:22 PM) dmitry_k7: Добрый вечер! (9:59:42 PM) artyomkaes: Привет (10:05:17 PM) alekseiboroda entered the room. (10:06:03 PM) artyomkaes: ае! (10:06:14 PM) gluck gluck: слышно все? (10:06:18 PM) artyomkaes: да-да (10:06:18 PM) Upakoffka: + (10:06:28 PM) alekseiboroda: здравствуйте всем! (10:06:31 PM) Upakoffka: Салют. (10:06:40 PM) artyomkaes: привет! (10:07:53 PM) sergeysi entered the room. (10:08:05 PM) gluck gluck: как вам подложечка под новость?))) (10:09:02 PM) artyomkaes: Георгий Свиридов? (10:09:03 PM) alekseiboroda: вспоминается фильмы о том как строили бам! (10:09:11 PM) gluck gluck: так и задумано))) (10:09:24 PM) alekseiboroda: значит в точку) (10:09:25 PM) Upakoffka: Я её почти не слышу, по сравнению с записью тихо - выкрутил звук на ноуте в макс. (10:14:17 PM) SEVERE entered the room. (10:14:30 PM) Abitbol entered the room. (10:15:00 PM) Abitbol: Добрый вечер! (10:15:14 PM) artyomkaes: Здравствуйте! (10:15:16 PM) gluck gluck: 21 человек слушают эфир прямо сейчас. не забываем ретвитить всячески в соцсетях)) (10:15:20 PM) Upakoffka: Добрый (10:16:10 PM) alekseiboroda: что-то я выпадал уже несколько раз (10:16:24 PM) stan: + (10:16:30 PM) SEVERE: + (10:16:32 PM) Upakoffka: alekseiboroda: аналогично, 2 раза (10:16:39 PM) alekseiboroda: вот снова (10:17:12 PM) alekseiboroda: повторных вход в трансляцию помогает (10:17:14 PM) artyomkaes: я тоже улетаю (10:17:46 PM) gluck gluck: я у себя вижу, что график прыгает, да(( что-то происходит на направлении россия- сервер линкмиап, похоже (10:18:02 PM) alekseiboroda: роскомнадзор (10:18:58 PM) SEVERE left the room. (10:19:27 PM) Severe entered the room. (10:21:57 PM) sinister.real: apt.securelist.com/ru/ (10:24:37 PM) Евгений entered the room. (10:24:59 PM) Евгений: Добрый вечер) (10:25:23 PM) artyomkaes: Здравствуйте! (10:25:35 PM) evgeny.m entered the room. (10:25:46 PM) Евгений: Хорошего всем вечера и отличного настроения!=) (10:26:03 PM) alekseiboroda: спасибо) и вам (10:26:38 PM) Евгений: Спасибо) (10:33:59 PM) alekseiboroda: получается компании-производители железа не так часто сменяют подписи? я к тому, что нельзя ли считать некоторый сертификат более не валидным? (10:34:50 PM) Upakoffka: Оо (10:35:00 PM) artyomkaes: куча сертификатов из удостоверяющих центров утекают. (10:35:03 PM) gluck gluck: ну дык там модулей поди море (10:35:17 PM) stan left the room. (10:36:50 PM) alekseiboroda: хмм (10:41:55 PM) artyomkaes: а правда что у разных паролей может быть одинаковый hash в md5? (10:42:39 PM) Upakoffka: а есть шанс что сертификат был реально валидный и выдан под каким то давлением (10:42:42 PM) gluck gluck: да. но чтобы обнаружить это, нужно ОЧЕНЬ много ресурсов вычислительных (10:43:44 PM) artyomkaes: спасибо за пояснение. (10:43:56 PM) gluck gluck: это и называется "коллизия" (10:45:30 PM) gluck gluck: 32 человека слушают прямой эфир. приглашаем друзей, коллег, тема-то крутая (10:52:07 PM) alekseiboroda: блин скоро черви кругом легальны станут (11:04:31 PM) artyomkaes left the room. (11:04:48 PM) artyomkaes entered the room. (11:10:53 PM) Евгений left the room. (11:16:40 PM) evgeny.m left the room. (11:16:48 PM) devers000 entered the room. (11:18:09 PM) natalia entered the room. (11:18:36 PM) purtman@jabber.zsttk.ru left the room. (11:19:08 PM) devers000: здрасте) свежая новость - «Касперский» раскрыл уникальную американскую шпионскую программу. Про вредоносный код в прошивках жестких дисков. Как выдумаете - реальная история или PR-акция?) (11:19:44 PM) alekseiboroda: так было уже такое несколько месяцев назад (11:20:06 PM) devers000: в феврале этого года (11:21:03 PM) alekseiboroda: помню что то про леново, они вроде как подтвердили даже (11:21:13 PM) alekseiboroda: смутно уже (11:21:39 PM) Upakoffka: почему нет, недавно на хабре была статья про закладки в апаратных менежмент системах серверов интел (11:21:54 PM) evgeny.m entered the room. (11:22:19 PM) evgeny.m: Только хотел об этом спросить... m.habrahabr.ru/post/250775/ (11:22:22 PM) alekseiboroda: особенно учитывая склонность сша к тотальному контролю))) (11:22:29 PM) devers000: спасибо) далее) (11:22:57 PM) evgeny.m left the room. (11:24:24 PM) evgeny.m entered the room. (11:26:55 PM) evgeny.m left the room. (11:35:06 PM) devers000: Hacking Team еще большие деньги) (11:37:08 PM) devers000: а были ли русские следы в Hacking Team? Русские разработчики? (11:39:28 PM) devers000: iPhone для прослушки должен был быть джейлбрейкнутым? Так ли это? (11:39:42 PM) gluck gluck: про андроид была речь (11:39:59 PM) gluck gluck: а скайп на винде (11:40:06 PM) Upakoffka: Имхо джейл не так распотранен в западных странах как у нас (11:43:22 PM) devers000: соц инженерия)) (11:43:29 PM) devers000: забирали телефон и ставили) (11:43:33 PM) Severe left the room. (11:44:39 PM) devers000: а как же Windows Phone? (11:45:09 PM) devers000: Кажется репутация Windows Phone не пострадала) понятно, потому что малый процент использования (11:45:42 PM) artyomkaes left the room (This participant is kicked from the room because he sent an error message to another participant: service-unavailable). (11:46:56 PM) Upakoffka: 55 (11:47:41 PM) devers000: сотрудничество нашей компании (11:49:07 PM) devers000: полиция сидела в локалке вместе с хакерами (11:53:54 PM) evgeny.m entered the room. (11:55:45 PM) devers000: нужен комплексный подход)) (11:58:05 PM) devers000: надо обложиться SIEM, IDS, IPS, AV-servers и слабым звеном окажется простой пароль админа записанный на листочке)) (11:58:40 PM) devers000: и то и другое есть) а говорят про системы анализа логов (11:58:50 PM) devers000: анализа событий (2015-08-22 12:02:45 AM) Upakoffka left the room. (12:02:58 AM) devers000: лог файловой сестемы (12:03:11 AM) devers000: права у системных файлов поменялись (12:03:13 AM) Upakoffka entered the room. (12:03:40 AM) devers000: добавился новый юзер с админскими правами (12:05:13 AM) devers000: а принимаются уязвимости которые дают права админа?) или это чревато для лаборатории будет? (12:05:41 AM) devers000: а понятно) (12:06:52 AM) devers000: и от уровня знаний)) (12:07:55 AM) devers000: все тайное становится явным (12:10:11 AM) devers000: взлом iCloud чего только стоит (12:10:15 AM) alekseiboroda: цель должна оправдывать средства (12:10:18 AM) devers000: фотки, переписка и прочее) (12:12:21 AM) Upakoffka: Хорошая работа всегда ценится (12:13:15 AM) probeerka left the room. (12:13:36 AM) devers000: =) (12:13:40 AM) devers000: спасибо ребята) (12:13:42 AM) alekseiboroda: спасибо Александру! (12:13:48 AM) devers000: спасибо Александру) (12:14:09 AM) dmitry_k7: спасибо! (12:14:12 AM) devers000: до новых встреч) (12:14:13 AM) alekseiboroda: спасибо Вам! пока (12:14:16 AM) Upakoffka: Да большое спасибо (12:14:46 AM) gluck gluck: всем спасибо!! (12:15:02 AM) Upakoffka: Саш а что за вебинары ты упомянул? (12:15:11 AM) alekseiboroda: начинается томительное ожидание следующего подкаста (12:15:13 AM) eucariot: pentestit.ru (12:15:32 AM) eucariot: Ребята, следующий выпуск будет бомбой! (12:15:46 AM) eucariot: Веду переговоры с очень классными ребятами. Не пропустите (12:15:50 AM) alekseiboroda: ну вот зачем так... (12:15:58 AM) alekseiboroda: аааадския интерес! (12:16:05 AM) Upakoffka: Очень интересна тема последствий атак в реальном мире, как то повреждения на АЭС, запрещенный контент для компрометации конкретных лиц. (12:16:40 AM) eucariot: Освещали в прошлом выпуске с Сашей более подробно Stuxnet (12:17:07 AM) Upakoffka: спс, ещё не слушал его. (12:17:12 AM) alekseiboroda: инфраструктура аэс подкаст (12:17:24 AM) eucariot: Нене. (12:17:50 AM) alekseiboroda: там же как раз было про атаку на иранскую аэс (12:18:04 AM) eucariot: linkmeup.ru/blog/86.html (12:18:16 AM) eucariot: 6-й выпуск (12:18:39 AM) alekseiboroda: ой точно, простите (12:20:35 AM) alekseiboroda left the room. Сообщение telecom №30. История кибератак APT появились сначала на linkmeup.