Embed Size (px)
Citation preview
#securitymeetup
“Реверс-инжиниринг в Enterprise”
#:whoami?
- ‘plex’
- Information Security Expert
- В прошлом реверсил в AV-компании и R&D
Application Security
Application Security
Каждая сборка должна проходить security-review
- требование PCI и PA-DSS- требование Security Development Lifecycle (SDL)
Что смотреть:- настройки компилятора- очищаются ли ДПК в памяти после использования- правильность использования протекторов- тестовые данные/аккаунты/пути в релизной сборке
Infrastructure Security
Infrastructure SecurityАнализ вирусной активности
Infrastructure SecurityАнализ вирусной активности
Infrastructure SecurityАнализ вирусной активности
Риски:
- Малварь свежая и не детектится
- Многие банковские трояны ориентированы на сектор СНГ (проверяют локаль) => пустой отчет malwr.com
- Антивирус удалил/вылечил не все, а оставшаяся часть себя никак не проявляет месяц
- Адреса C&C (Command and Control servers) генерируются динамически
- ОС переустановили, но троян уже проник на другие машины
Infrastructure SecurityАнализ вирусной активности
1) пользователи создают тикет в отдел ИБ
Infrastructure SecurityАнализ вирусной активности
2) Реверсинг вложения
Infrastructure SecurityАнализ вирусной активности
2) Реверсинг вложения
Infrastructure SecurityАнализ вирусной активности
2) Реверсинг вложения
Infrastructure SecurityАнализ вирусной активности
2) Реверсинг вложения
Infrastructure SecurityАнализ вирусной активности
2) Реверсинг вложения
Infrastructure SecurityАнализ вирусной активности
3) Просмотр сетевых логов
Сомневайтесь, что можно вылечить компьютер
Найден бот – сносите ОС
В логах найдены переходы по этим адресам месяц назад – необходимо более подробное расследование инцидента
Infrastructure SecurityАнализ вирусной активности
3) Просмотр сетевых логов
Infrastructure SecurityАнализ вирусной активности
Перезаливка ОС учат пользователей не открывать подозрительные вложения
По ретроспективным данным из QRadar можно выявить всех зараженных
P.S: анализировать подозрительные вложения надо вне зависимости от того, детектит ли их антивирусБанковский троян Win32/Spy.Ranbyus определяется эвристикой как Trojan.Injector
Само вложение – как правило, дроппер
Infrastructure SecurityАнализ вирусной активности
А если адреса C&C формируются динамически?
DGA – Domain Generation Algorithm
Win32/Ranbyus генерирует доменные имена в зависимости от текущей даты
Infrastructure SecurityАнализ вирусной активности
Infrastructure SecurityАнализ вирусной активности
Infrastructure SecurityАнализ вирусной активности
- Автобанилка с алгоритмом, как в DGA
- Доменное имя зарегистрировано?
- IP в blacklist через API-интерфейс IPS-ки
Infrastructure SecurityАнализ вирусной активности
Спасибо за внимание!
