Embed Size (px)
Citation preview
Особенности киберраследований частными
компаниями в Украине
Никита Кныш, Владимир Таратушка
BSides, Киев, 14.05.16
Руководители проекта ProtectMaster
Технические организаторы всеукраинской олимпиады
по кибербезопасности HackIT
В ИБ более 10 лет
Специализируются на защите веб-сервисов и
киберраследованиях
2
Никита Кныш Владимир Таратушка
О нас
Дискле́ймер — особый вид интеллектуальной индульгенции.
Позволяет владельцу забить на всё и всех. 3
4
1. Методы киберполиции
2. Взаимодействие с органами
3. Эффективность сотрудничества
4. Кейс «Сеть сайтов о взломе»
5. Кейс «Контроль бот-сети»
6. Непотопляемый ботнет
7. Hackotender & HackIT
Содержание
Кейс “Атака” на сайт ProtectMaster
№ ЕРДР 120162205400009395Фотография атакующего
6
Почему мы думаем, что это Киберполиция / ХНУВД
Письмо, которое нам прислали с анонимного Е-mail
(IP адрес в TORе), содержало информацию о том, на
кого оформлен договор в Triolan, о чём мы сразу
сообщили следователю по нашему делу.
Расследование в два клика: клик 1
7
● Район Одесской -
это было первое
совпадение.
● После письма все
стало очевидно.
Расследование в два клика: клик 2
8
Информация к размышлению
1. Текущий УПК предусматривает только экспертизу физического устройства.
Наш сервер расположен в Италии, а это значит…
2. Следствие начало служебную проверку по факту информации со статьи
на Цензор.нет и не могут доказать, что её писал я, т.к. нет механизма,
который сможет это подтвердить, ведь я могу просто сказать, что кто-то
пишет от моего имени (так и есть).
3. Всё можно свалить на: “вирусы”, “открытый роутер”, “студентов”,
“проходящих мимо аудитории ХНУВД людей” и никто ничего никогда не
докажет.
9
Проблема не в людях, а в законах, хотя люди тоже бывают криворукими...
Личное мнение человека с опытом работы в
правоохранительных органах
10
Схема, иллюстрирующая
эффективность работы
правоохранительных
органов в сфере расскрытия
киберпреступлений
Двойные стандарты от МВД. Ситуация 1
11
Взлом сайтов в ДНР/ЛНР - это ок!
(но ведь это украинские сайты)
И никого не обвиняют,
и всем всё нравится
потому, что не мешает схемам...
12
Детали были представлены на HackIT 2015 , после чего нас обвинили во
взломе...
Двойные стандарты от МВД. Ситуация 2
История, из-за которой нам угрожал тот же Алексей
Что мы сделали с данными? (1)
13
14
Что мы сделали с данными?
(2)
Что мы сделали с данными? (3)
15
При этом мы плохие… а вот те, про кого пишет Геращенко -
молодцы… потому что не мешают схемам...
Тем временем Киберполиция открывает для себя прелести
порно чатов вместо борьбы с более сложными делами...
16
VS
После нашей работы в мире кардинга случился переворот, после работы
КиберПолиции кто-то не смог подр….
Программы для взлома Вконтакте, Одноклассники и
другие мифы...
17
Вычисляем IP за CloudFlare через CrimeFlare
18
Смотрим сайты на одном IP
19
Дополним руками
20
Понеслась...
21
№ Сайты Регистратор
1 кодекс-пирата.рф REG.RU LLC
2 angeleyes.su REG.RU LLC
3 archeage-chits.ru REG.RU LLC
4 armoredwarfare-chity.ru REG.RU LLC
5 best-cheats.ru REG.RU LLC
6 combatarms-chity.ru REG.RU LLC
7 contractwars-chity.ru REG.RU LLC
8 contractwars-skachat-chity.ru REG.RU LLC
9 crossfire-chity.ru REG.RU LLC
10 crossfire1.ru REG.RU LLC
11 crossfirechit.ru REG.RU LLC
12 dota2-chity.ru REG.RU LLC
13 groundwartanks-chity.ru REG.RU LLC
14 kontrasiti-chiti.ru REG.RU LLC
15 kontrasiti-chity.ru REG.RU LLC
16 kontrasiti-skachat-chiti.ru REG.RU LLC
17 payday2-skachat-chity.ru REG.RU LLC
18 pointblank-chity.ru REG.RU LLC
19 rucheats.com GODADDY.COM, LLC
20 rust-chity.ru REG.RU LLC
21 saintsrow4-chity.ru REG.RU LLC
22 social-vzlom.com REG.RU LLC
23 tankionline-chity.ru REG.RU LLC
24 vzlom-vkontakte.com REG.RU LLC
25 vzlomat-odnoklassniki.com REG.RU LLC
26 vzlomat-odnoklassnikov.com REG.RU LLC
27 vzlomat-vkontakte.com REG.RU LLC
28 vzlomotop.ru REG.RU LLC
29 warface-chits.ru REG.RU LLC
30 warface-chity.ru REG.RU LLC
31 warface-skachat-chiti.ru REG.RU LLC
32 Warface1.ru REG.RU LLC
33 warfacechity.ru REG.RU LLC
34 windows8-key.ru REG.RU LLC
35 worldofbattleships-chity.ru REG.RU LLC
36 worldoftanks9.ru REG.RU LLC
37 worldofwarplanes-chity.ru REG.RU LLC
Из Whois History получаем пару E-mail(ов)
22
ДоменСайты на
одном IP
Информация
из Whois
Поиск по данным:
Email: s*[email protected]
Email: s*[email protected]
Email: s*[email protected]
Профит
Итог:Дата рождения: 25.10.1993
Номер паспорта: 29072****9
Паспорт выдан: Отделом УФМС России по Калужской области в Московском округе города Калуги
Дата выдачи паспорта: 29.10.200*
Номер телефона: 79605****66
Адрес прописки: Россия, Калуга, Баррикад 124. кв. **
Почтовый индекс: 248016
Email: s*[email protected]
Email: s*[email protected]
Email: s*[email protected]
ICQ: 50**91
Skype: s*ix.klg
Аккаунт ВК: https://vk.com/allchity (возможно, фейковый)
Автомобиль: Mazda 3 черного цвета, гос.номер к6**ус 40, регион РФ *
Информация о автомобиля взята с https://www.drive2.ru/users/stix-klg/ 23
24
Как обычно в конце письмо всем правоохранительным органам с деталями и полученной
информацией...
Как вы думаете, хоть что-то закрыли?
25
Да и …. с ними
главное, что в ProtectMaster умеют проводить расследования
Как устроен непотопляемый ботнет?
26
27
● Не попасться по сигнатурам● Попасть в автозагрузку● Обойти эвристику и проактивную защиту● Удаленно управляться● Выдерживать онлайн нагрузку● Самообновляться● Bulletproof
28
+
Autorun Malware
Command
Center
Где хранить конфиг?
● Адрес командного сервера
● Настройки
29
+
Autorun Malware
domain
list
NS - записи
ICQ
31
1. Захватить или вывести из строя С&C-узлы.
2. DDoS на С&C-узлы.
3. Жалобы провайдеру, где хостятся C&C-узлы.
4. Захват DNS-имен, используемых C&C.
5. Блокирование IP-адресов.
6. Арест владельца ботнета.
7. Судебный иск.
32
33
34
35
Оригинальные способы управления Ботнетом
Трастинг
Jabber
Tor
P2P
I2P
...
Malware
domain11-22-33-44-55.com
Алгоритм генерации RSA
NS
Как честно зарабатывать?
38
Researchers
39
Hackers
40
41
42
Никита Кныш
Владимир Таратушка
protectmaster.org
43
