Phishingové útoky v roce 2014

Phishingové útoky v roce 2014 Aleš Padrta

11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

1

FLAB a CESNET-CERTS ●

●

CESNET-CERTS ●

Bezpečnostní tým pro reakci na incidenty

●

Přehled o proběhlých incidentech

FLAB ●

Forenzní LABoratoř

●

Podpůrné pracoviště CESNET-CERTS

●

●

Analýza incidentů

●

Další služby

Blízký kontakt s phishingy ●

Analýza závadných příloh


2

Věčné dilema uživatele Nejsem si jistý, zda jde o podvod ...

… nebo je IT oddělení outsourcováno a posílá e-maily ze Zimbabwe ... 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

3

Scam, phishing, podvodný e-mail ●

Zvyklosti uživatelů (a médií) ●

●

●

Podvodný e-mail = phishing ●

Terminologii si nenechají vymluvit

●

Radost, že poznají „problémový e-mail“

Phishing ●

Podmnožina podvodných e-mailů

●

Název z password harvesting fishing

●

Využívá sociální inženýrství

Podvodný e-mail (scam - podvod) ●

Není omezen na sbírání credentials


4

Evoluce podvodných e-mailů ●

●

●

Evo-level 1 (phishing) ●

Lákání credentials jako odpověď na e-mail

●

Milášek zákazník, pošlete vaše heslo a čislo boty …

Evo-level 2 (phishing) ●

Přesměrování na podvodnou stránku

●

Náš klient, zkontrolovat si stav účet na www...

Evo-level 3 (scam) ●

Závadná příloha

●

Vážený dlužník, zaplať nebo přijde exekutor … pohledávka popsána v přiloze.


5

Seminář o bezpečnosti

Populární podvodné e-maily 2014 (a trochu 2015)


6

Populární podvodné e-maily ●

17. 3. 2014 – „dokument“ pro uživatele Google Docs

II 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

7


28. 4. 2014 – malware „smlouva“ (botnet klient)

III 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

8


28.5.2014 – „bankovní data“ (karty, e-banking)

I 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

9


15. 7. 2014 – malware „exekuce“ (evoluce „smlouvy“)


10


8. 9. 2014 – platba za doménu (peníze na jiný účet)

I 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

11


13.11.2014 – „zásilka České pošty“ (cryptolocker)


12


29. 12. 2014 – příloha „vánoční pohlednice“ (.src)


13


12. 1. 2015 – malware „objednávka“ (.src)


14


1.2.2015 – přístup do KB Předmět: Certifikat: error #910 Datum: Sun, 1 Feb 2015 14:47:36 +0100 Od: MojeBanka Komu: [email protected] Vážení zákazníci. Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu. Ověřit nyní

II 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

15


9.2.2015 – příloha „srážky z účtu“ (eskalace dluh  exekutor  srážky)


16


●

Společné znaky ●

Nátlak (sociální inženýrství)

●

Vhodné načasování

●

Pretexting (mluví se o faktuře – v příloze MUSÍ BÝT faktura)

Problém ●

●

Obcházení technických opatření ●

Kličkování před spamfiltrem

●

Např. přílohy v archivu v zaheslovaném archivu

Přesvědčivost ●

Uživatel nakonec reaguje


17

Seminář o bezpečnosti

Co se s tím dá dělat?


18

Prevence ●

Technické prostředky ●

●

Filtrování pošty ●

Generický závadný obsah

●

Filtrování spustitelných příloh

●

Není 100% + soukromé schránky

Restrikce v systému zabezpečení stanic ●

●

Antivirová řešení, Host IPS, …

Vzdělaní uživatelé ●

Řešení pro kulové univerzity ve vakuu

●

Snaha vzdělávat (směřovat k ideálu)


19

Reakce na konkrétní vlnu ●

Zkomplikovat další příjem ●

●

●

Specifický spamfiltr

Zkomplikovat malware spuštění ●

Konkrétní pravidla v HIPS/AV řešení

●

Smazat z e-mailových schránek

●

Informovat uživatele

Minimalizovat dopady ●

Zakázat odchozí poštu na „reply-to“ pro evo-level 1

●

Blokovat URL pro podvržené stránky pro evo-level 2

●

Blokovat na perimetru spojení s IP C&C / dropzóny


20

Reakce na konkrétní vlnu ●

Identifikovat kompromitované stanice ●

Lokálně (souborový systém, registry)

●

Podle síťového provozu ●

●

využití informací z Passive DNS (pokud je používán fast flux)

Identifikovat dopady kompromitace ●

Lokální ●

●

Odchycení hesel, uložená data (změna, smazání, krádež)

„Dosah“ ze stanice ●

Změny v informačních systémech

●

Šíření přes úložiště (např. Cryptolocker a namapované disky)


21

Analýza malware ●

Cíl = získat informace ●

Co malware v systému dělá

●

Jak poznat kompromitovanou stanici

●

●

Lokálně (filesystem, registry, běžící procesy)

●

Síťové chování (netflow)

Jak malware ztížit život ●

Doručení uživateli

●

Spuštění

●

Komunikace s C&C

●

Jak se k informacím dobrat?

●

Forenzní analýza


22

Analýza malware ●

Požadavek na rychlost  dynamická analýza

●

●

Kontrolované prostředí ●

Pozorování změn v systému

●

Pozorování používaných procesů

●

Pozorování používaných knihoven/funkcí

●

Pozorování snah o komunikaci

●

Vyhodnocení

?

Test detekovatelnosti malware AV ●

www.virustotal.com


23

Plány pro rozsáhlý incident ●

Běžní uživatelé + chytrý podvod = hodně práce ●

●

Desítky, stovky kompromitovaných PC

Mít „reakční plán“ ●

Dohled a plánování ●

Sdílené úložiště, dohledový manažer

●

Notifikace uživatelů

●

Získat vzorky malware pro analýzu

●

Identifikovat a zablokovat útočný vektor

●

Identifikovat a napravit kompromitované stanice

●

Globální náprava (revokace hesel, certifikátů, ...)


24

Shrnutí ●

●

●

Lidi jsou nepoučitelní ●

Podvody byly, jsou a budou

●

Phishing, podvodné e-maily

Příprava ●

Prevence + reakce

●

Počítat s plány na řešení rozsáhlých incidentů

Analýza chování malware ●

Dává potřebné informace

●

FLAB: příprava služby „rychlá analýza malware“ ●

Pro členské sítě (vzorek → informace pro řešení)


25

Prevence – cesty k řešení

+

Cesta vědění (uživatele) 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

Cesta síly (bezpečnostních opatření) 26

Zdroje obrázků ●

www.lupa.cz

●

www.root.cz

●

www.viry.cz

●

www.hoax.cz

●

www.ceskaposta.cz

●

www.kb.cz

●

www.clker.com


27

Dotazy, diskuse, ...

??? 11.2.2014, Seminář o bezpečnosti sítí a služeb, Praha

28

Phishingové útoky v roce 2014

Recommend Documents