Phishingové útoky v roce 2014 Aleš Padrta 1
FLAB a CESNET-CERTS CESNET-CERTS Bezpečnostní tým pro reakci na incidenty Přehled o proběhlých incidentech FLAB Forenzní LABoratoř Podpůrné pracoviště CESNET-CERTS Analýza incidentů Další služby Blízký kontakt s phishingy Analýza závadných příloh 2
Věčné dilema uživatele Nejsem si jistý, zda jde o podvod... nebo je IT oddělení outsourcováno a posílá e-maily ze Zimbabwe... 3
Scam, phishing, podvodný e-mail Zvyklosti uživatelů (a médií) Podvodný e-mail = phishing Terminologii si nenechají vymluvit Radost, že poznají problémový e-mail Phishing Podmnožina podvodných e-mailů Název z password harvesting fishing Využívá sociální inženýrství Podvodný e-mail (scam - podvod) Není omezen na sbírání credentials 4
Evoluce podvodných e-mailů Evo-level 1 (phishing) Lákání credentials jako odpověď na e-mail Milášek zákazník, pošlete vaše heslo a čislo boty Evo-level 2 (phishing) Přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na www... Evo-level 3 (scam) Závadná příloha Vážený dlužník, zaplať nebo přijde exekutor pohledávka popsána v přiloze. 5
Seminář o bezpečnosti Populární podvodné e-maily 2014 (a trochu 2015) 6
Populární podvodné e-maily 17. 3. 2014 dokument pro uživatele Google Docs II 7
Populární podvodné e-maily 28. 4. 2014 malware smlouva (botnet klient) III 8
Populární podvodné e-maily 28.5.2014 bankovní data (karty, e-banking) I 9
Populární podvodné e-maily 15. 7. 2014 malware exekuce (evoluce smlouvy ) III 10
Populární podvodné e-maily 8. 9. 2014 platba za doménu (peníze na jiný účet) I 11
Populární podvodné e-maily 13.11.2014 zásilka České pošty (cryptolocker) III 12
Populární podvodné e-maily 29. 12. 2014 příloha vánoční pohlednice (.src) III 13
Populární podvodné e-maily 12. 1. 2015 malware objednávka (.src) III 14
Populární podvodné e-maily 1.2.2015 přístup do KB Předmět: Certifikat: error #910 Datum: Sun, 1 Feb 2015 14:47:36 +0100 Od: MojeBanka <cert@wizardmojebanka.cz> Komu: civenka@civ.zcu.cz Vážení zákazníci. Z bezpečnostních důvodů je nutné znovu potvrdit platnost certifikátu. Ověřit nyní <http://healthymemphis.org/admin/includes/uploadify/cz/> II 15
Populární podvodné e-maily 9.2.2015 příloha srážky z účtu (eskalace dluh exekutor srážky) 16
Populární podvodné e-maily Společné znaky Nátlak (sociální inženýrství) Vhodné načasování Pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém Obcházení technických opatření Kličkování před spamfiltrem Např. přílohy v archivu v zaheslovaném archivu Přesvědčivost Uživatel nakonec reaguje 17
Seminář o bezpečnosti Co se s tím dá dělat? 18
Prevence Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Vzdělaní uživatelé Řešení pro kulové univerzity ve vakuu Snaha vzdělávat (směřovat k ideálu) 19
Reakce na konkrétní vlnu Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Konkrétní pravidla v HIPS/AV řešení Smazat z e-mailových schránek Informovat uživatele Minimalizovat dopady Zakázat odchozí poštu na reply-to pro evo-level 1 Blokovat URL pro podvržené stránky pro evo-level 2 Blokovat na perimetru spojení s IP C&C / dropzóny 20
Reakce na konkrétní vlnu Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu využití informací z Passive DNS (pokud je používán fast flux) Identifikovat dopady kompromitace Lokální Odchycení hesel, uložená data (změna, smazání, krádež) Dosah ze stanice Změny v informačních systémech Šíření přes úložiště (např. Cryptolocker a namapované disky) 21
Analýza malware Cíl = získat informace Co malware v systému dělá Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Jak se k informacím dobrat? Forenzní analýza 22
Analýza malware Požadavek na rychlost dynamická analýza Kontrolované prostředí Pozorování změn v systému Pozorování používaných procesů Pozorování používaných knihoven/funkcí Pozorování snah o komunikaci Vyhodnocení? Test detekovatelnosti malware AV www.virustotal.com 23
Plány pro rozsáhlý incident Běžní uživatelé + chytrý podvod = hodně práce Desítky, stovky kompromitovaných PC Mít reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...) 24
Shrnutí Lidi jsou nepoučitelní Podvody byly, jsou a budou Phishing, podvodné e-maily Příprava Prevence + reakce Počítat s plány na řešení rozsáhlých incidentů Analýza chování malware Dává potřebné informace FLAB: příprava služby rychlá analýza malware Pro členské sítě (vzorek informace pro řešení) 25
Prevence cesty k řešení + Cesta vědění (uživatele) Cesta síly (bezpečnostních opatření) 26
Zdroje obrázků www.lupa.cz www.root.cz www.viry.cz www.hoax.cz www.ceskaposta.cz www.kb.cz www.clker.com 27
Dotazy, diskuse,...??? 28