Role forenzní analýzy



Podobné dokumenty
Analýza malware pro CSIRT

Phishingové útoky v roce 2014

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Trnitá cesta Crypt0l0ckeru

Podvodné zprávy jako cesta k citlivým datům

Nástrahy kybeprostoru

Strategie sdružení CESNET v oblasti bezpečnosti

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

Provedení testů sociálního inženýrství tsi-cypherfix2018

Práce s ovými schránkami v síti Selfnet

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Jak se ztrácí citlivá data a jak tato data ochránit?:

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Monitorování datových sítí: Dnes

RISK Regionální Informační Systém Komunitních služeb

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

PB169 Operační systémy a sítě

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat

RFC 2350 STANDARD POPIS CSIRT TÝMU SPOLEČNOSTI KBM- INTERNATIONAL S. R. O. 1. O TOMTO DOKUMENTU

Přínos forenzní laboratoře při řešení rozsáhlého bezpečnostního incidentu. Karel Nykles

Trnitá cesta Crypt0L0ckeru

1.1 DATUM POSLEDNÍ AKTUALIZACE Toto je verze číslo 1 ze dne

Roamingová politika. federace eduroam.cz

FLAB. Ransomware PČR. zaplaťte a bude vám odpuštěno. Aleš Padrta. Karel Nykles , Seminář CIV, Plzeň

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

ISPOP 2019 MANUÁL PRO PRÁCI V REGISTRU ODBORNĚ ZPŮSOBILÝCH OSOB

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o.

WebLIMS. Kuk do laboratoře

S M L O U V A O P O S K Y T O V Á N Í S L U Ž E B uzavřená dle přísl. ustanovení zákona č. 89/2012 Sb., občanského zákoníku

FlowMon Vaše síť pod kontrolou

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ PŘEDANÝCH PROSTŘEDNICTVÍM WEBOVÝCH STRÁNEK

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Jak se ztrácí citlivá data a jak tato data ochránit?:

KYBERBEZPEČNOST POHLEDEM MV ČR

Provedení penetračních testů pen-cypherfix2016

Řešení bezpečnostních incidentů na ZČU

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Kybernetické hrozby - existuje komplexní řešení?

Smlouva o poskytování služeb č. VS-XXX/20XX ()

Příručka rychlého nastavení sítě

Všeobecné obchodní podmínky

Bezpečnost aktivně. štěstí přeje připraveným

Koncept BYOD. Jak řešit systémově? Petr Špringl

Ondřej Caletka. 13. března 2014

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy

Programový modul. Cykloasistence

Typy bezpečnostních incidentů

Návod k nastavení účtu v emclient (IceWarp Desktop) pro práci s IceWarp Mail serverem.

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Nadpis 1 - Nadpis Security 2

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Návod pro aktualizaci údajů o školách obnovy venkova na stránkách

Vulnerabilities - Zranitelnosti

AleFIT MAB Keeper & Office Locator

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Zkušenosti s realizací penetračních testů

Ondřej Caletka. 27. března 2014

Cíl zaměřen: uživatel

Bezpečné chování v síti WEBnet. Ing. Aleš Padrta Ph.D.

Podrobný postup pro vygenerování Žádosti o dotaci přes Portál Farmáře

Vzor auditní zprávy Kariéra projektového manažera začíná u nás!

Už ivatelska dokumentace

PROGRAM ROZVOJE VENKOVA ČR prostřednictvím Portálu farmáře. 15.kolo PRV. Ing. Michal ANTON

Popis Vládního CERT České republiky

Příloha č. 3 Smlouvy Součinnost stran při poskytování některých plnění

Sophos Synchronized Security TM

Jak být online a ušetřit? Ing. Ondřej Helar

Na vod k nastavenı ovy ch schra nek Administrace

Flash disky a USB zařízení dobrý sluha, ale špatný pán informačního systému

Bezpečnostní tým na VŠB-TUO

REGISTRACE A SPRÁVA UŽIVATELSKÉHO ÚČTU

PRAVIDLA PROVOZU POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

Vzdělávání pro bezpečnostní systém státu

Elektronický úřad v roce 2018

Zkušenosti s budováním základního registru obyvatel

Pokud budete potřebovat další informace, kontaktujte nás, prosím. Rádi Vám budeme nápomocni.

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Příručka pro školy. Školní projekt na Portálu farmáře

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

PROFI TDi s.r.o , Želetice 40 Návod k používání systému OTDI.CZ

Zásady zpracování osobních údajů pro zákazníky dle GDPR

Safer Internet a práce STOPonline.cz. Kateřina Vokrouhlíková

Registr práv a povinností

Co se skrývá v datovém provozu?

Ochrana osobních údajů

Akce začíná registrací soutěžních kolektivů. Následně přechází v samotnou soutěž.

PROGRAM ROZVOJE VENKOVA ČR Elektronické podání Žádosti o dotaci PRV prostřednictvím Portálu farmáře. Opatření IV.2.1

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

EVIDENCE. informačního systému osobních údajů. podle článku 30, Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále obecné nařízení )

Digitální konkordance a Registr digitalizace v Manuscriptoriu,

Transkript:

Role forenzní analýzy v činnosti CSIRT týmů Aleš Padrta 1

CESNET-CERTS CESNET, z. s. p. o. CESNET-CERTS Provoz národní e-infrastruktury pro vědu, výzkum a vzdělávání CSIRT pro síť CESNET2 FLAB Forenzní laboratoř CESNET Podpůrné pracoviště CESNET-CERTS Analýza bezpečnostních incidentů Penetrační a zátěžové testy 2

CSIRT a informace CSIRT Základní služba = reakce na incident Potřeba získat informace Podklady pro rozhodování přesné a důvěryhodné Detailní (forenzní) analýza 3

Schéma spolupráce CSIRT Incident (problém) Potřeba informací Umí poskytnout Otázky Podklady Informace Forenzní analytik Znalosti Analýza Odpovědi + Postup 4

Internet a Technologie 15 Spolupráce CSIRT FLAB Případová studie 5

Popis situace Organizace Cypherfix, a. s. 25 000 uživatelů Vlastní CSIRT tým Neděle večer Podvodný e-mail Doručen do 3000+ schránek Různé přílohy <random>.scr Sociální inženýrství Nutí k otevření přílohy 6

Popis situace Pondělí ráno Uživatelé přicházejí do práce Čtou si elektronickou poštu Někteří hlásí podezřelý e-mail ale někteří otevírají přílohu Uživatelská podpora kontaktuje CSIRT CSIRT začíná řešit mimořádnou událost Příloha je závadná, téměř na 100% malware Antivirové řešení přílohu nepovažuje za problém Nad Cyberfixem se stahují mračna... 7

Reakce na incident Plánované kroky standardní postup Minimalizovat problém Zabránit dalšímu doručování Zabránit dalším kompromitacím Plán A Identifikovat systémy k nápravě Najít kompromitované stanice Najít uživatele těchto stanic Podniknout nápravu Vyčistit kompromitované stanice Napravit aktivity kompromitovaných účtů Změna hesel kompromitovaných účtů 8

Problémy CSIRT 1.Zabránit dalšímu doručování Zadáno správci mailového serveru Filtrování spustitelných příloh 2.Zabránit dalším kompromitacím Jak? AV nepozná, každá příloha jiná chybí informace 3.Najít kompromitované stanice Jak? Jaké jsou příznaky chybí informace 4.Vyčistit kompromitované stanice Jak? Jaké změny se provedou chybí informace 5.Najít uživatele kompromitovaných stanic Logy + seznam stanic CSIRT zvládne sám 6.Napravit aktivity kompromitovaných účtů Auditní záznamy, změna hesel CSIRT vytvoří postup + předá uživ. podpoře 9

Zadání pro forenzní laboratoř CSIRT potřebuje informace Sám nemá kapacitu Malý počet členů Plno práce s řízením incidentu Nemá znalosti nikdy malware neanalyzoval Kontaktuje forenzní laboratoř Telefonická konzultace Popis mimořádné situace Probrán plán reakce Konkretizace otázek a vytvoření zadání Předání několika vzorků malware 10

Zadání pro forenzní laboratoř Kontaktní údaje Informace o případu abuse@cypherfix.cz, +420 555... Analýza malware z přílohy e-mailu. Otázky Jak lze zamezit dalšímu šíření malware? Jak lze identifikovat napadené stanice? Jak lze malware z napadených stanic odstranit? Přebrané důkazy Předané soubory a jejich hashe 11

Zamyšlení nad analýzou Během konzultace rozbor cílů Zamezení dalšího šíření Malware v příloze pokaždé jiný (binárně) Analýza činnosti společné aktivity Identifikace napadených stanic Lokálně změny souborů a registrů Vzdáleně komunikace s C&C / dropzone Způsob nápravy Jaké změny jsou v systému provedeny Další dopady na bezpečnost (hesla, šifrování dat, ) Výsledky je potřeba rychle součást reakce na incident 12

Výsledky analýzy Dílčí výsledky +2h od prvního telefonátu Způsob zamezení šíření (ruční úprava pravidel AV) Příloha je dropper vždy spouští stejný malware Způsob detekce Změny v souborovém systému (nové soubory) Změny v registrech (zajištění persistence) Komunikace s konkrétními IP adresami Kompletní výsledky +3h od prvního telefonátu Způsob odstranění: User-profile malware návod k odstranění 13

Výsledky analýzy Závěrečná zpráva Manažerské shrnutí Zadání Průběh analýzy Použité prostředí Dosažené výsledky Zhodnocení Shrnutí Odpovědi na otázky 14

Shrnutí Forenzní laboratoř Podpora při reakci na incident Dodání informací CSIRT Poskytne podklady Zadá otázky Dostane výsledky Průběžně - dílčí výsledky Závěrečná zpráva 15

URL pro případovou studii Odkaz z http://flab.cesnet.cz Přímé URL https://flab.cesnet.cz/_media/cs/sluzby/case_studyanalyza_malware.pdf 16

Děkuji za pozornost??? 17

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář