SlideShare a Scribd company logo

"Мистецтво захисту бар'єрів"

Vladyslav Radetsky
Vladyslav Radetsky

Слайди до мого виступу на Trellix Cyber Month. Опис сценарію атаки взятого з реальних подій. Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266 Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776 Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника. Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware. Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак. Будьте здорові, уважні та обережні. #OptiData #InformationSecurity #Security #Інформаційнабезпека #безпека #Trellix #McAfee #VR #malware #TTPs #ransomware

Technology
1 of 22
Download to read offline
1 1 Trellix | Always Learning. Always Adapting. 1 Мистецтво захисту бар'єрів (доповнена версія) Владислав Радецький vr@optidata.com.ua
2 2 Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом різних засобів захисту. • vr@optidata.com.ua • radetskiy.wordpress.com • pastebin.com/u/VRad • slideshare.net/Glok17 #whoami
3 3 Trellix | Always Learning. Always Adapting. 3 "Той, хто знає ворога й себе, ніколи не програє війни" “Мистецтво війни”
4 4 Trellix | Always Learning. Always Adapting. 4 Цей сценарій є реконструкцією реальної атаки (засновано на реальних подіях)
5 5 Trellix | Always Learning. Always Adapting. 5 • Втручання через віддалений доступ підрядника • Підрядник має постійний неконтрольований доступ до двох SCADA систем через AnyDesk (VNC/Radmin/TV) • Імітуємо TTPs Ransomware • Місія – не дати відключити АВ та запустити malware * Захист від витоку в рамках цього демо не розглядається (це окрема задача для McAfee DLP Endpoint) Сценарій
6 6 Trellix | Always Learning. Always Adapting. 6 Сценарій SCADA#1 SCADA#2 Contractor
7 7 Trellix | Always Learning. Always Adapting. 7 • Підняти права до SYSTEM через LPE CVE-2022-21882 • Змінити пароль поточного користувача • Додати поточного користувача у групу Адміністратори • Відключити антивірусний захист • Запустити Ransomware Практичне – порядок дій
8 8 Trellix | Always Learning. Always Adapting. 8 • whoami • net user %name% • net user %name% * • net localgroup administrators %name% /add • reg.exe ADD "HKLMSOFTWAREMicrosoftWindows DefenderExclusionsPaths" /f /t REG_DWORD /v “C:Users" /d "0" ** * команда net user може працювати як з локальними так і з AD користувачами ** спосіб з реєстром був актуальним ще з 2014го, але MS його вже виправила Практичне – порядок дій
9 9 Trellix | Always Learning. Always Adapting. 9 • Маючи права можна додати каталог у виключення через add-mppreference (powershell) • Відключення Windows Defender можуть зробити: ✓ Руками через GUI (просто, але не цікаво) ✓ Trinity ✓ Defender Control ✓ Утилітами для керування телеметрією: O&O , WPD Практичне – деактивація Defender
10 10 Trellix | Always Learning. Always Adapting. 10 Практичне – LPE + “апгрейд” користувача
11 11 Trellix | Always Learning. Always Adapting. 11 Практичне – початковий стан Defender
12 12 Trellix | Always Learning. Always Adapting. 12 Практичне – деактивація Defender 1
13 13 Trellix | Always Learning. Always Adapting. 13 Практичне – деактивація Defender 2
14 14 Trellix | Always Learning. Always Adapting. 14 Практичне – деактивація Defender 3
15 15 Trellix | Always Learning. Always Adapting. 15 Практичне – результат Ransomware
16 16 Trellix | Always Learning. Always Adapting. 16 Практичне – спроба видалити McAfee
17 17 Trellix | Always Learning. Always Adapting. 17 Практичне – спроба видалити McAfee
18 18 Trellix | Always Learning. Always Adapting. 18 • Неконтрольований віддалений доступ = ризик • Microsoft має багато LPE у Windows = оновлюйтесь • Засоби захисту мають бути захищені від втручання • Змінюйте стандартні політики, посилюйте захист Висновки#1 ".. не покладатися на те, що противник не прийде, а покладатися на те, з чим я можу його зустріти.." “Мистецтво війни”
19 19 Trellix | Always Learning. Always Adapting. 19 • Якщо ви не встигаєте ізолювати заражену систему за 15-20 хв з моменту втручання – ви програли • Ви маєте відстежувати і враховувати нові вразливості (LPE/RCE) при корекції політик вашого захисту • Ознайомтесь з цими звітами: • BlackCat Ransomware (McAfee / Trellix) • Qbot Likes to Move It (The DFIR Report) Висновки#2
20 20 Trellix | Always Learning. Always Adapting. 20 • Заборона розпаковки потенційно небезпечних файлів (Access Protection Rule) - Block File Create > 7z (WinRAR/WinZip) > Users***.exe | *.ps | *.bat | * Стаття “Ліки від скриптів” • Відстеження / блокування виклику LoLBIN from user (Access Protection Rule) - Block Process Execute > whoami | net | sysinfo | reg | mshta | esentult | certutil ** Каталог LOLBAS Практичні поради#1
21 21 Trellix | Always Learning. Always Adapting. 21 • Захист від Endpoint Product Removal Tool* (Access Protection / Expert Rule) - Block Process Execute > MD5=6ccd2e2ec573f0b3d3a738a450043af0 • Захист від видалення McAfee Agent (KB65863) (Access Protection Rule) - Block Process Execute > **FrmInst.exe + Signature Validation Практичні поради#2 ".. не покладатися на те, що він не нападе, а покладатися на те, що я зроблю напад на себе неможливим для нього.." “Мистецтво війни”
22 22 Trellix | Always Learning. Always Adapting. 22 Владислав Радецький vr@optidata.com.ua Дякую вам за увагу!

Recommended

Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 

Recommended

Кіберзахист в умовах війни
Кіберзахист в умовах війниКіберзахист в умовах війни
Кіберзахист в умовах війниVladyslav Radetsky
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Практичні рецепти захисту
Практичні рецепти захистуПрактичні рецепти захисту
Практичні рецепти захистуVladyslav Radetsky
 
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLVladyslav Radetsky
 
NSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуNSP та MWG - захист мережевого трафіку
NSP та MWG - захист мережевого трафікуVladyslav Radetsky
 
Як не стати жертвою ?
Як не стати жертвою ?Як не стати жертвою ?
Як не стати жертвою ?Vladyslav Radetsky
 
Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacksNETWAVE
 
9 клас урок 16
9 клас урок 169 клас урок 16
9 клас урок 16Юлія Артюх
 
9 клас урок 15
9 клас урок 159 клас урок 15
9 клас урок 15Юлія Артюх
 
9 клас урок 17
9 клас урок 179 клас урок 17
9 клас урок 17Юлія Артюх
 
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки7 кроків у напрямку безпеки
7 кроків у напрямку безпекиVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
34
3434
34maksi100
 
33
3333
33maksi100
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 
Less16
Less16Less16
Less16Nikolay Shaygorodskiy
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 

More Related Content

What's hot

Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівVladyslav Radetsky
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015Vladyslav Radetsky
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Vladyslav Radetsky
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacksNETWAVE
 
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки7 кроків у напрямку безпеки
7 кроків у напрямку безпекиVladyslav Radetsky
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атакиVladyslav Radetsky
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Vladyslav Radetsky
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 

What's hot (16)

Безпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерівБезпека телефонів для ЗСУ, ТРО та волонтерів
Безпека телефонів для ЗСУ, ТРО та волонтерів
 
Penetration Testing Practice 2015
Penetration Testing Practice 2015Penetration Testing Practice 2015
Penetration Testing Practice 2015
 
"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук"Наступну атаку можна попередити", Олександр Чубарук
"Наступну атаку можна попередити", Олександр Чубарук
 
Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020Логи (анти)вірусних війн 2019-2020
Логи (анти)вірусних війн 2019-2020
 
Check list: readiness for phishing attacks
Check list: readiness for phishing attacksCheck list: readiness for phishing attacks
Check list: readiness for phishing attacks
 
9 клас урок 16
9 клас урок 169 клас урок 16
9 клас урок 16
 
9 клас урок 15
9 клас урок 159 клас урок 15
9 клас урок 15
 
9 клас урок 17
9 клас урок 179 клас урок 17
9 клас урок 17
 
7 кроків у напрямку безпеки
7 кроків у напрямку безпеки7 кроків у напрямку безпеки
7 кроків у напрямку безпеки
 
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.
 
Сучасні цільові атаки
Сучасні цільові атакиСучасні цільові атаки
Сучасні цільові атаки
 
Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.Практики застосування рішень McAfee. Історії успіху.
Практики застосування рішень McAfee. Історії успіху.
 
34
3434
34
 
33
3333
33
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Web
 
Less16
Less16Less16
Less16
 

More from Vladyslav Radetsky

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефонуVladyslav Radetsky
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Vladyslav Radetsky
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Vladyslav Radetsky
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLPVladyslav Radetsky
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Vladyslav Radetsky
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Vladyslav Radetsky
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахVladyslav Radetsky
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекVladyslav Radetsky
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Vladyslav Radetsky
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackVladyslav Radetsky
 

More from Vladyslav Radetsky (15)

Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
 
2й фактор для телефону
2й фактор для телефону2й фактор для телефону
2й фактор для телефону
 
Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]Cybersecurity during real WAR [English version]
Cybersecurity during real WAR [English version]
 
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatBasic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threat
 
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
 
Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2Типові помилки при впровадженні DLP #2
Типові помилки при впровадженні DLP #2
 
Типові помилки при впровадженні DLP
Типові помилки при впровадженні DLPТипові помилки при впровадженні DLP
Типові помилки при впровадженні DLP
 
Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware. Історії з практики. Боротьба із malware.
Історії з практики. Боротьба із malware.
 
Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017Правила поведінки при роботі з ІТ 2017
Правила поведінки при роботі з ІТ 2017
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1McAfee Endpoint Security 10.1
McAfee Endpoint Security 10.1
 
DLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечекDLP 9.4 - новые возможности защиты от утечек
DLP 9.4 - новые возможности защиты от утечек
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
 
ShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attackShadyRAT: Anatomy of targeted attack
ShadyRAT: Anatomy of targeted attack
 

"Мистецтво захисту бар'єрів"

  • 1. 1 1 Trellix | Always Learning. Always Adapting. 1 Мистецтво захисту бар'єрів (доповнена версія) Владислав Радецький vr@optidata.com.ua
  • 2. 2 2 Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом різних засобів захисту. • vr@optidata.com.ua • radetskiy.wordpress.com • pastebin.com/u/VRad • slideshare.net/Glok17 #whoami
  • 3. 3 3 Trellix | Always Learning. Always Adapting. 3 "Той, хто знає ворога й себе, ніколи не програє війни" “Мистецтво війни”
  • 4. 4 4 Trellix | Always Learning. Always Adapting. 4 Цей сценарій є реконструкцією реальної атаки (засновано на реальних подіях)
  • 5. 5 5 Trellix | Always Learning. Always Adapting. 5 • Втручання через віддалений доступ підрядника • Підрядник має постійний неконтрольований доступ до двох SCADA систем через AnyDesk (VNC/Radmin/TV) • Імітуємо TTPs Ransomware • Місія – не дати відключити АВ та запустити malware * Захист від витоку в рамках цього демо не розглядається (це окрема задача для McAfee DLP Endpoint) Сценарій
  • 6. 6 6 Trellix | Always Learning. Always Adapting. 6 Сценарій SCADA#1 SCADA#2 Contractor
  • 7. 7 7 Trellix | Always Learning. Always Adapting. 7 • Підняти права до SYSTEM через LPE CVE-2022-21882 • Змінити пароль поточного користувача • Додати поточного користувача у групу Адміністратори • Відключити антивірусний захист • Запустити Ransomware Практичне – порядок дій
  • 8. 8 8 Trellix | Always Learning. Always Adapting. 8 • whoami • net user %name% • net user %name% * • net localgroup administrators %name% /add • reg.exe ADD "HKLMSOFTWAREMicrosoftWindows DefenderExclusionsPaths" /f /t REG_DWORD /v “C:Users" /d "0" ** * команда net user може працювати як з локальними так і з AD користувачами ** спосіб з реєстром був актуальним ще з 2014го, але MS його вже виправила Практичне – порядок дій
  • 9. 9 9 Trellix | Always Learning. Always Adapting. 9 • Маючи права можна додати каталог у виключення через add-mppreference (powershell) • Відключення Windows Defender можуть зробити: ✓ Руками через GUI (просто, але не цікаво) ✓ Trinity ✓ Defender Control ✓ Утилітами для керування телеметрією: O&O , WPD Практичне – деактивація Defender
  • 10. 10 10 Trellix | Always Learning. Always Adapting. 10 Практичне – LPE + “апгрейд” користувача
  • 11. 11 11 Trellix | Always Learning. Always Adapting. 11 Практичне – початковий стан Defender
  • 12. 12 12 Trellix | Always Learning. Always Adapting. 12 Практичне – деактивація Defender 1
  • 13. 13 13 Trellix | Always Learning. Always Adapting. 13 Практичне – деактивація Defender 2
  • 14. 14 14 Trellix | Always Learning. Always Adapting. 14 Практичне – деактивація Defender 3
  • 15. 15 15 Trellix | Always Learning. Always Adapting. 15 Практичне – результат Ransomware
  • 16. 16 16 Trellix | Always Learning. Always Adapting. 16 Практичне – спроба видалити McAfee
  • 17. 17 17 Trellix | Always Learning. Always Adapting. 17 Практичне – спроба видалити McAfee
  • 18. 18 18 Trellix | Always Learning. Always Adapting. 18 • Неконтрольований віддалений доступ = ризик • Microsoft має багато LPE у Windows = оновлюйтесь • Засоби захисту мають бути захищені від втручання • Змінюйте стандартні політики, посилюйте захист Висновки#1 ".. не покладатися на те, що противник не прийде, а покладатися на те, з чим я можу його зустріти.." “Мистецтво війни”
  • 19. 19 19 Trellix | Always Learning. Always Adapting. 19 • Якщо ви не встигаєте ізолювати заражену систему за 15-20 хв з моменту втручання – ви програли • Ви маєте відстежувати і враховувати нові вразливості (LPE/RCE) при корекції політик вашого захисту • Ознайомтесь з цими звітами: • BlackCat Ransomware (McAfee / Trellix) • Qbot Likes to Move It (The DFIR Report) Висновки#2
  • 20. 20 20 Trellix | Always Learning. Always Adapting. 20 • Заборона розпаковки потенційно небезпечних файлів (Access Protection Rule) - Block File Create > 7z (WinRAR/WinZip) > Users***.exe | *.ps | *.bat | * Стаття “Ліки від скриптів” • Відстеження / блокування виклику LoLBIN from user (Access Protection Rule) - Block Process Execute > whoami | net | sysinfo | reg | mshta | esentult | certutil ** Каталог LOLBAS Практичні поради#1
  • 21. 21 21 Trellix | Always Learning. Always Adapting. 21 • Захист від Endpoint Product Removal Tool* (Access Protection / Expert Rule) - Block Process Execute > MD5=6ccd2e2ec573f0b3d3a738a450043af0 • Захист від видалення McAfee Agent (KB65863) (Access Protection Rule) - Block Process Execute > **FrmInst.exe + Signature Validation Практичні поради#2 ".. не покладатися на те, що він не нападе, а покладатися на те, що я зроблю напад на себе неможливим для нього.." “Мистецтво війни”
  • 22. 22 22 Trellix | Always Learning. Always Adapting. 22 Владислав Радецький vr@optidata.com.ua Дякую вам за увагу!