BSidesKharkiv 2018 - Vitaly Balashov HOW WE SCREWED UP AND HOW YOU CAN PREVENT THIS

спасибо сразу я хочу спросить где я знаю идет стрим где камера один висит камера вот там к вот да я как-то сложно было не заметить витя прости ты мне сам разрешил если ты это смотришь то или записи посмотришь извините а хорошо я в общем обычно вот для меня это вот событие сегодня немножко другое не такое как обычно потому что обычно я там пытаюсь рассказывать про forensics еще чего то потому что я выходец из forensics вот как-то is free in six ушел в apple конечно security но тем не менее как бы мне немножко это все надоело и я решил показать как это происходит не просто на уровне техническом да а как это происходит на уровне интересов бизнеса

интересов компании что вообще происходит как это обычно происходит и и я вижу здесь много знакомых лиц практиков я думаю что некоторые разделят эту боль просто поэтому давайте следующий слайд и у меня есть какая-нибудь клацал к вот это наверно надо не работать правду говорят масштабе это включать науки следующий слайд да вот я долго думал какой копировать прилепить к этим фразам да ну я не придумал потому что это пришлось бы тут сюда лепиться самого себя потому как это просто то что пришло мне в голову после того как я начал анализировать все случившееся и мне кажется какой-то степени правда да потому что очень часто когда мы там я общаюсь какими-то людьми я вижу что люди часто или просто зашорен и на

технологиях да и мы или или люди которые бизнес не хотят вникать в какие-то процессы то есть есть желание давайте мы поставим айдиас и у нас все будет хорошо а потом когда случается какая-то большая лажа все говорят так мы же купили какую-то железяку что у нас безопасности теперь не было ли что ну нет вот но я думаю большинство из вас понимает что не так как сказал один умный человек с которым я сейчас работа full у из тулы steel full как бы но тут никуда не денешься если ты не знаешь что с этим делать или как этот знаменитый стикер в этом знаменитом тщательно burg у нас есть у нас ума не хватает и к сожалению вот это повсеместно поэтому

давайте следующий слайд что произошло подходим в общем на самом инциденте с технической стороны я вам его расскажу подробно все как происходило но я хочу акцентировать внимание не на нем мы будем акцентировать внимание дальше что конкретно произошло одна компания netapp которая у меня написано в режим под под мой аватар очка нет это не epam systems это совсем другая компания то отдельные мои друзья не тоже резиденты соединенных штатов которые делают фрэнсис как бы казалось бы да там он делает коммерческий forensics иногда продают security там работает масса грамотных людей лидеры мнений даже там работают все очень круто но в какой-то момент несколько человек получили как бы классическая фишинговые письмо даже с нашей и вот подписью в котором написано там доброе утро проверьте файл

до в лежит какой-то 2x естественно как бы большинство людей компом пара продажников может там запустила все как бы технари естественно посмотрели поняли что это такое как бы тут же отбросили и поднялся небольшой кипиш о том что ребята откуда у нас это взялось почему она к нам прилетела и почему оно пришло из внутренней почты а я заслоняя наверно немножко как бы почему оно пришло из внутренней почте что в эту корпоративной причем от сотрудника который не должен был а то рассылать но классика в общем ничего нового естественно этот док был с макросами давайте следующий слайд а из теста мы сразу как бы взялись за то чтобы разобраться почему это случилось как это предотвратить а как бы вот те те шаги я не буду их

перечислять которые нам нужны для того чтобы ответ ни на какие вопросы нам нужно ответить и какие шаги сделать для того чтобы избавиться от этого инцидента правильно то есть я хочу еще обратить внимание что нужно сначала вычистить малварь а потом поменять ключи вот это в дальнейшем тоже будет важно но потому что если вы начинаете менять себе срочно пароли а ваша малварь продолжает сидеть и воровать ах вы можете их менять принципе до бесконечности бы ну в зависимости конечно от малварь и и как она работает это должно было быть сделано следующий слайд ему как бы принялись принялись этим заниматься это как бы результат мы просто залили этот файлик на virustotal как бы супер что делает логика здорового человека когда видит подозрительные

файлики бросает их на virustotal естественно мы не ожидали этого увидеть это все хорошо все нормально так и должно быть едем дальше следующий слайд

[музыка] да пожалуйста а как бы тоже кусочек из virustotal а я не знаю вот саша лучше всех тут наверно понимает реверсе да вот как бы послушать его чуть позже для он наверное это читает как вы уже так привычно как как не сказку на ночь на что я хочу здесь обратить внимание the top вот это вот shell команд раздел он здесь приведен не полностью ну я вам покажу потом дальше чуть полностью когда запускается этот док файл запускается определенный макрос который стартует за собой cmd либо power shell как бы которой выполняет какие-то действия скорее всего эти действия это подтягивание какого-то троя надо которая садится в систему ну тоже ничего нового следующий слайд вот давайте его немножко разберем чтобы

мы все-таки это техническая конференция мы поймем как это работало а вот так выглядит его полная версия а как бы нам идет довольно быстро нашли да как бы посмотрели чего ну как быстро на следующий день но мы были заняты другими вещами и стали смотреть на этот код как бы в принципе это похоже на какую-то абракадабру звездочки палочки да но вы можете здесь увидеть какие-то знакомые слова например вот покажите мне здесь есть незнакомые слова но вода или вот например вот здесь есть да вот н w объект чего-то там и так далее и так далее рэндом да то есть есть какие-то то есть вы смотрите это вроде бы какая-то каша но в ваше сознание и даже такой матерый глаз подсказывает что что то

здесь как бы не так и вот эти вот чары тоже как бы чего-то напоминают наверное это нужно что-то перекодировать следующий слайд как бы немножко приводим его в красивый вид то есть вот эти вот н да да это как бы у нас просто сопоставление команд которые выполняются одна за одной поэтому мы немножко для себя приводим красивые чтобы мы понимали что здесь происходит мы начинаем естественно мы не помним абсолютно все начинаем гуглить что такое восклицательные знаки вокруг переменных в c мдф по варшаве узнаем что это что-то вроде конкатенации допрос сопоставления строки следующий слайд

вот следующий слайд значит вот те вот я всегда забываю как они называются вот которые верху были там где комп всех вот эта вот штучка такая сверху нитель так то по другому кто то у нее тоже интересно имя для вот этой де опускаться до они просто выбрасываются некоторые конкатенации выбираются дальше так по чуть-чуть по чуть-чуть мы приходим к кому то более менее адекватному виду кода вот эти верху переменные в принципе нам уже не нужны мы видим что это просто набор переменных которые содержат в себе стройке по одной букве которая в результате складывается строку powershell и x это выполнение поворошил кода а следующая следующий слайд а значит мы переходим вот вот этим нижнем строкам которые вот чар мы видим что есть все эти чары

оборачиваются в replace он то есть соответственно что-то должно на что-то подвинется чар это представление о вас кихоте да то есть мы это все в ручками можем ручками можем как-то еще переводим в вид который нам понятен ну вот вот здесь например никакого а скинет да вот сразу видно что строка 1 н п должна быть заменена на значок доллара ну мы делаем соответственно control of как бы replace следующий слайд видим что 11 раз он повторяется и чтобы сократить немножко время в итоге мы получаем что-то вот такое когда мы все вот эти риплейс и сейчас все это переводим убираем все конкатенации то сделаем полную дело впуска цию выходит что-то вроде вот этого а что происходит в принципе вот

этот for если здесь есть программисты вот этот форум здесь лишний можно было без него обойтись а все почему потому что этот кусок кода валяется на просторах интернета и что происходит есть переменные которые задают какие-то определённые адреса и части имени есть переменные которые вызывают веб-клиент который может что-то загрузить потом формируется имя файла к нему прилипли вается расширение exe и вот здесь происходит загрузка файла по вот-вот этом подсвеченном у вот имени которая тоже была просто немножко отпусти равана а его его его плохо видно да ну да в общем там набор просто букв которые вот нечитаемые то есть они как а джейка а jasna в общем чего-то там точка ком потом идет увядает это все перед ну то

есть это ссылка на какой-то конкретный файл который будет загружен когда вы откроете файлик да и в принципе вот этот for здесь нужно только для того чтобы если вы мошенник подготовленный и у вас есть ни один вот ни одна вот такая ссылка с которой можно загрузить ваш троян или что это вы распространяете ну или вы не распространяйте распространи кто-то другой вы можете сделать их несколько штук с помощью вот этого сплит они объединятся в массив и вот этот for пробежит по массиву и загрузится всех здесь как бы мошенник был лентяем и было лень выбрасывать целый цикл for вот и и он просто ввел туда один мансуром то есть проходит один лишний раз как бы по массиву это ни на что не влияет ok едем дальше

мы увидели что что происходит а мне кажется мы пропустили один слайд это была техническая сторона мы ее пробежали быстро вы поняли что происходит как это работает если кому то интересно вот это опускаться и заниматься как бая думает как бы google вам в руки информации море это прикольно классно интересно это было да кстати довольно простой был пример бывает гораздо сложнее теперь на что я хотел бы акцентировать внимание а кроме технической составляющей которую мы довольно быстро разобрали есть организационная составляющая кто-то должен все это сделать вопрос кто это должен быть кто-то в организации это должен быть живой человек это должен быть кто-то кто знает что делать это должен быть кто-то кто знает инфраструктуру это человек не всегда существуют в зависимости от размера

организации совершенно верам зависимости от подхода к организации потому как были организации over 200 человек у которых не было таких людей вот за что ну ладно это позже будет хорошо а и вопрос даже если инцидент какой-то случился мы заметили это письмо кто должен на нем узнать первым вот вот за что за что я такую пределе определяю внимание именно вот организационной стороне я как-то не так давно общался с ребятами из из хиры студентами которые учатся на никак не безопасность информационных технологий кафедра ткс и и вот которая управлять управление информационной безопасностью и как бы не все они всегда понимают что они там делают иногда ну вот за того что не хватает каких-то технических штук до их не учат panties

этих не учат там еще чему-то ну во первых как бы вы мог можете открывать любые примеры и делать да и кто хочет только тех кто хотел научиться тот научился даже если учился на филолога он все равно научился понтифик если он хотел это раз во вторых почему я считаю что управление информационной безопасностью даже она гораздо важнее чем технические знания технические знания очень важны но они нужны для того чтобы выполнять свою работу чтобы выполнять ее качество качественно вам нужно нормальное управление хотя бы даже понимание кому сообщать об инциденте not кто кому 102 будете звонить сказать скажите у нас тут как бы какой-то зараженный файл пришел скажите пришлите мне пожалуйста наряд кибер полиции ну как бы да вы понимаете да все

для потому что ли неправильно в общем вот пожалуйста да вот вот прямо вот на месте кто должен быть ответственная ответственно должно быть за что я люблю государственные органы ну как люблю такое отстранено любовью немножко на расстоянии до за то что у них всегда есть какой-то вот уставка реле там статут или положение атома какой-то организации в которой всегда расписано кто за что ответственной кому бежать что делать и без этого не работает так вы видели государственно эти сферах ну она вроде бы есть как бы ну я и объяснение не не соприкасался хорошо кому сообщать понятно да вот я один раз я работал в организации в которую на все это было расписано четко и вот прямо вот дар mind

мельчайших пунктов это был центр аккредитованный центр сертификации ключей вот которая цыпы цыпы которые продают вот там это все было расписано четко потому что наш начальник был военной вот он сначала пришел написал все документы что как должно быть а потом стал нанимать людей и в принципе ему это очень сильно помогло бизнес так и не взлетел но ему помогло давайте дальше следующий слайд вот как это все происходило у нас у нас сожалению никаких таких документов не было никаких распределение ролей тоже не было вообще не было ничего были несколько грамотных людей которые работали всегда на клиентов на костюмеров которые не занимались обеспечением внутренней безопасности или внутренних расследований все профессионалы опять-таки не а кому нельзя сказать плохого слова все одно

крутые какой-нибудь да это breach до или как там несанкционированный доступ расследовали не один раз и на то чтобы сделать вот это вот уже привычную штуку которую делали для клей тов ни один раз ушло минимум три дня и закончилась только когда приехал технические уже руководители сам до конца все довел почему потому что технический руководитель хорошо рулил техникой но вот сейчас он как быстро ли составить процессы но он не так давно вошел в эту роль которая позволяет ему ставить процессы до этого процесса были расшатаны вот нет процесса внутри организации соответственно вот он крах а значит как это все было письмо обнаружили значит технические руководителя которая только что упомянул в это время где-то в автомобиле семьей едет откуда-то из вены

куда-то в польшу или за рулем будет еще часов восемь это суббота еще один человек находится тоже в другой стране который в принципе он на подхвате он готов да он онлайн у него есть рабочая станция внутри периметра и он может там что то делать есть я который тоже в принципе есть внутри периметра я тоже был готов а есть еще один человек который там считается как бы там немножко выше уровнем который там работал с о да там все такое он египте при этом в египте он отменяет экскурсию бросает и сидит в отеле с ноутбука ну не очень не самая лучшая ситуация там так у него жена там рядом сидит для расследования какого-то инцидента сразу видно опытного человека

в общем как то вот так это все происходит значит более того значит весь отце инцидента это происходит в реальной физической веры forensic лабораторий которая находится в соединенных штатах все каждый из нас удаленные в других странах никто из нас не находится в соединенных штатах и через несколько часов должен появиться один сотрудник которые выполняют роль саппорта давайте следующий а значит естественно его об инциденте как бы мы всем рассказываем все это узнается и самый как бы главный самый самый большой владелец бизнеса а задает как бы вопросы ребята скажите мне ушли ли эти письма клиентам либо только нам потому что несколько человек внутри компании получили письма с зараженным файлом бог с ними с нами как бы мы себе там это все пофиксим все

нормально ушло ли клиентам потому что мы клиентам продаем saber security и тут же рассылаем и малварь как бы но не очень репутационные потери все дела до надо что-то с этим делать в это же время на фоне делается план как пишу уже составляется шаблон письма причем два или три в котором написано это мы тестировали новый продукт 2 это это у нас все вышло из-под контроля этому мимо песочнице промазали там в 3 короче это все честно дам провалились но мы сделали за 2 хороший кейс а мы теперь можем вам продать защиту от вот этого в общем все красиво следующий слайд а как это значит дальнейшем всю как развивается вот то что я вам показывал это вот сюда как происходит развитие

событий мы выясняем что не сразу несколько человек отсылали это это письмо зараженный файл как бы эта власть возникает сразу наводит нас на мысль о том что скомпрометированы несколько учетных записей почтовые сразу как бы появляется мысль о том что ну почему сразу несколько вот и на 1 момента ну возможно у них у всех были может быть одинаковые по роли ну как что еще можно предположить ну может быть в принципе допустимо но я больше поверю в одну две одинаковые по роли значит мы естественно сразу просим от одного представителя саппорта который бегает там вот это вот у пытается разруливать мы просим у него logis mail сервера и мы никто из нас вообще не знает где он какой он если он вообще но

мы знаем что он есть потому что мы пользуемся почты мы знаем что он он привез где-то вот в лаборатории это не office 365 меня нет чуют это наш собственный почтовик мы знаем что он есть где из чего он сделан не знает никто вроде бы знает сам саппорт но должен знать еще технический руководитель но он опять таки в дороге где-то вот где-то вот на просторах вот европейской области вот там значит и как бы вот это вот этот саппорт он говорить я могу достать логе все сделаем он идет достает логе их около полутора гигабайт за три дня как бы это все нужно как-то разруливать и тут мы выясняем что сам вот сервак mail server это ник очень а какой то м демон или

что-то такое который в принципе каждый из нас видит впервые что он пишет своих логовах хрен его знает в общем стали читать логия тут еще проявляется тонн тонкость значит один парень который сразу готов на подхвате он быстро получают логе у меня проблема с доступом share я не могу даже просто их открыть и так процессом постановки вот каких-то ситуаций внутри компании в процессе этого всего дела вы мы выяснили олег выяснил все учетки которые отправляли эти пики которые получали эти письма и

это не ты же момент на отправке по моему не было маркером мы не не столько искали маркер и когда это все произошло мы пытались выяснить ушло ли она клиентом или только нам вот это был первый этап и тут мы с ним что клиентам оно ушло в общем и соответственно как бы напряжение возрастает следующий слайд значит у нас как бы появляются первые итоги я попользуюсь как тезисами мы теперь точно знаем что у нас есть несколько скомпрометирован их учет окно мы не знаем сколько полностью ну вот у полное число мы знаем что оно ушло клиентам но не можем подсчитать до конца сколько значит нам мы их для того чтобы ответить вот дальнейшего расследования нам нужно про исследовать каждую каждую жертву которую

мы определили количество жертв мы можем теперь от которая рассылала мы мы должны проверить каждую машину желательно для этого сделать образ самого жесткого диска и передать forensic am на то чтобы они это все быстренько посмотрели быстренько параллельно разбирается вот этот док файл который я вам показал уже разобранный на тот момент он еще не был разобранный также мы пытаемся вот logis mailserver а потому что их очень много полтора гигабайта текстовой информации телеканале полтора гигабайта текста ну как бы но это несколько рулонов туалетной бумаги вот я не знатоки его наверное можно размотать соответственно как бы хочется какой-то автоматизации поэтому как бы мы пытаемся засунуть это в какие-то системы мониторинга у нас был с планк мы стали пытать и хоть это фсб

long дальше результат а значит и в этот момент мы выясним что mailserver а у нас оказывается 2 как бы это вот так я не знаю до сих пор это один и тот же никто не то ли дублируют друг друга то ли резервирует я я так и не понял до конца в общем но их два об этом как бы знал по моему только саппорт который сказал об этом в последний момент как говорит я собой к сервировке не услуги круто а значит следующий слайд значит пока 11 изучает 2 бьется в попытках доступа это я да я так до сих пор и не получила эти логе я не могу их смотреть подкинул и кто-то в общем подкинул такой вектор атаки что

ребята да у нас похожие ssh смотрит в мир но у кого то было такое подозрение что у нас ssh открытый мир саппорт говорит но он у нас как бы закрыт плавает листом и только определенные печники могут приходить хоть и по паролю как бы на сыром определенные печники только могут приходить как бы и человек говорит но я видел все равно проломанное как бы поэтому давайте смотреть logis sh logis и наш мы так и не получили от саппорта а то есть оперативность получения информации расследования и так далее да а дальше вы даже поймете почему но как бы мы ни не получили по двум причинам во первых потому что она как бы их забили нам показывать просто не знаю было ли не

доставать человек был занят сам анализировал логе в это время второй пункт будет дальше значит и пока я пытаюсь добраться до как бы вот досада машины слугами а значит опять таки повод вот эти многом таки человек который активно все таки может работать он выясняет что письма клиентам ушли но одна из систем заблокировала отправку вредоносного вложения то есть уже в принципе но хотя бы мы никого не заразим потому что к тому моменту мы успели уже написать письмо в котором написано как избавляться от конкретной малварь и какие одноразовые антивирусы использовать но еще как бы только это был шаблон а давайте дальше в общем но до конца мы не были в этом уверены потому что несмотря на то что вот to

touch зараженный был заблокирован юг судя по лугам он никуда не ушел людям которые внутри компании его получили как так получается тоже непонятно а значит мой коллега просит ещё дополнительных логов хоть каких-нибудь потому что мэл сервера логов ему мало он говорит да пожалуйста дайте еще хоть что то чтобы я смотрел что еще произошло у нас как бы ограниченной какой-то круг видимости тут саппорт нам говорит но и vtx логе как бы но виндовые не вопрос этаж легко и достать я сейчас их сервера принесу так мы узнаем что у нас windows server тут же я решил сразу спросить ну хоть не 2003 я надеюсь как бы оказалось нет 2008 и даже с последними апдейтами значит все как бы получили эти логе то мы

продолжили сканировать помню ничего у них толком не нашли и в этот момент как бы где-то вот в это время я вот добрался вот все-таки доз этих логов это по-моему первый день заканчивался кажется уже ли 2 уже пошел на второй же день шел я все-таки получил доступ машине на которой лежала полтора гигабайта логов и постарался засунуть какую-нибудь пар ссылку логов типа с планка там интересно с планка использовать качество пасынки логов но ладно я добрался и мы выяснили что с планка нам никаким образом не поможет потому что он у нас не купленная он умеет только 500 500 мегабайт сутки у нас полтора гигабайта и все пришлось выбросить его тоже давайте следующий слайд поэтому нас остается только опять-таки

ручное копания наступил новый день то есть вот эта вот временная шкала вот так размазывайте вот все эти события плавно по времени да вот то есть это все происходит не вот не быстро все это время все вот мы мы слава богу поэтому под конец первого дня мы задумали создать отдельный канал в рабочем чате который назывался инцидентом так далее с ограниченным кругом лиц что для того чтобы поддерживать коммуникацию приблизительно раз в полтора часа мы друг у друга спрашивали ребята ну а что там у вас то я не знаю а у тебя шуму ты что-то делаешь вообще то есть как то такое происходило то есть налицо что отсутствие координации процесса отсутствие каких-то четких указаний что делать кому и распределение ролей просто

на лицо дамы это мы это понимаем как бы ну вот так получилось мы столкнулись таким впервые именно у себя то есть мы все время всем другим людям рассказывали что у вас этого нет и вы дураки и у вас должно быть и когда это пришло к нам дураками оказались мы сами а значит влогах mail сервера и операционной система никакой компрометации не нашли список клиентов с которыми которые получили это письмо получит есть полностью руководство по крайней мере знает кому это всё ушло и значит запросили а мы как бы дружно посовещались сказали отдайте к нам наверное образ полностью от жесткого диска mail сервера для того чтобы мы могли сделать его полностью timeline есть эту forensic of такая классная

методика это вот просто прогнать весь диск просканировать на наличие в секции всех time stamp of и вот каждый там стадо в одном файлики как минимум 3 до вмт если это интерфейс тупо хорошим их там даже гораздо больше а внутри док файла там еще дата печати дата счет чего да все таймс там по которой есть вообще можно найти в системе на парсить раскладываются по таймлайну и в принципе видно какие то события очень удобно для того чтобы какой-то конкретный промежуток времени посмотреть что происходило мы хотим это сделать мы говорим дайте нам пожалуйста образ вот mailserver а ну на это как бы пока нет ответа никого не происходит с едем дальше следующий слайд значит в какой-то момент после

очередного такого ребята давайте все-таки засим катимся как-нибудь решим акта что вообще делает потому что нас тут трое шёл второй день наш как бы руководитель все еще где-то в дороге и как-то каждый работает сам по себе вот какие то вот лебедь рак и щука которые в принципе вроде эту повозку там вот в одну сторону но как то не очень эффективное и как-то очень медленно значит мы решаем что нам все-таки необходимо проверить было ли компрометация в как бы mail server или нет мы в очередной раз повторяем одно и то же это действие которые должны были быть решены в первые десять минут

это такое не идея хороших деток но правда не так было но да как как вот вот вот это вот самый главный тезис наверно вот здесь вот не верьте даже своим сотрудникам которые говорят что умные как бы потому что оказывается они никогда не умеют работать но это это этот сотрудник саппорта он доверенное он там работает уже там черты сколько поэтому как бы он но ему все доверяют он действительно просто как-то почему-то не мог его получить ну в общем и и мы наконец договорились о том что мы действительно как-то про синхронизированный нужно что-то с этим делать это второй день заканчивался давайте следующий слайд а значит мы продолжаем ждать пока у нас появится образ для детального анализа мы

как бы и мы пытаемся узнать почему так долго делается образ почему не можем мы получить потому что это сотрудник саппорта второй раз меняют пароли для всех мэйлу чё так как бы мы у него спрашиваем почему второй раз зачем ты вообще их как бы но он получил такое указание по телефону до технического руководителя в принципе она там обоснованно как бы да но первое что любой человек делает это старается поменять пароли но как мы говорили в начале если вы не уверены что вы избавились от малварь это это может быть как бы трата времени значит отсутствие процессов не в расследовании а в принципе в организации работы внутри компании сказалось на том что после того как саппорт поменял все пароли для почты

эти пароли должны были но это там что-то вроде сосу используется но нет нет новых все не настолько плохо проблема была в другом что у нас есть crm в которой ведется все да все деловодство и у которой есть определенная парольная политика и вот те пароли которые он создал они не прокатывают ну все вся компания не может просто залогиниться zera все ну это все то есть пока он все не бросит если это пару часов он должен это всё сидеть менять естественно у меня это все по второму разу ну как бы мы сидим ждем давайте дальше следующий слайд а в общем да про смысл смены мы поговорили мы и есть ещё одна проблема мы вот вот этот mail server который с

которого мы хотим очень сильный образ он не в лаборатории он в дата-центре ну все и как бы сотрудник саппорта так говорить да как я вам сниму этот образ нуб адекватно нормально если оон в дата-центре да значит детям в следующий слайд а наступил третий день как бы вы уже чувствуете до что как бы немножко это вот 8 8 8 часов то есть 3 по 8 пошли и вообще это было больше чем восемь наступил третий день и лишь пришел технический руководитель как бы который хорошо знаком с инфраструктурой компании начал быстренько все разруливать в большинстве случаев сам и значит что он сделал он забрал на себя часть работы с саппорт нашел очень зараженную машину одна из машин 1

копирайтера была заражена там вообще целой пачкой всякой малварь и естественно не падает первое подозрение саппорт делает с ней и образ и отдает одному из франции к инженеров на анализ следующий слайд мало времени мы будем ускоряться об сменился слайд или нет и не заметят все хорошо а они все одинаковые я сам уже не различаю значит технический директор оба благодаря своим оперативным как бы действиям начинают обнаруживать что у нас есть давно уволенный сотрудник который до сих пор имея доступ почти регулярно как бы его morel клиенты и проверяет у нас нет процедуры отключения учета людей которую уволились то есть о чем говорит он что у нас нет вообще ни хрена значит но этот человек это не тот то

есть это не не наш злодей и он как бы будет быстро был отброшен значит и анализ вот это очень зараженные машины не дают никаких результатов анализ говорит о том что но нет это не не отсюдава это что-то не то значит мы так же узнаём о от саппорта что mail mail server который стоит дата центре вот этот дата-центров на самом деле в 500 метрах от офиса в принципе при желании бегом можно добежать там за пару минут но нет это шел третий день может быть там конечно будут проблемы с получением образа из дата-центра да это не так просто но но вот значит обнаружили влогах о том как разные там несколько разных айпишник of 7 или сначала она вот те же скомпрометированы

и почтовые ящики потом они склонили все остальные пытались тот же самый пароль впихнуть в остальные ящики в общем более-менее вроде бы картина стала понятна и действительно проблемой стало то что однажды у всех людей были одинаковые по роли вот просто когда это все создавали судя по всему им влепили один с требованием пожалуйста поменяйте отдайте как много людей которые sails бух еще кто-нибудь маркетинг как часто они меняют свои пароли то есть вот хотя бы поставьте галочку принудительно сменить да ну это как бы они поменяют может быть ещё и наиболее слабой и дает я всегда так делал вот 1 в 1 90 дней до единичку в конце зачем . . я несколько дней чик добавлял значит все пароли одинаковая

следующий слайд в общем это стало там плюс минус какие выводы из всего этого мы можем сделать принципе тезисы выводов я вам озвучивал все время в процессе доклада о том что в ваши технические знания и ваши как бы умение что-то делать технически в принципе не что если вы не умеете организовать свою работу это касается принципе не только вот в расследовании каких-то инцидентов это касается вообще всего да если вы открыли интернет магазина вы ни хрена не умеете торговать он у вас не будет прибыльной если ну и так далее и так далее да можно массу таких вот вещей приводить если вы там зарегистрированы там купили пачку какую-то хрень и там с алиэкспресса и вы не знаете как вы правильно толкнуть в

тридорого дата то вы останетесь в минусе и будете удивляться почему все остальные плюсе да ну этого любой области провоз учреждения я уже говорил да у них как бы обычно все начинается с того что все расписывается поэтому это вот именно та штука которую стоило бы наверное у них перенять но действительно очень стоило бы и вот да вот первый как бы такой вот я вот в процессе наверно уже подготовки вот это вот материала я как бы пришел к такой вот как называется не пара параллельно если если у вам не лень делать план эвакуации которые вы вешаете на стену если у вас загорится здания вы рассказываете людям как правильно выйти какими кратчайшему путями как спастись если не знаю еще что

то вас прорвало канализация вы же знаете где запасной выход вы когда садитесь самолет вам сразу рассказывают смотрите дверь вот здесь и дверь вот здесь если вы увидите шу чайка улетела какую-нибудь или там к эта птица и заживала и введите как взорвался двигатель водка вот под парашют у вас под сидением да и потому что спасательный жилет вон дверь вон на улицу а соответственно вы как бы вы всегда осведомлены вас тренируют вам рассказывают почему этого не происходит ни в одной организации вообще но не в одной ну кстати это не реклама epamа я даже не стал одевать их футболку он у них это происходит то есть это реально происходит и каждый раз когда у человек делает новую когда приходит новый

человек происходит он бардин ему 350 раз повторяют rosette пальцы в розетку не суй на фишинг не кликай как бы естественно это срабатывает не ста процентах случаев да но очень это очень сильно помогает следующий слайд а еще выводы значит в принципе в любой вообще в любой организованной группе людей будь это просто какой-то там стадо не знала она организована не стадо хорошо а просто там туристы какие-то еще кто-то всегда человек который умеет выполнить роль врача который умеет выполнить в роль там не знаю кого нибудь кто там ещё написано я не помню связи и ст вот если это военная к эта группа разведка до всегда есть кто-то с дополнительным скиллом почему этого не было в нашей организации уже кстати есть

вот ну к сожалению мы научились на своих ошибках у вас есть возможность научиться на наших есть группа людей которые не занимаются обеспечениям инфраструктуры и и безопасности но кто-то из них должен быть уведомлен о том что случае чего он будет подхвачен для расследования цедента и именно он должен это уметь он должен периодически тренироваться есть я не знаю сейчас используются или нет но всегда были такие добровольные пожарные дружины восстанавливает это очень хорошо которые это люди которые вот просто добровольцы в организации которые проходят тренинги о том как правильно раскатать пожарный рукав как правильно скоординировать людей на выход пожарному выходу как при предотвратить панику и так далее почему этого нет в общении в одной компании да не обязательно идти да ну вообще в любой

в принципе потому что хочешь потому что все хотят бабок все гонятся за прибылью до но наверно это будет показателем зрелости вот их можно делать самостоятельно для себя их можно открыть книжку и почитать можно включить здравый смысл просто в конце концов и сказать блинам какие-то нужны все таки те тренинги в общем и тут все прошли наверное да это все одно и то же давайте следующий слайд как бы понять и вот опять таки возвращаясь к пожарной охране почему безопасность пожарная безопасность на дороге безопасность не знаю там поведение на воздухе наводи должна отличаться от информационная безопасность конечно она отличается она просто другой специфики но это всё равно слова безопасность здесь ключевое методы и как бы процессы к ней остаются те же а

почему нет никаких тренингов почему как бы мы видим тренинг только когда выходит конь бюджете pr и нам говорят так у тут прочитай вот посмотри посмотрим еще как они будут работать эти штрафы но опять-таки должны были люди те которые заботятся о своей сохранности своего бизнеса должны думать о том что не надо ждать же диппер нужно включать включать голову раньше значит ну принцип да но но если ты пользуешься электричество он то будет добр сделать так чтобы проводка не загорелась

я ждал что кто-то это скажет но надеялся что прокатит но в любом случае до если мы за загуглим хэштег фак responsible до склона как он правильно называется все-таки мы можем найти информацию которая может понести и общественную опасность да мы все видели вот это вот организационной но если у тебя там схемы водоканала и правильно сделает хорошо давайте следующий слайд а вот прежде чем запустить видос я вот хочу показать что что происходит под почему я за то чтобы в нужно внедрять тренинги до приходят новые сотрудники внедряйте тренинги учите сотрудников как бы родители в детстве учили что нужно идти на зеленый свет они на красной расскажите сотрудникам что не надо клацать найдет какие ссылки да и что нужно делать в

почему военных всегда есть учение потому что если они не будут тренироваться у них не будет учения не будут бежать прикладом вперед в бой до бы кто-то при вперед куда то в сторону кто то они будут действия будут не согласованы после этого как они натренировались и действия согласованы они лучше выполняют свои задачи вот тут я вам просто хочу без комментариев показать вот это видео клацая теплей но я не знаю звук может микрофон нужно поднести сюда ну давайте еще раз а и я вот хочу очень быстро мне показывали что время моя давно закончилась очень быстро на всех конференциях до этого там где мы разбирали там и forensics и и и всего чуток а можно разбирать и в

общем и правоохранительные и так далее есть прекрасная статья многие из вас уже слышали статья уголовного кодекса 361 которая говорит о том что не санкционного на стучание в работу автомата автоматизированных систем чего произвола давыд опубликование модификации из-под варенья там процесс амортизации там чего то еще в общем почти наизусть помню а так вот когда-то однажды мы столкнулись такой ситуации да это как бы в юридической плоскости это происходит но это логично это статья предусматривает ведь несанкционированное вмешательство в работу автоматизированных систем а как бы несанкционированно любой юрист или любой судья начинает задавать вам вопрос это был санкционированный доступ или несанкционированный то есть кто-то давал вам санкцию на вход в эту систему или нет а и это вопрос исключительно правовой это должны решать юристы и

доказывать на основе технических фактов это сложно но это принципе это нужно делать иногда это получается как бы сразу на вопрос а что является не сад как понять что доступ был не санкционирован ответ есть где-то в методичка хyz был по моему что такое несанкционированный доступ это доступ с нарушением политик распределения и правил распределения доступа к системе или к объекту да и соответственно любой юрист или любой судья уже разбирает дела скажет окей доступ с нарушением правил где правила вот ответ нет нет там вовы структурах этого тоже не там этого никто не делает горем пополам вы можете съехать на то что на то что есть определенный набор пользователи которым можно ходить и больше никому и если это была какая-то реально доказано из

квиллинге акция да там еще какой-то not реальный вот пролом до реальных а какой-то который реально позволяет обойти процесс аутентификации тогда это чисто 361 до к счастью наши правоохранительные органы как бы плюсиком за это за то что они научились в принципе там может быть не совсем правильно с правовой точки зрения а но они научились как бы закрывать бандитов которые его делали вот это но доказать это сложно но они доказывали может быть не совсем правильными методами но результат все равно был правильный как бы поэтому все равно я ем я бы им за это плюсик поставил и поэтому если у вас нет конкретных правил хотя бы в активе active directory хотя бы вилдад и где-нибудь еще где так где вы можете

четко сказать вот сюда ходит вот этот вот сюда ходит петя сюда во тьму петя hour плохое слово уже до сюда вася сюда коля и если сюда пакаля пришел на место васи это несанкционированно если какой-то левый вообще чувак какой-то не знаю серёжа пришел вот сюда вообще то это вообще все очень плохо вот если у вас нет этих правил вы их и сами не знаете то ругайте себя они кибер подразделения следующий слайд да хороший вопрос мы очень хотим значит мы даже пробуем и честно пробуем мы по мы попытались это сделать еще до инцидента откровенно говоря мы начали внедрять планк мы внедряли сп лонг и бланк счета у нас не пошел потому что скорее всего потому что он попросил

денег вот через через 30 дней но он как бы нормально принимать там свои 500 мегабайт нам это нам этого хватало масштабах лаборатории но через 30 дней он превратился в тыкву как бы и все мы не могли ничего искать значит и на данный момент мы решили уйти от с планка мы взяли елка мы наняли отдельного человека который делает нам сейчас пирсе по внедрению елка то есть это будет не факт что это будет полноценный сиим но хотя бы парочка ли ртов от него я думаю отлетать будет каких-то супер критиков потому что но мы не настолько большие для того чтобы делать вот ой этих привет 0 нет но там вся организация ну риски большие да поэтому я согласен наверное

стоит но все к сожалению она двигается не так быстро как хотелось бы не получается как в ввс и прийти машенькой на клацать и готовой л.к. то есть нужно как-то внедрять постепенно пошагово при этом успевать выполнять свою работу нет мы подняли но эта пирсе я не знаю как это будет в дальнейшем это будет полюбому как-то он примеси думаю но на данный момент у нас полностью весь велка стык крутятся в амазоне который просто vp нам соединён с лабораторией а там на парочке машин для тестов в раскиданы вот агенты это в windows машины поэтому ты не помню как windows агент называется который отправляет туда в высота все но нам лень было покупать отдельный сервак под это поэтому взяли вас ребят я

должна прервать этот праздник жизни мы на 20 минут уже к сожалению кусочек берем было круто очень и давайте похлопаем ся