SlideShare una empresa de Scribd logo

Анатомия атаки на АСУ ТП

Aleksey Lukatskiy
Aleksey Lukatskiy

Описание анатомии атаки на АСУ ТП

Tecnología
1 de 34
Descargar para leer sin conexión
25 мая 2018 года Бизнес-консультант по безопасности Анатомия атаки на АСУ ТП Алексей Лукацкий
Проблема сознания • Отсутствие реального опыта защиты АСУ ТП • Предположения о «сложности» атак на АСУ ТП и их особом способе по сравнению с обычными корпоративными атаками • Нежелание встать на место злоумышленника
Любая атака состоит из множества ходов Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
Начнем с кино https://www.youtube.com/watch?v=4I-QgbmWPnY
Анатомия атаки на АСУ ТП: этап 1 Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
Публичные фото
OSINT: Shodan
OSINT: Shodan Images
HAVEX • Специализированный вредоносный код, направленный на сбор разведывательной информации - о зараженной системе, о OPC-сервисах, об используемых промышленных протоколах в сети • Данная кампания (Backdorr.Oldrea или Energetic Bear RAT) датируется концом 2010-го - началом 2011-го года, но публично о ней заговорили только в июне 2014-го года • С конца 2014-го года о HAVEX внезапно перестали писать
Как распространялся HAVEX Фишинговое e-mail • Вложенные вредоносные файлы • Открывались на инфицированных системах • Ранние версии Атака Waterhole • Скомпрометированные сайты • Редиректы посетителей • Copy/Paste Metasploit • Популярные Exploit Kit на инфицированных сайтах • HAVEX доставлен на зараженные узлы Встроен в инсталляторы или firmware • Многие ICS-продукты • Уязвимые непатченные web- сайты производителей ICS • Троянизированные инсталляторы и firmware • Напрямую в окружение HAVEX не был продвинутым вредоносным кодом сам по себе. Продвинутой были планирование и «логистика», а также стоящие перед ВПО цели – сбор разведывательной информации
«Матрешка» - атака на страны НАТО • SHA256: ffd5bd7548ab35c97841c31cf83ad2ea5ec02c741560317fc9602a49ce36a763 • Filename: NATO secretary meeting.doc
Пример: в DOC-файл вложен Flash
Шаг 1: разведка через Flash-объект A=t&SA=t&SV=t&EV=t&MP3=t&AE=t&VE=t&ACC=f&PR=t&SP=t&SB=f&DEB=t&V=WIN%20 9%2C0%2C0%2C0&M=Adobe%20Windows&R=1600x1200&DP=72&COL=color&AR=1.0&O S=Windows%20XP&L=en&PT=ActiveX&AVD=f&LFD=f&WD=f&IME=t&DD=f&DDP=f&DTS=f &DTE=f&DTH=f&DTM=f Flash в объекте ActiveX Windows versionFlash version
• Если собранная на первом шаге информация полезна, то • если нет, то атака прекращается Шаг 2: загрузка полезной нагрузки и эксплойта Flash
Шаг 3: загрузка Flash, эксплуатация дыры и запуск Загрузка Flash на лету Ссылка Shellcode
BlackEnergy • Направленный фишинг • Документ Word и PowerPoint с макросом • Тематические рассылки на тему нефтянки • Использование 0Day для Windows • Разработка и использование ICS эксплойт для HMI
Сценарий одной атаки Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов Посмотрите презентацию «Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая» с ITSF 2016
Красивая приманка
А вы думали о безопасности Интернета вещей? https://www.youtube.com/watch?v=4I-QgbmWPnY
Анатомия атаки на АСУ ТП: этап 2 Разработка Тестирование Доставка Инсталляция Обеспечение атаки Начало атаки Действие Совпадение Модификация Скрытие Доставка Вставка Усиление Поддержка атаки
Проект «Аврора» • В помещение с генератором в Idaho National Laboratory было получено удаленное соединение группой хакеров спонсированных DHS. • Было полученно управление генератором через систему управления электропитанием. • Перепрограммирован контроллер на вращение (1000’s times/sec) • Сначала повредились подшипники, далее вышел из строя сам генератор • Дизельный генератор ценой 1 миллион долларов был уничтожен. • http://www.youtube.com/watch?v=fJyWngDco3g
Проект «Аврора»
Как попасть из пункта А в пункт Б? Определение текущих доверенных соединений Манипуляции окружением Использование административных привилегий для установления новых соединений Физические элементы USB, CD, инсайдер, устройства
Как попасть с 1-го этапа на 2-й • Доверенные соединения • Доступ от производителей • Удаленный доступ персонала • Резервные копии и иные задачи по репликации • Коммуникации системного управления (патчи, мониторинг, конфигурации и др.) • Доступ к серверам хранения исторический информации (historians) • Доступ через dialup или Wi-Fi • Waterholing • Социальный инжиниринг • Закладки в оборудование • Флешки и иные носители информации
Пара типичных примеров Хакеры получили несанкционированный доступ к компьютерным системам водоочистных сооружений в Харрисбурге, шт. Пенсильвания, в начале октября 2006 года. Ноутбук сотрудника была взломан через Интернет, затем он использовался как точка входа для доступа к административным системам и установки вирусов, троянских и шпионских программ. На конференции Federal Executive Leadership Conference в Вильямсбурге, штат Вирджиния, представитель спецслужбы подтвердил 200 представителям правительства и промышленности, что злоумышленники вторгались в системы нескольких организаций, составляющих национальную инфраструктуру, и требовали выкуп, угрожая отключить системы. Поставщики коммунальных услуг в США не подтверждали и не отрицали факты подобного шантажа.
Посторонний Wi-Fi в контролируемой зоне
Примеры киберинцидентов на ядерных установках • АЭС Sellafield, Великобритания, 1991 г. • Игналинская АЭС, Литва, 1992 г. • АЭС Бредвелл, Великобритания, 1999 г. • АЭС David Besse, США, 2003 г. • АЭС, Япония, 2005 г. • АЭС Browns Ferry, США, 2006 г. • АЭС Hatch, США, 2008 г. • АЭС в Майами, США, 2008 г. • АЭС Areva, Франция, 2011 г. • АЭС San Onofre, США, 2012 г. • АЭС Susquehanna, США, 2012 г. • АЭС Monju, Япония, 2014 г. • АЭС KHNP, Южная Корея, 2014 г. • АЭС, Япония, 2015 г. • АЭС, Германия, 2016 г. • АЭС, Пакистан, 2017 г.
Червь на атомной электростанции (США)
Заражение вредоносным кодом через флешку • Conficker (KIDO) заражение НПЗ – неопубликовано • Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке • Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина) • Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами • Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более £500,000
Stuxnet – направленная кибер атака • Описание атаки - Высоко организованная и ресурсоемкая атака на объекты иранской ядерной программы • Вектор атаки – Инфицированная USB Flash подключена в Windows PC, подключенный к производственной сети • Уязвимость – Siemens контроллеры, подключенные к центрифугам на иранском заводе по обогащению урана • Последствия – Вирус перехватил управление контроллером и изменял скорость вращения центрифуги заставляя изнашиваться шестерни, приводя к дорогому и длительному ремонту. Также нанесен политический ущерб Но есть и другая версия – ВПО уже находилось в промышленном оборудовании на момент поставки
История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
Объединим все вместе • Разведка • Выбор цели • Создание кибероружия • Разработка / Тестирование • Доставка / Exploit / Скрытие • Инсталляция • Модификация систем • Command and Control • Выполнение задачи • Анти-расследование BRKIOT-211532
С примерами 1 2 3 4 5 6 7 8 Conficker APT1 Иран vs США BE3 HAVEX Stuxnet Украина 2016 WannaCry Neytya
Спасибо! alukatsk@cisco.com

Recomendados

Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
 

Recomendados

Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
Aleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
Aleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
Aleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Expolink
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
Alexey Kachalin
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 

Similar a Анатомия атаки на АСУ ТП

доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
Expolink
 
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
Expolink
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
Expolink
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
InfoWatch
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
Positive Hack Days
 

Similar a Анатомия атаки на АСУ ТП (20)

Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновение
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
НТБ. Архишин Евгений. "Проблемы контроля привилегированных пользователей и их...
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
 

Más de Aleksey Lukatskiy

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 

Último

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 

Último (9)

Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 

Анатомия атаки на АСУ ТП

  • 1. 25 мая 2018 года Бизнес-консультант по безопасности Анатомия атаки на АСУ ТП Алексей Лукацкий
  • 2. Проблема сознания • Отсутствие реального опыта защиты АСУ ТП • Предположения о «сложности» атак на АСУ ТП и их особом способе по сравнению с обычными корпоративными атаками • Нежелание встать на место злоумышленника
  • 3. Любая атака состоит из множества ходов Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 5. Анатомия атаки на АСУ ТП: этап 1 Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
  • 9. HAVEX • Специализированный вредоносный код, направленный на сбор разведывательной информации - о зараженной системе, о OPC-сервисах, об используемых промышленных протоколах в сети • Данная кампания (Backdorr.Oldrea или Energetic Bear RAT) датируется концом 2010-го - началом 2011-го года, но публично о ней заговорили только в июне 2014-го года • С конца 2014-го года о HAVEX внезапно перестали писать
  • 10. Как распространялся HAVEX Фишинговое e-mail • Вложенные вредоносные файлы • Открывались на инфицированных системах • Ранние версии Атака Waterhole • Скомпрометированные сайты • Редиректы посетителей • Copy/Paste Metasploit • Популярные Exploit Kit на инфицированных сайтах • HAVEX доставлен на зараженные узлы Встроен в инсталляторы или firmware • Многие ICS-продукты • Уязвимые непатченные web- сайты производителей ICS • Троянизированные инсталляторы и firmware • Напрямую в окружение HAVEX не был продвинутым вредоносным кодом сам по себе. Продвинутой были планирование и «логистика», а также стоящие перед ВПО цели – сбор разведывательной информации
  • 11. «Матрешка» - атака на страны НАТО • SHA256: ffd5bd7548ab35c97841c31cf83ad2ea5ec02c741560317fc9602a49ce36a763 • Filename: NATO secretary meeting.doc
  • 12. Пример: в DOC-файл вложен Flash
  • 13. Шаг 1: разведка через Flash-объект A=t&SA=t&SV=t&EV=t&MP3=t&AE=t&VE=t&ACC=f&PR=t&SP=t&SB=f&DEB=t&V=WIN%20 9%2C0%2C0%2C0&M=Adobe%20Windows&R=1600x1200&DP=72&COL=color&AR=1.0&O S=Windows%20XP&L=en&PT=ActiveX&AVD=f&LFD=f&WD=f&IME=t&DD=f&DDP=f&DTS=f &DTE=f&DTH=f&DTM=f Flash в объекте ActiveX Windows versionFlash version
  • 14. • Если собранная на первом шаге информация полезна, то • если нет, то атака прекращается Шаг 2: загрузка полезной нагрузки и эксплойта Flash
  • 15. Шаг 3: загрузка Flash, эксплуатация дыры и запуск Загрузка Flash на лету Ссылка Shellcode
  • 16. BlackEnergy • Направленный фишинг • Документ Word и PowerPoint с макросом • Тематические рассылки на тему нефтянки • Использование 0Day для Windows • Разработка и использование ICS эксплойт для HMI
  • 17. Сценарий одной атаки Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов Посмотрите презентацию «Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая» с ITSF 2016
  • 19. А вы думали о безопасности Интернета вещей? https://www.youtube.com/watch?v=4I-QgbmWPnY
  • 20. Анатомия атаки на АСУ ТП: этап 2 Разработка Тестирование Доставка Инсталляция Обеспечение атаки Начало атаки Действие Совпадение Модификация Скрытие Доставка Вставка Усиление Поддержка атаки
  • 21. Проект «Аврора» • В помещение с генератором в Idaho National Laboratory было получено удаленное соединение группой хакеров спонсированных DHS. • Было полученно управление генератором через систему управления электропитанием. • Перепрограммирован контроллер на вращение (1000’s times/sec) • Сначала повредились подшипники, далее вышел из строя сам генератор • Дизельный генератор ценой 1 миллион долларов был уничтожен. • http://www.youtube.com/watch?v=fJyWngDco3g
  • 23. Как попасть из пункта А в пункт Б? Определение текущих доверенных соединений Манипуляции окружением Использование административных привилегий для установления новых соединений Физические элементы USB, CD, инсайдер, устройства
  • 24. Как попасть с 1-го этапа на 2-й • Доверенные соединения • Доступ от производителей • Удаленный доступ персонала • Резервные копии и иные задачи по репликации • Коммуникации системного управления (патчи, мониторинг, конфигурации и др.) • Доступ к серверам хранения исторический информации (historians) • Доступ через dialup или Wi-Fi • Waterholing • Социальный инжиниринг • Закладки в оборудование • Флешки и иные носители информации
  • 25. Пара типичных примеров Хакеры получили несанкционированный доступ к компьютерным системам водоочистных сооружений в Харрисбурге, шт. Пенсильвания, в начале октября 2006 года. Ноутбук сотрудника была взломан через Интернет, затем он использовался как точка входа для доступа к административным системам и установки вирусов, троянских и шпионских программ. На конференции Federal Executive Leadership Conference в Вильямсбурге, штат Вирджиния, представитель спецслужбы подтвердил 200 представителям правительства и промышленности, что злоумышленники вторгались в системы нескольких организаций, составляющих национальную инфраструктуру, и требовали выкуп, угрожая отключить системы. Поставщики коммунальных услуг в США не подтверждали и не отрицали факты подобного шантажа.
  • 26. Посторонний Wi-Fi в контролируемой зоне
  • 27. Примеры киберинцидентов на ядерных установках • АЭС Sellafield, Великобритания, 1991 г. • Игналинская АЭС, Литва, 1992 г. • АЭС Бредвелл, Великобритания, 1999 г. • АЭС David Besse, США, 2003 г. • АЭС, Япония, 2005 г. • АЭС Browns Ferry, США, 2006 г. • АЭС Hatch, США, 2008 г. • АЭС в Майами, США, 2008 г. • АЭС Areva, Франция, 2011 г. • АЭС San Onofre, США, 2012 г. • АЭС Susquehanna, США, 2012 г. • АЭС Monju, Япония, 2014 г. • АЭС KHNP, Южная Корея, 2014 г. • АЭС, Япония, 2015 г. • АЭС, Германия, 2016 г. • АЭС, Пакистан, 2017 г.
  • 28. Червь на атомной электростанции (США)
  • 29. Заражение вредоносным кодом через флешку • Conficker (KIDO) заражение НПЗ – неопубликовано • Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке • Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина) • Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами • Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более £500,000
  • 30. Stuxnet – направленная кибер атака • Описание атаки - Высоко организованная и ресурсоемкая атака на объекты иранской ядерной программы • Вектор атаки – Инфицированная USB Flash подключена в Windows PC, подключенный к производственной сети • Уязвимость – Siemens контроллеры, подключенные к центрифугам на иранском заводе по обогащению урана • Последствия – Вирус перехватил управление контроллером и изменял скорость вращения центрифуги заставляя изнашиваться шестерни, приводя к дорогому и длительному ремонту. Также нанесен политический ущерб Но есть и другая версия – ВПО уже находилось в промышленном оборудовании на момент поставки
  • 31. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
  • 32. Объединим все вместе • Разведка • Выбор цели • Создание кибероружия • Разработка / Тестирование • Доставка / Exploit / Скрытие • Инсталляция • Модификация систем • Command and Control • Выполнение задачи • Анти-расследование BRKIOT-211532