Upload File

sams - system analysis of email messages

32
Мониторинг и анализ почтовых сообщений или инструмент обнаружения кибер-атак на коленке Алексей Карябкин Павел Грачев

Upload: mboxk3

Post on 15-Apr-2017

52 views

Category:

Presentations & Public Speaking


0 download

Report

TRANSCRIPT

Page 1: SAMS - System Analysis of eMail messageS

Мониторинг и анализ почтовых сообщений

или инструмент обнаружения кибер-атак

на коленке

Алексей Карябкин

Павел Грачев

Page 2: SAMS - System Analysis of eMail messageS

Кто они?

2

МЫ …

Page 3: SAMS - System Analysis of eMail messageS

• Спам

• Фишинг

• Scam/Spear-фишинг

Вредоносные рассылки

Угрозы ИБ

3

Page 4: SAMS - System Analysis of eMail messageS

• Единая точка входа

• Широкие возможности эффективного достижения цели

Очень динамичны:

• Быстрая смена адресов отправителей

• Высокая территориальная распределенность источников рассылки (разные IP)

Популярно и эффективно

4

Page 5: SAMS - System Analysis of eMail messageS

высококвалифицированные

невнимательные

пользователи

Зона риска

5

Page 6: SAMS - System Analysis of eMail messageS

Классические меры защиты малоэффективны:

• Сигнатурный сканер АВЗ

• Средства Анти-спам

• Контекстные фильтры

• Black-листы

• Вредоносные рассылки

Классика жанра

6

Page 7: SAMS - System Analysis of eMail messageS

Меры реагирования:

• Мультисканнер

• Поведенческий анализ

• Репутационная база и корреляция

• Применение оперативных IOCs и фидов TI

• Оперативные меры защиты

• Повышение осведомленности пользователей (постоянно)

Адекватный ответ

7

Page 8: SAMS - System Analysis of eMail messageS

Современные и динамичные средства

противодействия кибер-атакам

• etc…

Рынок решений

8

Page 9: SAMS - System Analysis of eMail messageS

Существенные недостатки

• Маркетинг -> скрывает сырость решений

• Высокая готовность -> требует существенных затрат

• Лицензионные ограничения полета фантазии и области применения -> влекут снова затраты

Ахиллесова пята

9

Page 10: SAMS - System Analysis of eMail messageS

…все равно дорого!

Бизнес-общение

10

Page 11: SAMS - System Analysis of eMail messageS

System Analysis of eMail messageS (SAMS)

Цели и задачи:

• Автоматизация процесса обработки и анализа внешних входящих писем, содержащих во вложении потенциально небезопасные файлы

• Выявление и оперативное реагирование на неизвестные угрозы, поддержка СЗИ;

• Сбор и агрегации индикаторов для их применения в СЗИ и средствах мониторинга.

Концепт-идея

11

Page 12: SAMS - System Analysis of eMail messageS

Слабо!?

Грандиозная цель поставлена!!!

Что будем кодить?

Концепт-идея

12

Page 13: SAMS - System Analysis of eMail messageS

Архитектура решения

13

Page 14: SAMS - System Analysis of eMail messageS

Реализация в жизни

14

Page 15: SAMS - System Analysis of eMail messageS

Реализация в жизни

15

Page 16: SAMS - System Analysis of eMail messageS

Возможности SAMS:

• Обработка и фильтрация писем по определенным признакам;

• извлечение и идентификация типов вложений;

• просмотр и распаковка архивных файлов;

• статический и динамический анализ:

- ClamAV (Касперский Антивирус и Др.Веб*)

- Yara

- Cuckoo Sandbox

• проверка индикаторов в публичных агрегаторах IOCs:

- TotalHash

- VirusTotal

- ThreatExpert

Функционал

16

Фильтрация по исполняемым файлам:

• exe, scr, js, vbs, bat, cmd, com, class, jar, lnk, pif, hta, wsf

Поддержка типов архивных файлов:

• rar, zip, tar, gzip (tgz, gz, bz2), 7z, cab*, arj*, ace*

Сбор и агрегация индикаторов:

• IOCs DB

• Incidents DB

Page 17: SAMS - System Analysis of eMail messageS

Применение решения позволило:

• повысить осведомленность SOC о вредоносных объектах попадающих в периметр

• консолидировать информацию об угрозах

• своевременно предпринимать меры реагирования или предупреждения инцидентов

Профит

17

Page 18: SAMS - System Analysis of eMail messageS

Массовые рассылки

• случайные

в основном за счет утекших данных об адресах(в результате вирусного заражения, спам-рассылок, регистрация в публичных сервисах и т.п.)

• нацеленные

используется целевой контент для убеждения пользователей, что получено значимое письмо требующее подробного ознакомления с вложением

Природа атак

18

Page 19: SAMS - System Analysis of eMail messageS

• Извлекался в %AppData%\Microsoft\VC\

• Использует антиотладочные и антипесочные механизмы.

• Владеет списком имен определенных ПК, на которых не запускается

• Имеет около 20 команд.

• Активное общение с определенным C2

Пример целевой атаки

19

Page 20: SAMS - System Analysis of eMail messageS

Убойные цепочки

20

Page 21: SAMS - System Analysis of eMail messageS

Продолжение

21

Page 22: SAMS - System Analysis of eMail messageS

Смена тактики

22

Page 23: SAMS - System Analysis of eMail messageS

Обхода средств защиты и фильтрации почтового трафика:

• Применение различной кодировки

поле From

поле Subject

Наименование файлов

• Отсутствие полей

Обход СЗИ и TTP

23

Page 24: SAMS - System Analysis of eMail messageS

• использование составных имен файлов, содержащих генерируемые ID:

• подмена расширений вложений (в основном архивных вложений)

Обход СЗИ и TTP

24

Page 25: SAMS - System Analysis of eMail messageS

• Используют несколько типов ВПО или разные архивы одновременно

Обход СЗИ и TTP

25

Page 26: SAMS - System Analysis of eMail messageS

• использование LNK-файлов

Обход СЗИ и TTP

26

Page 27: SAMS - System Analysis of eMail messageS

Так же используют:

• облачные сервисы

• прямые ссылки в теле письма на архивные файлы с взломанных ресурсов

• кодирование полезной нагрузки в теле скриптов (Base64)

Использование JS

• использование офисных документов в качестве контейнеров:

Эксплойт с последующей загрузкой ВПО

Макросы

Активные объекты

Обход СЗИ и TTP

27

Page 28: SAMS - System Analysis of eMail messageS

Отчет и уведомление

28

Page 29: SAMS - System Analysis of eMail messageS

WEB UI

29

Page 30: SAMS - System Analysis of eMail messageS

WEB UI

30

Page 31: SAMS - System Analysis of eMail messageS

Дзен

31

«Сделать технологии обеспечения защиты более открытыми и доступными»

Page 32: SAMS - System Analysis of eMail messageS

[email protected]

https://github.com/mboxk3team/SAMSproject

Спасибо

32


Stochastic Analysis, Modeling, and Simulation (SAMS ...projects-web.engr.colostate.edu/Sams-CSU-USBR/SAMS/... · i Stochastic Analysis, Modeling, and Simulation (SAMS) Version 2007

Business Writing How to Write Effective Email (and other messages)

Stop Sending Email! Start Sending Multi-channel messages that matter

Sams Hair Salons.pdf · Fantastic Sams Franchise eoiporálion Fantastic Sams HAIR SALONS Franchise Development Site: wwW.FantasticSamsFranchises.Com . SITE

National Healthcare Safety Network and Secure Access ... · SAMS Registration Process Receive an email invitation from SAMS inviting you to register Log in SAMS with your username

What is Email? Email, or electronic mail, is a method of exchanging digital messages from an author to one or more recipients These messages can include

Outreach Projects for Lake Groups - UWSP...Email Flash Messages Email Flash Messages o Sign-up for an association email addres - Gmail, Yahoo, AOL … o Build a “group” email list

Holy Cross Catholic School News February 2016€¦ · To receive messages via text, text @1c3294 to (613) 900 0158 To receive messages via email, send an email to [email protected]

An Overview of Webmail - WidomakerAddressing email messages to contacts There are several ways to use the Address Book to address email messages. Click Mail and then click Compose

UDHËZUES PRAKTIK PËR EMAILIN E STUDENTITSmallpdf.com 9 Undo Settings Email signaturel Email signature Include a signature on messages you send. Forwarding email to another email

SAMS - System Analysis of eMail messageS

Farmers Agent eMail Archive (AEA) · o User’s alias email addresses, if any (Aliases:) o Total number of archived messages and dates of oldest and newest archived messages

How to attach files in Blackboard to Email, Messages, … · 2018. 6. 7. · How to attach files to assignments, discussions, email, and messages HLW3 3. Click the thread in that

The Advantages of Email of e mail.pdfDisadvantages •. •The Disadvantages of Email for Internal Communications •Email could potentially cause information overload. Some messages

2. Creative: Creating Exceptional Email Marketing Messages: Part 2

Hard Time Creating Email Messages? Try 10 Ideas!

Bill Sams Obisam1 Canettie Executive in Residence College of Business Email: [email protected]@ohio.edu 8/16/10Bill Sams Liderando Mudança HumanAvatar

Мониторинг и анализ почтовых сообщенийSystem Analysis of eMail messageS (SAMS) Цели и задачи: •Автоматизация процесса

Loop: Email-based social calendar messages and cell alert system

MODULE Email and Messaging 1. Email Messages exchanged among Internet subscribers Vary from a simple text based messages to one that carries different

9 Tips for Getting Your Marketing Email Messages Opened … · 9 Tips for Getting Your Marketing Email Messages Opened & Read ... Questions to Ask Your Email Service Provider

Not Just for the Web: Cascade and Mass Email Messages

The Mimecast Email Security Risk Assessment Quarterly ......were spam email messages. In general, spam email messages are annoying and time wasting, but not lethal. However, as you

Seniors 2015-2016. Remind To receive messages via text –Text @ae46f to 81010 To receive messages via email –Send email to [email protected]@mail.remind.com

Email Marketing : The Best Possible Solution To Broadcast Your Brand Messages

Email etiquettes, Messages,

Email Messages Guide - Vanderbilt University

2. Creative: Creating Exceptional Email Marketing Messages: Part 1

Mobilizing Your Marketing Messages for Email

Email & Text Messages (SMS) Relay

Windows Live Hotmail Permits You to Send and Receive Email Messages

Voicemail to Email Service · You can register up to fi ve additional email addresses (for a total of six addresses) to also receive your voicemail messages. Your voicemail messages

How to archive email messages on a Mac

Effective Email Messages

effective email,memorandum and messages