Kybernetická bezpečnost Dominik Marek

Obsah prezentace Aktuálně z bezpečnosti FTAS SIEM Podvodné kampaně Video v MS Word FTAS současný stav detekce a kam dál SIEM o čem je dobré vědět 7.4.2019

Aktuálně z bezpečnosti Podvodné kampaně spear phishingová kampaň na ekonomická oddělení phishing (cílený na české obyvatele /ČSOB, mBANK, ČSAS, FIO) distribuce malware vydírání 7.4.2019

Podvodné kampaně SpearPhishing GovCERT varuje: můžete přijít o své peníze útok cílený na ekonomická oddělení útočník má nastudovanou organizační strukturu oběti „... Můžeme dnes učinit rychlou platbu ve výši XX,XXX EUR? ...“ 7.4.2019

Distribuce malware - v názvu „PDF“ - exe soubor v archivu (7z) 7.4.2019

Vydírání 7.4.2019

Vydírání s heslem 7.4.2019

MS Word s embedded videem MS Word a video 7.4.2019

MS Word s embedded videem Zranitelnost? objevil bezpečnostní tým Cymulate odkaz: https://blog.cymulate.com/abusing-microsoft-office-online-video chyba nahlášena na Microsoft reakce 7.4.2019

Systémy používané na kraji FTAS - Flow-based Traffic Analysis System systém pro sběr a analýzu flow-based dat (např. NetFlow) co FTAS umí: sbírat a detekovat zobrazovat (na základě dotazů) vykreslovat notifikovat dříve: FTAS node instalovaný přímo v CESNETu dnes: FTAS node instalovaný na kraji příjem dat z 20 zdrojů z toho 8 krajských zdrojů a 10 zapojených škol historie dat – 180 dní (naše zdroje) a 90 dní (školy) – zatím zabírá cca 2 TB dat 7.4.2019

Systémy používané na kraji FTAS - Flow-based Traffic Analysis System dnes: FTAS node instalovaný na kraji příjem dat z 20 zdrojů z toho 8 krajských zdrojů a 10 zapojených škol historie dat – 180 dní (naše zdroje) a 90 dní (školy) – zatím zabírá cca 2 TB dat 7.4.2019

Systémy používané na kraji FTAS - Flow-based Traffic Analysis System jak dnes FTAS využíváme? většina případů - ex-post analýza dat – co se stalo? je to pravda? zavirované Mikrotik prvky na PO prověření IoC ověření hlášení z CESNET-Certs těžba kryptoměn menšina případů – aktivní detekce 7.4.2019

Systémy používané na kraji FTAS - Flow-based Traffic Analysis System co dnes detekujeme? připojení na MS porty (135,445,3389) SNMP traffic (port 161) TCP SYN flood Telnet, SSH co bychom chtěli detekovat? různé typy skenů – horizontální/vertikální v rámci Rowanetu i v LAN DNS spoofing DoS/DDoS (např. amplifikační útoky /DNS, NTP/, SMTP DoS, ...) nestandardní komunikace (rsync, IRC, ...) ... 7.4.2019

Systémy používané na kraji SIEM – Security Information and Event Management systém pro sběr a analýzu logů co SIEM (obecný) umí: sbírat a detekovat zobrazovat (na základě dotazů) vykreslovat notifikovat korelovat reagovat dříve: NetIQ nepodporovaný a nevyvíjený systém generující mnoho alertů a událostí extrémně nízká odezva spíše log management než SIEM 7.4.2019

Systémy používané na kraji SIEM – Security Information and Event Management dnes: stále NetIQ + příprava na implementaci IBM QRadar zkušenosti + poučení o čem je dobré vědět? zajímavé události Windows přidání nového domain admina přihlášení domain admina jinde než na DC (hash) create shadow a delete shadow copy na DC %SystemRoot%\ntds\NTDS.DIT reg save hklm\sam a reg save hklm/system ntdsutil a ifm zajímavé události Unix failed su for root by username gpasswd*: user anyuser added by username to group sudo kopírování souborů /etc/passwd a /etc/shadow 7.4.2019

Systémy používané na kraji SIEM – Security Information and Event Management o čem je dobré vědět? další zajímavé události MS SQL – pokus o použití procedury xp_cmdshell WEB server – výskyt klíčových slov (union, passwd, shadow, %2Fshadow, script, alert, ...) zamčení účty x-krát za sebou záloha DB provedená jiným uživatelem než určeným pro zálohování zápis souboru s koncovkou delší než 3 znaky 7.4.2019

Kontakt Děkuji za pozornost! Dominik Marek bezpečnostní analytik na úseku ICT pro kraj a zřizované příspěvkové organizace marek.dominik@kr-vysocina.cz tel: 564 602 325 gsm: 724 650 242 7.4.2019