Archive | February 2016

Новая защита конечных точек – McAfee ENS10.1

Полтора года тому я принимал участие в бета-тесте ENS. С тех пор решение претерпело ряд качественных изменений и с начала 2016-го года ENS 10.1 был введен в состав комплектов защиты конечных точек.

Основные моменты, про которые следует знать:

  • модуль Threat Prevention объединил в себе AMCore (АВ) и функции HIPS`а;
  • политики были переделаны для упрощения администрирования;
  • интеграция с DXL позволяет получить доступ к TIE и ATD;
  • сканирование по запросу (по планировщику) сводит нагрузку на систему к минимуму;
  • в 10.1 вернули мой любимый конструктор правил Access Protection

eps_oldvsnew2

Отличие интерфейса ENS10 от VSE и HIPS

AP_rules_diff

Отличие на уровне политик

Копия презентации по недавнему вебинару. Краткий обзор ENS10.1

Кому не удобно со slideshare – забирайте PDF (~1,6 Mb)

PS

Бонусом – хороший документ по нововведениям на английском (~ 1Mb)

Будьте внимательны и осторожны при работе с ИТ.

VR

Advertisements

Кібератаки на підприємства України

Короткий аналіз атак, у розслідуванні яких приймав участь.
Аналітика. Маркери компрометації. Рекомендації.

Контент доповіді стосується не лише енергетиків і є актуальним як для підприємств державного сектору так і для бізнесу. Розраховано на широкий загал. В першу чергу – на працівників ІТ/ІБ підрозділів.

Кому не зручно переглядати із slideshare, беріть PDF файл (~1,8 Mb).

Будьте обачними та обережними при роботі з електронною поштою.

VR

Запись моего вебинара по шифрованию

Инструменты шифрования McAfee (Intel), презентацию публиковал еще в прошлом году.

Теперь у вас есть возможность посмотреть как это было “в движении”.

Если нет времени смотреть все, рекомендую:

02:50 – 16:31 = Творческий подход

1:00:50 – 2:14:27 = Практика

Приятного просмотра.

*Заранее прошу простить за качество монолога – в тот день простуда решила меня добить.

– – – – –

VR

Запись моего вебинара по DLP

Обзор возможностей DLP Endpoint, презентацию публиковал еще в прошлом году.

Теперь у вас есть возможность посмотреть видео.

Для тех, кому теория покажется скучной – экшн начинается с 58-й минуты.

Приятного просмотра.

– – – – –

VR

Первичный анализ очередного фишинга

Краткий разбор свежего семпла подручными средствами (а-ля сам себе sandbox)

И так, приступим к вивисекции.

Пример письма опубликую как только получу разрешение. Если вдруг кто-то забыл, как выглядит типичный современный фишинг – смотрите пример из предыдущей заметки.

В этот раз героем нашего шоу стал … документ MS Word. Внимательные читатели уже догадались – да, файл содержит макрос. Атакующие настолько обленились, что даже картинку-предупреждение не ставят (мол “цей документ було створено у більш новішій версії … активуйте макроси“). Оно и правильно – зачем напрягаться, если 90% потенциальных жертв и так кликнут и запустят.

Но давайте посмотрим – а что же происходит с теми пользователями, которые по неосторожности/незнанию или халатности активируют макрос?

win7

Я ожидал увидеть стандартный подход – извлечение тела дроппера из макроса в %temp% либо %AppData%, но не сложилось. Я сперва огорчился, а потом воспрянул духом – может это и есть тот самый опасный 0-day и этот макрос заставляет WINWORD.EXE делать всю грязную работу?(ууууу)

Но не тут-то было. Видно работали на скорую руку, потому ограничились тупой загрузкой дроппера с одного из файловых серверов, который хоститься во Франции:

GET hxxp://213.186.33.18/~lelodged/43543r34r/843tf.exe

win7-4

Сам IP файлового сервера находиться в зоне риска по GTI:

Screenshot-213.186.33.18 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

Т.е. если бы был IPS либо NGFW, то на этом шаге все бы и закончилось..

После загрузки и запуска оного получаем уже коннект на C&C, который хостится в Санкт-Петербурге:

843tf.exe >> 62.76.191.108

win7-6win7-8win7-9

А вот IP C&C еще не засвеченный потому по GTI пусто:

Screenshot-62.76.191.108 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

EXE-шник, к слову, уже детектится на конечной точке по GTI

Artemis!BBA6C087E282

На сегодня пока все.

IP адреса и документ с EXEшником переданы куда надо.

Следите за обновлениями.

# # # #

Мораль: обучайте своих пользователей распознавать фишинг. Объясняйте почему не стоит сразу открывать подозрительное вложение. И почему не нужно активировать макросы, даже если очень-очень просят или наоборот не просят.

vlcsnap-2016-01-29-00h17m11s026

VR

паспорт.exe – или чем пытаются ломать ГОСы

safe_mail_sample_Pasport_exe

Received: from smtpout3.timeweb.ru (unknown [92.53.117.25]) …

Received: from [46.20.33.197] (helo=host.de.appvz.com)

                by smtp.timeweb.ru with esmtpa (Exim 4.76)

                (envelope-from <sales@*****.ru>)

# # #

Что будет, если жертва запускает вложение описано в предыдущей заметке.

Будьте внимательны при работе с электронной почтой.

VR

паспорт.exe або чому варто бути обережнішим

Увага!

Вчора на двох держ. установах різного профілю був зафіксований новий семпл.

Додаткові сигнатури для рішень McAfee (Intel Security): Extra

*перейменувати в .dat і далі згідно інструкції

Канал доставки: електрона пошта, фішинг.

Формат: архів сканы.zip, зміст: паспорт.exe та прописка.jpg

Детальний аналіз з кількох sandbox`ів буде трохи згодом.

Поки що даю початкову картинку активності семпла:

  • при активації паспорт.exe >   winrar.exe
  • winrar.exe > %AppData%\*\ 448.tmp.exe
  • 448.tmp.exe > %AppData%\*\*.exe > inject explorer.exe

pasport.exe [MD5:3a862e46081b8e035f9c8a6b85aeaee2]
winrar.exe [MD5:429d404c65d86586e971d4a95885eac5]
448D.tmp.exe [MD5:7536ed5fcc4d8b241c224a9a027a533d]

Protocol  Type:  udp  

IP Address:  104.251.176.218  

IP Address:  164.132.15.27

Hostname:  acreditationflexmasterdoorfitch.ru
Imagepath:  c:\Windows\explorer.exe

win72win73win76win7-2win7-1