Дайджест новостей по ИБ за 02 – 16 апреля 2018г.

Блоги:

Андрей Прозоров нашел статистические сведения о состоянии судимости в России за 1 полугодие 2017 года.

Сергей Борисов осветил проблемы применения электронной подписи в организациях, в частности, в медицинских организациях и государственных учреждениях.

 

Валерий Естехин поделился интересными примерами из реальной жизни информационной безопасности.

Валерий Комаров обнаружил нарушения требований 152-ФЗ и GDPR, связанные с оформлением паспорта болельщика FIFA 2018.

Рекомендации по предотвращению атак на Cisco Smart Install от Андрею Дугина.

Статьи:

Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install.

Как подключиться и использовать сеть Tor под Android.

Книга «Безопасность в PHP»: атаки с внедрением кода, межсайтовый скриптинг (XSS), недостаток безопасности на транспортном уровне (HTTPS, TLS и SSL).

Установка агентов Splunk для сбора логов Windows и Linux.

Обзор и тестирование Kaspersky Internet Security 2019 TR / Kaspersky Free 2019 TR.

Как запустить Windows 7 в режиме XP.

Как защитить свои криптовалютные активы.

Поиск следов Meterpreter Metasploit в оперативной памяти (англ.).

Подборка средств имитации атак (англ.).

Журналы:

Вопросы кибербезопасности №1(25).

Программное обеспечение/сервисы:

Kaspersky Rescue Disk 2018 - бесплатный антивирусный загрузочный диск, который предназначен для сканирования и лечения зараженных ОС Windows без непосредственной загрузки системы.

VeraCrypt 1.22 - программа для создания криптоконтейнеров.

VirusTotal Droidy - онлайн-песочница на базе VirusTotal для проверки APK-файлов.

Реестр лиц, уволенных в связи с утратой доверия - сведения о лице, к которому было применено взыскание в виде увольнения (освобождения от должности) в связи с утратой доверия за совершение коррупционного правонарушения.

Аналитика:

Результаты проведения плановых выездных проверок и мероприятий систематического наблюдения на предмет соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 1 квартале 2018 года. Источник: Управление Роскомнадзора по Ростовской области.

«Доктор Веб»: обзор вирусной активности в марте 2018 года.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в марте 2018 года.

Мероприятия:

Управление Роскомнадзора по Ростовской области проводит бесплатные семинары по теме: «Практика применения Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Ресурсы:

Видео с "AIDE 2018".

Видео с "BSides Nashville 2018".

Дайджест новостей по ИБ за 19 марта - 02 апреля 2018г.

Блоги:

Валерий Комаров подготовил таблицу, в которой связал сферу деятельности по 187-ФЗ и согласующий орган по перечню объектов КИИ.

Статьи:

Банковский троян Zeus Panda распространяется через результаты поиска в Google.

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие.

AV-Test: лучшие антивирусы и инструменты для восстановлением зараженной системы.

MRG Effitas: динамическое тестирование антивирусов. Четвертый квартал 2017.

Роскомнадзор открыл сервис по разъяснению актуальных вопросов в сфере защиты персональных данных.

Списки полезных нагрузок для тестирования веб-приложений.

Применение методологии OWASP Mobile TOP 10 для тестирования Android приложений.

Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph.

Splunk: оповещение в Telegram и Slack в режиме реального времени.

Документы:
Об обработке персональных данных "с чистого листа". Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных. Источник: Cloud4Y.

CIS Controls V7 Measures & Metrics - таблица метрик по информационной безопасности. Источник: CIS.

Законодательство:

Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Программное обеспечение/сервисы:

Nmap 7.70 - сканер безопасности.

Kaspersky's GReAT KLara - сканер YARA, позволяюий искать и анализировать различное вредоносное ПО (см. описание).

Аналитика:

Ландшафт угроз для систем промышленной автоматизации, второе полугодие 2017. Источник: Kaspersky Lab ICS CERT.

Годовой отчет по кибер- и инфобезопасности за 2017 год (см. краткий отчет). Источник: Qrator Labs.

2018 Internet Security Threat Report - отчет о выявленных угрозах за 2017 год (см. краткий отчет). Источник: Symantec. 

Мероприятия:

Всероссийский чемпионат по ИТ-безопасности для системных администраторов от Касперского.

Ресурсы:

Видео с "BSides Chattanooga 2018".

Дайджест новостей по ИБ за 05 – 19 марта 2018г.

Блоги:

Владимир Безмалый рассказал, как использовать настройки конфиденциальности для голосовых помощников (Amazon Echo, Echo Show, Siri, Google Home, Cortana).

Судебная практика: установление факта трудовых отношений при дистанционной работе.

Статья Евгения Царева о том, почему банки будут чаще проигрывать судебные споры по искам о хищениях через каналы ДБО. (см. стр.74).

Статьи:

Распространенные примеры небезопасных настроек.

WhiteList vs BlackList: как реализовать проверку расширений файлов и не стать жертвой хакеров.

Как собрать команду SOC в условиях кадрового голода.

Как узнать лицензионный ключ Windows 10.

Как включить/отключить защиту от потенциально нежелательных программ в Защитнике Windows 10.

Проблемы с лицензиями Dr.Web на Windows 7 (х86) и Windows 8.1 x86 после обновления KB4088875 от Microsoft.

Антивирус Kaspersky Free 2019. Что нового.

Уязвимости в контроллерах системы управления зданием Trend IQ3.

Как быть с «нигилистами в инфобезопасности».

На чёрном рынке продают валидные сертификаты подписи исполняемого кода для обхода антивирусов.

Как пользоваться встроенным блокировщиком рекламы в Google Chrome.

В Firefox 60 будет реализована поддержка групповых политик (англ.).

Обзор Android Security Report 2017 (англ.).

20 апреля 2018 года прекращается поддержка Personal Software Inspector (англ.).

Получение прав учетной записи администратора домена Active Directory (англ.).

Обзор Any.Run - интерактивного веб-сервиса по анализу вредоносов (англ.).

Слабый мастер-пароль в Firefox и Thunderbird может быть взломан в среднем за минуту (англ.).

Индикаторы компрометации и методы защиты КИИ США от кибератак со стороны российского правительства (англ.).  

Документы:
OUCH! Безопасность в социальных сетях: семь советов – мартовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:

Информационное сообщение ФСТЭК России от 28.02.2018 N 240/11/879 "О методических рекомендациях по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности значимых объектов критической информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами, утвержденных ФСТЭК России 30 сентября 2016 г.".

Аналитика:

Мобильная вирусология 2017. Источник: Лаборатория Касперского.

Статистика атак на веб-приложения: IV квартал 2017 года. Источник: Positive Technology.

Актуальные киберугрозы – 2017: тренды и прогнозы. Источник: Positive Technology.

Ресурсы:

Видео и презентации с VI конференции «Информационная безопасность АСУ ТП критически важных объектов».

Видео с "BSides Indy 2018".

Пример фишинга на металлургические компании и методы защиты

Сегодня утром пришло очередное фишинговое письмо.

Как обычно отправитель просит проверить, все ли верно указано в счет-фактуре:

Как обычно во вложении файл с расширением iso. Если его распаковать, то внутри обнаруживается вредонос.

Как обычно злоумышленники использовали почтовый адрес,  учетные данные которого утекли в интернет:

Распространенные антивирусы уже блокируют данный вредонос, хотя VirusTotal показывает обратное (см. ниже).
 
Что в этой истории необычного? Злоумышленник допустил оплошность и в копию письма добавил еще 200 email в большинстве своем принадлежащих металлургическим компаниям.

Я решил выяснить, откуда злоумышленники могли получить список этих электронных почтовых адресов.

Задав в поисковике Google запрос на поиск по двум email одновременно, был найден сайт, на котором размещена большая часть адресатов из копии, а именно, металлургические компании СНГ. Больше ничего интересного. Конец истории.

Теперь поговорим о борьбе с фишингом.

Методы защиты:

- использовать актуальные антивирусные базы;

- повышать уровень осведомленности пользователей по ИБ;
- запретить сотрудникам использовать личные электронные почтовые ящики или обеспечить их защиту;

- настроить DKIM (Domain Keys Identified Mail); 

- настроить SPF (Sender Policy Framework); 
- настроить DMARC (Domain-based Message Authentication, Reporting and Conformance);

- в тему письма добавить префикс [External] для всех входящих извне писем;

- на почтовый шлюз добавить фильтр для блокировки расширений, которые часто используются для распространения вредоносов: ade, ace, application, adp, apk, bat, bin, cmd, cmdline, cpl, cab, cgi, chm, class, com, docm, dll, dat, drv, exe, inf, ins, isp, iso, hta, hlp, lnk, lib, lzh, js, jse, jar, mde, mst, msi, msc, gz, ocx, pub, pptm, pif, pem, potm, ps1, ps2, reg, rdp, sldm, scf, scr, sct, shb, sys, swf, sh, tmp, vb, vbe, vbs, vxd, wsc, wsh, wsf, xlsm, xlam.

Обычно фильтр задается в виде регулярного выражения, поэтому убедитесь, что отсутствуют ложные срабатывания. Для этого создайте два письма. К первому сообщению прикрепите файл с названием "test.chM", ко второму - "attachment.txt" и отправьте их с внешней почты на корпоративную. Если какое-либо из сообщений дойдет, значит ваше правило работает некорректно. 

Регулярное выражение должно учитывать написание имени расширения заглавными и строчными буквами (например, bat или bAt) и обрабатывать именно конец вложения, а не реагировать на совпадения в середине названия файла (например, screensaver.txt).

Также рекомендую подозрительные сообщения отправлять в карантин и обрабатывать ложные срабатывания вручную нежели удалять подозрительное вложение и уведомлять об этом пользователя. Во-первых, так будет легче расследовать инцидент, а, во-вторых, в случае ложного срабатывания не нужно будет повторно просить адресата отправлять сообщение в связи с тем, что почтовый шлюз удалил подозрительное вложение.

Основные индикаторы компрометации:

Адрес отправителя: jock@jock[.]fr

Информация о файлах:

Имя файла: Invoice.iso

SHA-256: 310ed91e1f55e5be0edc0b539612db2d50f7ce0f21de6840fdbc4034904cc2ea

Размер файла (килобайт): 528

Информация о файле с VirusTotal:

Имя файла: INVOICE.EXE

SHA-256: 65668fac40161e1cf54302b27c7cfe6dd5efd1eee7ce0874d8499fbab631aa35

Размер файла (килобайт): 468

Информация о файле с VirusTotal: нет данных

Служебные заголовки письма:

  Received: from relay1.alienor.net ([195.214.224.91])

    by xxx.ru with ESMTP; 12 Mar 2018 08:27:58 +0300

  Received: from localhost (relay1.alienor.net [127.0.0.1])

            by relay1.alienor.net (Postfix) with ESMTP id 2820F37290;

            Mon,  12 Mar 2018 06:27:56 +0100 (CET)

  X-Virus-Scanned: amavisd-new at alienor.net

  Received: from relay1.alienor.net ([127.0.0.1])

            by localhost (relay1.alienor.net [127.0.0.1]) (amavisd-new,  port 10024)

            with ESMTP id xKK8Iq6GPzi0; Mon,  12 Mar 2018 06:27:55 +0100 (CET)

  Received: from alienor-zcsose.alienor.net (alienor-zcsose.alienor.net [195.214.224.5])

            by relay1.alienor.net (Postfix) with ESMTP id C3A0137273;

            Mon,  12 Mar 2018 06:27:55 +0100 (CET)

  Received: from localhost (localhost [127.0.0.1])

            by alienor-zcsose.alienor.net (Postfix) with ESMTP id 6D69A1CE46D;

            Mon,  12 Mar 2018 06:27:52 +0100 (CET)

  X-Virus-Scanned: amavisd-new at alienor-zcsose.alienor.net

  Received: from alienor-zcsose.alienor.net ([127.0.0.1])

            by localhost (alienor-zcsose.alienor.net [127.0.0.1]) (amavisd-new,  port 10026)

            with ESMTP id jLxAzUy5W-jE; Mon,  12 Mar 2018 06:27:51 +0100 (CET)

  Received: from alienor-zimbra-storea.int (alienor-zimbra-storea.int [172.24.0.10])

            by alienor-zcsose.alienor.net (Postfix) with ESMTP id 917B11CE43F;

            Mon,  12 Mar 2018 06:27:50 +0100 (CET)

  Date: Mon,  12 Mar 2018 06:35:03 +0100 (CET)