вторник, 17 апреля 2018 г.

Дайджест новостей по ИБ за 02 – 16 апреля 2018г.

Блоги:

Сергей Борисов осветил проблемы применения электронной подписи в организациях, в частности, в медицинских организациях и государственных учреждениях.
 
Валерий Естехин поделился интересными примерами из реальной жизни информационной безопасности.

Валерий Комаров обнаружил нарушения требований 152-ФЗ и GDPR, связанные с оформлением паспорта болельщика FIFA 2018.


Статьи:
Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install.

Как подключиться и использовать сеть Tor под Android.


Установка агентов Splunk для сбора логов Windows и Linux.

Обзор и тестирование Kaspersky Internet Security 2019 TR / Kaspersky Free 2019 TR.




Подборка средств имитации атак (англ.).

Журналы:

Программное обеспечение/сервисы:
Kaspersky Rescue Disk 2018 - бесплатный антивирусный загрузочный диск, который предназначен для сканирования и лечения зараженных ОС Windows без непосредственной загрузки системы.

VeraCrypt 1.22 - программа для создания криптоконтейнеров.

VirusTotal Droidy - онлайн-песочница на базе VirusTotal для проверки APK-файлов.

Реестр лиц, уволенных в связи с утратой доверия - сведения о лице, к которому было применено взыскание в виде увольнения (освобождения от должности) в связи с утратой доверия за совершение коррупционного правонарушения.

Аналитика:
Результаты проведения плановых выездных проверок и мероприятий систематического наблюдения на предмет соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 1 квартале 2018 года. Источник: Управление Роскомнадзора по Ростовской области.



Мероприятия:
Управление Роскомнадзора по Ростовской области проводит бесплатные семинары по теме: «Практика применения Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Ресурсы:
Видео с "AIDE 2018".

Видео с "BSides Nashville 2018".

вторник, 3 апреля 2018 г.

Дайджест новостей по ИБ за 19 марта - 02 апреля 2018г.

Блоги:
Валерий Комаров подготовил таблицу, в которой связал сферу деятельности по 187-ФЗ и согласующий орган по перечню объектов КИИ.

Статьи:

Новые уязвимости 4G LTE: массовая рассылка сообщений, имперсонификация абонентских устройств и другие.


MRG Effitas: динамическое тестирование антивирусов. Четвертый квартал 2017.




Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph.

Splunk: оповещение в Telegram и Slack в режиме реального времени.

Документы:
Об обработке персональных данных "с чистого листа". Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных. Источник: Cloud4Y.

CIS Controls V7 Measures & Metrics - таблица метрик по информационной безопасности. Источник: CIS.

Законодательство:
Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Программное обеспечение/сервисы:
Nmap 7.70 - сканер безопасности.

Kaspersky's GReAT KLara - сканер YARA, позволяюий искать и анализировать различное вредоносное ПО (см. описание).

Аналитика:
Ландшафт угроз для систем промышленной автоматизации, второе полугодие 2017. Источник: Kaspersky Lab ICS CERT.

Годовой отчет по кибер- и инфобезопасности за 2017 год (см. краткий отчет). Источник: Qrator Labs.

2018 Internet Security Threat Report - отчет о выявленных угрозах за 2017 год (см. краткий отчет). Источник: Symantec. 

Мероприятия:

Ресурсы:
Видео с "BSides Chattanooga 2018".

вторник, 20 марта 2018 г.

Дайджест новостей по ИБ за 05 – 19 марта 2018г.

Блоги:

Судебная практика: установление факта трудовых отношений при дистанционной работе.


Статьи:
Распространенные примеры небезопасных настроек.

WhiteList vs BlackList: как реализовать проверку расширений файлов и не стать жертвой хакеров.

Как собрать команду SOC в условиях кадрового голода.



Проблемы с лицензиями Dr.Web на Windows 7 (х86) и Windows 8.1 x86 после обновления KB4088875 от Microsoft.







Обзор Android Security Report 2017 (англ.).




Слабый мастер-пароль в Firefox и Thunderbird может быть взломан в среднем за минуту (англ.).

Индикаторы компрометации и методы защиты КИИ США от кибератак со стороны российского правительства (англ.).  

Документы:
OUCH! Безопасность в социальных сетях: семь советов – мартовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:
Информационное сообщение ФСТЭК России от 28.02.2018 N 240/11/879 "О методических рекомендациях по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности значимых объектов критической информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами, утвержденных ФСТЭК России 30 сентября 2016 г.".

Аналитика:
Мобильная вирусология 2017. Источник: Лаборатория Касперского.



Ресурсы:
Видео и презентации с VI конференции «Информационная безопасность АСУ ТП критически важных объектов».

Видео с "BSides Indy 2018".

понедельник, 12 марта 2018 г.

Пример фишинга на металлургические компании и методы защиты

Сегодня утром пришло очередное фишинговое письмо.

Как обычно отправитель просит проверить, все ли верно указано в счет-фактуре:

Как обычно во вложении файл с расширением iso. Если его распаковать, то внутри обнаруживается вредонос.

Как обычно злоумышленники использовали почтовый адрес,  учетные данные которого утекли в интернет:

Распространенные антивирусы уже блокируют данный вредонос, хотя VirusTotal показывает обратное (см. ниже).
 
Что в этой истории необычного? Злоумышленник допустил оплошность и в копию письма добавил еще 200 email в большинстве своем принадлежащих металлургическим компаниям.

Я решил выяснить, откуда злоумышленники могли получить список этих электронных почтовых адресов.

Задав в поисковике Google запрос на поиск по двум email одновременно, был найден сайт, на котором размещена большая часть адресатов из копии, а именно, металлургические компании СНГ. Больше ничего интересного. Конец истории.

Теперь поговорим о борьбе с фишингом.

Методы защиты:
- использовать актуальные антивирусные базы;
- повышать уровень осведомленности пользователей по ИБ;
- запретить сотрудникам использовать личные электронные почтовые ящики или обеспечить их защиту;
- настроить DKIM (Domain Keys Identified Mail); 
- настроить SPF (Sender Policy Framework); 
- настроить DMARC (Domain-based Message Authentication, Reporting and Conformance);
- в тему письма добавить префикс [External] для всех входящих извне писем;
- на почтовый шлюз добавить фильтр для блокировки расширений, которые часто используются для распространения вредоносов: ade, ace, application, adp, apk, bat, bin, cmd, cmdline, cpl, cab, cgi, chm, class, com, docm, dll, dat, drv, exe, inf, ins, isp, iso, hta, hlp, lnk, lib, lzh, js, jse, jar, mde, mst, msi, msc, gz, ocx, pub, pptm, pif, pem, potm, ps1, ps2, reg, rdp, sldm, scf, scr, sct, shb, sys, swf, sh, tmp, vb, vbe, vbs, vxd, wsc, wsh, wsf, xlsm, xlam.

Обычно фильтр задается в виде регулярного выражения, поэтому убедитесь, что отсутствуют ложные срабатывания. Для этого создайте два письма. К первому сообщению прикрепите файл с названием "test.chM", ко второму - "attachment.txt" и отправьте их с внешней почты на корпоративную. Если какое-либо из сообщений дойдет, значит ваше правило работает некорректно. 

Регулярное выражение должно учитывать написание имени расширения заглавными и строчными буквами (например, bat или bAt) и обрабатывать именно конец вложения, а не реагировать на совпадения в середине названия файла (например, screensaver.txt).

Также рекомендую подозрительные сообщения отправлять в карантин и обрабатывать ложные срабатывания вручную нежели удалять подозрительное вложение и уведомлять об этом пользователя. Во-первых, так будет легче расследовать инцидент, а, во-вторых, в случае ложного срабатывания не нужно будет повторно просить адресата отправлять сообщение в связи с тем, что почтовый шлюз удалил подозрительное вложение.



Основные индикаторы компрометации:

Адрес отправителя: jock@jock[.]fr



Информация о файлах:
Имя файла: Invoice.iso
SHA-256: 310ed91e1f55e5be0edc0b539612db2d50f7ce0f21de6840fdbc4034904cc2ea
Размер файла (килобайт): 528
Информация о файле с VirusTotal:



Имя файла: INVOICE.EXE
SHA-256: 65668fac40161e1cf54302b27c7cfe6dd5efd1eee7ce0874d8499fbab631aa35
Размер файла (килобайт): 468
Информация о файле с VirusTotal: нет данных

Служебные заголовки письма:
  Received: from relay1.alienor.net ([195.214.224.91])
    by xxx.ru with ESMTP; 12 Mar 2018 08:27:58 +0300
  Received: from localhost (relay1.alienor.net [127.0.0.1])
            by relay1.alienor.net (Postfix) with ESMTP id 2820F37290;
            Mon,  12 Mar 2018 06:27:56 +0100 (CET)
  X-Virus-Scanned: amavisd-new at alienor.net
  Received: from relay1.alienor.net ([127.0.0.1])
            by localhost (relay1.alienor.net [127.0.0.1]) (amavisd-new,  port 10024)
            with ESMTP id xKK8Iq6GPzi0; Mon,  12 Mar 2018 06:27:55 +0100 (CET)
  Received: from alienor-zcsose.alienor.net (alienor-zcsose.alienor.net [195.214.224.5])
            by relay1.alienor.net (Postfix) with ESMTP id C3A0137273;
            Mon,  12 Mar 2018 06:27:55 +0100 (CET)
  Received: from localhost (localhost [127.0.0.1])
            by alienor-zcsose.alienor.net (Postfix) with ESMTP id 6D69A1CE46D;
            Mon,  12 Mar 2018 06:27:52 +0100 (CET)
  X-Virus-Scanned: amavisd-new at alienor-zcsose.alienor.net
  Received: from alienor-zcsose.alienor.net ([127.0.0.1])
            by localhost (alienor-zcsose.alienor.net [127.0.0.1]) (amavisd-new,  port 10026)
            with ESMTP id jLxAzUy5W-jE; Mon,  12 Mar 2018 06:27:51 +0100 (CET)
  Received: from alienor-zimbra-storea.int (alienor-zimbra-storea.int [172.24.0.10])
            by alienor-zcsose.alienor.net (Postfix) with ESMTP id 917B11CE43F;
            Mon,  12 Mar 2018 06:27:50 +0100 (CET)
  Date: Mon,  12 Mar 2018 06:35:03 +0100 (CET)