LinkMeUp. Выпуск № 30. История кибератак APT

Вирусы и прочие зловреды эволюционируют. С шуточных самокопирующихся программ они прошли путь до инструмента, который может использоваться государствами друг против друга. Они могут собрать ботнет из миллионов станций, который запросто уложит почти любого крупного игрока. Третьи просто вымогают деньги у обычных людей, но это происходит настолько массово, что становится общей проблемой сродни эпидемии.

И если у одних из них нет задачи максимально скрыть своё присутствие, а иной раз даже наоборот — очень ярко и громко о себе заявить, то другие путешествуют со станции на станцию в режиме стелс, подчищают за собой любые следы, скрываются за легитимным трафиком и могут по-тихоньку собирать данные в течение многих лет, оставаясь невидимыми.
Последние — это инструмент для шпионажа и относятся к классу APT — Advanced Persistent Threat. И это уже не просто относительно короткий кусок кода — это целый комплекс, достигающий размеров в несколько мегабайтов и проводится атака не почти слепым размножением, а под чутким руководством группы операторов.

Александр Синистер рассказывает в 30-м выпуске об этом классе атак, приоткрывая дверь в мир шпионов, агентств безопасности, охоты на создателей и расследований.

Скачать файл подкаста.




Подписаться на podfm. Добавить RSS в подкаст-плеер.

Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска.

Хронометраж:
0:00:00 — 0:09:25: Вступление и новости.
0:09:25 — 0:14:55: Когда появился термин APT и что за ним скрывается.
0:14:55 — 0:37:30: Самая технологичная троица из недавнего прошлого: Stuxnet, Duqu и Flame.
0:37:30 — 0:52:15: Атака на «Лабораторию Касперского» или Duqu 2.0
0:52:15 — 1:03:50: Как заражают nix системы: Windigo, Mayhem и linux DDoS-боты.
1:03:50 — 1:21:00: Новейшие крупномасштабные атаки: Epic Turla, Darkhotel и Regin.
1:21:00 — 1:27:50: Как удается долго оставаться незамеченными и маскировка трафика (HAMMERTOSS и Terracotta).
1:27:50 — 1:43:50: Hacking Team — до компрометации и после нее.
1:43:50 — 2:06:36: Возможно ли от всего этого защититься.

Хроника целевых кибератак



Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM.

История чата.

3 комментария

avatar
Привет, Марат. Спасибо за подкаст, спасибо Александру за очередной превосходный рассказ. Слушал Вас онлайн, все здорово. Заглянул вот в историю чата, верхушку его в онлайне я не застал. Жаль слышать о стагнации. Именно благодаря вашему проекту у меня появилась тяга обучению и пониманию чего-то нового. За последние год — полгода узнал столько всего интересного! А сколько еще предстоит! А ведь началось все с тех бумажных пакетов, бегающих между бумажных коммутаторов. В общем, хоть я и не специалист в области сетей, буду рад оказать посильную помощь проекту. Пока, конечно, даже не знаю чем могу быть полезен, но все же.
avatar
Спасибо за выпуск. +10 к моей паранойи.
Немного не понял про коллизии мд5. Это из хеша строится подходящее исходное значение, или перебирается предварительно сузив область подбора до приемлемого?
avatar
Подробно почитать про эту коллизию и даже посмотреть какое для подобных задач нужно оборудование можно в этом отчете https://www.trailofbits.com/resources/flame-md5.pdf
Примерно с 19-й страницы.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.