Александр Пушкин
Эксперт в ЦАРКА
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Алматы
27 февраля 2020, Алматы, Казахстан
Код ИБ 2020 | Алматы
Запросить Q&A
Видеозапись
Бэкдоры на web-серверах. Как найти и обезвредить
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
17
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

друзья ещё раз Всем привет рад что вы остались после обеда обычно вы вообще на самом деле сегодня должен был выступать не я а мой руководитель нормально попросила но он сегодня так вышло что улетел вот с коллегами канцерова Софию делать доклад совместные для он как раз для международного Союза связи который формирует если индекс готовности разных стран Вот как раз от Казахстана Вот Царское Министерство Поехали туда делать доклад так что мы не стоим на месте вот Было бы неплохо взять Clicker да? коротко

о цирке поднимите руку кто слышал аватарке супер всё можно уже тогда сильно не задерживаться кратко пробегусь мы сейчас на сердце Казахстане сердце то центр реагирования на компьютерные инциденты у нас куча сертификатов которые здесь перечислены сегодня кстати упоминался сертификату SCP мы Ну мне не дадут соврать мы были Ну пожалуй наверное законодателями этой моды в Казахстане ещё в нашем старом офисе у нас головной офис в Астане в старом офисе мы сделали целую стену рисовали её наняли художников и на этой

стене писали ники тех людей кто в Казахстане иметь сертификату SCP Но это такой был определенный неопределенный до него ждет неуважение людям которые сдавали на этот сертификат потому что это практически сертификатом нужно было прямо применять свои знания на практике сдавать экзамен то есть история потом к сожалению переехали в другую офиса и там пока ещё такую стену не сделали но возможно когда-нибудь сделаем наш опыт работы бла-бла-бла первые места на конференции Позитив хдс которая

проходит в Москве мы ежегодно в ней участвуем в семнадцатом году мы там заняли первое место это такое соревнование которое хакерская соревнования практическая проходит двое суток организаторы готовят стенд который имитирует работу города то есть там есть банк Телеком причём это представлено в виде стенда игрушечного то есть там ездит игрушечная этом скажем железная дорога но за этим всем стоит реальные железки То есть к примеру банк там вариант есть банковские счета от которых там ходят туда-сюда деньги там Телеком прямо по-настоящему При всём этом

летают эсэмэски ходят звонки и вот задача хакеров это взломать этого за двое суток первый раз Мы туда поехали в семнадцатом году с расчётом просто поучаствовать хотя бы не последнее место занять заняли первое причем Для всех это стало шоком из Казахстана приехали какие-то Откуда в Казахстане хакеры вот 18 в девятнадцатом году Так вышло что мы занимали второе место в этом году Будем участвовать Надеюсь займем первое Ладно не буду на этом за курткой наши услуги можете их даже не читать вам это неинтересно основной посыл я вам есть сегодня

ничего впихивать и продавать не буду это будет технически доклад сразу оговоримся Давайте если будет неинтересно я быстро пробегусь по докладу и какие-нибудь ваши вопросы если будет интересно тогда можем позвать доклад про бэкдоры так заявленная тема сегодняшней конференции это в приложении и Безопасность сайтов то я рассматривал как раз это закладки в веб-приложениях на серверах всё близко к бегу Давайте первый вопрос кто имеет опыт скажем Linux серверов или имел или когда нибудь с этим сталкивался Так ну порядка Ну наверное процентов 20 Да может чуть меньше

то знает язык хотя бы на уровне чтения кода но всё нам будет о чём поговорить Отлично Да с экрана нас так себе Ну ладно попробуем работать с тем что есть всё равно меня там такая красивая презентация Вы не поверите там дизайнер рисовал просто какой-то красное пятно Ну ладно поговорим о каких пунктах это быкадоров PHP сейчас прям рассмотрим на примерах по функциям Какие бывают бэкдоры и вообще что такое бэкдор какая-то закладка которая оставляет Hacker на взломанном ресурсе чтобы потом получить к нему доступ быстрее Ну то

есть он взломал там как-то закрепиться в системе и вот впоследствии может опять к этой закладке обращаться помидоры в базах данных готов спорить что многие из вас не задумывались о том что в базах данных тоже бывает по которой посмотрим тоже на примере фактуры в операционной системе совтех в бинарном по порядку один из самых распространенных факторов если мы берём Web то это из-под просто вышел и наверняка если кто сталкивался с последствиями взлома на своих серверах обнаруживали какие-то

если допустим рассмотреть на примере PHP PHP файлы посторонние которых после взлома так вот вышел и это инструментарий который написан обычно в виде одного файла там PHP которая позволяет управлять сервером то есть хакер взломал залил вот этот вообще через него вот собственно работает с вашим сервером там файловой системой с базами данных какие-то сетевые там дела и всё прочее так вот можно поделить эти вышел и на три основные категории как бы три поколения этих Шилов 1 поколение это когда ещё в конце Там девяностых не было таких

инструментов и в основном были написаны приложение Так что можно было вот просто выполнять в такой-то системный код прям вот в gett в адресной строке и Обычно раньше все так этим и пользовались не было Просто выполняли это через сердце удаленное выполнение кода потом появились уже удобные инструменты для хакеров для злоумышленников Но в основном пчелы которые мы до сих пор ещё можем встретить самые популярные это пожалуй всё и некоторые другие которые уже чуть отошли к чему я вам всё это рассказываю так как мы говорим об актерах нужна

обнаруживать обнаружить эти файлы после инцидента на своих серверах так вот Вот это вторая второе поколение сшила она использует два протокола передачи данных то сидит и пост и пологом когда мы смотрим логи на сервере последний мы можем отследить что допустим какой-то посторонний файл очень много принимает Post запросов То есть можно прямо в лог этот блок можно там грибной и посмотреть там все под запросы то есть в обычном положении Post запроса не так часто

на самом деле происходят если происходят то по определённым Ну к определенным файлам по определённым углом То есть даже по этому признаку можно отследить вообще поколение которое пытались сделать как раз чтобы этого избежать чтобы минимизировать обнаружении к примеру в лаках пытались сделать такие только которые используют нее пост при передаче данных обед и команды передавались либо в заголовках либо в кугесях либо как-то ещё и это поколение на самом деле очень прижилась потому что всё-таки было удобнее вот

второе поколение Но существуют варианты Вот как раз закладок которые можно достаточно легко скрыть на сервере я вам сейчас будем это разбирать вообще-то доклад Я готовил для своих джуниоров которые у меня работают чтобы они это знали и могли это применять в тестах то есть нам список Тоже периодически приходится делать закладки злоумышленникам поэтому я их это обучал этому чтобы они делали эти закладки и могли и обнаружить И в тоже время могли сами создать этот некрасивый слайд я сделал как пробежаться по закладкам в PHP Сейчас посмотрим о чём

я говорю а раньше самые популярные были закладки Это просто функция eval PHP eval и туда передаём какую-то пользу вот выполняем с помощью этой функции код на сервере злоумышленника очень плохой вариант с точки зрения злоумышленника и очень легко обнаруживаемые с точки зрения исследовать который разбирает отсидеться сейчас он практически нигде не используется разбирай варианты которые приближены к реальности а тут обфусцированный код наверняка те кто сталкивался уже со взломом замечали на своих серверах в основном это вот PHP файлы в которых какие-то

абракадабры символы то есть то мне какой-то читаемый код обфусцированный так пользуются хакеры из Турции из Китая они такие не сказать что очень квалифицированные они вот где-то там по верхам наглотались научились обфусцировать код его автоматически не могли найти точно по каким-то регулярным выражением и думать что вот они впереди планеты всей на самом деле этот вариант обнаруживается вообще одним из первых но то есть так себе второй вариант как ужасно выглядит этот слайд где-то есть

скобки где-то нет А второй вариант фрагментированная закладка Что это значит Это значит когда закладку Ну то есть какой-то кот который используется в злоумышленникам этом PHP скрипте он разделен на части и потом из этих частей он собирается в одно единое целое работ для чего это делают чтобы как раз различными стат анализаторами там антивирусами и прочим Не обнаружили этот код на самом деле он тяжело реализуем я встречал по-моему два раза в жизни такую закладку и несколько раз принял её сам Ну это больше Так для информации не такой же популярный вариант 3 вариант это

как раз самый лучший злоумышленника для его целей и тяжело обнаруживаемые с точки зрения исследователя это логично закладка там где она будет к месту какой-то участок кода на фоне которого закладка не выделяется этот Богдан дальше тоже разберем как это может выглядеть четвёртый вариант это можно также конфигурационном файле PHP подключить файл с помощью этой директивы который будет подключаться в любой PHP файл на сервере таким образом в самом веб-приложений вы никогда не ту

закладку Этот файл может лежать в любой директории на сервере и обычно где ещё после взлома какие-то закладки в директории взломали сайт ещё на сайте На сайте ничего не нашли там такие Ну мы пытались сделали все что могли А этот файл может лежать там допустим постоим пива во временной директории пятый пункт это создание пользовательских функций этот функционал PHP очень палевно вариант с точки зрения злоумышленника потому что обнаруживается буквально сразу же Если хотя бы немного усилий приложить

анализаторами практически нигде не используются сейчас либо водка трастом Monkey meme хакерами из Турции этот сейчас они уже хоть немного научились что раньше очень часто использовали в качестве закладок эту функцию для работы с регулярными выражениями потому что с помощью неё можно было выполнять код сейчас это тоже отходит в прошлое потому что php7 уже удалил эту функцию и вот синим строчка выделено Тот кто знает PHP вот готов спорить вы сейчас не сразу поняли и либо вообще не поняли что эта строчка делает выполняется код

Вот как раз вот эти функции они создают переменную из этой переменной создают пользовательскую функцию и передав вот эти вот нижние подчеркивание одно и двойной нижнее подчеркивание это именно где-то переменных с помощью которых можно передавать имя функции и код которые попадают в эту вот те кто поднимали руки Кто знает PHP Вот посмотрите на эту строчку и подумайте вы бы смогли её найти в приложении понять что это за Вредный кот А таких вариантов просто сотни это просто один из самых Таких наглядных вот я вам

показал закладок может быть великое множество вот такого плана здесь нет никаких ни систэм вызовов Нет там в PHP есть вот такие закладки бывает важно понимать что eval Это не функция это конструкция языка давайте наверное всё-таки быстро пробегусь постоянно потому что я вижу что половине замка это неинтересно да такая цель смысл показать как и какие закладки могут создаваться и как их примеру мы здесь все и бошняки но так или иначе и да и многие сталкиваются с тем что нужно расследовать инцидент найти злоумышленника факт взлома и прочее и в том числе Найти закладки

Вот как раз все вот эти пункты это варианты закладок которые могут быть в приложениях То есть к примеру вот приложения как злоумышленники взломала оставил такую закладку и моя цель показать вам Какие они бывают дальше ещё будут не только про PSP Вот как раз там будет немного и Какие они бывают чтобы вы их могли обнаружить нет можно завершить эту презентацию на предложение обратиться к нам в парку и это всё сделаю я за вас но всё-таки уходящему 90% интернета на нём написано поэтому он он еще не один десяток лет ещё будет использоваться Как пройти быстро PHP дальше

будет про сервера баз данных и там поговорим Это не функция конструкция почему я это говорю я часто встречаю которая настраивает админы отключают в конфигурации PHP Global думаю что эта функция Вот они-то прописали в конфликте всё они защитились нет во-первых волне конструкция её нельзя использовать в качестве калыбеков при закладках забудьте всё что это сказал вам всё равно это неинтересно самое главное её нельзя отключить тот кто устраивает сервера Где работает PHP

имейте в виду что если вы подписываете функцию в отключены это Не сработает про маскировку как закладки на сервере злоумышленник взломал залил какую-то жил там какой-то закладку как он маскирует он изменяет имя файла под какие-то файлы которые в директории ужели если допустим зальотна Files PHP его сразу найдут если он зальет файл в какую-нибудь директорию где лежат уже другие печки файлы из-за маскируют имя под них тяжелее будет можете визуально время доступа к файлу меняет то есть Очень

просто можно запустить эту команду и посмотреть все измененные файлы скажем за последние три дня на сервере Если изменить это время не обнаружите 3 расположение файла как я уже сказал там есть разница то ли он зальет там в директорию в корневую Толей где-то там через там ложи директории Где вы туда Просто не долететь руками 4 сигнатура файла меняют сигнатура чтобы не обнаруживали по сигнатурного анализа антивирусы и под это кстати тоже помогает системы контроля версий То есть если допустим у вас используется гипс для

доставки кода на ваш сервер то при изменении файла либо иного вы увидите что вас в беде появился кто-то новый файл в том числе поможет обнаружить закладку коротко обзорах в базах данных на примере майскул есть бы которая вот власть круглая самых использовал принцессах И обнаруживал кстати по-моему один раз И в чём фишка этого боксёра использовать триггеры То есть к примеру есть приложение в котором например есть авторизация логин пароль и можно прописать вот такой Триггер в котором если логин там что-то и пароль равно что такое вот определенное значение то выполнить такую команду

на этом примере вот если там пароль совпадает там такой для такого Отойди то записать определенный код и вывезти это файл Вот кто хотя бы раз сталкивался с расследованием инцидентов на взломанном сервере опять же готов курить вы не лезете в Москве или в другую базу данных и не ищите там какие-то добавленные триггеры но просто вам это в голову не приходит вычти файлы какие-то ищите там читаете Ну чтобы полезть в субботу и посмотреть какие там прописаны триггеры вот к вопросу Зачем этот сайт Я надеюсь что теперь Вы будете

знать где ещё можно искать об операционных системах самый простой тупой и банальный пример это судебные файлы Здесь представлен небольшой листинг файла он делает абсолютно простую вещь это игру пойди Ноль это новый пользователь и выполняет системное команду дальше что происходит злоумышленник компьютеру этот файл и назначает ему Suede Suede Belt позволяет выполнить любую программу с правами владельца То есть если он уже получил доступ круту на вашем сервере он создаёт такое файл

меня этому владельца Наруто ставит этот swissbit и потом в дальнейшем он может выполнять любые команды отрута то есть вот такой маленький Валик позволяет получить воротами привилегии любой момент времени так пока вы ещё не заснули Я постараюсь быстренько закончить очередной момент это бэкдоры в операционной системе с помощью скриптов Какие используют для этого возможности к примеру добавляют в корм злоумышленник пришел на серверах залил туда какой-то файл или просто выполняет какую-то команду по

крону планировщик задач То есть он там в определённое время срабатывает эта команда тут на самом деле Конечно все админы идут смотреть в крон Это я ничего нового не скажу ну этот обнаруживается очень легко и просто второй вариант это использует всякие Profile конфиги для каждого пользователя то есть допустим добавить файл России какую-то команду которая будет выполняться при каждом входе в систему То есть к примеру крутую мы добавили в большой России какую-то свою команду и каждый раз когда орут заходит в

систему выполняется нашей команды третий вариант который опять же готов поспорить админы которые поднимали руку что сталкивались с Linux сервера мини ищут закладки в к примеру в logrotate это которая обрабатывает лог-файлы там ежесуточно их меня это мой прочее так вот этот функционал позволяет выполнять определенные команды до обработки логов обработки Logo и мы-то можем выполнить какую-то свою кастомную команду Это вот список barscryptor в которых можно искать закладки и Вот пример конфига для каратэ это к примеру вот

для Apache сервера Apache сервер хранит логи ежесуточно он должен их чистить то есть архивировать и прочее вот можно добавить в такую закладку к примеру вот команда которая копирует файл Shadow и позволяет нам потом его прочитать там допустим запустить файл Там прочее Да да всё-таки есть согласен А по поводу бинарного сорта в основном чем я сталкивался это когда делают про трояны ssh то есть замуж не заходит на сервер Потом Смотри какая там версия Саша установлена в этот ssh добавляет там какие-то свои команды к примеру чтобы

там при определённом логине при определенном пароли ему давали рутовые права компилирует это устанавливает взломанный сервер вместо текущего сервиса Но это опасно для злоумышленника потому что он может сломать Просто этот сервис татьяновский апеллирует там как-нибудь crevasses всё ничего не будет работать Полина потому что админ Может это заметить что там изменились какие-то там сигнатуры и прочее и нестабильно Да потому что это там админ потом захочет обновить из репозитория Это Саша Он у него не обновится там например

иногда еще встречаются бэкдоры в виде модулей в если кто помнит одно время вот злоумышленники использовали сервера для установки бордюров дорвеи на взломанные сервера То есть к примеру Вы заходите на сайт а там вместо сайта там скажем там ну там условно любого там кому-нибудь новостного сайта вы на него заходите А там открывается какая-нибудь реклама аптеки там Виагры водки трассы это называется так если краткое вот использовали модули voip Server Auto есть злоумышленники писали модуль загружали этот модуль

на взломанный сервер использовали в качестве модуля веб-сервер я постарался мне ещё время есть Ольга не подскажете вот 5 минут О'кей просто каким же утром говорил Я когда готовится конференции спросил готовить технические доклад мне говорят конечно готовь вот технический доклад как просили на меня не обижайтесь здесь два наших Скоро это Фейсбуке телеграм-каналы Мы там периодически постим информацию новости по информации об опасности в Казахстане если кому интересно отсканируйте и у

нас ещё есть 5 минут на вопросы можете задавать любые даже не по теме доклада Если вдруг вам интересно что-то другое Да ну что давайте дождём вопросов напоминаю наши правила что желательно представиться чтобы в данном случае Александр понимал Откуда вы А я буду с кем-то небольшие на шестую благодарность за вашу активность Так ну где-то здесь была первая рука давайте вы помянули насколько понял статический анализатор как один из инструментов для поиска закладок можете что-то порекомендовать конкретно какие-то инструменты вот я ждал этого вопроса Я обещал вам и

впаривать и не продавать но сейчас вот начну но конторская может быть что-нибудь рассказываю В общем мы Тарка унас мы занимаемся только и B и мы не интеграторы то есть мы не продаем антивирусы там и прочее прочее Мы оказываем услуги Кроме того У нас есть свой продукт который сейчас вот мы там в Европе и в США продаём это называется этот раз комплексная система которая в том числе и ищет закладки на основании нашего опыта я там выступал в роли консультанта тоже для этого продукта потом он кстати бесплатный

просто это И на самом деле шутка что я в паре вы его можно не покупать просто Зайдите на сайт там посмотрите Вот одна штука там помимо статуи анализатора Кто такие закладки и они только по сигнатура Мы ещё по поведению ищет то есть анализирую вопросы в приложении можно понять это злоумышленники Нет Кроме того там его и прочее прочее внутри сидит сейчас на самом деле не буду вам это втюхивать просто в этом Вот посмотрите на самом деле вот хорошая система честно не потому что она наша потому что хорошая Как ещё это найти на сервере

большое количество Но к примеру Вот вышел и которые я показывал они уже обнаруживаются в 7 антивирусами То есть даже любой самой найти вирус поставьте на сервер он его обнаружит этот Shell закладки нет такого ты не обнаружит причём стат анализатора Ну видите это должен быть инструментом в руках то есть доест анализатора там скажем сисадмину ничего мне не поймёт потому что там будет очень много домов позитива в там и анализаторы к примеру если я тебя похвалю Если я сделаю закладку в Саратове завтра его не найдет

То есть тут смотря какая цель если уже произошел инцидент лучше Обратитесь к кому-нибудь заказ Если хотите предотвратить не знаю обучайте разработчикам чтобы они заново посмотреть свой код Ну то есть такой комплексный подход должен быть нос над анализа Панацея Хотя поможет в умелых руках метод опускаться использовал этот как его метод коррекции ошибок То есть у него было испорчено программа которая стоит анализаторами определить Во время исполнения а то есть спускался алгоритм

коррекции ошибок и восстанавливался рабочий код песочнице Ну наверное это дополнительная не говорю что заметно Ну опять же я говорю должен быть комплекс если я прекрасно понимаю боль многих компаний которые хотят провести эту работу но не потому что у них нет таких хороших специалистов как Александр Пушкин Но им эту работу нужно выполнить причину То есть это к чему Мы выполняем эту работу руками То есть я уже знаю темпами всех инструментов Я знаю там где Что как искать я это делаю руками когда нет возможности делать руками Вам приходится с

миру по нитке собирать рационализаторы песочнице какие-то прогонять всё что можете но ничего из этого не является панацеей песочница в том числе потому что песочнице не хочу обидеть Если вдруг кто-то здесь продает песочнице но зачастую это больше маркетинг чем реальность потому что песочнице работает очень так себе на самом деле на практике смотреть вроде Спросите кого-нибудь Вопрос такой гонки чтобы я прямо не знал как ответить вам сейчас один Здравствуйте меня зовут из Евразийского банка Вопрос такой у вас тотем это больше как новая система онлайн мониторинга

но с какими Какие платформы охватывает самые патенту есть там на какую платформу Зависит ли обнаружение того На какой платформе поднят во-первых Там php-xml согнуты и так далее смотрите вот этого Я обожаю ваши вопросы хорошо что мы опять возвращаемся к нашему продукту вот дома есть два модуля 1 модуля который как раз мониторит он к примеру мониторинг сервера Казахстана там список тср сертификаты доступности бла-бла-бла Ну то есть вот этот мой поверхностный анализ сидит если 2 работает изнутри То есть клиент устанавливаете себе агентство прямо на сервер и Агент мониторит внутри ни снаружи а

внутри зависит или нет от платформы раньше зависела там был только на PHP сейчас мы уже написали модули Вот как раз для веб-серверов в качестве Агента ставите себе на Яндекс или Apache и он мониторит он работает уже на уровне и папе сильвера то есть понимаю но у него фермеру он непривередлив вообще платформе Нет ну если у вас не какой-то кастомный сервер Ну вот вот у нас есть модуль к примеру Ну понятно всё написано в Observer у нас просто не может быть мы для него Понятно спасибо что вы там говорили про сертификацию да-да-да

Да как бы вот Хороший вопрос даёшь задумался мы пентестеры то есть ваша основная задача это как раз Offensive Security Defense это больше задача команд там допустим который там сока Вот И тому прочее да-да-да это немножко наоборот работает что надо уметь ломать Да это абсолютно так чтобы построить защиту нужно понимать как строится нападение чтобы атаковать защищать необязательно Так давайте вы просто не будет иметь доступ так и этак чему это вот к тому что вы говорите что вот для того чтобы часто нужно знать как нападать необязательно Нет я не понял примера

компьютер ну этот метод защиты то есть Вот например как это не защита извиняюсь в этих как его в американских спецслужбах применяется как метод защиты У меня тоже в практике был такой пример на самом деле мои хорошо мои знания достаточно чтобы отключить компьютер в случае я думаю с этим справлюсь у меня был случай такой я пришёл на тест и обычно Contest санкционируются только с первым руководителем организации иначе потом помогут палки в колёса и прочее а там

вышло Так что первый руководитель позвал своего сисадмина Я не хочу показаться сексистом вносится в них была девушка очень сильно оказывала влияние на первого руководителя организации не буду судить об их отношениях все люди взрослые но так вот была И когда пришла на МТС очень извиняюсь я никого не хочу увидеть она очень ревностно к этому отнеслась искала чего у меня тут всё хорошо привели кого-то найдут какие-то уязвимости скажите что это я плохая там и прочее она просто выключила сервер

вот этот это не шутки абсолютно честно вот так и было и я и говорю Ну вот руководитель говорю я ничего не могу сделать Вы слишком хороши вас ваш сервис и безупречного безопасны и вопрос так и не решился мне просто заплатили неустойку за потраченное время и принцесс Вот на этом завершился 1 том что просто отключили рубильник на сервере Так что Ну да и так отвлечённые история Да вот так умеем на самом деле естественно мы строим защиту и строим защиту рекомендуем защищать

потому что ну имею в этом опыт сертификаты Привет большим и сертификаты получали для того что Ну вот так принято вот нужно я сертификацию получил двойку название я вообще не против загадал Я говорю что вас направлена нападающего абсолютно тогда они абсолютно потому что мы не защитники мы основной на широкие госуслугах есть да мы защищаем не узнавала противоречия нет никаких противоречий И все мы защищаем вашу основная услуга Это pentest Поэтому такая история я был

сам да-да-да по поводу сертификатов Да я покупал за твоё получил Хотя занимаюсь 15 лет безопасности и получил просто Ну так типа попросили так принято Здравствуйте Меня зовут Николай представители карта у Билайна у меня такой вопрос К вам У вас начались на вашем опыте закладки такие то что их было очень тяжело найти Ну то есть хакеры принимали какой-то нестандартные решения то что их было очень но при этом знать то что закладка есть но найти его было очень трудно и в итоге вы её нашли или нет Вот такой вот вопрос Ну

заклад который очень тяжело найти возможная какие-то пропустил и не нашёл Да потому что их очень тяжело и я их мог просто не такие и не знала них Но те которые были было тяжело найти Я на такие были Отличный ответ на вопрос будет с расследованием вот профиланс организацию которая в начале говорил там против нас работала от серьёзных хакерский Пробка И мы абсолютно точно знали что они присутствуют в инфраструктуре на серверах и мы сколько там по-моему Четверо суток искали и нашли все могу судить что нашли все потому что

обещанная так и не состоялась то есть мы Четверо суток там писная искали все приборы которые были оставлены на всех серверах и рабочих станциях VR и раз обещанная атака от серьёзных хакерской группировки не произошло Значит мы всё нашли вот не технический больше такое организационный А меня зовут Тимур я в частной компании у меня стартап небольшой Esquire отдам если кому-то Узнаете у вас вы подчеркнули что у вас какое-то сердце центр да по-моему сказали единственный частный частный сердце в Казахстане Да что это значит Почему вы в смысле это какой-то сертификат где можно расшифровывается центр

реагирования на компьютерные инциденты вот здесь есть представитель GTS V3 КНБ это государственный сердце государственный центр реагирования на инциденты 117 произошел инцидент Вы можете обратиться в сердце государственный государственный или частный по вашему вкусу как вам хочется обратиться в суд и сердце в той или иной мере Может вам помочь нам допустим с расследованием инцидента там нам ведь мы коммерческая организация мы так или иначе направлена чтобы Но к нам поступают запросы Вы не поверите там ночью напишу там звонят на мобильный телефон там ночью у меня

Instagram взломали Ну да И вот такое тоже бывает Ну постараемся как бы вежливо со всеми общаться если у нас там коммерческого интереса в этом нету Мы просто там кого-нибудь но совет даю он там в крайнем случае хотя бы просто подключу похлопаем Просто чувствую Понятно Я имел в виду Просто что это в смысле так это государственное сертифицирования вы прошли или это какое-то не работает не только этот на что вообще это мировая практика во многих странах есть вот эти серты центры реагирования на компьютерные инциденты Они между собой общаются обмениваются информацией

То есть к примеру где-нибудь там в Албании проходят атака сейчас и коллегии салмане там разослать по всем сердцем и сказать Вот ребята сейчас умею вот такая вот фигня может начаться готовьтесь и мы как сердце получим эту информацию будем уже более готовы к такой атаки в Казахстане к примеру самая наоборот это такое Это ни к чему не обязывает ничего по сути не дает такого какого-то огромное преимущество Но это такое комьюнити мировое реагирования на инциденты в том числе мы помогаем вот по мере возможности да

А в России есть частные серты What is государь понимаю финцерт госсопка вот частный есть мне вдруг стало интересно вообще было бы лучше если бы я вам задал этот вопрос потому что я к сожалению не сейчас в России я просто не из России не знаю мне кажется есть Наверняка есть если есть в Казахстане Мне кажется тоже должен быть может в России да потому что я никогда не встречала такого Ну ты скажи очень много ездим ещё много общаемся возрасте но вот такой формулировке час я в России никогда не слышала Может просто они мимо нас где-то выходили а может их

действительно нет поэтому я и подумал что возможно вы как там между Вы же прибыли пример Албании например что мы вот с другими сервисами Ну то есть вы не знаете да ладно я попробую создать следующему году знаете да есть А как он Да я находил в интернете компанию российскую которая занимается как раз-таки безопасности и расследованием после взломов уже вот и в частности меня интересовал вопрос Что нужно сделать после того как взломали сервер ноты них Один из таких примеров было как раз таки да отключить сервак до приезда специалиста То есть если у вас нет

специалиста просто чтобы специалисты было проще потом натаскать особенности это идёт момент как раз таки атаки непосредственно Вот как вот поэтому Знаешь Александра я Вам сразу комментарий пока не забыл не отключайте сервер ни в коем случае если у вас произошло до седин ни в коем случае не отключайте отключить его от сети вот интернет сервер Оставьте включенным я последнюю последнюю не из-за этого натерпелся столько всего из-за того что этот компьютер перезагружал этом все кому не лень выключали перезагружаю возили по офисам и в итоге там все заказ во

временной директории могли бы сохраниться исчез вовсе после перезагрузки исчезли поэтому никогда не включайте компьютер Вот мне так много часов потому что это Однако определенные обязательства когда особенно из-за сложности название в СПб Нам тоже иногда звонят и говорят А зачем вы свой сертификат внедрили на всю страну приходится объяснять людям что мы частная организация мы к сертификату отношение имеем ананас прям обижается Вот вы Танцуй сертификат внедрили теперь за мной следить и мы не если кто вдруг не понял

вот еще вопрос Меня зовут Александр Я представляю евразийскую группу вот они говорили про assert в России я думал обида кажется это круче Да там это как вот у нас Старка в Казахстане в России они достаточно известны и по миру Да это очень крутая такая мой вопрос про сертификаты Я думаю мы как-то rcots да получали сертификаты наверное для этого По большей части Вот айсипи вы какой Александр получали сертификат у меня один-единственный красивый Расскажите про этот сертификат я думаю что это один из самых крутых сертификат

для запасников и Поможет ли он вообще наличие такого сертификата Можно вопрос узнал и я в зависимости от ответа буду отвечать пора У кого есть кто из вас обладатель сертификата цех? я с вашими двумя коллегами с арманом и большой парень Как его зовут у нас много больших пальцев За Максимом вот мы получали цех Не в обиду тёзка расскажу одну фразу которая в наших часах и башне ходила она пришла из Москвы и шутка В чём заключается объявление обладателям сертификата цех объявлен бесплатный проезд в общественном транспорте в наравне с остальными инвалидами

Извиняюсь за это шутка просто я её должен был озвучить так вот и я это к чему цех неплохой сертификат Но получает его требует у нас Мы тоже должен у кого-то есть в цирке не помню кого надо кстати выяснить Нет на самом деле Да он такой но в целом он открывает картину надо формационный черт знает куда начать двигаться но В чём отличие допустим сертификатов SCP от того же ch3c чисто практически сертификат нельзя так он работает но кратко может не всем этой краткой там есть три варианта месяц два-три месяца выбираешь там

меняется от этого стоимость сертификата тебе предоставляет лабораторию доступа выпадают в лабораторию ты в этой лаборатории в Забудем Всё видишь все их там сервера там всё прочее есть практические навыки взлом оттачивает в лаборатории спустя месяц два или три зависи зависимости от того что вы выбрали вам предоставляется экзамен экзамен длится двое 1 сутки вы ломаете также инфраструктуру как лаборатории Там пять машин нужно 5 серверов взломать причём взломать могут получить привилегии пользователя потом повысить их до

админских 1 сутки вы ломаете сутки недели это реально сутки Я когда Сдал экзамен на двое суток не спал вообще ломаешь вот эту всю инфраструктуру из 5 машин вторые сутки пишешь отчёт то есть отчет прямо пошаговый нашёл какую-то уязвимость вот скриншот Вот так я её заблокировал Вот и вот по прошествии месяца 2 или 3 лабораторий по прошествии двух суток экзамена ты это отправляешь и гражданину смотрят на твой счёт если им что нравится они теперь сертификат там нет варианта зазубрить ответы нет варианта списать

там вот это чётко показывают что ты это вот имеешь практические навыки поэтому мы сделали эту стену у себя в офисе потому что мы прям ходили и жали руку всем У кого есть такой сертификат даже наш президент нашей организации уже сайте он говорил что любой обладатель сертификата вы себе может прийти не могу открыть дверь в наш офис сколько их было на стене у вас от прошлого тот момент 8 что ли человек, но сейчас их немного больше, Потому что люди уже начали получать для себя даже не за деньги компании за свои деньги

получать сертификат соответствия правилам. Он полезный Да скажем так очень рекомендую стоит порядка 1000 долларов, Но это стоит того. а Здравствуйте меня Антон ой-ой-ой меня направили в колледж сюда чтобы больше информации практике наоборот у меня вот вопрос Как вы говорили насчёт закладок как по вашему мнению лучше всего куда сохранять заказ для бэкдора Мне кажется Хороший вопрос вопрос во-первых хорошей постановкой сейчас должен обучить злоумышленника да во-вторых

Вопрос хороший после того как я целый доклад прочитал про это куда И как нужно прятать закладки Я попросил не выкладывать свой доклад на так как ты заинтересовался Давай тебе сам скину этот подливку посмотришь там прямо написано Куда и как можно давать помидоры и как искать самое главное мой посыл был так найти по которой они какие-то установить Я буду очень рад если бы это было так если вы вот каждый час прошёл у себя на серверах поискал в этих местах горы но китайский турецкие актеры часто

в практике не используются нет топорно так работают поэтому их обнаружить ничего не стоит тогда рядом с Яндекса общая точка PHP и всё друзья спасибо Я так понял уже тут затянуть со временем совсем Спасибо за вопросы

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Бэкдоры на web-серверах. Как найти и обезвредить»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Дмитрий Хомутов
Заместитель директора по развитию в Ideco
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Александр Учителев
Менеджер по работе с партнерами в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Даниил Бориславский
Ведущий аналитик в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Бэкдоры на web-серверах. Как найти и обезвредить»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно