Сортировка

Внедрений найдено: 5

Скрытый пользователь logo
TrapX logo
The manufacturing case study focuses on one of the largest manufacturers of steel products to include tubing, pipe and sheet. Assets included a very large network for industrial control systems (ICS) and the necessary supervisory control and data acquisition (SCADA) components which run their manufacturing processes end to end. Prior to our involvement, this manufacturer had routinely removed routine threats but were unaware of sophisticated malware infection or advanced persistent threats. The customer had a large industry suite of cyber defense products which included a firewall, anti-virus suites, multiple intrusion detection software products, endpoint security and other software. Immediately upon installation, the TrapX DeceptionGrid generated ALERTS and identified malicious activity in two key locations. Both of these were on SCADA processors which were central to the manufacturing process. An attack in this area could severely disrupt ongoing manufacturing processes causing both a shut-down and millions of dollars in potential loss. Our analysis it was determined that both of these malicious processes were communicating through TOR to their attackers. In one case the malicious process was attempting to establish a new command and control connection through TOR. In the other case command and control was established and many types of malware were resident on the station. Broad Scale Attack Deployed Through One Entry Point TrapX found several types of malware deployed in this SCADA processor. TR-Dropper.Gen2.trojan allowed full access and control of the infected end-point. It allows for the collection and exfiltration of confidential data. Additionally we found Packed.Win32.Katusha.e malware stealing passwords which was communicating back to attacker IP addresses through TOR. Over several additional weeks, DeceptionGrid detected lateral movement by attackers that identified two additional command and control sites. The customer coordinated with TrapX and SCADA component vendors to determine the impact of the attack, to eliminate it and then to reprovision the software in all of the effected components.
... Узнать больше
Скрытый пользователь logo
TrapX logo

Кибер атаки на правительственную организацию

Предыстория проекта - оценка технологии

Крупное национальное правительственное агентство имеет сотни сотрудников и множество объектов, распределнных по большой географической площади. Это агентство хотело узнать больше о технологии ловушек как части своей регулярной оценки вендоров кибербезопасности.

Атаки обнаружены в нескольких районах 

Практически сразу после введения DeceptionGrid в действие и в течение нескольких недель команда государственной безопасности получила несколько предупреждений об атаках высокой важности. Это была одна из самых массивных атак, которые мы когда-либо открывали. Мы идентифицировали нескольких злоумышленников в нескольких областях, чтобы включить более пяти (5+) злоумышленников с использованием вредоносных серверов, более пяти (5+) злоумышленников, связывающих обратный поток данных с серверами botnet c и c и более пятидесяти (50+) удаленных злоумышленников с использованием анонимного прокси TOR, чтобы скрыть исходные IP-адреса. В некоторых случаях вредоносное ПО автоматически захватывалось и вводилось в песочницу для дальнейшего анализа. Несколько злоумышленников установили команду и контроль и обошли весь массив существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра.

Вредоносные программы, кторые были обнаружены: Cryptowall, P2P Malware, Trojan-Banker, TrojanRansome, Mobogenie.B и WS.Reputation.1.

Эксфильтрация обнаруженных данных - Требуется широкомасштабное восстановление

Векторы атаки существенно различались и скомпрометировали рабочие станции и серверы в разных отделах. Необходимая коррекция была выполнена в широких масштабах и включала в себя репродуцирование как рабочих станций, так и серверов. Привлеченное правительство было вынуждено либо повторно предусмотреть в больших масштабах, либо выполнить более продолжительный анализ дампа памяти, чтобы лучше понять степень проникновения этого разнообразного сочетания нападавших. Исходные IP-адреса злоумышленников, как известно, являются конфиденциальными в настоящее время и частью продолжающегося уголовного расследования.

... Узнать больше
Скрытый пользователь logo
TrapX logo
Целевые атаки на правоохранительные данные
Предыстория проекта - оценка технологии
Правоохранительный орган, несет ответственность за многие виды деятельности, которые могут включать расследования организованной преступности и террористической деятельности с высоким уровнем секретности. Это агентство всегда заинтересовано в улучшении своей киберзащиты и выделяет большой бюджет для приобретения технологий защиты. Приоритеты этого агентства включают защиту конфиденциальности их текущих операций, внутренних процессов и их персонала. Это агентство провело опрос поставщиков технологий и захотело узнать больше об технологии ловушек. Они были знакомы с унаследованной технологией honeypot и нашли эту технологию слишком дорогой, как с точки зрения ресурсов, так и с учетом финансовых затрат. Это агентство было очень осторожным и разделило несколько сетей внутри предприятия. Некоторые из них должны использоваться исключительно для конфиденциальных (классифицированных) данных - для данных с меньшей конфиденциальностью. DeceptionGrid был введен в действие. В течение одной недели команда безопасности клиентов (SOC) получила сообщение с высоким приоритетом, указывающее на боковое перемещение передовой угрозы. Вредоносная программа была автоматически захвачена и введена в песочницу для дальнейшего анализа. Нападавшие установили сложную команду и контроль и обошли весь набор существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра. Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Группа по операциям по обеспечению безопасности агентства установила, что в их протоколе произошло внутреннее нарушение. Связь, нарушающая процедуры обслуживания агентства, была обнаружена между их защищенной сетью и одной из менее безопасных сетей (более низкий рейтинг безопасности). Это нарушение в протоколе позволило получить доступ злоумышленника.
Эксфиляция данных, обнаружение и остановка
Было обнаружено, что злоумышленник двинулся без обнаружения во всей сети правоохранительных органов и на серверах. Было более десяти явных боковых движений, сделанных до обнаружения DeceptionGrid. Нападавший обнаружил и расширил данные, включая конфиденциальные записи персонала агентства, их информацию о I.D., их фотографии и другие конфиденциальные данные. DeceptionGrid позволил агентству нарушить атаку, а затем уверенно восстановить обычные протоколы безопасности.
... Узнать больше
Скрытый пользователь logo
TrapX logo
Атаки нацелены на ведущего вендра программного обеспечения
Предыстория проекта - оценка технологии
Ведущий поставщик программного обеспечения предоставляет программное обеспечение через облачные сервисы своим клиентам в сфере здравоохранения. Команда информационных технологий этого клиента в значительной степени инвестировала средства в защиту компьютерной безопасности. Их центр оперативной безопасности регулярно обнаруживал вредоносное ПО и смог регулярно исправлять все эти известные инциденты. У клиента был сильный отраслевой пакет продуктов для защиты от кибернетики, который включал брандмауэры, антивирусные комплекты, программное обеспечение для обнаружения вторжений, защиту конечных точек и другое программное обеспечение. Наша первоначальная установка включала более десяти (10) vLANS. DeceptionGrid был введен в действие. Практически сразу клиентские информационные технологии получили несколько предупреждений о высокого приоритета. Они включали выявленную подозрительную деятельность и привели к обнаружению нескольких сетевых неверных конфигураций. Несколько внутренних интернет-адресов были открыты в Интернете и открыты для различных протоколов высокого риска. Входящие подключения от злоумышленников осуществлялись через SSH, Telnet и Remote Desktop. Обманный прокси-сервер TOR (анонимный прокси-сервер) отображал все выставленные хосты. Некоторые из вредоносных программ были автоматически захвачены и инъецированы в песочницу DeceptionGrid для продолжения анализа. Нападавшие имели несколько контрольных точек и обходили весь массив существующей безопасности.
Обнаружено и устранено несколько одновременных атакующих
Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Несколько командных и контрольных точек на шести (6) рабочих станциях были связаны с нападавшими в Пекине, Китае, Молдове, и в нескольких точках на территории Украины. Десятки рабочих станций должны были быть репродуцированы для устранения доступа. Для многих объектов информационной технологии необходимо было отображать дамп и анализ вручную, чтобы определить весь масштаб обширной и ранее не обнаруженной активности злоумышленника. Объем кражи данных остается неопределенным. Несколько злоумышленников обращались к сетевым рабочим станциям и серверам этой технологической компании. Объем исследований и хищения данных об интеллектуальной собственности неизвестен, но расследование продолжается.
... Узнать больше
Скрытый пользователь logo
TrapX logo
Целевая атака на данные аутентификации Предыстория проекта - оценка технологии В нашем финансовом исследовании основное внимание уделяется глобальному страховому учреждению. До этого времени абсолютно никаких индикаторов заражения вредоносными программами или постоянных угроз, видимых клиенту, не было. У клиента была обширная комплектация продуктов для защиты от кибер атак, которая включала брандмауэр, антивирусы, программное обеспечение для обнаружения вторжений, Endpoint и другое программное обеспечение. В течение короткого периода времени TrapX DeceptionGrid создал ALERTS и идентифицировал два злонамеренных отдельных процесса, связанных с неавторизованным боковым движением в сети страховой компании. После анализа было установлено, что оба этих вредоносных процесса связывались с несколькими точками соединения в России. Эти точки соединения в России и другое вложенное программное обеспечение взяты вместе как расширенный перехватчик паролей. Нападавшие открыли сеть и записали информацию о пароле. Это адресная кража учетных данных для проверки подлинности представляла собой серьезную угрозу целостности общих операций компании. В настоящее время он не определил, в какой степени пароли были захвачены до обнаружения. Другие вредоносные программы с меньшим уровнем риска, идентифицированные DeceptionGrid, включают Trj / Downloader.LEK Trojan, Trojan_QHOST.DB Trojan и червь W32.Greypack. Все они не были обнаружены клиентами существующего кибер-пакета. Анализ предполагает, что, по крайней мере, один из них мог быть обнаружен, но оповещения были пропущены против объема общего трафика. Критические и конфиденциальные учетные данные под угрозой TrapX определил, что критически важные и конфиденциальные данные пароля были отправлены в Россию. В настоящее время масштабы компрометации данных все еще недостаточно изучены, и глобальная страховая фирма взяла на себя превентивные меры по замене полномочий на подозрительные программные системы.
... Узнать больше

Каталог внедрений ROI4CIO - это база данных о внедрениях программного обеспечения, оборудования и ИТ-услуг. Находите внедрения по вендору, поставщику, пользователю, бизнес-задачам, проблемам, статусу, фильтруйте по наличию ROI и референса.