rsa ir case study - ... rsa!incident!responsecasestudy! rsaincident!response!incidentresponse! rsa...

Download RSA IR Case Study - ... RSA!Incident!ResponseCaseStudy! RSAIncident!Response!incidentresponse! RSA Incident

Post on 17-Jul-2020

0 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  •  

     

      RSA  Incident  Response  Case  Study  

    RSA  Incident  Response  incident  response  

    RSA Incident Response: An APT Case Study  

    RSA Security

    8 April 2015  

  •  

       

    RSA  Incident  Response  Case  Study  

    Table  of  Contents  

    1.   Executive  Summary  ............................................................................................................................................  5   2.   Security  Analytics  and  ECAT  Deployment  ..................................................................................................  7  

    3.   Analysis  Methodology  ........................................................................................................................................  8   4.   Case  Study  Technical  Details  ...........................................................................................................................  9   4.1   Initial  Consultation  ..........................................................................................................................................................  9   4.2   Incident  Response  ............................................................................................................................................................  9   4.2.1   ECAT  Analysis  –  System  XX13  ................................................................................................................................................  10   4.2.2   ECAT  Analysis  –  System  XXDEV3  ..........................................................................................................................................  12   4.2.3   ECAT  Analysis  –  Trojan.FF-­‐RAT  .............................................................................................................................................  15   4.2.4   ECAT  Analysis  –  System  XXXXNAPP02  ...............................................................................................................................  16   4.2.5   ECAT  Analysis  –  Recycler  folder  ............................................................................................................................................  18   4.2.6   ECAT  Analysis  –  System  XXME  ...............................................................................................................................................  18   4.2.7   ECAT  Analysis  –  System  XX22  ................................................................................................................................................  21   4.2.8   ECAT  Analysis  –  Hunting  with  InstantIOCs.  .....................................................................................................................  22  

    4.3   SA  Analysis  –  Trojan.Lurker  ......................................................................................................................................  23   4.4   Parallel  Detection  with  Security  Analytics  ...........................................................................................................  26  

    5.   Trojan  Families  ..................................................................................................................................................  29   5.1   Trojan.Lurker  .................................................................................................................................................................  29   5.2   Trojan.SurperhardCorp  ..............................................................................................................................................  30   5.3   Trojan.Derusbi  ...............................................................................................................................................................  30   5.4   Trojan.HiKiT  ...................................................................................................................................................................  31   5.5   Trojan.FF-­‐RAT  ................................................................................................................................................................  32   5.6   Trojan.PlugX  ...................................................................................................................................................................  34   5.7   Trojan.Gh0st  ...................................................................................................................................................................  34   5.8   Trojan.PoisonIvy  ...........................................................................................................................................................  35  

    6.   Conclusion  ...........................................................................................................................................................  37  

    7.   Appendix  I  ............................................................................................................................................................  38     Table  1:  SA  beacon  detection  rules  .........................................................................................................................................................  26   Table  2:  Trojan.Lurker  files  details  and  C2  channels  ................................................................................................................................  29   Table  3:  Trojan.SuperhardCorp  file  details  and  C2  channels  ...................................................................................................................  30   Table  4:  Trojan.Derusbi  -­‐  file  details  and  C2  channels  .............................................................................................................................  30   Table  5:  Trojan.Hikit  -­‐  file  details  and  C2  channels  ..................................................................................................................................  31   Table  6:  Trojan.FF-­‐RAT  -­‐  file  details  .........................................................................................................................................................  32   Table  7:  Trojan.FF-­‐RAT  -­‐  file  details  .........................................................................................................................................................  33   Table  8:  Trojan.FF-­‐RAT  -­‐  file  details  .........................................................................................................................................................  33   Table  10:  Trojan.FF-­‐RAT  -­‐  file  details  .......................................................................................................................................................  33   Table  11:  Trojan.FF-­‐RAT  -­‐  file  details  .......................................................................................................................................................  33   Table  12:  Trojan.PlugX  -­‐  file  details  and  C2  channels  ..............................................................................................................................  34   Table  13:  Digitally  Signed  Trojan.Gh0st  file  details  .................................................................................................................................  35   Table  14:  Unsigned  Trojan.Gh0st  file  details  ...........................................................................................................................................  35   Table  15:  Trojan.PoisonIvy  -­‐  file  details  ...................................................................................................................................................  35    

  •  

     

        RSA  Incident  Response   Page  3  

    RSA  Incident  Response  Case  Study  

            Figure  1:    RSA  vs  traditional  analysis  comparison  ......................................................................................................................................  5   Figure  2:  Network  diagram  with  capture  points  ........................................................................................................................................  7   Figure  3:    IR  Competencies  ...................................................................................................................................

Recommended

View more >