The manufacturing case study focuses on one of the largest manufacturers of steel products to include tubing, pipe and sheet. Assets included a very large network for industrial control systems (ICS) and the necessary supervisory control and data acquisition (SCADA) components which run their manufacturing processes end to end. Prior to our involvement, this manufacturer had routinely removed routine threats but were unaware of sophisticated malware infection or advanced persistent threats. The customer had a large industry suite of cyber defense products which included a firewall, anti-virus suites, multiple intrusion detection software products, endpoint security and other software. Immediately upon installation, the TrapX DeceptionGrid generated ALERTS and identified malicious activity in two key locations. Both of these were on SCADA processors which were central to the manufacturing process. An attack in this area could severely disrupt ongoing manufacturing processes causing both a shut-down and millions of dollars in potential loss. Our analysis it was determined that both of these malicious processes were communicating through TOR to their attackers. In one case the malicious process was attempting to establish a new command and control connection through TOR. In the other case command and control was established and many types of malware were resident on the station. Broad Scale Attack Deployed Through One Entry Point TrapX found several types of malware deployed in this SCADA processor. TR-Dropper.Gen2.trojan allowed full access and control of the infected end-point. It allows for the collection and exfiltration of confidential data. Additionally we found Packed.Win32.Katusha.e malware stealing passwords which was communicating back to attacker IP addresses through TOR. Over several additional weeks, DeceptionGrid detected lateral movement by attackers that identified two additional command and control sites. The customer coordinated with TrapX and SCADA component vendors to determine the impact of the attack, to eliminate it and then to reprovision the software in all of the effected components.

Attackers Target Authentication Data Project Background - a Technology Evaluation Our financial case study focuses on a global insurance institution. Prior toour involvement, there were absolutely no indicators of malware infection or persistent threats visible to the customer. The customer had a robustindustry suite of cyber defense products which included a firewall, antivirussuites, intrusion detection software, endpoint security and othersoftware. Within a short period of time, the TrapX DeceptionGrid generatedALERTS and identified two malicious separate processes involved inunauthorized lateral movement within the insurance company network. Upon analysis it was determined that both of these malicious processeswere communicating with multiple connection points in Russia. These connection points in Russia and the other injected softwarecaptured worked together as an advanced password stealer. The attackerspenetrated the network and had captured password information. This targeted theft of authentication credentials represented a serious threat tothe integrity of the company's overall operations. At this time it has notbeen determined to what extent passwords were captured prior todetection. Other malware of lower risk identified by DeceptionGrid included Trj/Downloader.LEK Trojan, TROJ_QHOST.DB Trojan, and theW32.Greypack worm. All of these were not detected by the customersexisting cyber suite. Analysis suggests at least one of them might havebeen detected but the alerts were missed against the volume of overallalert traffic. Critical and Confidential Authentication Credentials at Risk TrapX determined that critical and confidential password data was beingexfiltrated to Russia. The scope of data compromise is still underinvestigation at this time and the global insurance firm has taken preemptivemeasures to replace credentials on suspected software systems. 

Attackers Target Law Enforcement Data Project Background - a Technology Evaluation Our case study focuses on a prominent law enforcement agency. This agency has responsibility for many activities which may include highly sensitive investigations into organized crime and terrorist activity. This agency is always interested in improving their cyber defenses and has a large budget dedicated to technology acquisition. Priorities for this agency include the protection of the confidentiality of their ongoing operations, internal processes and their personnel. This agency conducted a survey of technology vendors and wanted to learn more about deception technology. They were familiar with legacy honeypot technology and found it to be far to expensive to implement both in terms of resources and financial cost. This agency was very cautious and had partitioned several networks within the enterprise. Some were to be used for highly confidential (classified) data only - others for data of lesser confidentiality. Advanced Persistent Threat Leverages Lapse in Protocol DeceptionGrid was placed into operation. Within one week the customer security operations (SOC) team received a High Priority Alert indicating the lateral movement of an advanced threat. The malware was automatically trapped and injected into the sandbox for continued analysis. The attackers had established sophisticated command and control and had bypassed the complete array of existing intrusion detection, firewall, endpoint and perimeter cyber software defense. A full investigation continued as DeceptionGrid continued to monitor and capture malware movement. The agency's security operations team determined that there was an internal breach in their protocol. A connection, in breach of the agency's operting procedures, was found between their secure network and one of the less secure networks (lower security rating). This breach in protocol enabled the attacker's access . Exfiltration of Data Discovered and Halted The attacker was found to have moved without detection throughout the law enforcement agency network and servers. There were over ten explicit lateral movements made prior to detection by DeceptionGrid. The attacker found and exfiltrated data including the confidential records of agency personnel, their I.D information, their photographs and other highly confidential data. DeceptionGrid enabled the agency to disrupt the attack and then confidently restore normal security protocols.

Multiple Attackers Penetrate National Agency Project Background - a Technology Evaluation Our case study focuses on a large national government agency. This agency has hundreds of employees and has multiple facilities disbursed over a large geographic area. This agency wanted to learn more about deception technology as part of their regular evaluation of cyber security vendors. Massive Penetration by Attackers Detected in Multiple Areas DeceptionGrid was placed into operation. Starting almost immediately and over the course of several weeks the government security operations command (SOC) team received multiple High Priority Alerts. This was one of the most massive attacks we have ever discovered. We identified multiple attackers in several areas to include over five (5+) attackers using malware servers, over five (5+) attackers linking back data flow to botnet c&c servers and over fifty (50+) remote attackers using TOR anonymous proxy to hide source IP addresses. In some cases the malware was automatically trapped and injected into the sandbox for continued analysis. Multiple attackers had established command and control and had bypassed the complete array of existing intrusion detection, firewall, endpoint and perimeter cyber software defense. Malware found included Cryptowall, P2P Malware, Trojan-Banker, TrojanRansome, Mobogenie.B and WS.Reputation.1.  Exfiltration of Data Discovered - Broadscale Remediation Required It is clear that multiple attackers have successfully exfiltrated data from this government agency. The attack vectors varied substantially and compromised workstations and servers across multiple departments. Required remediation was done on a broad scale and included reprovisioning of both workstations and servers. The government involved has been forced to either re-provision on a large scale, or, to perform more time intensive memory dump analysis to better understand the extent of the penetration by this varied mix of attackers. Source attacker IP adresses as known are confidential at this time and part of an ongoing criminal investigation.

Attackers Target Software Company Project Background - a Technology Evaluation Our case study focuses on a leading software vendor that provides software through cloud services to their customers in healthcare. This customer's information technology team invested very substantially in defense-in-depth cyber defense software. Their security operations center regularly detected malware and was able to routinely remediate all of these known incidents. The customer had a strong industry suite of cyber defense products which included firewalls, anti virus suites, intrusion detection software, endpoint security and other software. Our initial installation included over ten (10) vLANS. DeceptionGrid was placed into operation. Almost immediately the customer information technology staff received multiple High Priority Alerts. These included identified suspicious activity and led to the discovery of several network misconfigurations. Several internal internet addresses were exposed to the internet and open to a variety of high risk protocols. Inbound connections from attackers were operational via SSH, Telnet and Remote Desktop. A TOR (anonymous proxy) obfuscated web crawler had mapped all of the exposed hosts. Some of the malware was automatically trapped and injected into the sandbox by DeceptionGrid for continued analysis. The attackers had multiple command and control points and had bypassed the complete array of existing security. Multiple Concurrent Attackers Detected and Remediated A full investigation continued as DeceptionGrid continued to monitor and capture malware movement. Multiple command and control point in six (6) workstations were linked to attackers in Beijing China, Moldava, and the multiple locations within Ukraine. Dozens of workstations had to be reprovisioned to eliminate access. Manual memory dump and analysis was required across many information technology assets to identify the full scope of the extensive and previously undetected attacker activity. Scope of Data Theft Remains Indeterminate Multiple attackers accessed this technology company's networks workstations and servers. The scope of intellectual property data exfiltration and theft is unknown but under continued investigation. 

Кибер атаки на правительственную организацию

Предыстория проекта - оценка технологии

Крупное национальное правительственное агентство имеет сотни сотрудников и множество объектов, распределнных по большой географической площади. Это агентство хотело узнать больше о технологии ловушек как части своей регулярной оценки вендоров кибербезопасности.

Атаки обнаружены в нескольких районах 

Практически сразу после введения DeceptionGrid в действие и в течение нескольких недель команда государственной безопасности получила несколько предупреждений об атаках высокой важности. Это была одна из самых массивных атак, которые мы когда-либо открывали. Мы идентифицировали нескольких злоумышленников в нескольких областях, чтобы включить более пяти (5+) злоумышленников с использованием вредоносных серверов, более пяти (5+) злоумышленников, связывающих обратный поток данных с серверами botnet c и c и более пятидесяти (50+) удаленных злоумышленников с использованием анонимного прокси TOR, чтобы скрыть исходные IP-адреса. В некоторых случаях вредоносное ПО автоматически захватывалось и вводилось в песочницу для дальнейшего анализа. Несколько злоумышленников установили команду и контроль и обошли весь массив существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра.

Вредоносные программы, кторые были обнаружены: Cryptowall, P2P Malware, Trojan-Banker, TrojanRansome, Mobogenie.B и WS.Reputation.1.

Эксфильтрация обнаруженных данных - Требуется широкомасштабное восстановление

Векторы атаки существенно различались и скомпрометировали рабочие станции и серверы в разных отделах. Необходимая коррекция была выполнена в широких масштабах и включала в себя репродуцирование как рабочих станций, так и серверов. Привлеченное правительство было вынуждено либо повторно предусмотреть в больших масштабах, либо выполнить более продолжительный анализ дампа памяти, чтобы лучше понять степень проникновения этого разнообразного сочетания нападавших. Исходные IP-адреса злоумышленников, как известно, являются конфиденциальными в настоящее время и частью продолжающегося уголовного расследования.

Целевые атаки на правоохранительные данные
Предыстория проекта - оценка технологии
Правоохранительный орган, несет ответственность за многие виды деятельности, которые могут включать расследования организованной преступности и террористической деятельности с высоким уровнем секретности. Это агентство всегда заинтересовано в улучшении своей киберзащиты и выделяет большой бюджет для приобретения технологий защиты. Приоритеты этого агентства включают защиту конфиденциальности их текущих операций, внутренних процессов и их персонала. Это агентство провело опрос поставщиков технологий и захотело узнать больше об технологии ловушек. Они были знакомы с унаследованной технологией honeypot и нашли эту технологию слишком дорогой, как с точки зрения ресурсов, так и с учетом финансовых затрат. Это агентство было очень осторожным и разделило несколько сетей внутри предприятия. Некоторые из них должны использоваться исключительно для конфиденциальных (классифицированных) данных - для данных с меньшей конфиденциальностью. DeceptionGrid был введен в действие. В течение одной недели команда безопасности клиентов (SOC) получила сообщение с высоким приоритетом, указывающее на боковое перемещение передовой угрозы. Вредоносная программа была автоматически захвачена и введена в песочницу для дальнейшего анализа. Нападавшие установили сложную команду и контроль и обошли весь набор существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра. Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Группа по операциям по обеспечению безопасности агентства установила, что в их протоколе произошло внутреннее нарушение. Связь, нарушающая процедуры обслуживания агентства, была обнаружена между их защищенной сетью и одной из менее безопасных сетей (более низкий рейтинг безопасности). Это нарушение в протоколе позволило получить доступ злоумышленника.
Эксфиляция данных, обнаружение и остановка
Было обнаружено, что злоумышленник двинулся без обнаружения во всей сети правоохранительных органов и на серверах. Было более десяти явных боковых движений, сделанных до обнаружения DeceptionGrid. Нападавший обнаружил и расширил данные, включая конфиденциальные записи персонала агентства, их информацию о I.D., их фотографии и другие конфиденциальные данные. DeceptionGrid позволил агентству нарушить атаку, а затем уверенно восстановить обычные протоколы безопасности.

Атаки нацелены на ведущего вендра программного обеспечения
Предыстория проекта - оценка технологии
Ведущий поставщик программного обеспечения предоставляет программное обеспечение через облачные сервисы своим клиентам в сфере здравоохранения. Команда информационных технологий этого клиента в значительной степени инвестировала средства в защиту компьютерной безопасности. Их центр оперативной безопасности регулярно обнаруживал вредоносное ПО и смог регулярно исправлять все эти известные инциденты. У клиента был сильный отраслевой пакет продуктов для защиты от кибернетики, который включал брандмауэры, антивирусные комплекты, программное обеспечение для обнаружения вторжений, защиту конечных точек и другое программное обеспечение. Наша первоначальная установка включала более десяти (10) vLANS. DeceptionGrid был введен в действие. Практически сразу клиентские информационные технологии получили несколько предупреждений о высокого приоритета. Они включали выявленную подозрительную деятельность и привели к обнаружению нескольких сетевых неверных конфигураций. Несколько внутренних интернет-адресов были открыты в Интернете и открыты для различных протоколов высокого риска. Входящие подключения от злоумышленников осуществлялись через SSH, Telnet и Remote Desktop. Обманный прокси-сервер TOR (анонимный прокси-сервер) отображал все выставленные хосты. Некоторые из вредоносных программ были автоматически захвачены и инъецированы в песочницу DeceptionGrid для продолжения анализа. Нападавшие имели несколько контрольных точек и обходили весь массив существующей безопасности.
Обнаружено и устранено несколько одновременных атакующих
Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Несколько командных и контрольных точек на шести (6) рабочих станциях были связаны с нападавшими в Пекине, Китае, Молдове, и в нескольких точках на территории Украины. Десятки рабочих станций должны были быть репродуцированы для устранения доступа. Для многих объектов информационной технологии необходимо было отображать дамп и анализ вручную, чтобы определить весь масштаб обширной и ранее не обнаруженной активности злоумышленника. Объем кражи данных остается неопределенным. Несколько злоумышленников обращались к сетевым рабочим станциям и серверам этой технологической компании. Объем исследований и хищения данных об интеллектуальной собственности неизвестен, но расследование продолжается.

Целевая атака на данные аутентификации Предыстория проекта - оценка технологии В нашем финансовом исследовании основное внимание уделяется глобальному страховому учреждению. До этого времени абсолютно никаких индикаторов заражения вредоносными программами или постоянных угроз, видимых клиенту, не было. У клиента была обширная комплектация продуктов для защиты от кибер атак, которая включала брандмауэр, антивирусы, программное обеспечение для обнаружения вторжений, Endpoint и другое программное обеспечение. В течение короткого периода времени TrapX DeceptionGrid создал ALERTS и идентифицировал два злонамеренных отдельных процесса, связанных с неавторизованным боковым движением в сети страховой компании. После анализа было установлено, что оба этих вредоносных процесса связывались с несколькими точками соединения в России. Эти точки соединения в России и другое вложенное программное обеспечение взяты вместе как расширенный перехватчик паролей. Нападавшие открыли сеть и записали информацию о пароле. Это адресная кража учетных данных для проверки подлинности представляла собой серьезную угрозу целостности общих операций компании. В настоящее время он не определил, в какой степени пароли были захвачены до обнаружения. Другие вредоносные программы с меньшим уровнем риска, идентифицированные DeceptionGrid, включают Trj / Downloader.LEK Trojan, Trojan_QHOST.DB Trojan и червь W32.Greypack. Все они не были обнаружены клиентами существующего кибер-пакета. Анализ предполагает, что, по крайней мере, один из них мог быть обнаружен, но оповещения были пропущены против объема общего трафика. Критические и конфиденциальные учетные данные под угрозой TrapX определил, что критически важные и конфиденциальные данные пароля были отправлены в Россию. В настоящее время масштабы компрометации данных все еще недостаточно изучены, и глобальная страховая фирма взяла на себя превентивные меры по замене полномочий на подозрительные программные системы.