استضافت سمارة مؤخرًا مسابقة
VolgaCTF المفتوحة الدولية لأمن المعلومات. أخبر فلاديمير دريوكوف ، مدير مركز سولار JSOC لرصد الهجمات الإلكترونية والاستجابة للمتسابقين عن ثلاث هجمات حقيقية وسأل عن كيفية التعرف عليهم. تحقق مما إذا كان يمكنك الإجابة بشكل صحيح.
فيما يلي نسخة من خطاب فلاديمير ، ولكن بالنسبة لأولئك الذين يرغبون في رؤية النسخة غير الخاضعة للرقابة وغير المصقولة (بما في ذلك إجابات الجمهور) - إليك الفيديو:
لذا ، الكلمة لفلاديمير:
أريد أن أروي عدة قصص من حياتنا. سأخبر معظمهم من النهاية - أي ابتداءً من الحادث. وتحاول معرفة كيف يمكن رؤية هذا الهجوم في البداية ، حتى تتمكن ، بصفتك المدافع عن الشركة ، من اتخاذ إجراءات المهاجمين على رادارك.
آمل أن يساعدك هذا في المستقبل عندما تصبح خبيرًا محترفًا وتعمل في تقنيات إيجابية أو أمان رقمي أو معنا. ستعرف كيف يرى مركز المراقبة مثل هذه الهجمات ، وكيف يتفاعل معها ، - ومن يدري - ربما سيساعدك ذلك على تجاوز الدفاع ، وتحقيق هدفك ، ويظهر للعميل أنه ليس معرضًا للخطر كما كان يعتقد. حسنا ، دعنا نذهب؟
المهمة رقم 1. هذه الخدمة خطيرة وصعبة على حد سواء ، ولا يبدو أنها مرئية للوهلة الأولى ...
بدأت القصة بحقيقة أن رئيس دائرة أمن المعلومات في إحدى الشركات جاء إلينا وقال:
"يا رفاق ، أنا أقوم ببعض الهراء الغريب. هناك أربع سيارات تبدأ في إعادة التشغيل تلقائيًا ، وتسقط على شاشة زرقاء - بشكل عام ، هناك نوع من الهراء. دعونا نحلها. "
عندما وصل الرجال من مجموعة الطب الشرعي إلى الموقع ، اتضح أن سجلات الأمن على جميع الأجهزة تم تنظيفها - كانت هناك العديد من الأنشطة التي تم تدوير مجلة الأمن بسرعة (إعادة كتابتها). لم يتم العثور على أي شيء مثير للاهتمام في جدول الملفات الرئيسية أيضًا - التجزئة قوية ، ويتم الكتابة فوق البيانات بسرعة. ومع ذلك ، تمكنا من العثور على شيء ما في سجل النظام: مرة واحدة يوميًا على هذه الأجهزة الأربعة ، تظهر خدمة it_helpdesk ، وتقوم بشيء غير معروف (لا توجد سجلات أمان ، كما نتذكر) وتختفي.
تحدث فصل الطب الشرعي لدينا عن تعبير الوجه هذا:
بدأوا في فهم المزيد ، واتضح أن خدمة it_helpdesk أعيدت تسميتها بالفعل PSExec.
تتيح لك الأدوات المساعدة ، مثل Telnet وبرامج الإدارة عن بُعد ، مثل برنامج Symantec's PC Anywhere ، تشغيل البرامج على الأنظمة البعيدة ، ولكن ليس من السهل تثبيتها ، لأنك تحتاج أيضًا إلى تثبيت برنامج العميل على تلك الأنظمة البعيدة التي تحتاج إلى الحصول عليها الوصول.
PsExec هو إصدار خفيف الوزن من Telnet. يسمح لك بإجراء العمليات في الأنظمة البعيدة ، باستخدام جميع ميزات الواجهة التفاعلية لتطبيقات وحدة التحكم ، ولا توجد حاجة لتثبيت برنامج العميل يدويًا. الميزة الرئيسية لـ PsExec هي القدرة على استدعاء واجهة سطر الأوامر بشكل تفاعلي على الأنظمة البعيدة وتشغيل أدوات عن بعد مثل IpConfig. هذه هي الطريقة الوحيدة لعرض معلومات حول النظام البعيد على شاشة الكمبيوتر المحلي.
technet.microsoft.com
بعد التحقق من سجلات النظام على الأجهزة الأخرى ، رأينا أنه لم يتم إشراك 4 محطات عمل ، ولكن 20 ، بالإضافة إلى 19 خادمًا آخر ، بما في ذلك خادم واحد مهم. تحدثنا مع متخصصي تكنولوجيا المعلومات ووجدنا أنهم لا علاقة لهم بهذا ، وليس لديهم مثل هذا النظام الفرعي. بدأوا في الحفر أكثر ، ثم تم اكتشاف شيء غريب ونادر إلى حد ما - نفق DNS ، الذي استخدم وحدة البرامج الضارة ، التي كانت مسؤولة عن التواصل مع مركز التحكم في الروبوتات.
DNS-tunneling - تقنية تسمح لك بنقل حركة المرور العشوائية (في الواقع ، رفع النفق) عبر بروتوكول DNS. يمكن استخدامه ، على سبيل المثال ، من أجل الوصول الكامل إلى الإنترنت من النقطة التي يُسمح فيها بتحليل اسم DNS.
لا يمكن رفض نفق DNS بقواعد بسيطة لجدار الحماية ، مع السماح لبقية حركة مرور DNS. وذلك لأن حركة مرور نفق DNS واستعلامات DNS الشرعية لا يمكن تمييزها. يمكن الكشف عن نفق DNS من خلال كثافة الاستعلام (إذا كانت حركة المرور عبر النفق كبيرة) ، وكذلك من خلال طرق أكثر تعقيدًا باستخدام أنظمة كشف التسلل.
xgu.ru
دخلت التعليمات البرمجية الضارة المنظمة عبر البريد ، وانتشرت عبر البنية التحتية ، وتفاعلت مع خادم C & C من خلال نفق DNS. لذلك ، لم ينجح الحظر على التفاعل مع الإنترنت الذي يقف في قطاع الخادم.
على أحد الخوادم المهمة ، كان هناك مدون مفاتيح يقوم بقراءة كلمات المرور تلقائيًا ، وحاولت البرامج الضارة الزحف أكثر ، وتلقي بيانات اعتماد مستخدم جديدة ، بما في ذلك إسقاط الآلات في BSOD وقراءة كلمات مرور المسؤولين الذين رفعوها.
إلى ماذا أدى هذا؟ خلال الوقت الذي عاشت فيه البرامج الضارة في البنية التحتية ، تم اختراق العديد من الحسابات ، بالإضافة إلى كمية كبيرة من البيانات الأخرى التي قد تكون حساسة. أثناء التحقيق ، حددنا نطاق المهاجمين و "طردناهم" خارج الشبكة. حصل العميل على أربعة أشهر أخرى من الدقيق - استغرق الأمر إعادة ملء نصف الأجهزة وإعادة إصدار جميع كلمات المرور - من قواعد البيانات والحسابات وما إلى ذلك. لا يحتاج الأشخاص الذين لديهم خبرة في تكنولوجيا المعلومات إلى شرح ما هي القصة الصعبة هذه. ولكن ، مع ذلك ، انتهى كل شيء بشكل جيد.
لذا فإن السؤال هو: كيف يمكن الكشف عن هذا الهجوم وإلقاء مجرم إلكتروني في ذراعه؟
الجواب على المهمة الأولىأولاً ، كما تتذكر ، أثرت الإصابة على خادم مهم. إذا تم إطلاق خدمة جديدة لم تكن معروفة من قبل على مثل هذا المضيف ، فهذه حادثة خطيرة للغاية. لا يجب أن يحدث هذا. إذا كنت تراقب على الأقل الخدمات التي تعمل على خوادم مهمة ، فإن هذا وحده سيساعد في تحديد مثل هذا الهجوم في مرحلة مبكرة ويمنعه من التطور.
ثانيًا ، لا تهمل المعلومات من أبسط وسائل الحماية. تم اكتشاف PSExec جيدًا بواسطة برامج مكافحة الفيروسات ، ولكن لم يتم وضع علامة عليه على أنه برنامج ضار ، ولكن كأداة إدارة عن بعد أو أداة قرصنة. إذا نظرت بعناية إلى سجلات مكافحة الفيروسات ، يمكنك رؤية الاستجابة في الوقت المناسب واتخاذ الإجراءات المناسبة.
المهمة رقم 2. حكايات مخيفة
تعمل امرأة كبيرة في الخدمات المالية ولديها إمكانية الوصول إلى AWS من CBD.
AWP KBR - مكان عمل مؤتمت لعميل بنك روسيا. إنه حل برمجي لتبادل المعلومات بشكل آمن مع بنك روسيا ، بما في ذلك إرسال أوامر الدفع ، والرحلات المصرفية ، وما إلى ذلك.
جلب هذا المسؤول المالي محرك أقراص فلاش مع ملف يسمى Skazki_dlya_bolshih_i_malenkih.pdf.exe للعمل. كان لديها ابنة صغيرة ، وأرادت المرأة أن تطبع في العمل كتابًا للأطفال ، قامت بتنزيله من الإنترنت. لم يبدو امتداد الملف .pdf.exe مريبًا لها ، وبعد ذلك ، عندما أطلقت الملف ، تم فتح ملف PDF المعتاد.
فتحت المرأة الكتاب وعادت إلى المنزل. لكن الامتداد exe ، بالطبع ، لم يكن من قبيل الصدفة. وخلفه كانت أداة Remo Admin ، التي جلست على محطة عمل وحفرت هناك في عمليات النظام لأكثر من عام.
كيف تعمل مثل هذه البرامج الضارة؟ بادئ ذي بدء ، يصنعون لقطات شاشة للشاشة حوالي 15 مرة في الدقيقة. في ملف منفصل ، يضيفون البيانات المستلمة من keylogger - تسجيلات الدخول وكلمات المرور والمراسلات في البريد والمراسلات الفورية والمزيد. بعد توصيل العميل ، لاحظنا بسرعة مضيفًا مصابًا وقمنا بتنظيف الفيروس من الشبكة.
السؤال: كيف يمكن اكتشاف البرامج الضارة "غير المرئية" التي لم يتم اكتشافها بواسطة برنامج مكافحة الفيروسات؟
الجواب على المهمة الثانيةأولاً ، تقوم البرامج الضارة ، كقاعدة عامة ، بعمل شيء في نظام الملفات ، وتغيير إدخالات التسجيل - في كلمة واحدة ، يتم تحميلها بطريقة أو بأخرى في النظام. يمكن تتبع ذلك إذا كنت تراقب المضيف على مستوى السجلات التي يكتبها نظام التشغيل نفسه - سجلات الأمان ، وعمليات بدء التشغيل ، وتغييرات التسجيل.
ثانيًا ، من المهم أن نتذكر أن مثل هذه البرامج الضارة لا تعيش بشكل مستقل ، فهي دائمًا ما تطرق في مكان ما. غالبًا ما يكون لمحطات العمل على الشبكة إمكانية الوصول إلى الإنترنت من خلال وكيل فقط ، لذلك إذا حاول الجهاز الطرق في مكان ما مباشرةً ، فهذه حادثة خطيرة يجب التعامل معها.
المهمة رقم 3. "ويرز الدموي"
احتاج مسؤول النظام إلى مقارنة و "لصق" ملفين .xml معًا. ذهب بطريقة بسيطة - كتب في محرك بحث "تنزيل دمج XML دون تسجيل والرسائل القصيرة". كان الموقع الرسمي لمطور هذه الأداة في المركز الثالث في الإصدار ، وفي أول ملفين - مشاركة الملفات. هناك ، قام المسؤول بتنزيل البرنامج.
كما خمنت على الأرجح بالفعل ، تم بناء وحدة تصعيد امتياز جيدة وعالية الجودة في الأداة المساعدة "المجانية". هدم وكيل مكافحة الفيروسات على الجهاز وإنشاء ملف بنفس الاسم بدلاً من ذلك. لذلك تم تعليق البرامج الضارة أيضًا على الجهاز ، وتتواصل بشكل دوري مع مركز التحكم.
أسوأ شيء هو أن مسؤول تكنولوجيا المعلومات هو ملك القلعة ، لديه إمكانية الوصول في كل مكان. من الجهاز ، يمكن للفيروس الوصول إلى أي مضيف أو خادم. زحف البرنامج الضار عبر الشبكة من خلال نقطة مشاركة النطاق ، محاولًا الوصول إلى سيارة كبير الممولين. في تلك اللحظة ، تم القبض عليها من الذيل ، وتم إخماد القصة.
سؤال: كيف تكتشف مثل هذا الهجوم على جهاز مستخدم مميز؟
الجواب على المشكلة الثالثةمرة أخرى ، يمكنك الاستماع إلى حركة المرور ، محاولاً الإمساك بالبرامج الضارة "متلبسة" - في وقت الطلب إلى خادم C & C. ومع ذلك ، إذا لم يكن لدى الشركة NGFW ، أو IDS ، أو نظام تحليل حركة مرور الشبكة ، أو SIEM ، الذي يلتقط شيئًا ذا قيمة على الأقل من حركة المرور ، يمكنك الاستماع إليه إلى ما لا نهاية.
من الأكثر فاعلية إلقاء نظرة على سجلات نظام التشغيل عن طريق إرسالها إلى نظام خارجي. على الرغم من أن البرنامج الضار أزال عامل مكافحة الفيروسات ، إلا أنه لم يتمكن من مسح ملف التدقيق ، وبالتالي ، فإن السجلات المرسلة إلى النظام الخارجي ستحتوي بالتأكيد على معلومات حول إزالة عامل الحماية من الفيروسات ، أو على الأقل حقيقة تطهير المراجعة نفسها. بعد ذلك ، ستكون السجلات على الجهاز نفسه فارغة ، ولا يمكن العثور على أي آثار.