Vor kurzem war Samara Gastgeber des internationalen offenen Wettbewerbs der
WolgaCTF für Informationssicherheit. Vladimir Dryukov, Direktor des Solar JSOC Cyber Attack Monitoring- und Reaktionszentrums, erzählte den Teilnehmern von drei echten Angriffen und fragte, wie sie identifiziert werden könnten. Überprüfen Sie, ob Sie richtig antworten können.
Unten finden Sie eine Abschrift von Vladimirs Rede, aber für diejenigen, die die unzensierte und ungeschnittene Version (einschließlich der Antworten des Publikums) sehen möchten - hier ist das Video:
Also das Wort an Vladimir:
Ich möchte einige Geschichten aus unserem Leben erzählen. Ich werde die meisten von ihnen vom Ende erzählen - das heißt, beginnend mit dem Vorfall. Und Sie versuchen herauszufinden, wie dieser Angriff zu Beginn gesehen werden kann, damit Sie als Verteidiger des Unternehmens die Aktionen der Angreifer auf Ihr Radar bringen.
Ich hoffe, dies hilft Ihnen in Zukunft, wenn Sie professionelle Pentester werden und bei Positive Technologies, Digital Security oder bei uns arbeiten. Sie werden wissen, wie das Überwachungszentrum solche Angriffe sieht, wie es auf sie reagiert, und - wer weiß - vielleicht hilft Ihnen dies, die Verteidigung zu umgehen, Ihr Ziel zu erreichen und dem Kunden zu zeigen, dass er nicht so unverwundbar ist, wie er gedacht hat. Nun, lass uns gehen?
Aufgabe Nummer 1. Dieser Service ist sowohl gefährlich als auch schwierig und scheint auf den ersten Blick nicht sichtbar zu sein ...
Die Geschichte begann mit der Tatsache, dass der Leiter des Informationssicherheitsdienstes eines Unternehmens zu uns kam und sagte:
"Leute, ich mache einen seltsamen Unsinn. Es gibt vier Autos, die spontan neu starten und auf einem blauen Bildschirm herausfallen - im Allgemeinen gibt es eine Art Unsinn. Lass es uns klären. “
Als die Mitarbeiter der Forensikgruppe vor Ort ankamen, stellte sich heraus, dass die Sicherheitsprotokolle aller Maschinen bereinigt wurden - es gab so viele Aktivitäten, dass das Sicherheitsmagazin schnell gedreht (neu geschrieben) wurde. Auch in der Master-Dateitabelle wurde nichts Interessantes gefunden - die Fragmentierung ist stark, die Daten werden schnell überschrieben. Trotzdem ist es uns gelungen, etwas im Systemprotokoll zu finden: Auf diesen vier Computern wird ungefähr einmal täglich der Dienst it_helpdesk angezeigt, führt etwas Unbekanntes aus (es gibt keine Sicherheitsprotokolle, wie wir uns erinnern) und verschwindet.
In unserem forensischen Kapitel ging es um diesen Gesichtsausdruck:
Sie begannen weiter zu verstehen und es stellte sich heraus, dass der Dienst it_helpdesk tatsächlich in PSExec umbenannt wurde.
Mit Dienstprogrammen wie Telnet und Remoteverwaltungsprogrammen wie Symantecs PC Anywhere können Sie Programme auf Remote-Systemen ausführen. Die Installation ist jedoch nicht so einfach, da Sie auch Client-Software auf den Remote-Systemen installieren müssen, die Sie empfangen müssen Zugang.
PsExec ist eine leichte Version von Telnet. Sie können Prozesse in Remote-Systemen ausführen und dabei alle Funktionen der interaktiven Schnittstelle von Konsolenanwendungen nutzen. Die Client-Software muss nicht manuell installiert werden. Der Hauptvorteil von PsExec ist die Möglichkeit, die Befehlszeilenschnittstelle interaktiv auf Remote-Systemen aufzurufen und Tools wie IpConfig remote auszuführen. Nur so können Informationen zum Remote-System auf dem lokalen Computerbildschirm angezeigt werden.
technet.microsoft.com
Nachdem wir die Systemprotokolle auf anderen Computern überprüft hatten, stellten wir fest, dass nicht 4 Workstations beteiligt waren, sondern 20 plus 19 weitere Server, einschließlich eines kritischen Servers. Wir haben mit IT-Spezialisten gesprochen und festgestellt, dass sie keinen Bezug dazu haben und kein solches Subsystem haben. Sie begannen weiter zu graben, und dann wurde eine ziemlich merkwürdige und seltene Sache entdeckt - DNS-Tunneling, bei dem das Malware-Modul verwendet wurde, das für die Kommunikation mit dem Botnet-Kontrollzentrum verantwortlich war.
DNS-Tunneling - eine Technik, mit der Sie beliebigen Datenverkehr (tatsächlich den Tunnel erhöhen) über das DNS-Protokoll übertragen können. Es kann beispielsweise verwendet werden, um ab dem Punkt, an dem die Auflösung von DNS-Namen zulässig ist, vollen Zugriff auf das Internet zu erhalten.
DNS-Tunneling kann nicht durch einfache Firewall-Regeln verweigert werden, während der Rest des DNS-Verkehrs zugelassen wird. Dies liegt daran, dass DNS-Tunnelverkehr und legitime DNS-Abfragen nicht zu unterscheiden sind. DNS-Tunneling kann anhand der Abfrageintensität (wenn der Verkehr durch den Tunnel groß ist) sowie anhand komplexerer Methoden unter Verwendung von Intrusion Detection-Systemen erkannt werden.
xgu.ru
Schädlicher Code gelangte per E-Mail in die Organisation, verteilte sich über die Infrastruktur und interagierte über den DNS-Tunnel mit dem C & C-Server. Daher funktionierten die Verbote für die Interaktion mit dem Internet, die im Serversegment standen, nicht.
Auf einem der kritischen Server befand sich ein Keylogger, der Kennwörter automatisch las, und die Malware versuchte, weiter zu crawlen. Sie erhielt neue Benutzeranmeldeinformationen, einschließlich des Löschens von Autos im BSOD und des Lesens der Kennwörter der Administratoren, die sie ausgelöst hatten.
Was hat das gebracht? Während der Zeit, in der die Malware in der Infrastruktur lebte, wurden viele Konten und darüber hinaus eine große Menge anderer potenziell sensibler Daten kompromittiert. Während der Untersuchung haben wir den Umfang der Angreifer lokalisiert und sie aus dem Netzwerk „geworfen“. Der Kunde erhielt weitere vier Monate Mehl - es dauerte, bis die Hälfte der Maschinen wieder aufgefüllt und alle Passwörter neu ausgegeben wurden - aus Datenbanken, Konten usw. Menschen mit IT-Erfahrung müssen nicht erklären, was für eine schwierige Geschichte dies ist. Trotzdem endete alles gut.
Die Frage ist also: Wie könnte dieser Angriff erkannt und ein Cyberkrimineller im Arm gefangen werden?
Die Antwort auf die erste AufgabeWie Sie sich erinnern, betraf die Infektion zunächst einen kritischen Server. Wenn auf einem solchen Host ein neuer, bisher unbekannter Dienst gestartet wird, ist dies ein sehr kritischer Vorfall. Dies sollte nicht passieren. Wenn Sie zumindest Dienste überwachen, die auf kritischen Servern ausgeführt werden, hilft dies allein, einen solchen Angriff frühzeitig zu erkennen und dessen Entwicklung zu verhindern.
Zweitens vernachlässigen Sie nicht die Informationen der grundlegendsten Schutzmaßnahmen. PSExec wird von Virenschutzprogrammen gut erkannt, jedoch nicht als Malware, sondern als Remote Admin Tool oder Hacking Tool gekennzeichnet. Wenn Sie sich die Antivirenprotokolle genau ansehen, können Sie die Antwort rechtzeitig sehen und geeignete Maßnahmen ergreifen.
Aufgabe Nummer 2. Gruselgeschichten
Eine große Bank, eine Frau arbeitet im Finanzdienst und hat Zugang zu AWS des CBD.
AWP KBR - ein automatisierter Arbeitsplatz eines Kunden der Bank of Russia. Es ist eine Softwarelösung für den sicheren Informationsaustausch mit der Bank von Russland, einschließlich des Versendens von Zahlungsaufträgen, Bankflügen usw.
Dieser Finanzbeauftragte brachte ein Flash-Laufwerk mit einer Datei namens Skazki_dlya_bolshih_i_malenkih.pdf.exe zum Laufen. Sie hatte eine kleine Tochter, und die Frau wollte bei der Arbeit ein Kinderbuch drucken, das sie aus dem Internet heruntergeladen hatte. Die Dateierweiterung .pdf.exe schien ihr nicht verdächtig zu sein, und als sie die Datei startete, wurde das übliche PDF geöffnet.
Die Frau schlug das Buch auf und ging nach Hause. Aber die .exe-Erweiterung war natürlich kein Zufall. Hinter ihm befand sich das Remo Admin Tool, das sich auf einer Workstation befand und dort mehr als ein Jahr lang in Systemprozessen arbeitete.
Wie funktioniert solche Malware? Zunächst machen sie etwa 15 Mal pro Minute Screenshots. In einer separaten Datei fügen sie die vom Keylogger empfangenen Daten hinzu - Anmeldungen und Passwörter, Korrespondenz per E-Mail, Instant Messenger und vieles mehr. Nachdem wir den Client verbunden hatten, bemerkten wir schnell einen infizierten Host und entfernten den Virus aus dem Netzwerk.
Frage: Wie könnte es möglich sein, die "unsichtbare" Malware zu erkennen, die vom Antivirus nicht erkannt wurde?
Die Antwort auf die zweite AufgabeErstens macht Malware in der Regel etwas im Dateisystem, ändert Registrierungseinträge - kurz gesagt, es wird irgendwie in das System geladen. Dies kann nachverfolgt werden, wenn Sie den Host auf der Ebene der Protokolle überwachen, die das Betriebssystem selbst schreibt - Sicherheitsprotokolle, Prozessstarts, Registrierungsänderungen.
Zweitens ist es wichtig, sich daran zu erinnern, dass solche Malware nicht autonom lebt, sondern immer irgendwo klopft. Arbeitsstationen in einem Netzwerk verfügen häufig nur über einen Proxy über einen Internetzugang. Wenn also ein Computer versucht, irgendwo direkt zu klopfen, ist dies ein schwerwiegender Vorfall, der behoben werden muss.
Aufgabe Nummer 3. "Verdammte Warez"
Der Systemadministrator musste 2 XML-Dateien vergleichen und „zusammenkleben“. Er ging den einfachen Weg - tippte in eine Suchmaschine "Download XML Merger ohne Registrierung und SMS". Die offizielle Website des Entwicklers dieses Dienstprogramms befand sich in der Ausgabe an dritter Stelle und in den ersten beiden - Filesharing. Dort hat der Administrator das Programm heruntergeladen.
Wie Sie wahrscheinlich bereits vermutet haben, wurde in das Dienstprogramm "free" ein gutes, qualitativ hochwertiges Modul zur Eskalation von Berechtigungen integriert. Er hat den Antiviren-Agenten auf dem Computer zerstört und stattdessen eine Datei mit demselben Namen erstellt. Daher hing die Malware auch auf dem Computer und kommunizierte regelmäßig mit dem Kontrollzentrum.
Das Schlimmste war, dass der IT-Administrator der König des Schlosses ist, er hat überall Zugang. Von seinem Computer aus kann der Virus jeden Host oder Server erreichen. Die Malware kroch über den Domain-Sharepoint über das Netzwerk und versuchte, zum Auto des Cheffinanzierers zu gelangen. In diesem Moment wurde sie vom Schwanz gefangen und die Geschichte wurde gelöscht.
Frage: Wie kann ein solcher Angriff auf den Computer eines privilegierten Benutzers erkannt werden?
Die Antwort auf das dritte ProblemAuch hier können Sie den Datenverkehr abhören und versuchen, die Malware "auf frischer Tat" abzufangen - zum Zeitpunkt der Anforderung an den C & C-Server. Wenn das Unternehmen jedoch nicht über NGFW, IDS, ein Netzwerkverkehrsanalysesystem oder SIEM verfügt, das zumindest etwas Wertvolles aus dem Verkehr abfängt, können Sie es ad infinitum anhören.
Es ist effizienter, die Betriebssystemprotokolle anzuzeigen, indem Sie sie an ein externes System senden. Während die Malware den Antiviren-Agenten entfernt hat, konnte sie die Überwachungsdatei nicht löschen. Daher enthalten die an das externe System gesendeten Protokolle definitiv Informationen über das Entfernen des Antiviren-Agenten oder zumindest die Tatsache, dass die Prüfung selbst bereinigt wurde. Danach sind die Protokolle auf dem Computer selbst leer und es können keine Spuren gefunden werden.