Recientemente, Samara organizó el
concurso internacional abierto
VolgaCTF para la seguridad de la información. Vladimir Dryukov, director del Centro de Monitoreo y Respuesta a Ciberataques de Solar JSOC, les contó a los concursantes acerca de tres ataques reales y les preguntó cómo podían ser identificados. Comprueba si puedes responder correctamente.
A continuación se muestra una transcripción del discurso de Vladimir, pero para aquellos que desean ver la versión sin censura y sin cortes (incluidas las respuestas de la audiencia), aquí está el video:
Entonces, la palabra a Vladimir:
Quiero contar varias historias de nuestras vidas. Les diré la mayoría desde el final, es decir, comenzando con el incidente. Y tratas de descubrir cómo se puede ver este ataque desde el principio, para que tú, como defensor de la compañía, hagas que las acciones de los atacantes entren en tu radar.
Espero que esto te ayude en el futuro cuando te conviertas en pentesters profesionales y trabajes en Tecnologías Positivas, Seguridad Digital o con nosotros. Sabrá cómo el centro de monitoreo ve tales ataques, cómo reacciona ante ellos y, quién sabe, tal vez esto lo ayude a evitar la defensa, alcanzar su objetivo y mostrarle al cliente que no es tan invulnerable como pensaba. Bueno, vamos?
Tarea número 1. Este servicio es peligroso y difícil, y a primera vista no parece ser visible ...
La historia comenzó con el hecho de que el jefe del servicio de seguridad de la información de una compañía vino a nosotros y dijo:
"Chicos, estoy haciendo algunas tonterías extrañas. Hay cuatro autos que comienzan a reiniciarse espontáneamente, se caen en una pantalla azul; en general, hay algún tipo de tontería. Vamos a resolverlo ".
Cuando los muchachos del grupo forense llegaron al sitio, resultó que los registros de seguridad de todas las máquinas se limpiaron; había tantas actividades que la revista de seguridad se rotó (reescribió) rápidamente. Tampoco se encontró nada interesante en la tabla maestra de archivos: la fragmentación es fuerte, los datos se sobrescriben rápidamente. Sin embargo, logramos encontrar algo en el registro del sistema: aproximadamente una vez al día en estas cuatro máquinas aparece el servicio it_helpdesk, hace algo desconocido (no hay registros de seguridad, como recordamos) y desaparece.
Nuestro capítulo forense trata sobre esta expresión facial:
Comenzaron a comprender más, y resultó que el servicio it_helpdesk en realidad se renombró PSExec.
Las utilidades, como Telnet, y los programas de administración remota, como PC Anywhere de Symantec, le permiten ejecutar programas en sistemas remotos, pero no son tan fáciles de instalar, porque también necesita instalar el software del cliente en esos sistemas remotos que necesita recibir. acceso.
PsExec es una versión ligera de Telnet. Le permite realizar procesos en sistemas remotos, utilizando todas las características de la interfaz interactiva de las aplicaciones de consola, y no es necesario instalar manualmente el software del cliente. La principal ventaja de PsExec es la capacidad de invocar la interfaz de línea de comandos de forma interactiva en sistemas remotos y ejecutar herramientas de forma remota como IpConfig. Esta es la única forma de mostrar información sobre el sistema remoto en la pantalla de la computadora local.
technet.microsoft.com
Después de verificar los registros del sistema en otras máquinas, vimos que no estaban involucradas 4 estaciones de trabajo, sino 20, más 19 servidores más, incluido un servidor crítico. Hablamos con especialistas de TI y descubrimos que no tienen relación con esto, no tienen un subsistema de este tipo. Comenzaron a cavar más, y luego se descubrió algo bastante curioso y raro: el túnel de DNS, que utilizaba el módulo de malware, que era responsable de la comunicación con el centro de control de botnet.
DNS-tunneling: una técnica que le permite transferir tráfico arbitrario (de hecho, elevar el túnel) a través del protocolo DNS. Se puede usar, por ejemplo, para obtener acceso completo a Internet desde el punto donde se permite la resolución de nombres DNS.
El túnel DNS no se puede negar mediante simples reglas de firewall, mientras se permite el resto del tráfico DNS. Esto se debe a que el tráfico del túnel DNS y las consultas DNS legítimas no se pueden distinguir. El túnel de DNS se puede detectar por la intensidad de la consulta (si el tráfico a través del túnel es grande), así como por métodos más sofisticados que utilizan sistemas de detección de intrusos.
xgu.ru
El código malicioso ingresó a la organización a través del correo, se extendió por la infraestructura e interactuó con el servidor C&C a través del túnel DNS. Por lo tanto, las prohibiciones de interactuar con Internet que se encontraban en el segmento del servidor no funcionaron.
En uno de los servidores críticos, había un keylogger que leía automáticamente las contraseñas, y el malware intentaba rastrearse aún más, recibiendo nuevas credenciales de usuario, incluyendo la caída de automóviles en el BSOD y la lectura de las contraseñas de los administradores que lo plantearon.
¿A qué condujo esto? Durante el tiempo que el malware vivió en la infraestructura, muchas cuentas se vieron comprometidas y, además, una gran cantidad de otros datos potencialmente confidenciales. Durante la investigación, localizamos el alcance de los atacantes y los "expulsamos" de la red. El cliente recibió otros cuatro meses de harina: tardó en volver a llenar la mitad de las máquinas y volver a emitir todas las contraseñas, desde bases de datos, cuentas, etc. Las personas con experiencia en TI no necesitan explicar qué historia tan difícil es esta. Pero, sin embargo, todo terminó bien.
Entonces la pregunta es: ¿cómo podría detectarse este ataque y atrapar a un cibercriminal en el brazo?
La respuesta a la primera tarea.Primero, como recordará, la infección afectó a un servidor crítico. Si se inicia un servicio nuevo y previamente desconocido en dicho host, este es un incidente muy crítico. Esto no debería suceder. Si al menos monitorea los servicios que se ejecutan en servidores críticos, esto solo ayudará a identificar dicho ataque en una etapa temprana y evitará que se desarrolle.
En segundo lugar, no descuide la información de los medios más básicos de protección. PSExec es bien detectado por los antivirus, pero está marcado no como malware, sino como Remote Admin Tool o Hacking Tool. Si observa detenidamente los registros de antivirus, puede ver la respuesta a tiempo y tomar las medidas adecuadas.
Tarea número 2. Cuentos de miedo
Un gran banco, una mujer trabaja en el servicio financiero y tiene acceso a AWS del CBD.
AWP KBR: un lugar de trabajo automatizado de un cliente del Banco de Rusia. Es una solución de software para el intercambio seguro de información con el Banco de Rusia, incluido el envío de órdenes de pago, vuelos bancarios, etc.
Este oficial financiero trajo una unidad flash con un archivo llamado Skazki_dlya_bolshih_i_malenkih.pdf.exe para que funcione. Tenía una hija pequeña y la mujer quería imprimir en el trabajo un libro para niños, que descargó de Internet. La extensión de archivo .pdf.exe no le pareció sospechosa, y luego, cuando lanzó el archivo, se abrió el pdf habitual.
La mujer abrió el libro y se fue a su casa. Pero la extensión .exe, por supuesto, no fue accidental. Detrás de él estaba la Herramienta de administración de Remo, que se encontraba en una estación de trabajo y se ocupó de los procesos del sistema durante más de un año.
¿Cómo funciona ese malware? En primer lugar, hacen capturas de pantalla aproximadamente 15 veces por minuto. En un archivo separado, agregan los datos recibidos del keylogger: inicios de sesión y contraseñas, correspondencia por correo, mensajería instantánea y mucho más. Una vez conectado el cliente, notamos rápidamente un host infectado y limpiamos el virus de la red.
Pregunta: ¿cómo podría ser posible detectar el malware "invisible" que el antivirus no detectó?
La respuesta a la segunda tarea.En primer lugar, el malware, como regla, hace algo en el sistema de archivos, cambia las entradas del registro; en una palabra, de alguna manera se carga en el sistema. Esto se puede rastrear si monitorea el host en el nivel de registros que escribe el sistema operativo: registros de seguridad, inicio de procesos, cambios en el registro.
En segundo lugar, es importante recordar que dicho malware no vive de forma autónoma, siempre está tocando en algún lado. A menudo, las estaciones de trabajo en una red tienen acceso a Internet solo a través de un proxy, por lo que si una máquina intenta llamar directamente a algún lugar, este es un incidente grave que debe abordarse.
Tarea número 3. "Sangriento warez"
El administrador del sistema necesitaba comparar y "pegar" 2 archivos .xml. Se fue por el camino simple: escribió en un motor de búsqueda "descargar fusión XML sin registro y sms". El sitio web oficial del desarrollador de esta utilidad ocupó el tercer lugar en el tema y en los dos primeros archivos compartidos. Allí, el administrador descargó el programa.
Como probablemente ya haya adivinado, se incorporó un buen módulo de escalada de privilegios de alta calidad en la utilidad "gratuita". Él demolió el agente antivirus en la máquina y creó un archivo con el mismo nombre. Entonces el malware también colgó en la máquina, comunicándose periódicamente con el centro de control.
Lo peor fue que el administrador de TI es el rey del castillo, tiene acceso a todas partes. Desde su máquina, el virus puede llegar a cualquier host o servidor. El malware se arrastró a través de la red a través del punto compartido del dominio, tratando de llegar al automóvil del jefe financiero. En ese momento, fue atrapada por la cola, y la historia se extinguió.
Pregunta: ¿cómo detectar un ataque de este tipo en la máquina de un usuario privilegiado?
La respuesta al tercer problema.Una vez más, puede escuchar el tráfico, tratando de atrapar el malware "con las manos en la masa", en el momento de la solicitud al servidor de C&C. Sin embargo, si la empresa no tiene NGFW, IDS, un sistema de análisis de tráfico de red o SIEM que capta al menos algo valioso del tráfico, puede escucharlo hasta el infinito.
Es más eficiente mirar los registros del sistema operativo enviándolos a algún sistema externo. Si bien el malware eliminó el agente antivirus, no pudo borrar el archivo de auditoría, por lo tanto, los registros enviados al sistema externo definitivamente contendrán información sobre la eliminación del agente antivirus, o al menos el hecho de limpiar la auditoría en sí. Después de eso, los registros de la máquina estarán vacíos y no se podrán encontrar rastros.