Récemment, Samara a accueilli le concours ouvert international
VolgaCTF pour la sécurité de l'information. Vladimir Dryukov, directeur du Solar JSOC Cyber Attack Monitoring and Response Center, a informé les participants de trois attaques réelles et a demandé comment les identifier. Vérifiez si vous pouvez répondre correctement.
Ci-dessous, une transcription du discours de Vladimir, mais pour ceux qui veulent voir la version non censurée et non coupée (y compris les réponses du public) - voici la vidéo:
Donc, le mot à Vladimir:
Je veux raconter plusieurs histoires de nos vies. Je vais raconter la plupart d'entre eux dès la fin, c'est-à-dire en commençant par ce qu'était l'incident. Et vous essayez de comprendre comment cette attaque pourrait être vue au début, afin que vous, en tant que défenseur de la société, fassiez en sorte que les actions des attaquants soient affichées sur votre radar.
J'espère que cela vous aidera à l'avenir lorsque vous devenez des pentesters professionnels et travaillez chez Positive Technologies, Digital Security ou avec nous. Vous saurez comment le centre de surveillance voit ces attaques, comment il y réagit et - qui sait - cela vous aidera peut-être à contourner la défense, à atteindre votre objectif et à montrer au client qu'il n'est pas aussi invulnérable qu'il le pensait. Eh bien, allons-y?
Numéro de tâche 1. Ce service est à la fois dangereux et difficile, et à première vue il ne semble pas être visible ...
L'histoire a commencé avec le fait que le chef du service de sécurité de l'information d'une entreprise est venu nous voir et a déclaré:
"Les gars, je fais des bêtises étranges. Il y a quatre voitures qui commencent à redémarrer spontanément, tombent sur un écran bleu - en général, il y a une sorte de non-sens. Disons-le. "
Lorsque les gars du groupe de criminalistique sont arrivés sur le site, il s'est avéré que les journaux de sécurité sur toutes les machines avaient été nettoyés - il y avait tellement d'activités que le magazine de sécurité a été rapidement tourné (réécrit). Rien d'intéressant n'a été trouvé non plus dans la table de fichiers maîtres - la fragmentation est forte, les données sont rapidement écrasées. Néanmoins, nous avons réussi à trouver quelque chose dans le journal système: environ une fois par jour sur ces quatre machines, le service it_helpdesk apparaît, fait quelque chose d'inconnu (il n'y a pas de journaux de sécurité, comme nous nous en souvenons) et disparaît.
Notre chapitre de médecine légale a abordé cette expression faciale:
Ils ont commencé à mieux comprendre et il s'est avéré que le service it_helpdesk était en fait renommé PSExec.
Les utilitaires, tels que Telnet, et les programmes de gestion à distance, comme PC Anywhere de Symantec, vous permettent d'exécuter des programmes sur des systèmes distants, mais ils ne sont pas si faciles à installer, car vous devez également installer le logiciel client sur les systèmes distants que vous devez recevoir. accès.
PsExec est une version allégée de Telnet. Il vous permet d'effectuer des processus dans des systèmes distants, en utilisant toutes les fonctionnalités de l'interface interactive des applications de console, et il n'est pas nécessaire d'installer manuellement le logiciel client. Le principal avantage de PsExec est la possibilité d'invoquer l'interface de ligne de commande de manière interactive sur des systèmes distants et d'exécuter à distance des outils tels que IpConfig. C'est le seul moyen d'afficher des informations sur le système distant sur l'écran de l'ordinateur local.
technet.microsoft.com
Après avoir vérifié les journaux du système sur d'autres machines, nous avons vu que non 4 postes de travail étaient impliqués, mais 20, plus 19 serveurs supplémentaires, dont un serveur critique. Nous avons discuté avec des informaticiens et avons découvert qu'ils n'avaient aucun lien avec cela, ils n'ont pas un tel sous-système. Ils ont commencé à creuser plus loin, puis une chose assez curieuse et rare a été découverte - le tunnel DNS, qui utilisait le module malware, qui était responsable de la communication avec le centre de contrôle du botnet.
Tunneling DNS - une technique qui vous permet de transférer du trafic arbitraire (en fait, augmenter le tunnel) sur le protocole DNS. Il peut être utilisé, par exemple, pour obtenir un accès complet à Internet à partir du moment où la résolution de noms DNS est autorisée.
La tunnellisation DNS ne peut pas être refusée par de simples règles de pare-feu, tout en autorisant le reste du trafic DNS. En effet, le trafic du tunnel DNS et les requêtes DNS légitimes sont indiscernables. La tunnelisation DNS peut être détectée par l'intensité des requêtes (si le trafic à travers le tunnel est important), ainsi que par des méthodes plus sophistiquées utilisant des systèmes de détection d'intrusion.
xgu.ru
Un code malveillant est entré dans l'organisation par courrier, s'est propagé dans l'infrastructure et a interagi avec le serveur C&C via le tunnel DNS. Par conséquent, les interdictions d'interagir avec Internet qui se trouvaient dans le segment de serveur n'ont pas fonctionné.
Sur l'un des serveurs critiques, il y avait un enregistreur de frappe qui lisait automatiquement les mots de passe, et le logiciel malveillant a tenté d'explorer davantage, recevant de nouvelles informations d'identification d'utilisateur, y compris la suppression de machines dans le BSOD et la lecture des mots de passe des administrateurs qui l'ont créé.
À quoi cela a-t-il conduit? Pendant la durée de vie du logiciel malveillant dans l'infrastructure, de nombreux comptes ont été compromis et, en outre, une grande quantité d'autres données potentiellement sensibles. Au cours de l'enquête, nous avons localisé la portée des assaillants et les avons «expulsés» du réseau. Le client a reçu encore quatre mois de farine - il a fallu remplir à nouveau la moitié des machines et réémettre tous les mots de passe - des bases de données, des comptes, etc. Les personnes ayant une expérience informatique n'ont pas besoin d'expliquer ce qu'est une histoire difficile. Mais, néanmoins, tout s'est bien terminé.
La question est donc: comment détecter cette attaque et attraper un cybercriminel dans le bras?
La réponse à la première tâcheTout d'abord, comme vous vous en souvenez, l'infection a affecté un serveur critique. Si un nouveau service auparavant inconnu est lancé sur un tel hôte, il s'agit d'un incident très critique. Cela ne devrait pas arriver. Si vous surveillez au moins les services qui s'exécutent sur des serveurs critiques, cela seul aidera à identifier une telle attaque à un stade précoce et à l'empêcher de se développer.
Deuxièmement, ne négligez pas les informations des moyens de protection les plus élémentaires. PSExec est bien détecté par les antivirus, mais il n'est pas marqué comme malware, mais comme outil d'administration à distance ou outil de piratage. Si vous examinez attentivement les journaux antivirus, vous pouvez voir la réponse à temps et prendre les mesures appropriées.
Numéro de tâche 2. Contes effrayants
Grande banque, une femme travaille dans le service financier et a accès à AWS du CBD.
AWP KBR - un lieu de travail automatisé d'un client de la Banque de Russie. Il s'agit d'une solution logicielle d'échange sécurisé d'informations avec la Banque de Russie, y compris l'envoi d'ordres de paiement, de vols bancaires, etc.
Cet agent financier a apporté une clé USB contenant un fichier appelé Skazki_dlya_bolshih_i_malenkih.pdf.exe pour fonctionner. Elle avait une petite fille et la femme voulait imprimer au travail un livre pour enfants, qu'elle avait téléchargé sur Internet. L'extension de fichier .pdf.exe ne lui a pas paru suspecte, puis, lorsqu'elle a lancé le fichier, le pdf habituel s'est ouvert.
La femme a ouvert le livre et est rentrée chez elle. Mais l'extension .exe, bien sûr, n'était pas accidentelle. Derrière lui se trouvait Remo Admin Tool, qui était assis sur un poste de travail et y creusait les processus système pendant plus d'un an.
Comment fonctionnent ces logiciels malveillants? Tout d'abord, ils font des captures d'écran environ 15 fois par minute. Dans un fichier séparé, ils ajoutent les données reçues de l'enregistreur de frappe - identifiants et mots de passe, correspondance dans le courrier, messageries instantanées et bien plus encore. Après avoir connecté le client, nous avons rapidement remarqué un hôte infecté et nettoyé le virus du réseau.
Question: comment pourrait-il être possible de détecter le malware "invisible" qui n'a pas été détecté par l'antivirus?
La réponse à la deuxième tâchePremièrement, les logiciels malveillants, en règle générale, font quelque chose dans le système de fichiers, modifient les entrées de registre - en un mot, ils se chargent en quelque sorte dans le système. Cela peut être suivi si vous surveillez l'hôte au niveau des journaux que le système d'exploitation lui-même écrit - journaux de sécurité, démarrages de processus, modifications du registre.
Deuxièmement, il est important de se rappeler que de tels logiciels malveillants ne vivent pas de manière autonome, ils frappent toujours quelque part. Souvent, les postes de travail sur un réseau n'ont accès à Internet que via un proxy, donc si une machine essaie de frapper quelque part directement, c'est un incident grave qui doit être traité.
Numéro de tâche 3. "Bloody warez"
L'administrateur système devait comparer et «coller» ensemble 2 fichiers .xml. Il est allé de la manière simple - tapé dans un moteur de recherche "télécharger la fusion xml sans inscription et sms". Le site officiel du développeur de cet utilitaire était à la 3ème place dans le problème, et dans le premier partage de deux fichiers. Là, l'administrateur a téléchargé le programme.
Comme vous l'avez probablement déjà deviné, un bon module d'escalade de privilèges de haute qualité a été intégré à l'utilitaire «gratuit». Il a démoli l'agent antivirus sur la machine et a créé un fichier du même nom à la place. Le malware s'est donc également accroché à la machine, communiquant périodiquement avec le centre de contrôle.
Le pire, c'est que l'administrateur informatique est le roi du château, il a accès partout. Depuis sa machine, le virus peut atteindre n'importe quel hôte ou serveur. Le malware a rampé sur le réseau via le point de partage de domaine, essayant de se rendre à la voiture du chef financier. À ce moment, elle a été attrapée par la queue et l'histoire s'est éteinte.
Question: comment détecter une telle attaque sur la machine d'un utilisateur privilégié?
La réponse au troisième problèmeEncore une fois, vous pouvez écouter le trafic, en essayant d'attraper le malware "en flagrant délit" - au moment de la demande au serveur C & C. Cependant, si l'entreprise ne dispose pas de NGFW, d'IDS, d'un système d'analyse de trafic réseau ou de SIEM qui capte au moins quelque chose de précieux du trafic, vous pouvez l'écouter à l'infini.
Il est plus efficace de consulter les journaux du système d'exploitation en les envoyant à un système externe. Bien que le logiciel malveillant ait supprimé l'agent antivirus, il n'a pas pu effacer le fichier d'audit.Par conséquent, les journaux envoyés au système externe contiendront certainement des informations sur la suppression de l'agent antivirus, ou au moins sur le nettoyage de l'audit lui-même. Après cela, les journaux sur la machine elle-même seront vides et aucune trace ne pourra être trouvée.