Baru-baru ini, Samara menjadi tuan rumah kompetisi terbuka internasional
VolgaCTF untuk keamanan informasi. Vladimir Dryukov, direktur Solar JSOC Cyber ββAttack Monitoring dan Response Center, mengatakan kepada para kontestan tentang tiga serangan nyata dan bertanya bagaimana mereka dapat diidentifikasi. Periksa apakah Anda dapat menjawab dengan benar.
Di bawah ini adalah transkrip pidato Vladimir, tetapi bagi mereka yang ingin melihat versi yang tidak disensor dan tidak dipotong (termasuk jawaban dari audiens) - inilah videonya:
Jadi, kata untuk Vladimir:
Saya ingin menceritakan beberapa kisah dari kehidupan kami. Saya akan memberi tahu sebagian besar dari mereka sejak awal - yaitu, dimulai dengan kejadiannya. Dan Anda mencoba mencari tahu bagaimana serangan ini dapat dilihat di awal, sehingga Anda, sebagai pembela perusahaan, akan membuat tindakan para penyerang masuk ke radar Anda.
Saya harap ini membantu Anda di masa depan ketika Anda menjadi pentester profesional dan bekerja di Teknologi Positif, Keamanan Digital atau bersama kami. Anda akan tahu bagaimana pusat pemantauan melihat serangan seperti itu, bagaimana reaksinya terhadap mereka, dan - siapa tahu - mungkin ini akan membantu Anda melewati pertahanan, mencapai tujuan Anda, dan menunjukkan kepada pelanggan bahwa ia tidak kebal seperti yang ia kira. Baiklah, mari kita pergi?
Tugas nomor 1. Layanan ini berbahaya dan sulit, dan pada pandangan pertama tampaknya tidak terlihat ...
Cerita dimulai dengan fakta bahwa kepala dinas keamanan informasi dari satu perusahaan mendatangi kami dan berkata:
"Kawan, aku melakukan omong kosong yang aneh. Ada empat mobil yang mulai reboot secara spontan, jatuh di layar biru - secara umum, ada semacam omong kosong. Mari kita bereskan. β
Ketika orang-orang dari kelompok forensik tiba di situs, ternyata log keamanan di semua mesin dibersihkan - ada begitu banyak kegiatan yang majalah keamanan dengan cepat diputar (ditulis ulang). Tidak ada yang menarik ditemukan di Tabel File Master - fragmentasi kuat, datanya ditimpa dengan cepat. Namun demikian, kami berhasil menemukan sesuatu di log sistem: kira-kira sekali sehari pada empat mesin ini layanan it_helpdesk muncul, melakukan sesuatu yang tidak diketahui (tidak ada log keamanan, seperti yang kita ingat) dan menghilang.
Bab forensik kami mendapatkan tentang ekspresi wajah ini:
Mereka mulai mengerti lebih jauh, dan ternyata layanan it_helpdesk benar-benar diganti nama menjadi PSExec.
Utilitas, seperti Telnet, dan program manajemen jarak jauh, seperti Symantec's PC Anywhere, memungkinkan Anda untuk menjalankan program pada sistem jarak jauh, tetapi mereka tidak begitu mudah untuk menginstal, karena Anda juga perlu menginstal perangkat lunak klien pada sistem jarak jauh yang perlu Anda terima akses.
PsExec adalah versi ringan dari Telnet. Ini memungkinkan Anda untuk melakukan proses dalam sistem jarak jauh, menggunakan semua fitur antarmuka interaktif aplikasi konsol, dan tidak perlu menginstal perangkat lunak klien secara manual. Keuntungan utama PsExec adalah kemampuan untuk memanggil antarmuka baris perintah secara interaktif pada sistem jarak jauh dan alat yang dijalankan dari jarak jauh seperti IpConfig. Ini adalah satu-satunya cara untuk menampilkan informasi tentang sistem jarak jauh pada layar komputer lokal.
technet.microsoft.com
Setelah memeriksa log sistem pada mesin lain, kami melihat bahwa tidak ada 4 workstation yang terlibat, tetapi 20, ditambah 19 server, termasuk satu server kritis. Kami berbicara dengan spesialis IT dan menemukan bahwa mereka tidak ada hubungannya dengan ini, mereka tidak memiliki subsistem seperti itu. Mereka mulai menggali lebih jauh, dan kemudian sesuatu yang agak aneh dan aneh ditemukan - tunneling DNS, yang menggunakan modul malware, yang bertanggung jawab untuk komunikasi dengan pusat kontrol botnet.
DNS-tunneling - suatu teknik yang memungkinkan Anda untuk mentransfer lalu lintas sewenang-wenang (pada kenyataannya, meningkatkan terowongan) melalui protokol DNS. Ini dapat digunakan, misalnya, untuk mendapatkan akses penuh ke Internet dari titik di mana resolusi nama DNS diperbolehkan.
Penerowongan DNS tidak dapat disangkal oleh aturan firewall yang sederhana, sambil memungkinkan sisa lalu lintas DNS. Ini karena lalu lintas terowongan DNS dan permintaan DNS yang sah tidak dapat dibedakan. Penerowongan DNS dapat dideteksi oleh intensitas kueri (jika lalu lintas melalui terowongan besar), serta dengan metode yang lebih canggih menggunakan sistem deteksi intrusi.
xgu.ru
Kode berbahaya memasuki organisasi melalui surat, tersebar di infrastruktur, dan berinteraksi dengan server C&C melalui terowongan DNS. Oleh karena itu, larangan berinteraksi dengan Internet yang berdiri di segmen server tidak berfungsi.
Di salah satu server penting, ada keylogger yang secara otomatis membaca kata sandi, dan malware mencoba merangkak lebih jauh, menerima kredensial pengguna baru, termasuk menjatuhkan mobil di BSOD dan membaca kata sandi administrator yang mengangkatnya.
Apa yang menyebabkan ini? Selama malware hidup dalam infrastruktur, banyak akun yang dikompromikan dan, di samping itu, sejumlah besar data berpotensi sensitif lainnya. Selama investigasi, kami melokalisasi ruang lingkup penyerang dan "mengusir" mereka dari jaringan. Pelanggan menerima tepung empat bulan lagi - perlu mengisi ulang setengah dari mesin dan menerbitkan kembali semua kata sandi - dari basis data, akun, dan sebagainya. Orang dengan pengalaman IT tidak perlu menjelaskan betapa sulitnya kisah ini. Namun, bagaimanapun, semuanya berakhir dengan baik.
Jadi pertanyaannya adalah: bagaimana serangan ini dapat dideteksi dan kejahatan dunia maya tertangkap di lengan?
Jawaban untuk tugas pertamaPertama, seperti yang Anda ingat, infeksi memengaruhi server kritis. Jika layanan baru yang sebelumnya tidak dikenal diluncurkan pada host semacam itu, ini adalah insiden yang sangat kritis. Ini seharusnya tidak terjadi. Jika Anda setidaknya memantau layanan yang berjalan di server kritis, ini saja akan membantu mengidentifikasi serangan semacam itu pada tahap awal dan mencegahnya berkembang.
Kedua, jangan mengabaikan informasi dari sarana perlindungan paling mendasar. PSExec terdeteksi dengan baik oleh antivirus, tetapi ditandai bukan sebagai malware, tetapi sebagai Remote Admin Tool atau Hacking Tool. Jika Anda hati-hati melihat log antivirus, Anda dapat melihat responsnya tepat waktu dan mengambil tindakan yang sesuai.
Tugas nomor 2. Cerita menakutkan
Bank besar, seorang wanita bekerja di layanan keuangan dan memiliki akses ke AWS CBD.
AWP KBR - tempat kerja otomatis dari klien Bank Rusia. Ini adalah solusi perangkat lunak untuk pertukaran informasi yang aman dengan Bank Rusia, termasuk mengirim pesanan pembayaran, penerbangan bank, dll.
Petugas keuangan ini membawa flash drive dengan file bernama Skazki_dlya_bolshih_i_malenkih.pdf.exe agar berfungsi. Dia memiliki seorang putri kecil, dan wanita itu ingin mencetak di tempat kerja sebuah buku anak-anak, yang dia unduh dari internet. Ekstensi file .pdf.exe tampaknya tidak mencurigakan baginya, dan kemudian, ketika dia meluncurkan file, pdf yang biasa dibuka.
Wanita itu membuka buku itu dan pulang. Tetapi ekstensi .exe, tentu saja, tidak disengaja. Di belakangnya ada Alat Admin Remo, yang duduk di workstation dan menggali proses sistem selama lebih dari setahun.
Bagaimana cara kerja malware semacam itu? Pertama-tama, mereka membuat screenshot layar sekitar 15 kali per menit. Dalam file terpisah mereka menambahkan data yang diterima dari keylogger - login dan kata sandi, korespondensi dalam surat, pesan instan dan banyak lagi. Setelah menghubungkan klien, kami dengan cepat melihat host yang terinfeksi dan membersihkan virus dari jaringan.
Pertanyaan: bagaimana mungkin mendeteksi malware "tidak terlihat" yang tidak terdeteksi oleh antivirus?
Jawaban untuk tugas keduaPertama, malware, sebagai suatu peraturan, melakukan sesuatu dalam sistem file, mengubah entri registri - dengan kata lain, entah bagaimana memuat ke dalam sistem. Ini dapat dilacak jika Anda memantau host di tingkat log yang ditulis oleh sistem operasi itu - log keamanan, proses startup, perubahan registri.
Kedua, penting untuk diingat bahwa malware semacam itu tidak hidup secara otonom, selalu mengetuk di suatu tempat. Seringkali, workstation pada jaringan memiliki akses Internet hanya melalui proxy, jadi jika mesin mencoba mengetuk suatu tempat secara langsung, ini adalah insiden serius yang perlu ditangani.
Tugas nomor 3. "Barang berdarah"
Administrator sistem perlu membandingkan dan "merekatkan" bersama 2 file .xml. Dia pergi dengan cara sederhana - mengetik di mesin pencari "unduh xml merger tanpa registrasi dan sms". Situs web resmi pengembang utilitas ini berada di tempat ke-3 dalam masalah ini, dan dalam dua file pertama. Di sana, administrator mengunduh program.
Seperti yang mungkin sudah Anda duga, modul eskalasi hak istimewa yang berkualitas tinggi dibangun ke dalam utilitas "gratis". Dia menghancurkan agen antivirus di mesin dan membuat file dengan nama yang sama. Jadi, malware juga menggantung di mesin, berkomunikasi secara berkala dengan pusat kendali.
Yang terburuk adalah bahwa administrator TI adalah raja kastil, ia memiliki akses di mana-mana. Dari mesinnya, virus dapat menjangkau semua host atau server. Malware merangkak di seluruh jaringan melalui domain Sharepoint, mencoba untuk sampai ke mobil kepala pemodal. Pada saat itu, dia tertangkap oleh ekornya, dan cerita itu pun padam.
Pertanyaan: bagaimana cara mendeteksi serangan seperti itu pada mesin pengguna istimewa?
Jawaban untuk masalah ketigaSekali lagi, Anda dapat mendengarkan lalu lintas, mencoba untuk menangkap malware "kidal" - pada saat permintaan ke server C&C. Namun, jika perusahaan tidak memiliki NGFW, IDS, sistem analisis lalu lintas jaringan, atau SIEM yang menangkap setidaknya sesuatu yang berharga dari lalu lintas, Anda dapat mendengarkannya tanpa batas.
Lebih efisien untuk melihat log sistem operasi dengan mengirimkannya ke beberapa sistem eksternal. Sementara malware menghapus agen anti-virus, itu tidak dapat menghapus file audit, oleh karena itu, log yang dikirim ke sistem eksternal pasti akan berisi informasi tentang penghapusan agen anti-virus, atau setidaknya fakta pembersihan audit itu sendiri. Setelah itu, log pada mesin itu sendiri akan kosong, dan tidak ada jejak yang ditemukan.