Recentemente, Samara organizou o
concurso internacional aberto
VolgaCTF para segurança da informação. Vladimir Dryukov, diretor do Centro de Resposta e Monitoramento de Ataques Cibernéticos Solar JSOC, contou aos participantes cerca de três ataques reais e perguntou como eles poderiam ser identificados. Verifique se você pode responder corretamente.
Abaixo está uma transcrição do discurso de Vladimir, mas para aqueles que querem ver a versão sem censura e sem cortes (incluindo as respostas da platéia) - eis o vídeo:
Então, a palavra para Vladimir:
Eu quero contar várias histórias de nossas vidas. Vou contar a maioria deles desde o final - ou seja, começando com o que foi o incidente. E você tenta descobrir como esse ataque pode ser visto no início, para que você, como defensor da empresa, faça com que as ações dos atacantes cheguem ao seu radar.
Espero que isso ajude você no futuro, quando você se tornar um penteado profissional e trabalhar na Positive Technologies, Digital Security ou conosco. Você saberá como o centro de monitoramento vê esses ataques, como reage a eles e - quem sabe - talvez isso ajude você a ignorar a defesa, alcançar seu objetivo e mostrar ao cliente que ele não é tão invulnerável quanto ele pensava. Bem, vamos lá?
Tarefa número 1. Este serviço é perigoso e difícil e, à primeira vista, não parece ser visível ...
A história começou com o fato de que o chefe do serviço de segurança da informação de uma empresa veio até nós e disse:
"Gente, estou fazendo algumas bobagens estranhas. Existem quatro carros que começam a reiniciar espontaneamente, caem em uma tela azul - em geral, há algum tipo de absurdo. Vamos resolver isso.
Quando os caras do grupo forense chegaram ao local, verificou-se que os logs de segurança de todas as máquinas estavam limpos - havia tantas atividades que a revista de segurança foi rapidamente girada (reescrita). Também não foi encontrado nada interessante na tabela de arquivos mestre - a fragmentação é forte, os dados são substituídos rapidamente. No entanto, conseguimos encontrar algo no log do sistema: aproximadamente uma vez por dia nessas quatro máquinas, o serviço it_helpdesk aparece, faz algo desconhecido (não há logs de segurança, como lembramos) e desaparece.
Nosso capítulo forense abordou essa expressão facial:
Eles começaram a entender melhor e o serviço it_helpdesk foi renomeado para PSExec.
Utilitários, como o Telnet, e programas de gerenciamento remoto, como o PC Anywhere da Symantec, permitem executar programas em sistemas remotos, mas não são tão fáceis de instalar, porque você também precisa instalar o software cliente nos sistemas remotos que você precisa receber. acesso.
PsExec é uma versão leve do Telnet. Ele permite executar processos em sistemas remotos, usando todos os recursos da interface interativa dos aplicativos de console, e não é necessário instalar manualmente o software cliente. A principal vantagem do PsExec é a capacidade de chamar a interface da linha de comandos interativamente em sistemas remotos e executar remotamente ferramentas como IpConfig. Essa é a única maneira de exibir informações sobre o sistema remoto na tela do computador local.
technet.microsoft.com
Após verificar os logs do sistema em outras máquinas, vimos que não estavam envolvidas 4 estações de trabalho, mas 20, mais 19 servidores, incluindo um servidor crítico. Conversamos com especialistas em TI e descobrimos que eles não têm relação com isso, eles não têm esse subsistema. Eles começaram a cavar mais, e então uma coisa bastante curiosa e rara foi descoberta - o tunelamento de DNS, que usava o módulo de malware, responsável pela comunicação com o centro de controle de botnets.
Túnel de DNS - uma técnica que permite transferir tráfego arbitrário (de fato, aumentar o túnel) sobre o protocolo DNS. Pode ser usado, por exemplo, para obter acesso total à Internet a partir do ponto em que a resolução de nomes DNS é permitida.
O encapsulamento de DNS não pode ser negado por regras simples de firewall, enquanto permite o restante do tráfego DNS. Isso ocorre porque o tráfego de túnel DNS e as consultas DNS legítimas são indistinguíveis. O encapsulamento de DNS pode ser detectado pela intensidade da consulta (se o tráfego no túnel for grande), bem como por métodos mais sofisticados usando sistemas de detecção de intrusão.
xgu.ru
O código malicioso entrou na organização por email, espalhou-se pela infraestrutura e interagiu com o servidor C&C através do túnel DNS. Portanto, as proibições de interação com a Internet que estavam no segmento de servidores não funcionaram.
Em um dos servidores críticos, havia um keylogger que lia automaticamente as senhas e o malware tentava rastrear ainda mais, recebendo novas credenciais de usuário, incluindo a retirada de carros no BSOD e a leitura das senhas dos administradores que o criaram.
O que isso levou? Durante o tempo em que o malware residia na infraestrutura, muitas contas foram comprometidas e, além disso, uma grande quantidade de outros dados potencialmente sensíveis. Durante a investigação, localizamos o escopo dos atacantes e os expulsamos da rede. O cliente recebeu mais quatro meses de farinha - foram necessários para reencher metade das máquinas e reemitir todas as senhas - de bancos de dados, contas e assim por diante. Pessoas com experiência em TI não precisam explicar que história difícil é essa. Mas, no entanto, tudo terminou bem.
Portanto, a pergunta é: como esse ataque pode ser detectado e um cibercriminoso preso no braço?
A resposta para a primeira tarefaPrimeiro, como você se lembra, a infecção afetou um servidor crítico. Se um serviço novo, anteriormente desconhecido, for lançado em um host, esse é um incidente muito crítico. Isso não deveria acontecer. Se você pelo menos monitorar serviços executados em servidores críticos, isso por si só ajudará a identificar esse ataque em um estágio inicial e impedirá que ele se desenvolva.
Em segundo lugar, não negligencie as informações dos meios mais básicos de proteção. O PSExec é bem detectado por antivírus, mas não é marcado como malware, mas como Remote Admin Tool ou Hacking Tool. Se você observar atentamente os logs do antivírus, poderá ver a resposta em tempo útil e tomar as medidas apropriadas.
Tarefa número 2. Contos assustadores
Um banco grande, uma mulher trabalha no serviço financeiro e tem acesso ao AWP CBD.
AWP KBR - um local de trabalho automatizado de um cliente do Banco da Rússia. É uma solução de software para troca segura de informações com o Banco da Rússia, incluindo o envio de ordens de pagamento, voos bancários etc.
Esse diretor financeiro trouxe uma unidade flash com um arquivo chamado Skazki_dlya_bolshih_i_malenkih.pdf.exe para funcionar. Ela tinha uma filha pequena, e a mulher queria imprimir no trabalho um livro infantil, que baixou da Internet. A extensão do arquivo .pdf.exe não lhe parecia suspeita e, quando ela lançou o arquivo, o pdf usual foi aberto.
A mulher abriu o livro e foi para casa. Mas a extensão .exe, é claro, não foi acidental. Atrás dele, havia a Remo Admin Tool, que ficava em uma estação de trabalho e trabalhava nos processos do sistema por mais de um ano.
Como esse malware funciona? Primeiro, eles fazem capturas de tela cerca de 15 vezes por minuto. Em um arquivo separado, eles adicionam os dados recebidos do keylogger - logins e senhas, correspondência no correio, mensageiros instantâneos e muito mais. Após conectar o cliente, notamos rapidamente um host infectado e limpamos o vírus da rede.
Pergunta: como foi possível detectar o malware "invisível" que não foi detectado pelo antivírus?
A resposta para a segunda tarefaEm primeiro lugar, o malware, como regra, faz algo no sistema de arquivos, altera as entradas do registro - em uma palavra, de alguma forma, é carregado no sistema. Isso pode ser rastreado se você monitorar o host no nível de logs que o próprio sistema operacional grava - logs de segurança, inicialização de processos, alterações no registro.
Em segundo lugar, é importante lembrar que esse malware não vive autonomamente, está sempre batendo em algum lugar. Freqüentemente, as estações de trabalho em uma rede têm acesso à Internet apenas por meio de um proxy; portanto, se uma máquina tentar bater em algum lugar diretamente, esse é um incidente sério que precisa ser tratado.
Tarefa número 3. "Warez sangrento"
O administrador do sistema precisava comparar e colar dois arquivos .xml. Ele seguiu o caminho simples - digitou em um mecanismo de pesquisa "baixar fusão xml sem registro e sms". O site oficial do desenvolvedor deste utilitário ficou em terceiro lugar na edição e nos dois primeiros - compartilhamento de arquivos. Lá, o administrador baixou o programa.
Como você provavelmente já adivinhou, um bom módulo de escalonamento de privilégios de alta qualidade foi incorporado ao utilitário "gratuito". Ele demoliu o agente antivírus na máquina e criou um arquivo com o mesmo nome. Portanto, o malware também ficou pendurado na máquina, comunicando-se periodicamente com o centro de controle.
O pior foi que o administrador de TI é o rei do castelo, ele tem acesso a todos os lugares. De sua máquina, o vírus pode chegar a qualquer host ou servidor. O malware passou pela rede através do ponto de compartilhamento de domínio, tentando chegar ao carro do principal financeiro. Naquele momento, ela foi pega pela cauda e a história foi extinta.
Pergunta: como detectar um ataque desse tipo na máquina de um usuário privilegiado?
A resposta para o terceiro problemaNovamente, você pode ouvir o tráfego, tentando pegar o malware em flagrante - no momento da solicitação ao servidor C&C. No entanto, se a empresa não possui NGFW, IDS, um sistema de análise de tráfego de rede ou SIEM que captura pelo menos algo valioso do tráfego, você pode ouvi-lo ad infinitum.
É mais eficiente observar os logs do sistema operacional enviando-os para algum sistema externo. Embora o malware tenha removido o agente antivírus, não foi possível limpar o arquivo de auditoria; portanto, os logs enviados ao sistema externo definitivamente conterão informações sobre a remoção do agente antivírus ou, pelo menos, o fato de limpar a própria auditoria. Depois disso, os logs na própria máquina ficarão vazios e nenhum rastreamento poderá ser encontrado.