最近,萨马拉举办了
VolgaCTF国际信息安全公开竞赛。 太阳JSOC网络攻击监控和响应中心主任弗拉基米尔·德里亚科夫(Vladimir Dryukov)向参赛者介绍了三起真正的攻击,并询问如何识别它们。 检查您是否可以正确回答。
以下是弗拉基米尔演讲的笔录,但对于那些想要查看未经审查和未经删节的版本(包括听众的回答)的人-这是视频:
因此,弗拉基米尔一词:
我想讲一些我们生活中的故事。 我将从头到尾告诉他们大多数-从事件是什么开始。 然后您尝试弄清楚如何从一开始就看到这种攻击,以便作为公司的防御者,使攻击者的行动受到关注。
希望当您成为专业的测试人员并在Positive Technologies,Digital Security或与我们一起工作时,这对您有帮助。 您将知道监视中心如何看到此类攻击,如何对它们做出反应,并且-谁知道-也许这将帮助您绕过防御,实现目标并向客户表明他并没有像他想象的那样坚不可摧。 好吧,走吧?
任务编号1。 这项服务既危险又困难,乍看之下似乎并不明显。
故事开始于一个公司的信息安全服务负责人来找我们说:
“伙计们,我在胡说八道。 有四辆汽车自发地重新启动,并在蓝屏上掉下来-一般来说,这是一种废话。 让我们解决一下。”
当取证小组的人员到达现场时,事实证明,所有机器上的安全日志都已清理完毕-发生了太多的活动,安全杂志迅速被旋转(重写)。 在主文件表中也没有发现任何有趣的东西-碎片很强,数据很快就被覆盖了。 尽管如此,我们还是设法在系统日志中找到了一些东西:大约在这四台机器上每天大约有一次it_helpdesk服务出现,执行未知操作(我们记得没有安全日志)并消失了。
我们的法证学章介绍了这种面部表情:
他们开始进一步了解,结果证明it_helpdesk服务实际上已重命名为PSExec。
实用程序(例如Telnet)和远程管理程序(例如Symantec的PC Anywhere)可让您在远程系统上运行程序,但它们并非那么容易安装,因为您还需要在需要接收的那些远程系统上安装客户端软件。访问。
PsExec是Telnet的轻量级版本。 它允许您使用控制台应用程序交互界面的所有功能在远程系统中执行过程,而无需手动安装客户端软件。 PsExec的主要优点是能够在远程系统上交互调用命令行界面,并能够远程运行IpConfig等工具。 这是在本地计算机屏幕上显示有关远程系统信息的唯一方法。
technet.microsoft.com
在检查其他机器上的系统日志后,我们发现没有涉及4个工作站,而是20个,外加19台服务器,其中包括一台关键服务器。 我们与IT专家进行了交谈,发现他们与此无关,他们没有这样的子系统。 他们开始进一步挖掘,然后发现了一个相当奇怪且稀有的东西-DNS隧道,该隧道使用了负责与僵尸网络控制中心进行通信的恶意软件模块。
DNS隧道-一种允许您通过DNS协议传输任意流量(实际上是提高隧道)的技术。 例如,可以使用它来从允许DNS名称解析的位置完全访问Internet。
简单的防火墙规则不能拒绝DNS隧道,同时允许其余的DNS通信。 这是因为DNS隧道流量和合法的DNS查询是无法区分的。 可以通过查询强度(如果通过隧道的流量很大)以及使用入侵检测系统的更复杂的方法来检测DNS隧道。
xgu.ru
恶意代码通过邮件进入组织,分布在基础架构中,并通过DNS隧道与C&C服务器进行交互。 因此,服务器部分中禁止与Internet交互的禁令不起作用。
在其中一台关键服务器上,有一个键盘记录器可以自动读取密码,并且该恶意软件尝试进一步爬网,接收新的用户凭证,包括将汽车丢入BSOD并读取提出密码的管理员的密码。
这导致了什么? 在恶意软件存在于基础架构中的过程中,许多帐户遭到入侵,此外,还有大量其他潜在敏感数据。 在调查过程中,我们确定了攻击者的范围,并将其“踢出”网络。 客户又收到了四个月的面粉-从数据库,帐户等中重新填充一半的机器并重新发出所有密码。 具有IT经验的人无需解释这是什么困难的故事。 但是,尽管如此,一切都很好。
因此,问题是:如何检测到这种攻击并将网络犯罪分子卷入其中?
第一项任务的答案首先,您还记得,感染影响了关键服务器。 如果在这样的主机上启动了以前未知的新服务,这将是非常关键的事件。 这不应该发生。 如果您至少监视在关键服务器上运行的服务,则仅此一项就有助于在早期识别这种攻击并阻止其发展。
其次,不要忽视来自最基本保护手段的信息。 PSExec可以很好地被防病毒软件检测到,但它不是被标记为恶意软件,而是被标记为远程管理工具或黑客工具。 如果仔细查看防病毒日志,则可以及时看到响应并采取适当的措施。
任务编号2。 恐怖的故事
一家大型银行,一名妇女在金融服务部门工作,可以使用CBD的AWS。
AWP KBR-俄罗斯银行客户的自动化工作场所。 它是用于与俄罗斯银行进行安全信息交换的软件解决方案,包括发送付款订单,银行航班等。
该财务人员带来了一个闪存驱动器,其中包含一个名为Skazki_dlya_bolshih_i_malenkih.pdf.exe的文件。 她有一个小女儿,那个女人想在工作中打印一本儿童读物,她从互联网上下载了该书。 .pdf.exe文件扩展名对她来说似乎并不可疑,然后,当她启动文件时,通常的pdf打开。
那女人打开书,回家了。 但是,.exe扩展名当然不是偶然的。 在他后面的是Remo Admin Tool,它位于工作站上,并在那里挖掘了系统进程超过一年。
这种恶意软件如何工作? 首先,他们每分钟制作约15次屏幕截图。 他们在一个单独的文件中添加从键盘记录器接收的数据-登录名和密码,邮件中的对应关系,即时通讯程序等等。 连接客户端后,我们迅速注意到受感染的主机并从网络中清除了病毒。
问题:如何检测到防病毒软件未检测到的“隐形”恶意软件?
第二项任务的答案首先,通常,恶意软件会在文件系统中执行某些操作,更改注册表项-简而言之,它会以某种方式加载到系统中。 如果您以操作系统本身写入的日志级别(安全日志,进程启动,注册表更改)监视主机,则可以跟踪此事件。
其次,重要的是要记住,此类恶意软件不会自发地生存,它总是在某个地方敲响。 通常,网络上的工作站只能通过代理访问Internet,因此,如果机器试图直接敲门,这是需要处理的严重事件。
任务编号3。 “血腥warez”
系统管理员需要将2个.xml文件进行比较和“粘合”在一起。 他采用了简单的方法-输入搜索引擎“无需注册和发送短信即可下载xml合并”。 此实用程序开发人员的官方网站排名第3,而前两个则是文件共享。 管理员在那里下载了程序。
您可能已经猜到了,“免费”实用程序中内置了一个高质量的优质特权升级模块。 他拆除了计算机上的防病毒代理,并创建了一个具有相同名称的文件。 因此,恶意软件也挂在计算机上,并定期与控制中心进行通信。
最糟糕的是,IT管理员是城堡之王,他无处不在。 病毒可以从他的计算机传播到任何主机或服务器。 该恶意软件通过域共享点在网络上进行了爬网,试图到达首席财务官的车上。 那时,她被尾巴抓住了,故事被扑灭了。
问题:如何检测特权用户计算机上的此类攻击?
第三个问题的答案同样,您可以侦听流量,并尝试在“向C&C服务器发出请求”时捕获“红色”恶意软件。 但是,如果公司没有NGFW,IDS,网络流量分析系统或SIEM至少可以从流量中捕获有价值的信息,则可以无限地收听。
通过将操作系统日志发送到某个外部系统来查看操作系统日志,效率更高。 尽管恶意软件删除了防病毒代理,但它无法清除审核文件,因此,发送到外部系统的日志肯定会包含有关删除防病毒代理的信息,或者至少包含清除审核本身的事实。 此后,计算机本身的日志将为空,并且找不到任何跟踪。