Журнал "Директор по безопасности" Сентябрь 2020 | Page 15
Затем злоумышленник подготовит
уникальную версию вируса-вымогателя
и удостоверится, что ее просто
так не обнаружить через нелегальные
сервисы AV-тестирования. В зависимости
от навыков и возможностей,
вирус-вымогатель может быть загружен
в сеть жертвы различными способами
и после выполнения первой
атаки в службу поддержки компании-жертвы
начнут поступать первые
звонки от пользователей, которые
стали жертвой данного вымогателя.
Злоумышленники могут выбрать
любой метод. Однако следует фокусироваться
на обнаружении доказательств,
а не на особенностях реализации.
Некоторые инструменты имеют
двойное назначение, и могут быть использованы
как для защиты, при выполнении
тестирования систем «на
проникновение» специалистами ИБ,
так и в целях исполнения реальной
атаки злоумышленниками. Ситуация
спорная, с одной стороны, инструменты
могут упростить для злоумышленника
сценарий атаки, а с другой – без
них невозможно нормальное тестирование
мер безопасности.
Мы упоминали Empire, хотя эта
система, основанная на PowerShell,
больше не поддерживается ее разработчиками,
существует ветвление, количество
примеров использования
снизилось, однако следы все еще появляются.
Коммерческая платформа
для симуляции действий злоумышленника
Cobalt Strike, которую компании
применяют для проверки системы безопасности,
все чаще используется преступниками.
Хотя лицензии строго
контролируются, пиратские и взломанные
версии доступны в даркнете.
Cobalt Strike регулярно обновляется,
чтобы добавлять новейшие методы
и инструменты, такие как Mimikatz,
расширяющие возможности по проникновению
и уклонению от обнаружения.
Что также увеличивает вероятность
появления новых успешных методов и
сценариев атак даже на самые современные
операционные системы.
Группировки, распространяющие
программы-вымогатели
GoGalocker, MegaCortex и Maze,
были обнаружены с использованием
Cobalt Strike. На данном этапе
сценария, с точкой доступа в сети,
Cobalt Strike имеет множество вариантов,
которые можно использовать для
достижения своей цели. К ним относятся
T1075 Pass Hash, T1097 Pass
Ticket, T1105 Remote File Copy, T1021
Remote Services и старый надежный
T1077 Windows Admin Shares.
В начале статьи мы разобрали,
что в разных частях системы следы
остаются на разное время. Изучая
предыдущие атаки, можно проанализировать
общую последовательность
использования методов. Это может
помочь при выборе сроков и методов
сбора доказательств.
Обнаружение атак – непростая
задача. Платформы эксплуатирования
часто создаются в виде открытых
исходных кодов, что позволяет злоумышленнику
его изменить и манипулировать
так называемыми IOC
(индикаторами компрометации). В
случае использования «стоковых» инструментов,
обладающих стандартными
атрибутами, контрольными суммами,
форматами пакетов сетевого
трафика частично их активность может
быть обнаружена сигнатурными
методами, но это поможет только в
случае использования базового типа
атак. Как уже упоминалось, следует
сосредоточиться на методах и поведении,
а не на инструментах.
Во многих случаях понимание нормального
поведения системы имеет
решающее значение для выявления
атак, а наличие базовой системы для
сравнения может помочь анализу.
Вот несколько примеров:
Объем памяти:
святой Грааль. Бинарные файлы
изменяются, чтобы маскировать их
истинные намерения, однако в памяти
они могут быть видны в декодированном
формате;
поиск индикаторов функциональности,
таких как подозрительные системные
вызовы или чтение/запись
конфиденциальных системных файлов
(например, lsass).
Выполняемые процессы:
схожие выполняемые процессы
могут быть подозрительны;
хотя процесс «миграции» часто
выполняется, обращайте внимание на
аномальную иерархию процессов;
процесс выдает неожиданный результат?
Например, блокнот отправляет
http запросы на внешний домен?
Сетевой трафик:
домены должны иметь хорошую
репутацию и быть хорошо известны;
пики или необычные временные
изменения диаграммы во временном
распределении сетевого трафика;
переменные используются необычным
образом, например, заголовки
http, включая закодированные
двоичные данные.
Диск:
двоичные и конфигурационные
файлы доступны для реверс-инжиниринга;
статический анализ не такой мощный,
как динамический, исполняющий
ПО в динамическом окружении;
запук зловредного по в режиме
отладки может помочь, но остерегайтесь
техник обнаружения «песочниц».
Резервное копирование/данные
в системных журналах:
никогда безоговорочно не доверяйте
записям в системных журналах,
поскольку злоумышленники могут
легко фальсифицировать эту информацию.
Возможность передать данные
журналов за пределы системы с
использованием Syslog, может повысить
надежность этих данных;
поиск конкретных маркеров вредоносной
активности. Некоторые полезные
элементы: журналирование
активности в командной строке, журналирование
исполняемых сценариев
PowerShell, специальные журналы
приложений, таких как веб-серверы,
установка/запуск системных служб, доступ
к общему ресурсу – особенно C$,
запуск процесса, вход в учетную запись.
Целевые атаки вымогателей значительно
возросли за последние 8 месяцев.
Злоумышленники атакуют компании
оказывающие услуги в сферез
кибер-безопасности одновременно
нанося удар по многим их компаниям-клиентам.
Жертвами становятся
финансовые корпорации, государственные
службы и т. д. Часть из них
используют очень схожие, описанному
выше, техники проведения атаки.
Очень важно определить, какие
технологии помогут обеспечить высокую
защиту, какие цифровые доказательства
существуют, и возможно
ли обнаружить их достаточно быстро,
чтобы успеть отреагировать? Если начальная
стадия взлома пройдена, как
выстроить линию обороны и обезвредить
угрозу?