Prüfen Sie selbst: Können Sie das Unternehmen vor Cyberangriffen schützen?

    Vor kurzem fand in Samara ein internationaler Wettbewerb für Informationssicherheit, VolgaCTF, statt . Vladimir Dryukov, Direktor des Cyber-Angriffs- und Überwachungszentrums von Solar JSOC, erzählte den Wettbewerbsteilnehmern von drei echten Angriffen und fragte, wie sie identifiziert werden könnten. Prüfen Sie, ob Sie richtig antworten können.

    Nachfolgend finden Sie eine Abschrift der Rede von Vladimir, aber für diejenigen, die die unzensierte und ungekürzte Version (einschließlich Antworten der Hörer) sehen möchten, hier ein Video:


    Also ein Wort zu Vladimir:



    Ich möchte einige Geschichten aus unserem Leben erzählen. Die meisten von ihnen werde ich am Ende erzählen - das heißt, beginnend mit dem, was für den Vorfall war. Und Sie versuchen herauszufinden, wie dieser Angriff zu Beginn gesehen werden konnte, was Sie als Verteidiger der Firma getan hätten, damit die Aktionen der Angreifer Ihr Radar treffen.

    Ich hoffe, dass dies Ihnen in Zukunft helfen wird, wenn Sie professionelle Pentester werden und bei Positive Technologies, Digital Security oder bei uns arbeiten. Sie wissen, wie die Überwachungszentrale solche Angriffe sieht, wie sie auf sie reagiert, und - wer weiß - vielleicht hilft Ihnen dies, die Verteidigung zu umgehen, Ihr Ziel zu erreichen und dem Kunden zu zeigen, dass er nicht so unverwundbar ist, wie er gedacht hat. Nun, lass uns gehen?

    Aufgabennummer 1. Dieser Service ist sowohl gefährlich als auch schwierig und scheint auf den ersten Blick nicht sichtbar zu sein ...


    Die Geschichte begann mit der Tatsache, dass der Leiter des Informationssicherheitsdienstes eines Unternehmens zu uns kam und sagte:

    „Leute, ich habe einen seltsamen Blödsinn. Es gibt vier Autos, die spontan neu starten und aus dem blauen Bildschirm fallen - im Allgemeinen passiert irgendein Unsinn. Lass uns überlegen. "

    Als die Jungs der Forsenziki-Gruppe am Standort ankamen, stellte sich heraus, dass die Sicherheitsprotokolle aller Maschinen gesäubert wurden - es gibt so viele Aktivitäten, dass das Sicherheitsmagazin schnell rotiert (überschreibt). Die Master File Table fand auch nichts Interessantes - die Fragmentierung ist stark, die Daten werden schnell überschrieben. Trotzdem ist es uns gelungen, etwas im Systemprotokoll zu finden: Etwa vier Mal am Tag erscheint der it_helpdesk-Dienst auf diesen vier Maschinen, macht etwas Unbekanntes (es gibt kein Sicherheitsprotokoll, wie wir uns erinnern) und verschwindet.

    Unsere Head Fornsicks haben ein Gesicht wie dieses:



    Sie begannen, weiter zu klären, und es stellte sich heraus, dass der it_helpdesk-Dienst tatsächlich in PSExec umbenannt wurde.
    Mit Dienstprogrammen wie Telnet und Remote-Verwaltungsprogrammen wie Symantecs PC Anywhere können Sie Programme auf Remote-Systemen ausführen. Sie sind jedoch nicht so einfach zu installieren, da Sie auch Clientsoftware auf Remote-Systemen installieren müssen, die Sie installieren müssen. Zugang

    PsExec ist eine leichtgewichtige Version von Telnet. Sie können damit Prozesse in Remote-Systemen durchführen und dabei alle Funktionen einer interaktiven Schnittstelle für Konsolenanwendungen nutzen, ohne dass Sie die Clientsoftware manuell installieren müssen. Der Hauptvorteil von PsExec ist die Möglichkeit, die interaktive Befehlszeilenschnittstelle auf Remote-Systemen aufzurufen und Tools wie IpConfig remote auszuführen. Dies ist die einzige Möglichkeit, Informationen zum Remote-System auf dem Bildschirm des lokalen Computers anzuzeigen.

    technet.microsoft.com

    Nach der Überprüfung der Systemprotokolle auf anderen Computern stellten wir fest, dass nicht vier Arbeitsstationen betroffen waren, sondern 20 und 19 weitere Server, darunter ein kritischer Server. Wir haben mit IT-Spezialisten gesprochen und festgestellt, dass sie damit nichts zu tun haben. Sie haben kein solches Subsystem. Sie begannen, den Fall weiter zu graben, und dann wurde etwas Seltsames und Seltenes entdeckt - das DNS-Tunneling, das vom VPO-Modul verwendet wurde, das für die Kommunikation mit der Botnet-Kontrollzentrale verantwortlich ist.
    DNS-Tunneln ist eine Technik, mit der Sie beliebigen Datenverkehr (in der Tat den Tunnel erhöhen) zusätzlich zum DNS-Protokoll senden können. Es kann beispielsweise verwendet werden, um einen vollständigen Zugriff auf das Internet von einem Punkt zu erhalten, an dem die DNS-Namensauflösung zulässig ist.

    Das DNS-Tunneln kann nicht durch einfache Firewall-Regeln abgelehnt werden, während der restliche DNS-Verkehr zugelassen wird. Dies ist darauf zurückzuführen, dass der Verkehr des DNS-Tunnels und legitime DNS-Abfragen nicht zu unterscheiden sind. Das DNS-Tunneln kann anhand der Anforderungsrate (wenn der Verkehr durch den Tunnel groß ist) sowie durch ausgefeiltere Methoden mit Intrusion Detection-Systemen erkannt werden.

    xgu.ru

    Der schädliche Code gelangte über E-Mail in die Organisation, verbreitete sich über die Infrastruktur und interagierte mit dem C & C-Server über den DNS-Tunnel. Daher hat das Verbot der Interaktion mit dem Internet, das im Serversegment stand, nicht funktioniert.

    Auf einem der kritischen Server befand sich ein Keylogger, der Kennwörter automatisch liest, und die Malware versuchte, weiter zu crawlen, erhielt neue Benutzeranmeldeinformationen, z. B. das Ablegen von Maschinen in den BSOD und das Lesen der Kennwörter der Administratoren, die den Server angehoben hatten.

    Zu was hat es geführt? Während der Zeit, in der die Malware in der Infrastruktur lebte, wurden viele Datensätze und außerdem eine große Menge anderer potenziell sensibler Daten gefährdet. Während der Untersuchung haben wir den Umfang der Angreifer lokalisiert und sie aus dem Netzwerk "geworfen". Der Kunde erhielt weitere vier Monate Mehl - es dauerte, die Hälfte der Maschinen neu zu laden und alle Passwörter erneut auszustellen - aus Datenbanken, Datensätzen usw. Personen mit IT-Erfahrung müssen nicht erklären, wie schwierig diese Geschichte ist. Trotzdem endete alles gut.

    Die Frage ist also: Wie war es möglich, diesen Angriff zu identifizieren und die Hand des Internetkriminellen zu fassen?

    Die Antwort auf die erste Aufgabe
    Во-первых, как вы помните, заражение затронуло критичный сервер. Если на таком хосте запускается новая, неизвестная ранее служба, это инцидент очень высокой степени критичности. Такого происходить не должно. Если вы хотя бы мониторите службы, которые запускаются на критичных серверах, одно это поможет выявить подобную атаку на ранней стадии и не дать ей развиться.

    Во-вторых, не стоит пренебрегать и информацией с самых базовых средств защиты. PSExec неплохо детектируется антивирусами, но маркируется не как вредоносное ПО, а как Remote Admin Tool или Hacking Tool. Если внимательно смотреть в логи антивируса, можно вовремя увидеть срабатывание и принять соответствующие меры.


    Aufgabennummer 2. Gruselgeschichten


    Eine große Bank, eine Frau, arbeitet im Finanzdienst und hat Zugriff auf die AWS der CBD.
    ARM KBR - automatisierter Arbeitsplatz des Kunden der Bank of Russia. Es handelt sich um eine Softwarelösung für den sicheren Informationsaustausch mit der Bank of Russia, einschließlich Versand von Zahlungsaufträgen, Bankflügen usw.

    Dieser Angestellte des Finanzdienstleisters brachte ein USB-Flashlaufwerk mit einer Datei namens Skazki_dlya_bolshih_i_malenkih.pdf.exe mit. Sie hatte eine kleine Tochter, und die Frau wollte bei der Arbeit ein Kinderbuch drucken, das sie aus dem Internet herunterlud. Die Erweiterung der .pdf.exe-Datei erschien ihr nicht verdächtig, und selbst dann, wenn sie die Datei ausführte, öffnete sich die übliche PDF-Datei.



    Die Frau öffnete das Buch und ging nach Hause. Aber die Erweiterung .exe war natürlich nicht zufällig. Hinter ihm war das Remo Admin Tool, das sich an die Workstation setzte und sich dort über ein Jahr lang in den Systemprozessen verschanzte.

    Wie funktioniert solche Malware? Machen Sie zunächst etwa 15 Mal pro Minute Screenshots des Bildschirms. In einer separaten Datei fügen sie die vom Keylogger erhaltenen Daten hinzu - Logins und Passwörter, Korrespondenz in der Mail, Instant Messenger und vieles mehr. Nachdem wir den Client verbunden hatten, bemerkten wir schnell den infizierten Host und säuberten den Virus aus dem Netzwerk.

    Frage: Wie konnte "unsichtbare" Malware erkannt werden, die vom Virenschutzprogramm nicht erkannt wurde?

    Beantworten Sie die zweite Aufgabe
    Во-первых, вредоносное ПО, как правило, что-то делает в файловой системе, меняет записи реестра – словом, как-то загружается в систему. Это можно отследить, если мониторить хост на уровне логов, которые пишет сама операционная система, – security логи, запуск процессов, изменение реестра.

    Во-вторых, важно помнить, что такой вредонос не живет автономно, он обязательно куда-то стучится. Часто у рабочих станций в сети доступ в интернет идет только через прокси, поэтому если машина пытается стучаться куда-то напрямую, это серьезный инцидент, с которым надо разбираться.


    Aufgabennummer 3. "Blutige Warez"


    Der Systemadministrator musste eine 2 .xml-Datei miteinander vergleichen und "verkleben". Er ging einen einfachen Weg - tippte in die Suchmaschine "download xml merger ohne Registrierung und SMS". Die offizielle Seite des Entwicklers dieses Dienstprogramms lag bei der Ausgabe auf dem 3. Platz und auf der ersten Datei mit zwei Dateien. Dort den Administrator und das Programm heruntergeladen.

    Wie Sie wahrscheinlich bereits erraten haben, wurde in das "kostenlose" Utility ein gutes, hochwertiges Privileg-Elevationsmodul eingebaut. Er hat den Antivirus-Agenten auf dem Computer abgerissen und stattdessen eine Datei mit demselben Namen erstellt. Also hängte die Malware auf dem Computer ein und kontaktierte regelmäßig das Kontrollzentrum.



    Das Schlimmste war, dass der IT-Administrator der König des Schlosses ist. Er hat überall Zugriff. Von seinem Computer aus kann der Virus jeden Host oder Server erreichen. Die Malware kroch über Domain Sharepoint über das Netzwerk und versuchte, zum Auto des Hauptfinanzierers zu gelangen. In diesem Moment wurde sie vom Schwanz erwischt und die Geschichte wurde ausgelöscht.

    Frage: Wie kann ein solcher Angriff auf den mit Maschinen privilegierten Benutzer erkannt werden?

    Die Antwort auf das dritte Problem
    Опять-таки, можно слушать трафик, пытаясь поймать вредонос «с поличным» – в момент запроса к C&C-серверу. Однако если в компании нет NGFW, IDS, системы анализа сетевого трафика или SIEM, которая выловит из трафика хоть что-то ценное, слушать его можно до бесконечности.

    Эффективнее смотреть логи операционной системы, отправляя их в какую-то внешнюю систему. Пока вредоносное ПО удаляло антивирусный агент, оно не могло очистить файл аудита, поэтому в логах, переданных на внешней системе, точно останется информация об удалении антивирусного агента или как минимум о самом факте очистки аудита. После этого логи на самой машине будут пустыми, и следов уже не найти.

    Jetzt auch beliebt: