Loader

Кибератака в Украине – лучшие практики снижения рисков и возможной компрометации данных

Передовые практики снижения рисков возможной компрометации данных

Из официальных СМИ Украины сообщается, что в Украине произошла массированная кибератака, которая поразила сайты правительства Украины и нескольких организационных департаментов.

Американские организации, такие как Агентство кибербезопасности и инфраструктуры (CISA), Агентство национальной безопасности (NSA), а также Служба безопасности Украины проводят расследование, чтобы более тщательно проанализировать и понять угрозы, стоящие за кибератакой, и создать надежную киберзащиту от дальнейших атак. В настоящее время работа временно отключенных сайтов восстановлена.

В связи с этой атакой Microsoft выявила новую вредоносную программу wiper, нацеленную на украинские организации, которая была предназначена для уничтожения и приведения в негодность целевых устройств. Центр анализа угроз Microsoft (MSTIC) сообщает, что вредоносная программа была запрограммирована на выполнение, когда целевые устройства находились в выключенном режиме.

После этого вредоносная программа перезаписывала главную загрузочную запись (MBR), размещая уведомление о выкупе, а затем загружала второй файл .exe, который перезаписывал список файлов, удаляя все содержащиеся в них данные и информацию.

Мы советуем нашим читателям начать защищать свои критически важные инфраструктуры вместе с Fudo PAM, используя передовые методы снижения и предотвращения рисков.

Мы рекомендуем организациям использовать MITRE ATT&CK Framework для борьбы с атаками программ-вымогателей с помощью тактик, методов и процедур (TTP) и стратегий безопасности Advance Persistent Threat (ATPs). В произошедшей атаке было также выявлено несколько индикаторов компрометации (IOC).

IOC и обнаружение на этапе выполнения

Некоторые из IOC можно обнаружить на этапе выполнения атаки. Мы можем отметить, что интерпретатор командной строки cmd.exe может использоваться для выполнения удаленных команд в PowerShell.

Это примечательно, поскольку действия пользователя, создающего cmd.exe, будут регистрироваться, в то время как система по умолчанию не создает таких оболочек.

Более того, во многих случаях журналы событий могут быть получены для предоставления аргументов командной строки в новых создаваемых процессах.

Администраторы могут отслеживать выполнение cmd.exe в директивах /c. Корпорация Майкрософт регистрирует эти события под кодом ID 4688, где можно выполнить поиск по идентификатору события ID, например, в журнале XML событий.

Системные администраторы могут получить представление о вредоносной или подозрительной активности. Событие с кодом ID 4688 также предоставляет имя пользователя и «родительский процесс», что может быть использовано для поиска точек входа через пользователей или «родительские процессы»

Настойчивость – Сохранение плацдарма

Чтобы закрепиться в системе, злоумышленники начинают искать точки доступа, чтобы оставаться в системе и не зависеть от перебоев.

Перезагрузка системы, изменение учетных данных или перебои в работе сети могут лишить злоумышленников доступа к системе, в результате чего они потеряют точку опоры в целевой системе.

Во многих случаях атаки методом перебора паролей используются для поиска уязвимых учетных записей с действительным доступом и получения их учетных данных. Индикаторами компрометации от атак грубой силы могут быть обширным сбоем входа в систему от одного пользователя или нескольких пользователей в течение короткого времени.

Рекомендуется создавать шаги по обнаружению предупреждений, например, с помощью журнала событий ID 4625, где он генерируется на контроллерах домена, серверах-участниках и рабочих станциях, с указанием компьютера, на котором была предпринята попытка входа в систему.

Еще одна попытка злоумышленника закрепиться на объекте — это задержать независимого пользователя. Это делается путем извлечения учетных данных учетной записи службы из Active Directory.

Злоумышленник может запросить ключи для проверки личности. При запросе Service-Ticket используется Ticket-Granting Ticket для генерации Service-Ticket, который обеспечивает доступ к услугам приложения.

Функция хорошего IOC — следить за понижением уровня шифрования, например, с AES до RC4, так как злоумышленникам все равно придется перебирать пароли к открытому тексту.

Идентификатор события Windows Event ID 4769 передает, был ли запрошен ключ службы Kerberos. Мониторинг шифрования в идентификаторе события может помочь установить идентификацию понижения устойчивости (более ранней версии).

Другим приемлемым вариантом является отслеживание события с кодом ID 4769 среди пользователей, поскольку нередко пользователи используют несколько ключей службы аутентификации.

Кроме того, дамп учетных данных ОС может использоваться для получения логинов и паролей учетных записей. Злоумышленники могут экспортировать копии из базы данных Active Directory. База данных ntds.dit хранит данные Active Directory, включая объекты пользователей, группы и членство в группах.

Рекомендуется отслеживать доступ к базе данных ntds.dit на предмет любого доступа в нерабочее время или нерегулярного пользователя/машины.

Этого можно достичь путем мониторинга доступа через событие с кодом ID 4663 в Windows. Событие указывает на то, что над объектом (файлом, ядром или реестром) были проведены определенные операции.

Доступ к учетным данным

После выполнения и проверки злоумышленники часто ищут дополнительные уязвимости для использования учетных данных.

В средах, использующих функцию Active Directory Federation Services (ADFS) в Windows и содержащих сертификаты SAML для подписи, атаки направлены на получение шифров к закрытым ключам из ADFS для расшифровки сертификатов подписи SAML.

Далее происходит выполнение атаки Golden SAML, предоставление им токена SAML, который можно использовать для получения доступа ко всему, что доверяет этим маркерам.

Лучшая практика IOC заключается в наблюдении и регулировании доступа к ключам шифрования с необычным доступом к файлам. Наблюдение за Event ID 4633 может помочь подтвердить доступ к этим файлам закрытых ключей, где администраторы могут установить различные типы доступа к этим файлам, например, READ.

Еще одним эксплойтом, который может быть использован для получения учетных данных, является уязвимость CVE-2020-1472, известная как NetLogon. Эксплойт позволяет повысить уровень привилегий. Атаки могут установить уязвимое соединение безопасного канала Netlogon с контроллером домена.

И далее есть возможность изменить пароли для контроллеров домена. На это могут указывать события входа в систему с помощью анонимного доступа, с добавлением событий windows ID 4742 & 5805, указывающих, была ли изменена учетная запись компьютера и была ли предпринята попытка NetLogon.

Рекомендуемое снижение рисков

Киберугрозы динамично меняются по мере того, как на организации совершаются все более изощренные атаки.

Динамика обусловлена усовершенствованием и развитием процедур и политик безопасности. Поскольку идентификация становится все более очевидным параметром входа, организациям необходимо защитить свои учетные данные и слабые точки доступа, чтобы обеспечить безопасность своих ресурсов.

Хотя многие организации следуют фундаментальным процессам безопасности, таким как многофакторная аутентификация, виртуальные частные сети, обновление/установка патчей и строгая политика паролей, важно следовать тщательной, углубленной стратегии защиты.

Динамический контроль — запрет на выполнение произвольного кода позволяет политике безопасности ограничивать легитимные исполняемые файлы в привилегированных пользователях.

Обеспечьте ограничение учетных записей администраторов — поддерживайте постоянный контроль над привилегированными учетными записями в организации, отключая учетные записи-призраки или ограничивая доступ к критически важным целям.

Обеспечьте проактивную систему мониторинга и управления доступом для предотвращения кражи учетных данных и повышения привилегий.

Поддерживайте защищенные резервные копии — создайте стратегии для содержания резервных копий контроллера домена и защитите их с помощью ограниченного или физического доступа.

Будьте готовы к краже учетных данных в файле NTDS базы данных Active Directory и адаптируйте средства безопасности, которые могут предотвратить доступ к файлу NTDS.

Меры безопасности для сертификатов удостоверений личности — Защитите любые дополнительные попытки и уязвимости в ваших методах идентификации/аутентификации.

Свяжитесь с Fudo и изучите новейшие практики и решения для снижения рисков и инсайдерских угроз в области кибербезопасности!

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Fudo и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Арменияfast@oberig-it.com, +38 099 427 94 04.

Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.

Узбекистан, Кыргызстан, Таджикистан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.

Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.
Азербайджан info.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3uPJTur