Привет, Хабр! Мы продолжаем разбирать наиболее примечательные моменты майской кибербитвы The Standoff. Это отличный шанс подготовиться к новому противостоянию, которое пройдет уже 15 и 16 ноября. Еще не знаете подробностей? Читайте их в нашем блоге.
Сегодня расследуем ряд атак на периметре и внутри сети, выявленных нашей NTA-системой — PT Network Attack Discovery (PT NAD). На этот раз разберем, какие тактики и техники по матрице MITRE ATT&CK использовали атакующие для проникновения в инфраструктуру и на дальнейших этапах, и обсудим, могут ли подобные инциденты произойти в реальности.
Напомним, что все четыре дня противостояния на киберполигоне работал SOC (security operation center), в который входили команды нашего экспертного центра безопасности PT Expert Security Center. С помощью продуктов Positive Technologies мы мониторили офисы шести компаний на полигоне, детектировали подозрительную активность (в нашем случае — в сетевом трафике), отслеживали каждый шаг нападающих и верифицировали их отчеты. Это заключительная часть цикла материалов, посвященного результатам работы наших решений на The Standoff 2021. Если пропустили наши статьи, то скорее читайте о том, что интересного поймала наша песочница PT Sandbox, как межсетевой экран уровня приложений PT Application Firewall помогал защищать город от нападающих и какую секретную информацию об атаках нам поведал MaxPatrol SIEM.
Вместо предисловия
Говоря о роли NTA-системы в детектировании действий атакующих, хочется отметить, что PT Network Attack Discovery дал нам полную видимость сети и упростил процесс проверки успешности атак. При распутывании инцидентов мы могли максимально подробно отслеживать шаги нападающих, используя метаданные сессий и сырой трафик, и выявлять любую попытку проникновения в инфраструктуру компаний. В комбинации с такими продуктами, как MaxPatrol SIEM, PT Application Firewall и PT Sandbox, нам, специалистам экспертного центра безопасности PT ESC, удалось добиться максимального покрытия инфраструктуры киберполигона и отслеживать активность атакующих как в сети, так и на узлах. Кстати, в реальных инфраструктурах зачастую отсутствует стопроцентное покрытие средствами защиты, установленными на узлах. Добиться покрытия путем анализа сетевого трафика гораздо проще, так как достаточно настроить его зеркалирование с сетевого оборудования.
Давайте посмотрим, какие тактики и техники пользовались популярностью у атакующих на прошедшем The Standoff. Из всех кейсов мы выбрали наиболее интересные и чаще всего встречающиеся в реальной жизни. Чтобы разложить все по полочкам, мы «смапили» эти тактики и техники с матрицей MITRE ATT&CK. Заметим, что отбор тех или иных техник основан на многолетнем опыте PT Expert Security Center, который каждый день проводит мониторинг и анализ защищенности крупных корпоративных систем, а также занимается обнаружением, реагированием и расследованием сложных инцидентов.
Ниже будет краткий ликбез по матрице MITRE ATT&CK. Кто уже все знает — смело пропускайте раздел и знакомьтесь с результатами мониторинга PT Network Attack Discovery на прошедшей кибербитве.
Несколько слов о MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — тактики, техники и общеизвестные факты о злоумышленниках) — общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT. Эта база знаний представляет собой структурированный набор тактик и техник, используемых злоумышленниками. Она позволяет специалистам по информационной безопасности со всего мира разговаривать на одном языке.
Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности.
Итак, в базе выделяются 14 тактик, которые разделены по стадиям кибератаки:
разведка (reconnaissance),
подготовка ресурсов (resource development),
первоначальный доступ (initial access),
выполнение (execution),
закрепление (persistence),
повышение привилегий (privilege escalation),
предотвращение обнаружения (defense evasion),
получение учетных данных (credential access),
исследование (discovery),
перемещение внутри периметра (lateral movement),
сбор данных (collection),
управление и контроль (command and control),
эксфильтрация данных (exfiltration),
воздействие (impact).
Для каждой тактики в базе знаний ATT&CK перечислен список техник, которые помогают злоумышленникам в достижении цели на текущем этапе атаки. Специалисты по ИБ могут использовать знания из базы, чтобы структурировать информацию об актуальных методах атак и с учетом этого построить эффективную систему безопасности. Например, по матрицам MITRE ATT&CK можно определить, к каким техникам уязвимы ресурсы организации, чтобы в перспективе устранить самые опасные проблемы. Наши внимательные подписчики, скорее всего, вспомнят, что понятие MITRE ATT&CK уже когда-то упоминалось в нашем блоге. Все верно! Мы делали цикл постов (первая, вторая, третья, четвертая и пятая части) о том, как системы анализа трафика на примере PT Network Attack Discovery обнаруживают тактики хакеров по MITRE ATT&CK. Статьи получились обстоятельными — читайте, если еще не успели.
Прежде чем мы углубимся в детали, взгляните на список тактик еще раз. Из 14 тактик мы разберем шесть — те, которые составляют основную массу всех действий атакующих. Начнем с тактики «Выполнение».
Выполнение, или Execution
Во время противостояния применение тактики Execution занимает наибольшую часть активных действий красных. Возможность выполнения команд нужна атакующим как на этапе проникновения в инфраструктуру, так и для дальнейшего распространения и реализации рисков.
В данную тактику входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Запуск вредоносного кода помогает атакующим закрепить присутствие (тактика Persistence) и расширить доступ к удаленным системам в сети, перемещаясь внутри периметра.
Что выявил PT NAD на кибербитве: атакующие использовали различные техники для выполнения команд — к примеру Scheduled Task/Job: Scheduled Task, то есть выполнение команд через создание задачи в планировщике Windows. Ниже показан один из примеров использования данной техники на The Standoff: от имени пользователя admin_ws по протоколу DCERPC была удаленно создана задача.
Пометка AuthLevelPktPrivacy говорит о том, что трафик DCERPC был зашифрован и в интерфейсе нам доступны только названия вызванных функций, но не их параметры. По этой причине мы не можем по трафику точно определить, какую команду запускали нападающие, но видим передачу файла с расширением .tmp в этой же сессии.
Чаще всего злоумышленники перенаправляют вывод в файл, чтобы узнать результаты выполненной команды. Данная сессия как раз такой случай, но в файле мы видим только сообщение об успешно завершенной операции.
Еще одна распространенная техника — System Services: Service Execution. У нее похожий механизм работы. Главное отличие в том, что удаленно создается служба Windows, а не задача.
Что выявил PT NAD на кибербитве: атакующие на The Standoff действовали более скрытно и не стали создавать новую службу. Вместо этого они изменили настройки уже существующей службы под названием Browser, подменив путь до исполняемого файла. Далее они отправили команду на старт измененной службы, запустив тем самым свой исполняемый файл ven.exe. После этого они восстановили первоначальные настройки службы и снова отправили команду на ее запуск.
Исполняемый файл они передали на узел чуть раньше по протоколу SMB. Файл можно экспортировать из сырого трафика и проанализировать во внешней системе. Но в нашем случае у нас была настроена интеграция с другим нашим продуктом — PT Sandbox. Файл был автоматически извлечен и отправлен на анализ в песочницу. После анализа PT Sandbox обогатил информацию о файле в PT NAD. Его вердикт сигнализирует нам о том, что файл относится к категории троянов-загрузчиков.
Windows Management Instrumentation также можно отнести к техникам, которые пользуются популярностью у атакующих. Она, как и рассмотренные выше техники, позволяет удаленно выполнять команды, используя механизм WMI.
При проведении атак одно и то же действие нападающих можно отнести к целому ряду техник. В качестве примера ниже показана сессия, в которой, помимо выполнения команд через WMI, атакующие применили проксирование трафика. Предлагаем рассмотреть его подробнее.
Итак, атакующие использовали wmiexec через SOCKS5-туннель, что можно отнести к технике Proxy: Internal Proxy тактики Command And Control по классификации MITRE ATT&CK.
В качестве пользователя для выполнения команд использовалась учетная запись clevergod, а для подключения к SOCKS5-прокси — учетка johncena. Среди выполненных команд обнаружена попытка загрузить файл, используя PowerShell. Таким образом, активность можно отнести к технике Command and Scripting Interpreter: PowerShell. Похоже, что достичь успешного результата у команды атакующих не получилось, и они предприняли еще одну попытку загрузки, но уже используя известный LOLBin certutil. Данная активность, в свою очередь, относится к технике Ingress Tool Transfer. Примечательно, что атакующие подготовились и зарегистрировали DNS-имя, похожее на наш домен, — ptsecurlty.ru (реальный домен компании — ptsecurity.com). Это могло усложнить защитникам анализ, поскольку подобную активность можно принять за легитимную.
На скриншоте ниже мы видим реальный IP-адрес, на который перенаправлялся трафик из SOCKS5-туннеля.
Выводы и наши рекомендации: выше мы рассмотрели только три способа удаленного выполнения команд, но на самом деле их гораздо больше. Их объединяет то, что все они используют легитимные механизмы инфраструктуры Windows. Из-за этого практически невозможно предотвратить использование данных техник, но можно своевременно обнаруживать нелегитимное использование этих механизмов Windows благодаря анализу сетевого трафика или анализу событий информационной безопасности во всех целевых системах.
Получение учетных данных, или Credential Access
Credential Access, так же как и Execution, является неотъемлемой частью действий атакующих для распространения по инфраструктуре.
Эта тактика включает в себя техники, нацеленные на кражу данных, которые можно использовать для аутентификации (например, имена пользователей и пароли). Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать больше записей с целью закрепления и усложняет обнаружение присутствия злоумышленников в сети.
Наиболее популярная техника среди атакующих — как в реальной жизни, так и на киберполигоне — это OS Credential Dumping: DCSync. Давайте рассмотрим ее детальнее: нападающие получают учетную запись с правами, достаточными для репликации контроллера домена, и проводят атаку DCSync, в результате которой получают данные для аутентификации пользователей домена. Вот как выглядели подобные действия одной из атакующих команд на The Standoff в интерфейсе PT NAD.
Другая команда нападающих также демонстрировала техники OS Credential Dumping, в частности OS Credential Dumping: NTDS и OS Credential Dumping: LSA Secrets.
Что выявил PT NAD на кибербитве: атакующие подключились к SCM и удаленному реестру на контроллере домена и сделали дамп LSA и NTDS. Результаты они сохранили в файл с расширением .tmp и выгрузили. Как и в предыдущей активности, команда красных получила аутентификационные данные всех пользователей домена. События такого рода означают полную компрометацию домена и позволяют атакующим почти беспрепятственно выполнять дальнейшее перемещение по инфраструктуре.
Наши рекомендации: при обнаружении утечки аутентификационных данных пользователей следует как можно оперативнее проводить работы по блокировке и сбросу паролей. Перед атакующими открывается много возможностей с появлением у них валидных учетных данных. Вероятность пропустить атаки злоумышленников возрастает, так как действия из-под легитимных учетных записей отслеживать сложнее.
Повышение привилегий, или Privilege Escalation
Еще одним из способов получения учетных данных атакующими, помимо рассмотренных в предыдущем разделе техник, является доступ к данным LAPS — специальным LDAP-атрибутам. В результате успешного проведения этой атаки нападающие получают пароли локальных администраторов на всех узлах, на которых настроен LAPS — это техника Valid Accounts: Local Accounts тактики Privilege Escalation.
Рассмотрим аналогичную атаку на майском The Standoff: используя машинную учетную запись сервера Exchange, нападающие подключились к контроллеру домена по протоколу LDAP и запросили атрибут ms-MCS-AdmPwd для машин в домене. В этом атрибуте хранится текущий пароль локального администратора, устанавливаемый LAPS.
Обладая паролем из LAPS, атакующие смогут без проблем перемещаться на интересующие их узлы. При этом они будут иметь привилегии администратора.
Подозрительности этой операции также добавляет и то, что аутентификация происходила с узла с названием kali. Такое название по умолчанию имеет наиболее популярный дистрибутив для тестирования на проникновение — Kali Linux.
Наши рекомендации: при мониторинге следует проявлять повышенное внимание к активности учетных записей, которые имеют высокие привилегии, так как данные учетных записей являются приоритетной целью для атакующих и позволяют легко получить возможности для перемещения сразу же с высокими привилегиями.
Управление и контроль, или Command and Control
Техники Command and Control (C2 или C&C) используются для связи злоумышленников с подконтрольными системами в сети жертвы. Они позволяют атакующим сохранять доступ к нужным им системам и беспрепятственно получать нужную информацию с подконтрольных узлов. Как правило, атакующие при этом имитируют обычное поведение трафика, чтобы избежать обнаружения.
Разбирая технику Ingress Tool Transfer в одном из разделов выше, мы уже упоминали использование утилиты certutil. В следующей сессии мы видим уже непосредственно загрузку вредоносного ПО, выполненную с помощью этой утилиты.
Если смотреть на картину кибербитвы в целом, то следует отметить, что команды атакующих использовали большое количество различных вредоносов для закрепления в инфраструктуре виртуального города. Одним из наиболее распространенных был Cobalt Strike, который использовал для соединения с управляющим сервером протокол HTTP и помещал свои данные в заголовок куки. Эту активность можно отнести к технике Application Layer Protocol: Web Protocols.
Другим способом доступа в инфраструктуру города F была техника Protocol Tunneling.
Что обнаружил PT NAD на кибербитве: проэксплуатировав уязвимость в веб-приложении, атакующие загрузили на сервер файл с функциональностью прокси — reGeorg.
По активности в сессии похоже, что данный файл был найден одной из команд в момент перебора директорий, а оставить его могла другая команда.
Выводы: наша практика показывает, что атакующим чаще всего достаточно легко удается скрыться от антивирусных средств защиты благодаря использованию различных способов упаковки и других изменений исполняемого файла, устанавливающего соединение с управляющим сервером. Сетевую же активность скрыть сложнее, так как в случае наличия правил детектирования коммуникации с C&C, атакующим придется изменить не только клиентскую часть, но еще и серверную. Такие изменения гораздо затратнее. Это значит, что в некоторых случаях детектирование по сети может быть более успешным.
Исследование, или Discovery
Перейдем к тактике Discovery. После закрепления и получения доступа к системе злоумышленникам нужно понять, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время исследования атакующие собирают данные о системе и внутренней сети, что помогает сориентироваться в инфраструктуре и решить, как действовать дальше. Для этого зачастую используются встроенные инструменты операционных систем.
Во время четырехдневного противостояния наиболее популярным инструментом для техники Remote System Discovery была утилита для сетевого сканирования nmap.
Некоторые команды атакующих использовали и другие методы, например запрос зон с DNS-cервера через AXFR или получение зон с контроллера домена через протокол LDAP.[AG1] [AL2] Эта информация позволяет атакующим найти в инфраструктуре интересующие их узлы для дальнейшего продвижения.
Выводы и наши рекомендации: проведение разведки является неотъемлемой частью цепочки атаки. Как правило, она проводится на ранних стадиях. В случае обнаружения подобной активности рекомендуется как можно оперативнее среагировать и предотвратить дальнейшее продвижение атакующих.
Закрепление, или Persistence
Злоумышленники используют тактику закрепления для обеспечения своего постоянного присутствия в атакуемой системе. Им нужно быть уверенными, что даже после перезапуска системы или смены учетных данных их доступ к системе сохранится. Так они смогут в любое время контролировать скомпрометированную систему, продвигаться по инфраструктуре и достигать своих целей.
Самым распространенным методом закрепления во время кибербитвы The Standoff стала техника Create Account: Domain Account — атакующие с помощью привилегированных учетных записей создавали для себя дополнительные учетные записи.
Что обнаружил PT NAD на кибербитве: в сессии, приведенной на скриншоте ниже, мы видим, что с помощью машинной учетной записи сервера Exchange был создан пользователь kekpek.
После создания этого пользователя атакующие добавили его в группу администраторов домена и тем самым сохранили себе максимальные привилегии в домене.
Выводы и наши рекомендации: создание учетных записей — техника которую часто используют атакующие для сохранения доступа к системам. Рекомендуется отслеживать создание новых пользователей и аномалии в новых УЗ. Например, учетная запись может обладать паролем без срока «протухания», или ее название может не соответствовать принятому в вашей организации формату. Конечно же, особое внимание стоит уделить учетным записям, которые обладают привилегиями администратора.
Подводим итоги
В статье мы разобрали техники, которые пользовались популярностью у атакующих на прошедшем противостоянии. Инфраструктура The Standoff максимально приближена к реальной инфраструктуре любой компании. Это значит, что рассмотренные техники популярны не только в рамках киберполигона, но и в реальной жизни. Кстати, этой осенью в инфраструктуре The Standoff Moscow будут как объекты металлургии, транспорта и логистики, химической отрасли и городского хозяйства, так и энергетическая отрасль с собственными процессами.
Многое из того, что мы сегодня рассмотрели, было возможно благодаря легитимным механизмам, используемым в инфраструктуре. Из-за этого средства защиты не могут блокировать абсолютное все подобные угрозы в автоматическом режиме. Мониторинг сетевого трафика и событий в PT NAD и MaxPatrol SIEM, а также анализ файлов с почты и сетевого трафика в PT Sandbox позволяют выявить атакующих на большинстве стадий атаки и предотвратить реализацию неприемлемых рисков. Безусловно, для этого требуется получить максимальную видимость. Добиться ее с PT NAD проще всего, так как для этого необходима только копия сетевого трафика.
Автор: Алексей Леднев, заместитель руководителя отдела экспертных сервисов PT Expert Security Center
Комментарии (5)
Protos
08.10.2021 03:47Скажите, в реальной жизни, например, в ИТ компании приведенные сработки как часто ошибочны?
ptsecurity Автор
11.10.2021 15:13Спасибо за интересный вопрос.
Зависит от того, что понимать под словом «ошибочны». Часть детектов из статьи указывают на активность, которая сама по себе является легитимным механизмом инфраструктуры Windows. Например, удаленное создание сервисов или создание пользователей. Это значит, что она может встречаться и при использовании администраторами. По опыту, легитимную активность можно достаточно быстро отсечь, обладая знаниями об инфраструктуре.
Другая часть детектов сделана на весьма конкретные вещи (например, reGeorg-туннель или активность Cobalt Strike), и они очень редко дают ошибочные срабатывания.Protos
11.10.2021 19:51По вашему опыту стоить изучать каждое новое удаленное создание процесса или ориентироваться только на те что явно попали под ioc либо выявлены ранее как подозрительные?
ptsecurity Автор
13.10.2021 14:30Стоит детально изучать такие активности, если они отличаются от типичных в инфраструктуре. На примере удаленного создания сервиса: такая активность, исходящая с сервера SCCM, для большинства инфраструктур является типичной. Запуск с рабочей станции пользователя уже более подозрительная активность. Конечно, есть еще много других факторов, таких как время активности или название сервиса, которые тоже влияют на решение о дальнейшем анализе.
ildar_vildanovich
Очень интересно, жду продолжений!