Всем привет! Надеемся, вы уже знаете, что у центра исследования киберугроз Solar 4RAYS есть собственный блог. В нем мы делимся исследованиями различных APT-группировок, подробно рассказываем о расследованиях и делимся индикаторами компрометации. В этом материале мы решили рассказать, с чего, как правило, начинаются наши расследования — по каким признакам определяем, что в инфраструктуру заказчика попали профессиональные хакеры и как ищем следы их атак. Также мы расскажем, какие уловки хакеры применяют для маскировки своих атак и как в этом случае компаниям защититься от злоумышленников.

Кого атакуют и зачем?

Чаще всего целью APT-группировок становятся крупные государственные и коммерческие организации из разных отраслей, а также их подрядчики. Причем последние все чаще попадают под прицел злоумышленников. Яркий пример атаки через доверительные отношения (trusted relationships attack) – действия группировок Shedding Zmiy и Lifting Zmiy.

Обычно киберпреступники охотятся за конфиденциальными корпоративным данными (а вот прямая кража денежных средств со счетов компаний уже почти не встречается). Кроме того, в нашей практике мы регулярно видим, что, потеряв интерес к инфраструктуре жертвы, злоумышленники пытаются нанести ей непоправимый урон: зашифровать данные и безвозвратно их удалить.

Признаки атак

1) Обращение из инфраструктуры компании к известным сетевым индикаторам компрометации, которые являются частью командной инфраструктуры некоторых APT-группировок, или к иным подозрительным IP-адресам\доменным именам. Увидеть такую подозрительную активность можно несколькими способами:

• с помощью мониторинга внешнего SOC (Security Operations Center), если компания к нему подключена;

• за счет экспертизы штатных ИБ-специалистов, которые детектируют факты подобных обращений;

• после получения соответствующего уведомления от госорганов. Например, в одном из последних кейсов эксперты Solar 4RAYS приступили к расследованию инцидента после того, как заказчик получил уведомление от НКЦКИ о множественных фактах обращения из его инфраструктуры к доменным именам, являющимся командными адресами одной из отслеживаемых нами APT-группировок;

2) Подозрительная активность в корпоративной инфраструктуре:

• пропал доступ к каким-либо системам и сервисам;

• зафиксирована активность учетных записей в нехарактерные временные промежутки;

• обнаружен доступ учетных записей к системам, с которыми они обычно не взаимодействуют;

• «Пользователь сообщил, что курсор самостоятельно двигался по экрану» и другие простые признаки.

3) Наименее оптимистичный сценарий - разрушение инфраструктуры (шифрование или удаление данных). Тогда факт инцидента с участием группировки становится очевидным.

4) Сообщения о публикации данных, украденных у организации, появляются в открытом доступе. Именно так и началось расследование нескольких атак, за которыми стояла группировка Shedding Zmiy. Также атаки могут обсуждаться на форумах в даркнете.

5) Обнаружение следов вредоносной активности по результатам проведения процедуры Compromise Assessment (поиск следов прошлых и текущих атак в инфраструктуре). Например, в рамках проведения CA год назад в одном из государственных учреждений нам удалось обнаружить азиатскую APT-группировку, об одном из инструментов которой мы писали в нашем блоге. Хотя чаще обнаружение признаков атаки происходит все-таки по описанным выше сценариям.

Где искать следы?

Итак, вы выяснили, что в вашу инфраструктуру проникли злоумышленники (и не просто киберхулиганы, а настоящие профессионалы). Как их найти? Если сосредоточиться на следах первоначального проникновения, то в зависимости от выбранной злоумышленниками техники, их можно обнаружить в системах:

• на которых развернуты публично доступные приложения с уязвимостями;

• доступных пользователям, которым были разосланы фишинговые письма;

• к которым имеют доступ подрядные организации в рамках доверительных отношений.

Дальнейшее же продвижение в инфраструктуре жертвы и, соответственно, наличие следов, зависит от мотивации злоумышленников.

Если группировка занимается шпионажем, ее основной интерес будет направлен на системы, содержащие ценные данные. Например, системы электронного документооборота, базы знаний (аналогичные Confluence), репозитории (GitHub, Gitlab), файловые серверы, пользовательские системы, в том числе привилегированных пользователей. Если атакована организация-подрядчик, то злоумышленники нацелены на сбор информации и доступов к его клиентам (которые и являются основной целью атаки).

В некоторых случаях после достижения цели по краже данных злоумышленники уничтожают информационную инфраструктуру жертвы. В таком случае атакующие стремятся получить максимальный контроль над сетью, заполучив доступ к привилегированным учетным записям и ключевым системам (контроллер домена, системы управления виртуализацией, серверы бэкапов, системы оркестрации контейнеров, критические с точки зрения бизнес-процессов сервисы и т.д.).

А это точно APT?

Опираясь на нашу практику, мы выделяем следующие признаки APT-группировки:

• уникальные инструменты (самописные бэкдоры и другие утилиты);

• сложность техник и процедур. Среди них, например, эксплуатация уязвимостей, для которых нет публичных proof-of-concept (POC), закрепление в системе в нетипичных местах, использование сложных техник вроде supply chain compromise, а также использование непопулярных техник (типа Execution Guard Rails, когда вредоносные файлы запускаются только на определенных хостах);

К тому же хакеры-профессионалы используют разные методы, чтобы максимально замаскировать свое присутствие в инфраструктуре: шифрование строк, обфускация файлов, ограничения доступа к серверу управления по географическому местоположению или другим параметрам, наличие большого количества проверок жертвы, точечность атаки, максимальная скрытность.

Мы видим, что АРТ-группировки часто применяют следующие уловки:

• закладки в легитимных утилитах (sshd и другие);

• использование редких уязвимостей (в нашем блоге мы разбирали пример уязвимости десериализации VIEWSTATE);

• Supply Chain-атаки (xz backdoor, как пример);

• использование в качестве серверов управления легитимных сервисов и оборудования (Telegram, Github, Youtube, облачные хранилища, оборудование для управления лифтами и т.д.);

• эксплуатация уязвимостей в проприетарном ПО, используемом в атакованной организации;

• эксплуатация непопулярных протоколов (QUIC, MQTT) для связи с серверами управления;

• эксплуатация особенностей протоколов не по их прямому назначению (icmp-, DNS-туннелирование);

• социальная инженерия (целевой фишинг и звонки жертвам).

Этот список можно продолжать долго. APT-группировки обладают практически неограниченными ресурсами и постоянно совершенствуют свои тактики, техники и процедуры, чтобы быть на шаг впереди стороны защиты.

Что касается инструментария, то чаще всего злоумышленники используют решения для туннелирования трафика, которые позволяют обойти фаерволы и организовать связь там, где ее не должно быть, а также различные RAT – утилиты, предоставляющие удаленное управление хостом жертвы.

Примеры утилит для туннелирования трафика: gsocket (gs-netcat), nhas reverse ssh, revsocks, resocks, ngrok, neo-regeorg, chisel.

Примеры RAT: Bulldog backdoor (go-red), Facefish rootkit, Kitsune rootkit, Sliver, CobInt, Cobalt Strike, Mythic, DFK RAT, Trochilus RAT.

Можно ли защититься?

Поймать атаку «на подлете» помогают мониторинг SOC и применение комплексных защитных решений, которые получают регулярные обновления детектирующих логик и контента, созданных на основе анализа актуального ландшафта киберугроз. Услуга Incident Response позволяет оперативно ликвидировать последствия инцидента, если он уже случился, и предотвратить его повторение в будущем. Не лишнем будет и регулярный Compromise Assessment, о котором уже писали выше. Причем эти работы могут проводиться внешней экспертной командой (сервис-провайдера) и силами самой компании (если у нее есть собственный SOC и команда реагирования).

Также повысить уровень киберзащиты помогут следующие практики, актуальные для противодействия как APT-угрозам, так и массовым кибератакам:

• досконально знать свою инфраструктуру, все используемые в ней технологии, публично доступные приложения, связи собственной инфраструктуры с другими и т.д.;

• оперативно обновлять все используемое в инфраструктуре ПО;

• регулярно повышать уровень осведомленности сотрудникам по вопросам ИБ, проводить обучения, делать тестовые фишинговые рассылки и т.п.;

• применять лучшие практики для организации удаленного доступа в инфраструктуру как собственных работников, так и подрядных организаций;

• грамотно подходить к вопросу создания резервных копий данных. Например, использовать правило “3-2-1”, которое гласит: имейте не менее трех копий данных, храните копии как минимум на двух физических носителях разного типа, а одну копию храните удаленно, вне офиса;

• постоянно проводить мониторинг активности в инфраструктуре и использовать средства защиты. Настроить аудит, внедрить SIEM-систему и EDR-решения для защиты рабочих станций;

• служба ИБ должна регулярно обновлять свои знания о ландшафте киберугроз конкретного региона (штудировать публичные отчеты, возможно — приобрести подписку на TI-платформы, предоставляемые вендорами) и проактивно подходить к процессу защиты.

 Геннадий Сазонов, инженер группы расследования инцидентов Solar 4RAYS

Антон Каргин, эксперт группы анализа ВПО центра исследования киберугроз Solar 4RAYS