Привет! На связи команда по расследованию и реагированию на инциденты экспертного центра безопасности Positive Technologies. За год мы выполнили около ста проектов по расследованию инцидентов ИБ и ретроспективному анализу в организациях по всему миру. В этом исследовании мы с разных сторон изучили кейсы, над которыми работали в период с IV квартала 2023 по III квартал 2024 года, проанализировали самые интересные техники атак и выделили популярные инструменты злоумышленников. 

В этой статье мы поделимся основными результатами и ответим на два главных вопроса: как действовали киберпреступники и почему их атаки были успешными.

Общие итоги

За прошедший год основной объем работ пришелся на расследование инцидентов ИБ. Спрос на такие проекты увеличивается ежегодно: в 2023-м прирост составил 176%, а за первые три квартала 2024-го — 24% (в сравнении с аналогичным периодом 2023-го).

Чаще всех за услугами к нам обращались промышленные предприятия и госучреждения. На третьем месте — ИТ-компании. Их доля, кстати, увеличилась с 8 до 13% по сравнению с показателем из предыдущего исследования за 2021–2023 годы.

Распределение организаций-заказчиков по отраслям
Распределение организаций-заказчиков по отраслям

В 39% компаний мы обнаружили следы присутствия в общей сложности 17 известных APT-группировок, причем в некоторых случаях их активность относилась к более ранним атакам, не связанным с расследуемыми инцидентами.

В половине всех расследованных инцидентов действия злоумышленников привели к нарушению бизнес-процессов компаний, ранее аналогичная доля составляла 32%. Возможно, рост связан с тем, что хактивисты и финансово мотивированные киберпреступники стали действовать интенсивнее.

В числе самых распространенных причин успешных атак — использование устаревших версий ОС и ПО (47% проектов), отсутствие двухфакторной аутентификации (41%) и недостаточная сегментация корпоративной сети (38%).

Недостатки безопасности, ставшие причинами успешных атак
Недостатки безопасности, ставшие причинами успешных атак

Среднее время от начала инцидента до обнаружения вредоносной активности составило 17 дней, в исследовании за 2021–2023 годы — 37 дней.

Атаки длились в среднем 23 дня, при этом нам удавалось сводить их к контролируемой фазе в течение трех дней. Среднее время расследования инцидентов составило пять дней. Самая долгая атака продолжалась почти три года, а самая короткая — сутки.

Как действовали киберпреступники

Для удобства мы разделили процесс кибератаки на десять условных этапов и проиллюстрировали некоторые техники злоумышленников в соответствии с нотацией MITRE ATT&CK Matrix for Enterprise.

Больше примеров для каждого этапа — в исследовании на сайте.

1️⃣ Получение первоначального доступа

Самый распространенный способ проникновения злоумышленников в инфраструктуру — эксплуатация уязвимостей в веб-приложениях, доступных из интернета. В предыдущем отчете мы отмечали, что здесь лидировал почтовый сервер Microsoft Exchange, но со временем доля связанных с ним атак снизилась до 17%. Теперь на первом месте сайты под управлением CMS «1C-Битрикс» — на них пришлось 33% инцидентов.

Интересно и то, что количество атак, в которых злоумышленники проникали в инфраструктуру жертвы через компанию-подрядчика (метод Trusted Relationship), увеличилось до 15%. Раньше их было крайне мало. Возможно, именно это повлияло на рост доли ИТ-компаний в числе обращений: такие организации чаще других выступают в роли подрядчика. 

2️⃣ Закрепление

Для закрепления полезной нагрузки или инструментов кибератак злоумышленники часто используют нативный планировщик заданий.

Также отдельно стоит упомянуть технику Dynamic Linker Hijacking, в частности, неоднократно использованную группировкой (Ex)Cobalt для внедрения руткита Kitsune на Linux-узлы. Ее суть в том, чтобы перехватить поток выполнения заданий и запустить вредоносный код в контексте легитимного процесса с помощью динамического компоновщика ld.so. Для закрепления Kitsune злоумышленники прописали путь до руткита (/lib64/libselinux.so) в файле /etc/ld.so.preload, к которому обращается динамический компоновщик. В результате руткит загружался раньше остальных библиотек и переопределял системные вызовы.

3️⃣ Повышение привилегий

Как правило, на этом этапе злоумышленники эксплуатируют уязвимости, причем часто это давно известные сообществу ИБ недостатки безопасности. Например, в нескольких проектах мы столкнулись с попытками эксплуатации уязвимости Zerologon в протоколе шифрования, который использует служба Netlogon в Windows. Ошибка позволяет злоумышленнику выдать себя за контроллер домена, изменить его пароль и получить доступ ко всем ресурсам.

4️⃣ Получение учетных записей

На протяжении многих лет излюбленным инструментом злоумышленников остается утилита Mimikatz, в том числе ее модифицированные версии. Она применялась в 35% всех случаев.

Второе место занимает утилита XenAllPasswordPro — 10% кейсов. В нескольких случаях атакующие запускали скрипт, который копировал этот инструмент с ключом „-a“ на скомпрометированные устройства. Утилита собирала данные из всех доступных ей источников, результаты записывались в HTML-отчеты, которые размещались на контроллере домена в директориях с названиями, соответствующими именам компьютеров и пользователей. В одном проекте этим способом была собрана информации с 50 узлов, в другом — почти с 200.

Получение учетных данных с помощью утилиты XenAllPasswordPro
Получение учетных данных с помощью утилиты XenAllPasswordPro

5️⃣ Защита от обнаружения

По сравнению с 2021–2023 годами злоумышленники стали реже использовать уникальные бэкдоры собственной разработки. Вместо них применяются хорошо известные постэксплуатационные фреймворки (например, MetasploitSliverMerlin) вкупе с утилитами для туннелирования, о которых мы поговорим ниже. Кроме того, для усложнения анализа ВПО и ухода от обнаружения киберпреступники применяют open-source и коммерческие упаковщики, такие как UPXVMProtectThemida и ASM-Guard, а также обфускаторы кода, например Garble.

На этапе постэксплуатации злоумышленники в первую очередь стараются ослабить защиту — чаще всего через отключение или перенастройку систем ИБ. И здесь мы наблюдаем тренд: для реализации этой подтехники атакующие используют подход Bring Your Own Vulnerable Driver (BYOVD), который позволяет получить привилегии уровня ядра ОС.

6️⃣ Исследование инфраструктуры

На этом этапе применяются различные сетевые сканеры, среди них: SoftPerfect Network Scanner (был обнаружен в 15% кейсов), Nmap (10%) и fscan (8%).

В инфраструктуре на базе Windows атакующие проводят разведку Active Directory в основном с помощью утилит AdFind, ADRecon, ADExplorer и компонента PowerView общедоступного фреймворка PowerSploit. Пример использования последнего представлен ниже: с помощью PowerView злоумышленники выявляли узлы, на которых авторизовывались привилегированные пользователи.

Команда для поиска нужных узлов с помощью PowerView
Команда для поиска нужных узлов с помощью PowerView

7️⃣ Продвижение по сети

Внутри скомпрометированной инфраструктуры злоумышленники перемещаются преимущественно с использованием протоколов RDP, SMB и SSH. На этом этапе для удаленного выполнения команд атакующие чаще всего применяли утилиты SMBExec и AtExec, входящие в состав фреймворка Impacket (выявлен в 33% проектов), а также PsExec из Sysinternals (26%).

8️⃣ Удаленное управление скомпрометированными узлами

Как показали наши проекты, в топ-3 популярных у злоумышленников общедоступных инструментов для удаленного управления узлами входят AnyDesk, Mesh Agent и RMS, полный список — в исследовании.

9️⃣ Туннелирование трафика

Самым популярным набором инструментов для туннелирования трафика в инфраструктуре с узлами под управлением Linux является gsocket. Он был выявлен в 48% компаний с Linux-узлами в инфраструктуре. Эта утилита позволяет организовывать TCP-соединения между узлами при помощи общедоступного облачного сервиса Global Socket Relay Network (GSRN). Недавно в своем Telegram-канале мы рассказывали о признаках, которые помогают выявить следы установки gsocket.

На узлах под управлением Windows злоумышленники чаще всего применяют общедоступный инструмент Ngrok — обнаружен в 23% организаций. Он позволяет получить доступ к внутренним ресурсам инфраструктуры жертв. Ngrok использует собственную сетевую инфраструктуру для подключения, поэтому определить IP-адрес узла атакующего возможности нет. Однако на применение этого инструмента может указывать значение ::%16777216 в поле IP-адреса источника журналов подключения на конечном узле.

Признак использования Ngrok
Признак использования Ngrok

С полным перечнем использованных инструментов можно ознакомиться в полном исследовании.

? Сбор информации

В одном из проектов мы обнаружили, что злоумышленники выгрузили из корпоративного GitLab-хранилища кодовой базы как минимум 28 репозиториев.

В атаках на крупные компании киберпреступники почти всегда автоматизируют сбор информации. Например, в одном кейсе для разведки атакующие использовали PowerShell-сценарий в отношении более 600 узлов. При его исполнении на конечных точках создавались директории, в которых размещались учетные данные и информация об узлах, пользователях и их активности.

Что вас должно насторожить

Мы собрали списки директорий, в которых чаще всего находили следы киберпреступников, и сформулировали признаки, указывающие на потенциальную атаку.

Linux

Топ директорий, используемых злоумышленниками в Linux-системах
Топ директорий, используемых злоумышленниками в Linux-системах

На что можно обратить внимание:

  • скрытый ELF-файл или сценарий (php, jsp, sh, rb, py, pl и т. д.);
    Пример: /home/bitrix/www/.500.php

  • ELF-файл или сценарий в скрытой директории;
    Пример: /usr/lib/.lV3auCr3/gaFNLCCf

  • ELF-файл или сценарий, как правило, в нерелевантной директории (/, /dev, /tmp, /var/tmp, /var/run, /var/spool и т. д.);
    Пример: /tmp/.ICE-unix/dig

  • скрытый ELF-файл или сценарий в нерелевантной директории;
    Пример: /tmp/.X11-unix/.font-unix/.php

  • характерные названия директорий или файлов.
    Пример: /home//CVE-2021-4034

Windows

Топ директорий, используемых злоумышленниками в Windows-системах
Топ директорий, используемых злоумышленниками в Windows-системах

На что можно обратить внимание:

  • три и более файлов в одной директории, характерных для техники DLL Side-Loading;
    Пример:
    C:\ProgramData\OLADCA\Bins\OLADCA.exe — исполняемый файл
    C:\ProgramData\OLADCA\Bins\oleacc.dll — DLL-библиотека
    C:\ProgramData\OLADCA\Bins\OLADCA — вспомогательный неисполняемый файл с полезной нагрузкой

  • исполняемый файл или сценарий (php, jsp, sh, rb, py, pl, ps1, vbs и т. д.), как правило, в нерелевантной директории (C:\ProgramData, C:\Users\, C:\Windows\Temp, C:\Windows\Web);
    Примеры:
    C:\Windows\System32\Microsoft\OfficeClickToRun.exe
    C:\Users\Administrator\1.ps1

  • характерные названия директорий или файлов;
    Примеры:
    C:\Users\Desktop\Mimikatz
    C:\Windows\System32\Config\Systemprofile\AppData\Local\Ngrok

  • директории с названиями, напоминающими названия рабочих каталогов легитимных сервисов
    Примеры:
    C:\ProgramData\intell (с намеренной опечаткой)
    C:\ProgramData\oladca


Рекомендации по безопасности ждут вас в полной версии исследования. Кстати, мы часто разбираем интересные атаки в нашем блоге — заходите почитать, например, про загадочный фальшивый аттач, неуловимую Инну Клеблец или "зоопарк" хакерских группировок. А мы идем охотиться за новыми кейсами.

Яна Авезова

Старший аналитик направления аналитических исследований Positive Technologies

PT ESC IR

Команда Incident Response экспертного центра безопасности Positive Technologies

Комментарии (0)