Многие из вас слышали про APT (advanced persistent threat) — тщательно спланированные кибератаки, как правило, нацеленные на определенную компанию или отрасль. Логично предположить, что за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами. Тактики и техники APT-группировок описаны в матрице MITRE ATT&CK. Исследователи и специалисты по кибербезопасности постоянно пополняют ее новыми данными, а также используют знания из нее при разработке средств защиты информации.
Так делают и наши эксперты. В этой статье мы хотим показать, как данные из MITRE ATT&CK помогают MaxPatrol EDR защищать компании от продвинутых угроз. Для этого мы проанализировали реальные атаки четырех известных APT-группировок и теперь расскажем, как MaxPatrol EDR сможет их остановить. Детальный разбор ждет вас под катом ?
Что внутри EDR-решения: краткая теория
Прежде чем мы поговорим про сами APT-группировки, кратко вспомним об одном из инструментов борьбы с ними — EDR-системе. Продукты этого класса используют для защиты корпоративной инфраструктуры. Собственно, аббревиатура и расшифровывается как Endpoint Detection and Response, что можно перевести как «обнаружение и реагирование на конечных устройствах». Насколько хорошо EDR-решение будет справляться с угрозами, в основном зависит от двух составляющих:
точности детектирования, в нашем случае основанном на богатых правилах корреляции и нескольких других методах;
функциональных возможностей агентов, таких как быстрое реагирование, обогащение событий данными, сбор данных для форензики и проактивного поиска угроз.
Правила корреляции — это механизм автоматического обнаружения подозрительных действий в системе. Большинство из них основано на той или иной технике из матрицы MITRE ATT&CK — открытой базе знаний, в которой собрана информация о методах атак.
После того как действия, похожие на атаку, обнаружены, в дело вступают модули агента. По сути, это специальные приложения, которые выполняют самые разные функции: блокируют IP-адреса злоумышленников, помещают файлы в карантин, удаляют вредоносные объекты и т. п.
Отлично, с теорией мы разобрались, пора переходить к практике! Далее мы разберем деятельность четырех известных APT-группировок, а также рассмотрим, как MaxPatrol EDR и MITRE ATT&CK помогают защититься от их атак.
? Hellhounds: новый бэкдор и уничтожение ИТ-инфраструктуры
Хакеры из Hellhounds известны своими атаками на российские компании с ИТ-инфраструктурами под управлением Linux и Windows. Впервые наш департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обратил на нее внимание в октябре прошлого года. Однако мы до сих пор не уверены, что именно интересует этих злоумышленников, потому что в списке жертв Hellhounds десятки организаций из самых разных сфер: от госучреждений до ритейла и телекоммуникаций. Экспертам удалось подробно расследовать одну из атак группировки. Тогда их жертвой стал российский телеком-оператор. Киберпреступники уничтожили всю его ИТ-инфраструктуру на Linux, в результате чего абоненты сутки оставались без связи.
Члены группировки Hellhounds используют разнообразные векторы нападения: от уязвимых веб-сервисов до атак на цепочки поставок. Свои действия злоумышленники тщательно маскируют под работу легитимного ПО и могут годами оставаться незамеченными в системе. Главное оружие киберпреступников — новый бэкдор Decoy Dog, который связывается с управляющим сервером посредством DNS-туннелирования. Это метод маскировки вредоносных команд внутри DNS-запросов, позволяющий обходить защиту.
?️ Спасаем инфраструктуру от уничтожения Hellhounds
Главный принцип защиты от этой APT-группировки — поиск не вредоносного ПО, а следов его активности. Например, на начальном этапе атаки (Initial Access) правила корреляции позволяют выявить подключение к скомпрометированным узлам через SSH-протокол. Далее оператор увидит список IP-адресов злоумышленников и сможет заблокировать их с помощью соответствующего модуля.
Авторы Decoy Dog постарались максимально усложнить его обнаружение не только в трафике, но и в файловой системе. Выявить угрозу на ранних стадиях непросто, но правила корреляции и статический анализ YARA (к слову, таких правил в продукте уже более 6000) вместе с данными из матрицы MITRE ATT&CK способны указать на следы злоумышленников и на других этапах атаки. В частности, MaxPatrol EDR поможет обнаружить попытки Decoy Dog замаскироваться под системные службы, использовать DNS-туннелирование для общения с командным сервером, красть учетные данные и повреждать инфраструктуру.
? Группировка ExCobalt: фишинг и старый (не)добрый CobInt
Судя по всему, киберпреступники из этой APT-группировки являются преемниками Cobalt. Если раньше их интересовали в основном деньги, то теперь злоумышленники переключились на кибершпионаж и кражу данных. Свои атаки хакеры из ExCobalt, как правило, начинают с фишинговой рассылки. Если жертва запустит приложенный к письму файл, начнется загрузка вредоносного модуля CobInt — он давно известен аналитикам ИБ и ассоциируется именно с этой группировкой. Кроме того, в арсенале злоумышленников есть руткит Facefish и еще один новый бэкдор — GoRed.
?️ Защищаем данные от ExCobalt
Поскольку CobInt не раз попадал в руки аналитиков, нам известны его хеш-суммы — уникальный набор байтов, который получается в результате применения алгоритма хеширования к содержимому файла. Это позволяет MaxPatrol EDR находить бэкдор в электронных письмах и сообщать о начале фишинговой атаки. Кроме того, для получения первичного доступа хакеры ExCobalt пользуются известной уязвимостью CVE-2023-3519. Система защиты не выявит сам факт проникновения, но заметит подозрительные действия на скомпрометированном узле и оповестит оператора.
Отследить действия киберпреступников можно по эксплуатации других характерных для ExCobalt уязвимостей, в частности, WinRAR CVE-2023-38831. Правила и модули MaxPatrol EDR содержат информацию о техниках и инструментах этой APT-группировки. Например, использование скриптов PowerShell, Visual Basic Script (VBS) и Python, который злоумышленники применяют для связи с командным сервером. Система также обнаружит следы популярного у членов этой группировки вредоносного ПО, такого как Spark RAT, руткита Kitsune и, конечно, самого бэкдора GoRed. Например, YARA-сканер и корреляционные правила выявят попытки сканировать файловую систему и собрать информацию об активных процессах. Нейтрализовать угрозу в этом случае помогут модули завершения процессов, удаления файлов и помещения их в карантин.
? Dark River: высокотехнологичный бэкдор и атаки на ОПК
Хакеров из Dark River, так же как и из ExCobalt, интересует кибершпионаж. Члены этой APT-группировки используют высокотехнологичный бэкдор MataDoor, который позволяет им долго оставаться незамеченными и красть секретные данные своих жертв.
?️ Прячем секреты от Dark River
Хакеры из Dark River тоже не брезгуют фишинговыми рассылками, поэтому первое оружие против них — бдительность сотрудников. Чтобы не пустить в свою инфраструктуру их бэкдор, нужно проверять правильность подписи в письмах, обращать внимание на нетипичные просьбы и вложения. EDR-решения могут обнаружить MataDoor и отправить на проверку в песочницу, которая изучит файл в виртуальной среде. Если бэкдор уже оказался в инфраструктуре, отследить его поможет поведенческий анализ трафика на индикаторы компрометации. Например, мы знаем, что MataDoor запускается через системные утилиты Regsvr32 и Rundll32, поэтому наши правила выявляют подозрительные манипуляции с ними.
Есть и другие признаки активности Dark River, которые умеет выявлять MaxPatrol EDR. Например, удаленное выполнение вредоносных команд, попытки собрать информацию о версии ОС, имени узла, его IP- и MAC-адресах, активных TCP-соединениях. Работу MataDoor могут выдать также попытки подключиться к портам, нетипичным для того или иного протокола — так бэкдор общается с командным сервером злоумышленников. Чтобы помешать MataDoor шпионить в инфраструктуре, продукт задействует модуль изоляции сетевых узлов, а для нейтрализации угрозы — модули завершения процессов, удаления файлов и помещения их в карантин.
? Группировка Space Pirates
Мы засекли группировку Space Pirates летом 2021 и уже несколько раз писали об этих космических пиратах. Киберпреступники также специализируются на кибершпионаже и краже конфиденциальных данных. Однако в отличие от Dark River список их целей куда шире: от госучреждений до предприятий ракетно-космической отрасли и компаний ИБ в России и Сербии. Кстати, российская военная промышленность их также интересует.
Хакеры из Space Pirates используют в атаках нестандартные техники и легитимные инструменты для разведки. Например, с помощью сканера Acunetix они находят уязвимости в инфраструктурах жертв. В компрометации системы злоумышленники полагаются на вредоносную утилиту Deed RAT и необычный бэкдор Voidoor. Его особенность заключается в том, что он получает команды из репозиториев GitHub и форума voidtools, подробнее можно почитать в нашем исследовании техник Space Pirates.
?️ Боремся с космическими пиратами
«Абордаж» со стороны Space Pirates вероятнее всего начинается с эксплуатации уязвимостей сетевого периметра. Чтобы защитить инфраструктуру от атак группировки в нашем продукте есть модуль распознавания опасных файлов и ссылок в электронной почте. Например, по хеш-суммам с помощью анализа в песочнице и YARA-правил.
Дальнейшее развитие атаки можно отследить по вредоносным скриптам командной строки и VBS. Бэкдор также обращается к функциям WinAPI для внедрения шелл-кода, который позволяет повышать привилегии в системе и совершать другие вредоносные действия. Еще один признак появления Space Pirates — использование модуля atexec.py для запуска команд на узле и полезной нагрузки RtlShare для закрепления в системе через подмену COM-объекта MruPidlList. Это известная техника закрепления в инфраструктуре, которую отслеживают правила MaxPatrol EDR.
Затем киберпреступники маскируют свои действия под легитимные процессы и сканируют приложения на уязвимости. В частности, хакеров интересует возможность провести атаку типа DLL Side-Loading. Ее суть заключается в том, чтобы внедрить вредоносную DLL-библиотеку в легитимную программу и таким образом заставить ее выполнять код злоумышленников. После этого Space Pirates крадут учетные данные, собирают информацию о системе и других узлах сети. На завершающей стадии атаки они применяют утилиты dog-tunnel для туннелирования трафика и Deed RAT для соединения с командными серверами. Все эти действия описаны в матрице MITRE ATT&CK и покрываются правилами MaxPatrol EDR.
При выявлении атаки необходимо задействовать модули завершения процессов, удаления файлов и помещения их в карантин. С помощью YARA-сканера завершаем процесс-объект и сканируем память системных процессов. А если хакеры из Space Pirates попытаются поместить ярлык в папку автозапуска и закрепиться на узле через ключи реестра Run и RunOnce, нужно удалить соответствующий ключ — SOFTWARE\Microsoft\Windows\CurrentVersion\Run\letsintellsvc.
За деталями приходите в наше исследование на сайт. Там содержится подробное описание тактик и техник АРТ-группировок, а также приведены примеры обнаружения и реагирования.
Выводы
Мы разобрали методы APT-группировок, поскольку обычно они применяют самые необычные тактики и техники. Однако хакеры рангом пониже очень быстро усваивают их опыт, так что о противодействии им нужно задуматься каждой компании. Наши эксперты тщательно изучают методы киберпреступников в матрице MITRE ATT&CK и разрабатывают правила на основе реальных атак. Только так можно выявлять самые продвинутые угрозы и покрывать правилами каждый шаг злоумышленников в системе. Если у вас остались вопросы или что-то хотите узнать подробнее, пишите в комментариях к статье.
Александр Коробко
Руководитель направления продуктового маркетинга по безопасности инфраструктуры Positive Technologies
Валерий Слезкинцев
Руководитель направления реагирования на конечных устройствах PT Expert Security Center (PT ESC)
Виталий Самаль
Ведущий специалист в отделе экспертизы EDR