以下はウラジミールのスピーチの写しですが、無修正でノーカットのバージョン(視聴者の反応を含む)をご覧になりたい方のために、ビデオをご覧ください。
だから、ウラジミールへの言葉:
私たちの生活からいくつかの物語を伝えたいです。 私はそれらのほとんどを最後から伝えます-つまり、事件が何であったかから始めます。 そして、最初にこの攻撃がどのように見えるかを把握しようとするので、会社の防御者として、攻撃者の行動をレーダーに乗せることができます。
これが将来、プロのペンテスターになり、Positive Technologies、Digital Security、または当社で働くときに役立つことを願っています。 監視センターがそのような攻撃をどのように認識し、どのように反応するかを知っているだろう-誰が知っている-おそらくこれはあなたが防御をバイパスし、あなたの目標を達成し、彼が思ったほど無敵ではないことを顧客に示すのに役立つでしょう。 さあ、行きましょうか?
タスク番号1。 このサービスは危険かつ困難であり、一見すると見えないようです...
物語は、ある会社の情報セキュリティサービスの責任者が私たちのところに来て言ったという事実から始まりました。
「みんな、私は奇妙なナンセンスをしています。 自発的に再起動を開始し、ブルースクリーンに落ちる4台の車があります。一般に、ある種のナンセンスがあります。 整理しましょう。」
フォレンジックグループのメンバーがサイトに到着すると、すべてのマシンのセキュリティログがクリーンアップされたことが判明しました。非常に多くのアクティビティがあったため、セキュリティマガジンはすぐにローテーションされました(書き換えられました)。 マスターファイルテーブルにも興味深いものは見つかりませんでした-フラグメンテーションは強く、データはすぐに上書きされます。 それにもかかわらず、システムログで何かを見つけることができました。これらの4台のマシンでは、ほぼ1日1回it_helpdeskサービスが表示され、不明な操作を行います(覚えているようにセキュリティログはありません)。
フォレンジックの章では、この表情について説明しました。
彼らはさらに理解し始め、it_helpdeskサービスが実際にPSExecに名前が変更されたことが判明しました。
Telnetなどのユーティリティや、SymantecのPC Anywhereなどのリモート管理プログラムを使用すると、リモートシステムでプログラムを実行できますが、受信する必要があるリモートシステムにクライアントソフトウェアをインストールする必要があるため、インストールは簡単ではありませんアクセス。
PsExecはTelnetの軽量バージョンです。 コンソールアプリケーションの対話型インターフェイスのすべての機能を使用して、リモートシステムでプロセスを実行でき、クライアントソフトウェアを手動でインストールする必要はありません。 PsExecの主な利点は、リモートシステムでコマンドラインインターフェイスを対話的に呼び出し、IpConfigなどのツールをリモートで実行できることです。 これは、ローカルシステムの画面にリモートシステムに関する情報を表示する唯一の方法です。
technet.microsoft.com
他のマシンのシステムログを確認したところ、4台のワークステーションではなく、20台に加えて19台のサーバー(1台の重要なサーバーを含む)が関与していることがわかりました。 ITスペシャリストと話をしたところ、彼らはこれとは何の関係もなく、そのようなサブシステムを持っていないことがわかりました。 彼らはさらに掘り始めた後、かなり奇妙で珍しいものが発見されました-ボットネットコントロールセンターとの通信を担当するマルウェアモジュールを使用したDNSトンネリング。
DNSトンネリング-DNSプロトコルを介して任意のトラフィックを転送する(実際には、トンネルを上げる)ことができる技術。 たとえば、DNS名前解決が許可されているポイントからインターネットへのフルアクセスを取得するために使用できます。
DNSトンネリングは、残りのDNSトラフィックを許可しながら、単純なファイアウォールルールでは拒否できません。 これは、DNSトンネルトラフィックと正当なDNSクエリが区別できないためです。 DNSトンネリングは、クエリの強度(トンネルを通過するトラフィックが大きい場合)、および侵入検知システムを使用したより高度な方法によって検出できます。
xgu.ru
悪意のあるコードがメールで組織に入り、インフラストラクチャ全体に広がり、DNSトンネルを介してC&Cサーバーと対話しました。 したがって、サーバーセグメントに立っていたインターネットとの対話の禁止は機能しませんでした。
重要なサーバーの1つに、パスワードを自動的に読み取るキーロガーがあり、マルウェアはさらにクロールを試み、BSODにマシンをドロップし、それを上げた管理者のパスワードを読み取るなど、新しいユーザー資格情報を受け取りました。
これは何につながりましたか? マルウェアがインフラストラクチャに存在していた間、多くのアカウントが侵害され、さらに、他の大量の潜在的に機密性の高いデータが侵害されました。 調査中に、攻撃者の範囲を特定し、ネットワークから「追い出した」。 顧客はさらに4か月分の小麦粉を受け取りました-マシンの半分を補充し、すべてのパスワードをデータベース、アカウントなどから再発行するのに時間がかかりました。 ITの経験がある人は、これがどんなに難しい話なのかを説明する必要はありません。 しかし、それにもかかわらず、すべてがうまく終わりました。
質問は次のとおりです。この攻撃をどのように検出し、サイバー犯罪者を攻撃するのでしょうか。
最初のタスクへの答え
まず、覚えているように、感染は重要なサーバーに影響を及ぼしました。 そのようなホストで以前に未知の新しいサービスが起動された場合、これは非常に重大な重大性のインシデントです。 これは起こらないはずです。 少なくとも重要なサーバー上で実行されるサービスを監視する場合、これだけで早期にそのような攻撃を特定し、開発を防ぐのに役立ちます。
第二に、最も基本的な保護手段からの情報を無視しないでください。 PSExecはウイルス対策ソフトウェアによって十分に検出されますが、マルウェアとしてではなく、リモート管理ツールまたはハッキングツールとしてマークされます。 ウイルス対策ログを注意深く見ると、時間内に応答を確認し、適切な対策を講じることができます。
第二に、最も基本的な保護手段からの情報を無視しないでください。 PSExecはウイルス対策ソフトウェアによって十分に検出されますが、マルウェアとしてではなく、リモート管理ツールまたはハッキングツールとしてマークされます。 ウイルス対策ログを注意深く見ると、時間内に応答を確認し、適切な対策を講じることができます。
タスク番号2。 怖い話
大手銀行の女性は金融サービスで働いており、CBDのAWSにアクセスできます。
AWP KBR-ロシア銀行のクライアントの自動化された職場。 これは、支払い注文、銀行便などの送信を含む、ロシア銀行との安全な情報交換のためのソフトウェアソリューションです。
この財務担当者は、Skazki_dlya_bolshih_i_malenkih.pdf.exeというファイルを使用してフラッシュドライブを動作させました。 彼女には小さな娘がいて、女性は職場で子供向けの本を印刷したかったので、インターネットからダウンロードしました。 .pdf.exeファイル拡張子は彼女には疑わしくありませんでした。その後、彼女がファイルを起動すると、通常のPDFが開きました。
女性は本を開いて家に帰りました。 ただし、.exe拡張子はもちろん偶然ではありません。 彼の背後にはRemo Admin Toolがあり、ワークステーションに座って1年以上システムプロセスを掘りました。
そのようなマルウェアはどのように機能しますか? まず、画面のスクリーンショットを毎分約15回作成します。 別のファイルに、キーロガーから受信したデータ(ログインとパスワード、メールの通信、インスタントメッセンジャーなど)を追加します。 クライアントを接続すると、感染したホストにすぐに気付き、ネットワークからウイルスを駆除しました。
質問:アンチウイルスによって検出されなかった「見えない」マルウェアをどのようにして検出できますか?
2番目のタスクに対する答え
まず、マルウェアは、通常、ファイルシステム内で何かを行い、レジストリエントリを変更します。つまり、マルウェアは何らかの形でシステムに読み込まれます。 これは、オペレーティングシステム自体が書き込むログのレベル(セキュリティログ、プロセスの開始、レジストリの変更)でホストを監視する場合に監視できます。
第二に、このようなマルウェアは自律的には存在せず、常にどこかをノックしていることを覚えておくことが重要です。 多くの場合、ネットワーク上のワークステーションはプロキシを介してのみインターネットにアクセスするため、マシンが直接どこかをノックしようとする場合、これは対処する必要がある重大なインシデントです。
第二に、このようなマルウェアは自律的には存在せず、常にどこかをノックしていることを覚えておくことが重要です。 多くの場合、ネットワーク上のワークステーションはプロキシを介してのみインターネットにアクセスするため、マシンが直接どこかをノックしようとする場合、これは対処する必要がある重大なインシデントです。
タスク番号3。 「ブラディ・ワレズ」
システム管理者は、2つの.xmlファイルを比較して「接着」する必要がありました。 彼は単純な方法で行った-検索エンジンに「登録とSMSなしでXMLマージをダウンロード」と入力した。 このユーティリティの開発者の公式Webサイトは、この問題で3位、最初の2つはファイル共有です。 そこで、管理者はプログラムをダウンロードしました。
おそらく既に推測したように、特権を増やすための優れた高品質のモジュールが「無料」ユーティリティに組み込まれました。 彼はマシン上のウイルス対策エージェントを破壊し、代わりに同じ名前のファイルを作成しました。 そのため、マルウェアもマシンにハングアップし、定期的にコントロールセンターと通信しました。
最悪の事態は、IT管理者が城の王様であり、どこからでもアクセスできることです。 彼のマシンから、ウイルスは任意のホストまたはサーバーに到達できます。 マルウェアは、ドメインの共有ポイントを介してネットワークをクロールし、主な投資家の車に到達しようとしました。 その瞬間、彼女は尾にひっかかり、物語は消滅しました。
質問:特権ユーザーのマシンでこのような攻撃を検出する方法は?
3番目の問題への答え
繰り返しになりますが、C&Cサーバーへのリクエストの際に、マルウェアを「赤字」でキャッチしようとすることでトラフィックを聞くことができます。 ただし、NGFW、IDS、ネットワークトラフィック分析システム、またはトラフィックから少なくとも何か貴重なものをキャッチするSIEMが企業にない場合は、無限に聞くことができます。
オペレーティングシステムのログは、外部システムに送信することで確認する方が効率的です。 マルウェアはウイルス対策エージェントを削除しましたが、監査ファイルをクリアできなかったため、外部システムに送信されたログには、ウイルス対策エージェントの削除に関する情報、または少なくとも監査がクリーンアップされたという事実が確実に含まれます。 その後、マシン自体のログは空になり、トレースは見つかりません。
オペレーティングシステムのログは、外部システムに送信することで確認する方が効率的です。 マルウェアはウイルス対策エージェントを削除しましたが、監査ファイルをクリアできなかったため、外部システムに送信されたログには、ウイルス対策エージェントの削除に関する情報、または少なくとも監査がクリーンアップされたという事実が確実に含まれます。 その後、マシン自体のログは空になり、トレースは見つかりません。