Как айтишники и безопасники защищают сами себя: реальные кейсы с Cisco Connect, BlackHat, RSAC и MWC

    В широком кругу людей, далеких от современных технологий, принято считать, что ИТ- и уже тем более ИБ-специалисты — это параноики, которые под влиянием профдеформации перестраховываются и защищают себя десятками различных средств защиты, зачастую перекрывающих друг друга для большей надежности. Увы, реальность немного иная и сегодня мне хотелось бы показать то, что обычно скрыто от широкого взгляда. Речь пойдет о результатах мониторинга Интернет-активности посетителей различных крупных международных и национальных мероприятий, посвященных современных информационным технологиям и информационной безопасности. Компания Cisco часто является технологическим партнером таких конференций и выставок как RSA в Сан-Франциско, BlackHat в Сингапуре, Mobile World Congress в Барселоне, а таже является организатором собственного мероприятия, в разных странах именуемого то Cisco Live, то Cisco Connect. И везде мы используем наши технологии мониторинга которых я и хотел бы поделиться.

    image

    Начну с российской Cisco Connect, которая раз в год проходит в Москве, и на которой Cisco представляет свои новинки, рассказывая об опыте их использования для решения различных бизнес- и ИТ-задач. Посещает эту конференцию более 2-х тысяч человек, которые преимущественно относятся к категории инженеров и ведущих специалистов, отвечающих за эксплуатацию своих инфраструктур, насчитывающих от нескольких сотен до десятков и сотен тысяч узлов. Эти специалисты приходят на конференцию Cisco Connect и, наряду с получением новых знаний, продолжают находиться на связи со своим руководством или подчиненными, отвечая на рабочую почту или заходя на различные Интернет-ресурсы в поисках ответа на возникающие вопросы. Иными словами, посетители Cisco Connect активно используют мобильные устройства (планшеты, смартфоны и ноутбуки) и предоставляемый Cisco доступ в Интернет. В последний раз, весной, мы решили интегрировать нашу беспроводную инфраструктуру для выхода в Интернет с системой мониторинга DNS — Cisco Umbrella.

    Мы не оценивали, сколько участников Cisco Connect использовали предоставленный беспроводной доступ в Интернет, а сколько применяли 3G/4G-доступ, предоставляемый их мобильным оператором. Но за два дня конференции с 7 утра 3 апреля до 9 вечера 4 апреля через сервис Cisco Umbrella прошло около 600 тысяч DNS-запросов. Это не так уж и много в масштабе всего сервиса, который в день обрабатывает около 120-150 миллиардов запросов. 0.08% из этого числа запросов имело ярко вредоносную направленность и было блокировано.

    image

    Интересно, что если в первый день около половины всех вредоносных запросов было зафиксировано нами в первой половине дня (с 10-ти утра до часа дня), когда были пленарные доклады, то во второй день активизация всего плохого началась после 4-х вечера, когда конференция подходила к концу и участники готовились к культурной программе — небольшому фуршету и участию в концерте. Низкая активность в остальное время говорит о том, что участники Cisco Connect активно слушали выступления специалистов Cisco и ее партнеров и не отвлекались на серфинг в Интернет и работу на мобильных устройствах.

    image

    Согласно статистике, большая часть заблокированных попыток доступа была связана с действием вредоносного кода.

    image

    Сам по себе сервис Cisco Umbrella не может сказать, является ли посещаемый ресурс зараженным или нет. Ассоциированные с доменом вредоносные семплы говорят только о том, что они каким-либо образом коммуницируют с заблокированным доменом или IP-адресом. Например, по причине распространения вредоносного кода с этого домена. Или по причине обращения вредоносного кода к данному домену в качестве kill switch (так действовал тот же WannaCry). Или по причине использования домена в качестве командного сервера. В любом случае это повод для проведения дополнительного расследования.

    image

    Что же касается командных серверов, то мы фиксировали и такие попытки.

    image

    image

    Обращу внимание, что злоумышленники достаточно активно эксплуатируют тему, связанную с использование доменов-клонов или доменов, названия которых похожи на настоящие. Так было и во время Cisco Connect, когда мы зафиксировали попытки обращения к домену onedrive[.]su.

    image

    Наконец, несколько попыток было связано с деятельностью криптомайнеров. Это еще одна пограничная зона, которая требует дополнительного расследования, так как заранее нельзя сказать, является ли майнинг в данном случае легальным (вдруг кто-то решил подзаработать) или компьютер пользователя используется скрыто и не по назначению. Я уже писал про различные способы обнаружения майнинга с помощью решений Cisco — с тех пор мы только усилили наши возможности в этой области.

    image

    image

    image

    Можно отметить, что по сравнению с другими ИТ- и ИБ-мероприятиями, Cisco Connect является не таким уж и крупным (хотя в России оно одно из крупнейших). Но даже на 2000 с лишним посетителей было зафиксировано почти 250 попыток взаимодейстия с доменами, связаными с вредоносным кодом, что немало для аудитории, которая должна прекрасно понимать всю опасность данной угрозы и уметь с ней бороться. Давайте посмотрим, что нам удалось обнаружить в рамках мониторинга Wi-Fi-окружения на крупнейшей мировой выставке по кибербезопасности — RSAC, которая проходила в апреле этого года в Сан-Франциско. Ее посетило 42 тысячи человек. Cisco вместе с компанией RSA обеспечивали работу RSA SOC (уже в пятый раз), задачей которого было не допустить атак на беспроводную инфраструктуру Moscone Center (место проведения выставки и конференции). Со стороны Cisco были предоставлены следующие решения — песочница Cisco Threat Grid, система мониторинга DNS — Cisco Umbrella, а также решения по Threat Intelligence — Cisco Visibility и Talos Intelligence.

    image

    Интересно, что на гораздо более крупном чем Cisco Connect мероприятии, число вредоносных доменов было сопоставимо — 207. Зато используемых в рамках RSAC криптомайнинговых доменов мы зафиксировали с помощью Cisco Umbrella на порядок больше — 155. Наиболее активны были следующие:

    • authedmine[.]com
    • coinhive[.]com
    • minergate[.]com
    • www[.]cryptokitties[.]co
    • api.bitfinex[.]com
    • poloniex[.]com (этот был зафиксирован и на Cisco Connect)
    • www[.]coinbase[.]com
    • api.coinone.co[.]kr
    • binance[.]com
    • gemius[.]pl

    Парадоксально, но на крупнейшем мировом ИБ-мероприятии, где собирается свет всей отрасли (ну или большая его часть), пользователи до сих пор продолжали использовать незашифрованные HTTP-соединения и скачивать через них файлы, среди которых были счета, авиабилеты, коммерческие предложения, материалы для инвесторов и т.п. Именно это мы отметили как основную проблему во время недельного мониторинга. Такое впечатление, что участники RSA чувствовали себя на конференции как дома и не сильно заботились о своей безопасности. А ведь вся эта информация могла быть использована для организации фишинга — большое количество ценной информации было открыто для перехвата.

    image

    С презентацией для брифинга с инвесторами вообще получилась интересная ситуация. В ней была достаточно ценная информация от одного из спонсоров RSA — пришлось срочно выискивать их на выставке, делать экскурсию в SOC, чтобы они на месте могли убедиться в опасности своих действий и выяснили, доступна ли уже СМИ и аналитикам циркулирующая в незащищенном виде информация.

    image

    Всего за 5 дней конференции RSA SOC зафиксировал около 1000 вредоносных файлов, среди которых были и такие, как вариант червя SkyNet.

    image

    image

    Были зафиксированы и взаимодействия с командными серверами (таких попыток было 24),

    image

    а также фишинговые сайты-клоны. Например, cragslist[.]org, который имитирует известный сайт электронных объявлений Graiglist, запущенный в Сан-Франциско в 90-х годах и пользующийся большой популярностью у американцев.

    image

    Фейковый сайт их и привлекал, хотя сам был зарегистрирован в Чехии.

    image

    Что изменилось на RSAC за прошедший год? Возросла активность криптомайнеров (особенно Monero) и появилось мобильное вредоносное ПО. А вот беспечность пользователей осталась на прежнем уровне — 30-35% e-mail передавалась в незашифрованном виде с помощью устаревших протоколов POP и IMAPv2. И хотя остальные приложения преимущественно использовали шифрование, оно было слабым и построено на уязвимых криптографических протоколах, например, TLS 1.0. Кроме того, многие приложения, например, домашнее видеонаблюдение, сайты знакомств (полно же командировочных безопасников :-), умные дома, хоть и использовали аутентификацию, аутентификационные данные передавались в открытом виде! Парадоксальное явление.

    Немного иная картина была на Mobile World Congress в Барселоне в первом квартале этого года, который посетило 107 тысяч человек. Для мониторинга беспроводной сети мы использовали нашу систему анализа Cisco Stealthwatch. Шифрование Web-трафика использовалось в 85% случаев (на сингапурском BlackHat это значение достигало и вовсе 96%).

    image

    Анализируя Netflow, мы за два дня (26 и 27 февраля) зафиксировали 32000 событий безопасности, из которых 350 можно было определить как серьезные инциденты:

    • активность криптомайнеров
    • троянцы для Android (Android.spy, Boqx, инфицированное firmware)
    • вредоносный код SALITY
    • вредоносное ПО, активно сканирующиее сервисы SMB
    • OSX Malware Genieo
    • черви типа Conficker
    • RevMob
    • AdInjectors
    • некоторое количество мобильных устройств на базе Android было инфицировано
    • неразрешенное протоколы такие как Tor и BitTorrent.

    image

    Некоторые вредоносные программы использовали PowerShell для взаимодействия с командными серверами по HTTPS. Вообще вредоносы все чаще используют зашифрованные соединения (рост 268% за последние полгода). Мы их анализировали с помощью технологии Encrypted Traffic Analytics, встроенной в Cisco Stealthwatch, и позволяющей обнаруживать вредоносную активность в зашифрованном трафике без его расшифрования и дешифрования.

    image

    Завершу заметку о том, что происходит за кулисами ИБ- и ИТ-мероприятий, где специалисты также попадают под раздачу злоумышленников и киберпреступников, как и рядовые пользователи, рассказом о том, как мы мониторили безопасность на сингапурском Black Hat, прошедшем в марте 2018 года. В этот раз мы были частью NOC, отвечая за безопасность азиатского мероприятия по ИБ. Но как и на RSAC использовали тот же набор решений — Cisco ThreatGrid для анализа файлов, Cisco Umbrella для анализа DNS и Cisco Visibility для threat intelligence. Так как многие доклады, лабы, демонстрации и тренинги требовали доступа к вредоносным сайтам и файлам, мы их не блокировали, а только наблюдали за ними. В целом картина была схожей с тем, что описано выше, но об одном интересном случае рассказать хотелось бы.

    В первый день конференции мы зафиксировали необычную активность — более 1000 DNS-запросов к домену www.blekeyrfid[.]com за 1 час. Дополнительное расследование показало, что вся активность шла с одного ПК и только во время работы конференции.

    image

    Перейдя из консоли Cisco Umbrella в средство проведения расследования Cisco Umbrella Investigate, мы стали изучать, что это за домен. IP, на котором располагался домен, оказался в черном списке Umbrella. Доступ к таким сайтам был допустим для участников конференции Black Hat Asia. Однако мы заблокировали доступ к нему со стороны конференционных активов.

    image

    Расследование с помощью ThreatGrid показало, что этот домен рекламировал решения для спуфинга систем контроля доступа. Дальше информация была передана организаторам, которые уже сами проводили соответствующее расследование, была ли данная активность законной или нет.

    image

    Но самым распространенным событием безопасности на Black Hat Asia стали криптомайнеры. Впервые мы зафиксировали такую активность еще на европейском Black Hat 2017-го года. В Сингапуре же это стало просто каким-то бичом. Наибольшая часть трафика с конференции вела на домен authedmine[.]com, который ассоциирован с coinhive[.]com.

    image

    Анализ этого домена в Cisco Umbrella Investigate показал, что с ним связано много вредоносных семплов, которые мы анализировали в Cisco ThreatGrid.

    image

    Благодаря недавно выпущенному новому решению Cisco Visibility мы смогли лучше понять архитектуру злоумышленников и взаимосвязь между IP-адресами, артефактами, URL и вредоносными семплами.

    image

    Обычно криптомайнинг реализуется двумя способами:

    • явный — пользователь явно соглашается участвовать в майнинге и предпринимает усилия, чтобы его антивирус и иное защитное ПО не блокировало криптомайнера
    • неявный — пользователь не знает, что открытый им браузер майнит криптовалюту, использую ресурсы компьютера.

    Владельцы authedmine[.]com заявляют (как показывает анализ в ThreatGrid), что они используют первый вариант.

    image

    Однако на самом сайте для майнинга используется скрипт .js (метод, используемый обычно во втором варианте), который загружается в Temporary Internet Files без согласия пользователя.

    image

    Используя интегрированные и глобальные данные threat intelligence, мы видим, что этот скрипт используется как артефакт в других других семплах, которые мы анализировали с помощью Cisco ThreatGrid.

    image

    Были зафиксированы и другие майнинговые домены:

    • www[.]cryptokitties[.]co
    • bitpay[.]com
    • www[.]genesis-mining[.]com
    • ws010[.]coinhive[.]com
    • www[.]cryptomining[.]farm
    • www[.]ledgerwallet[.[com
    • ethereum[.]miningpoolhub[.]com
    • miningpoolhub[.]com
    • push[.]coinone.co[.]kr
    • ws[.]coinone.co[.]kr
    • getmonero[.]org
    • widgets[.]bitcoin[.]com
    • index[.]bitcoin[.]com
    • api[.]nanopool[.]org
    • wss[.]bithumb[.]com
    • api[.]bitfinex[.]com

    image

    Какие бы выводы мне бы хотелось сделать в заключение этого обзора наших усилий по мониторингу различных ИТ- и ИБ-мероприятий в 2018-м году:

    • Даже специалисты по ИБ или ИТ, которым по должности положено уметь себя защищать, не всегда делают это правильно.
    • На конференциях по ИБ и ИТ многие специалисты беспечны и могут не только подключиться к фейковой точке доступа, но и использовать незащищенные протоколы для аутентификации на различных ресурсах или для работы с электронной почтой, открывая для злоумышленников интересные и опасные возможности.
    • Мобильные устройства представляют из себя интересную мишень для злоумышленников. Ситуацию усугубляет тот факт, что такие устройства обычно плохо защищены и не находятся под сенью периметровых МСЭ, IDS, DLP, систем контроля доступа и защиты e-mail. Заражение таких устройств и приход с ними на работу может повлечь за собой гораздо более печальные последствия, чем несогласованный с пользователем майнинг.

    P.S.: Совсем скоро, в августе, мы будем вновь мониторить безопасность Black Hat в Лас-Вегасе и обязательно поделимся с читателями Хабра результатами нашей работы.
    Cisco 102,67
    Cisco – мировой лидер в области сетевых технологий
    Поделиться публикацией
    Комментарии 10
      +1
      Почему poloniex отнесли к криптомайнингу? И почему вы описываете события скрытого майнинга и показываете картинку с названием крипто-биржы?
        0
        А к чему относить poloniex? В чистом виде криптовалютный ресурс.
        События криптомайнинга (скрытого или открытого) не могут быть связаны с крипто-биржами? О какой из множества картинок идет речь?
          0
          Читайте внимательно статью: когда начался абзац, что бы зафиксированы попытки скрытого майнинга и показаны картинка с poloniex. Вот вас ответ: если кто-то на мероприятии открыл poloniex и посмотрел курс, это не значит, что работает хоть какой либо майнер. Более того, ниже приведен целый список ресурсов крипто-майнинга, в котором помимо полыни есть binance, bitfinex. Майнеры(программы) скрытые/нескрытые никогда не делают запросы к бирже(если только не хотят узнать курс) -это бессмысленно.
            0
            А, понял. Если речь идет о верхней картинке (с Cisco Connect), то я видимо неудачно связал текст с картинкой. Были зафиксированы и попытки скрытого майнинга (они упомянуты на самом первом скриншоте), но картинку я снял с poloniex. Если речь идет о Black Hat Asia, то там на картинках нет poloniex.
            0

            Вы опять в кучу криптовалюты и криптомайнинг валите. Cryptikitties — тоже ведь не майнят, а покупают за криптовалюту всего лишь.


            Это как Амазон относить к сайтам для заработка — ведь на нём можно потратить заработанное.

              0
              Возможно. Мы объединяем это в одну группу.
          –1
          Если я правильно понял, то статья написана на необитаемом острове с отсутствием любых средств связи, вывезена оттуда в формате узелкового письма майя, и после всех согласований днс-запросов была произведена авторизация на хабре в присутствии должностных лиц с постоянным мониторингом трафика и использованием всех возможных средств криптографии и защиты.
            0
            Если быть точнее, то статья написана во время матча Хорватия-Англия и по ее впечатлением
              0
              Если серьезно, то возникает вопрос — должны ли безопасники безапелляционно доверять облаку Cisco Umbrella?
                +1
                Безогоровочно вообще никому нельзя доверять, особенно в ИБ. Но в Интернет вы же доверяете DNS-серверам Google, Яндекса или еще кого-то. Чем мы хуже? Мы даже лучше по показателю uptime

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое