Современный ландшафт киберугроз диктует необходимость не только применять надежные технические средства защиты, но и выполнять непрерывный мониторинг событий системной и пользовательской активности на конечных устройствах сети. Если при случайной загрузке вредоносного ПО, например, с пиратским контентом, могут помочь стандартные антивирусные решения, то при целенаправленной атаке, за которой стоит группа профессионалов, успешное противодействие возможно только при участии команды опытных специалистов.
В таких случаях недостаточно поблагодарить антивирус за обнаруженную и заблокированную угрозу. Важно понимать, что атакующие, чья активность только что была остановлена, потенциально все ещё имеют доступ к устройству и теперь знают о наличии защитной системы и её характеристиках. Это позволит злоумышленникам точечно проработать способы обхода используемого средства защиты и развить атаку, оставшись незамеченными.
При обнаружении следов присутствия злоумышленников в корпоративной сети критически важно оперативно приступить к локализации инцидента и анализу его причин. Это необходимо, чтобы предотвратить дальнейшее развитие атаки или её повторение. Хотя в таких ситуациях может возникнуть соблазн полностью отключить сеть и начать восстановление с нуля, важно помнить: восстановление из резервных копий или повторное развертывание инфраструктуры по старым схемам может вернуть систему в уязвимое состояние или даже оставить её скомпрометированной. Поэтому при обнаружении активности атакующих необходимо выяснить, как именно они получили доступ к сети и какие действия предпринимали в процессе развития атаки. Это позволит устранить уязвимости ИТ-инфраструктуры, определить скомпрометированные узлы и убедиться в том, что атакующие утратили к ним доступ.
Таким образом, даже хорошо настроенная система мониторинга требует постоянного контроля и анализа выявленных событий. Только комплексный и проактивный подход, включающий как технические средства, так и экспертизу специалистов, способен обеспечить устойчивость инфраструктуры в условиях постоянно эволюционирующих угроз.
При обнаружении активности злоумышленников ещё на ранних этапах развития атаки крайне важно сохранить свое преимущество. Необходимо оперативно определить, какие инструменты используют атакующие для удаленного управления скомпрометированными устройствами, и заблокировать их. Кроме того, критически важно тщательно проанализировать весь жизненный цикл атаки, чтобы определить точку входа и установить, каким образом злоумышленники получили первоначальный доступ.
Если этого не сделать, нет гарантий, что, отразив текущую атаку, компания в скором времени не столкнется с новой, которая будет развиваться по аналогичному сценарию. Устранение последствий без понимания причин проблемы может оставить инфраструктуру уязвимой для повторных атак. Поэтому ключевая задача реагирования на инцидент – не только блокировать текущие угрозы и предотвратить развитие инцидента, но и устранить его причины.
В качестве примера рассмотрим случай из практики Центра кибербезопасности и Лаборатории цифровой криминалистики и исследования вредоносного кода F6, в котором слаженная работа специалистов нашей компании и сотрудников ИТ- и ИБ-подразделений клиента, сети клубов Alex Fitness, позволила успешно обнаружить атакующих, установить их инструментарий и своевременно локализовать атаку, не допустив деструктивного воздействия на ИТ-инфраструктуру или хищения данных.
Раунд 1. Обнаружение подозрительной активности
В пятницу вечером, 6 декабря 2024 года, модуль системы F6 MXDR зафиксировал аномальную активность на одном из серверов клиента.
F6 MXDR — система проактивного поиска и защиты от сложных и неизвестных киберугроз. Позволяет своевременно обнаруживать и блокировать подозрительную активность на конечных устройствах ИТ-инфраструктуры, предотвращая дальнейшее развитие атаки. Также позволяет проводить проактивный поиск угроз на основании собираемой телеметрии.
Автоматически сгенерированные системой XDR уведомления об обнаружении подозрительной активности были оперативно приняты в работу аналитиками Центра кибербезопасности F6 в рамках оказания услуги круглосуточного мониторинга инцидентов сервиса Managed Detection and Response.
Центр кибербезопасности (ЦК) – центр круглосуточного мониторинга и реагирования на инциденты информационной безопасности компании F6. Используя современные технологии для защиты от сложных угроз, аналитики ЦК оперативно обнаруживают и нейтрализуют угрозы на начальных стадиях их развития, тем самым минимизируют последствия инцидентов и обеспечивают надежную защиту инфраструктуры компаний.
Managed Detection and Response — сервис Центра кибербезопасности F6, обеспечивающий непрерывный мониторинг событий информационной безопасности, проактивный поиск угроз в сети и оперативное реагирование.
Выявленная активность указывала на то, что атакующие уже получили доступ к внутреннему сегменту сети и возможность выполнять произвольные команды от имени пользователя, обладающего высокими привилегиями в системе. Поэтому аналитик ЦК проинформировал представителей клиента о выявленной вредоносной активности и инициировал эскалацию инцидента на следующий этап – сдерживание. Для предотвращения дальнейшего распространения атакующих по сети было принято решение изолировать скомпрометированный сервер средствами F6 MXDR. Таким образом, первые действия по изоляции устройств и предупреждения дальнейшего развития атаки были предприняты уже спустя 20 минут после обнаружения вредоносной активности.
Режим изоляции устройства средствами модуля EDR позволяет прервать любое сетевое взаимодействие, кроме подключений к инфраструктуре F6 MXDR. Это позволяет предотвратить дальнейшее развитие инцидента, оборвать канал управления атакующих, но при этом сохранить доступ специалистов к устройству для проведения дальнейшего реагирования на инцидент и сбора необходимых для анализа данных.
Раунд 2. Анализ телеметрии MXDR
Проведя анализ телеметрии, собранной системой F6 MXDR, аналитик ЦК восстановил хронологию запущенных процессов и сопоставил ее с иной активностью на устройстве. Стало ясно, что для удаленного выполнения команд злоумышленники использовали утилиту WMIExec из пакета Impacket. Теперь не осталось сомнений, что это не ложное срабатывание, а целенаправленные действия злоумышленников.
Impacket – свободно распространяемый набор утилит, позволяющих осуществлять удаленное взаимодействие с устройствами при помощи различных сетевых протоколов. Большинство из инструментов предоставляют функционал удаленного выполнения произвольных команд, а также проведения внутренней разведки устройства сети.
Таким образом, злоумышленники провели внутреннюю разведку при помощи встроенных команд Windows, а также создали локальную учетную запись администратора. Созданная учетная запись была сразу заблокирована специалистами ЦК, а все удаленные сессии от ее имени завершены.
Раунд 3. Подключение криминалистов к анализу
Теперь было необходимо выяснить, как атакующие получили доступ к серверу и как далеко успели продвинуться. Анализируя телеметрию, зафиксированную системой F6 MXDR, аналитик ЦК обнаружил, что, создав локальную учетную запись, злоумышленники успели подключиться к скомпрометированному серверу по протоколу удаленного рабочего стола Windows (RDP).
Специалист ЦК сразу обратил внимание на то, что входящее RDP-подключение было инициировано с устройства из локальной сети ИТ-инфраструктуры клиента. Однако на этом устройстве не был установлен ЕDR-агент, поэтому телеметрия не поступала в систему и делала невозможным дальнейшее реагирование на инцидент без дополнительного сбора данных. Требовалось как можно быстрее определить устройство, с которого было инициировано подключение злоумышленников, и собрать с него необходимые для анализа данные.
При этом после блокирования созданных злоумышленниками учетных записей, завершения удаленных сессий и изоляции скомпрометированного устройства оставалась вероятность, что злоумышленники все еще сохраняют доступ к ИТ-инфраструктуре клиента. Однако недостаточное покрытие конечных устройств EDR-агентами не позволяло контролировать активность на большинстве устройств сети. Поэтому одновременно с реагированием на инцидент был начат процесс установки EDR-агентов на критические узлы сети, такие как серверы и рабочие станции администраторов. А для дальнейшего анализа привлекли специалистов Лаборатории цифровой криминалистики и исследования вредоносного кода F6.
Лаборатория цифровой криминалистики и исследования вредоносного кода F6 — одно из старейших подразделений компании с более чем 20-летней историей. Специалисты Лаборатории участвует в предотвращении целевых атак, реагировании на инциденты информационной безопасности и проверках готовности к такому реагированию, выявлении следов компрометации, проведении киберучений в формате Purple Teaming, фиксации цифровых доказательств, проведении криминалистических исследований, используя компетенции и технологии компании F6.
Продолжение, все подробности анализа атаки, её расследования и отражения — читайте в блоге на сайте компании F6.
