Сегодня мы опишем реальный рабочий процесс, который команда реагирования на инциденты (Incident Response Team) Varonis использует для расследования атак методом подбора паролей (brute force attack, далее – брутфорс-атака) через NTLM. Данные атаки являются довольно распространенными, и наша команда часто с ними сталкивается у заказчиков по всему миру.
Обнаружение
Если вы увидите какое-либо из этих оповещений в панели мониторинга Varonis, возможно, вы подвергаетесь брутфорс-атаке через NTLM:
- Password spraying from a single source
- Account enumeration via NTLM
- Multiple account lockouts
Вы также можете выполнить поиск всех неудачных попыток аутентификации в панели мониторинга Varonis, чтобы найти подозрительные действия, которые нужно расследовать.
1. Первичное расследование в интерфейсе Varonis
Нажмите Analytics в панели мониторинга Varonis.
В выпадающем списке Servers выберите DirectoryServices.
В качестве значения фильтра по типу события (Event Type) выберите «Account Authentication». В результате вы получите выборку событий, связанных с попытками входа в систему, за заданный временной промежуток.
Ищите неудачные попытки входа в систему для неизвестных пользователей, которые могут указывать на атаку по словарю распространенных имен учетных записей, таких как «administrator» или «service». Varonis отображает такие учетные записи как «Abstract/Nobody» (в выделенном поле User Name (Event By)), потому что они не существуют в Active Directory и им невозможно найти соответствие.
В колонке «Device Name» вы увидите, скорее всего, замаскированное имя машины, используемой для запросов аутентификации. Вероятно, вы не будете знать эту машину, а ее имя не будет соответствовать корпоративной политике именования устройств. Злоумышленники зачастую используют такие имена устройств как «workstation» или «mstsc» в надежде скрыть свою активность. Иногда они оставляют имя устройства полностью пустым.
Если вы определили, что брутфорс-атака через NTLM действительно имеет место быть, вам нужно более детально углубиться в логи.
Поищите все неудачные попытки входа в систему через NTLM при помощи следующих фильтров:
- event description ‘contains’ NTLM
- event Status = Fail
- event Type = TGT Authentication
Поищите все успешные аутентификации по именам устройств, используемых злоумышленниками, для проверки, что на текущий момент нет непосредственных признаков успешной компрометации учетной записи. Запишите значение поля «Collection Device Hostname» для анализируемых событий. Это имя контроллера домена, с которого необходимо начать следующую фазу расследования.
2. Подготовка аудита NTLM
Выделите Default Domain Policy, чтобы впоследствии мы могли получать события со всех контроллеров домена.
Нажмите правой кнопкой мыши на Default Domain Policy и выберите Edit.
Откроется окно Group Policy Management Editor. Раскрывая иерархию, выберите Security Options.
Измените следующие значения:
- Network security: Restrict NTLM: Audit Incoming Traffic = Enable auditing for all accounts
- Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all
- Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit all
Выполните команду «gpupdate /force», чтобы применить изменения.
3. Расследование логов NTLM
Перейдите на контроллер домена, выявленный через колонку «Collection Device Hostname», в пункте 1.
Запустите Event Viewer (команда eventvwr в cmd) и раскройте иерархию до журнала Application and Services Logs > Microsoft > Windows > NTLM > Operational. Нажмите правой кнопкой на указанном журнале, выберите Properties и увеличьте размер журнала хотя бы до 20 МБ (размер по умолчанию 1 МБ).
События, у которых значение Event ID = 8004, в большинстве своем будут связаны со злонамеренными попытками аутентификации.
Поищите в журнале, используя имена устройств или пользователей, которые мы видели в пункте 1. В найденных событиях обратите внимание на поле «Secure Channel Name». Это имя атакуемого устройства.
Важное замечание
В журнале событий NTLM вы увидите только новые события, которые начали поступать с момента включения аудита в пункте 2
4. Устранение
Как только мы идентифицировали имя атакуемого устройства, мы можем выяснить, как злоумышленник отправляет эти попытки аутентификации. В журналах фаервола проверьте подключения во время злонамеренных попыток аутентификации. На атакуемом устройстве можно воспользоваться командой netstat или утилитой Wireshark. Таким образом мы ищем IP-адрес и порт, которые злоумышленник использует для отправки запросов аутентификации.
Как только мы получим эту информацию, мы можем принять меры по предотвращению враждебной активности – заблокировать IP-адрес или закрыть порт.
Важное замечание
Существует вероятность заражения атакуемого устройства. Действуйте осторожно!
Наконец, чтобы завершить расследование, нам нужно проверить все действия по аутентификации учетных записей пользователей на атакуемом устройстве, а также активность на наблюдаемых источниках данных с атакуемого устройства и любые другие оповещения, поступающие с атакуемого устройства. Мы должны просмотреть журналы Varonis и NTLM, чтобы убедиться, что попытки аутентификации остановлены, и продолжать следить за новой активностью.
Команда Varonis в России проводит бесплатный анализ киберзащищенности и аудит рисков ИТ-инфраструктуры. Для этого нужно оставить заявку на сайте или связаться с нами удобным способом.
