В свете последних событий в мире много компаний перешли на удаленный режим работы. При этом для сохранения эффективности бизнес-процессов на сетевые периметры были вынесены приложения, которые не предназначены для прямого размещения на периметре, например внутрикорпоративные веб-приложения, на эту тему недавно было наше исследование. Если между службами ИТ и ИБ нет тесной связи, возникают ситуации, когда на сетевом периметре появилось бизнес-приложение, о котором у службы ИБ нет информации.
Решением подобных проблем может быть периодическое исследование периметра организации. Для решения задачи подходят сетевые сканеры, поисковики по интернету вещей, сканеры уязвимостей и услуги по анализу защищенности. Далее в статье рассмотрим виды и параметры сканирования, их преимущества и недостатки, инструменты, которые часто используются, и методы обработки результатов.
Ping-сканирование
Первый рассматриваемый вид сканирования — ping-сканирование. Основная задача — обнаружить «живые» узлы в сети. Под ping-сканированием понимают широковещательную рассылку пакетов ICMP. Сканер рассылает пакеты типа Echo REQUEST по указанным IP-адресам и ожидает в ответ пакеты типа Echo REPLY. Если ответ получен, считается, что узел присутствует в сети по указанному IP-адресу.
Протокол ICMP широко используется администраторами сетей для диагностики, поэтому, чтобы избежать разглашения информации об узлах, важна корректная настройка средств защиты периметра. Для корпоративных сетей такой вид сканирования не релевантен при внешнем сканировании, потому что большинство средств защиты по умолчанию блокируют протокол ICMP либо ответы по этому протоколу. При отсутствии нестандартных задач в корпоративной сети на выход, как правило, разрешены следующие виды ICMP-сообщений: Destination Unreachable, Echo REQUEST, Bad IP header, а на вход разрешены Echo REPLY, Destination Unreachable, Source Quench, Time Exceeded, Bad IP header. В локальных сетях не такая строгая политика безопасности, и злоумышленники могут применять этот способ, когда уже проникли в сеть, однако это легко детектируется.
Сканирование портов
Объединим TCP-сканирование и UDP-сканирование под общим названием — сканирование портов. Сканирование этими методами определяет доступные порты на узлах, а затем на основе полученных данных делается предположение о типе используемой операционной системы или конкретного приложения, запущенного на конечном узле. Под сканированием портов понимают пробные попытки подключения к внешним узлам. Рассмотрим основные методы, реализованные в автоматизированных сетевых сканерах:
- TCP SYN,
- TCP CONNECT,
- UDP scan.
Метод TCP SYN — наиболее популярен, используется в 95% случаев. Его называют сканированием с установкой полуоткрытого соединения, так как соединение не устанавливается до конца. На исследуемый порт посылается сообщение SYN, затем идет ожидание ответа, на основании которого определяется статус порта. Ответы SYN/ACK говорят о том, что порт прослушивается (открыт), а ответ RST говорит о том, что не прослушивается.
Если после нескольких запросов не приходит никакого ответа, то сетевой трафик до порта узла назначения фильтруется средствами межсетевого экранирования (далее будем использовать термин «порт фильтруется»). Также порт помечается как фильтруемый, если в ответ приходит сообщение ICMP с ошибкой достижимости (Destination Unreachable) и определенными кодами и флагами.
Метод TCP CONNECT менее популярен, чем TCP SYN, но все-таки часто встречается на практике. При реализации метода TCP CONNECT производится попытка установить соединение по протоколу TCP к нужному порту с процедурой handshake. Процедура заключается в обмене сообщениями для согласования параметров соединения, то есть служебными сообщениями SYN, SYN/ACK, ACK, между узлами. Соединение устанавливается на уровне операционной системы, поэтому существует шанс, что оно будет заблокировано средством защиты и попадет в журнал событий.
UDP-сканирование медленнее и сложнее, чем TCP-сканирование. Из-за специфики сканирования UDP-портов о них часто забывают, ведь полное время сканирование 65 535 UDP-портов со стандартными параметрами на один узел занимает у большинства автоматизированных сканеров до 18 часов. Это время можно уменьшить за счет распараллеливания процесса сканирования и рядом других способов. Следует уделять внимание поиску UDP-служб, потому что UDP-службы реализуют обмен данными с большим числом инфраструктурных сервисов, которые, как правило, вызывают интерес злоумышленников.
На сетевых периметрах часто встречаются UDP-сервисы DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500), RDG (3391). Реже встречаются сервисные службы типа echo (7), discard (9), chargen (19), а также DAYTIME (13), TFTP (69), SIP (5060), сервисы NFS (2049), RPC (111, 137-139, 761 и др.), СУБД (1434).
Для определения статуса порта посылается пустой UDP-заголовок, и если в ответ приходит ошибка достижимости ICMP Destination Unreachable с кодом Destination port unreachable, это значит, что порт закрыт; другие ошибки достижимости ICMP (Destination host unreachable, Destination protocol unreachable, Network administratively prohibited, Host administratively prohibited, Communication administratively prohibited) означают, что порт фильтруется. Если порт отвечает UDP-пакетом, значит, он открыт. Из-за специфики UDP и потери пакетов запросы повторяются несколько раз, обычно три и более. Как правило, если ответ не получен, статус порта определяется в состоянии «открыт» или «фильтруется», поскольку непонятно, что стало причиной — блокировка трафика средством защиты или потеря пакетов.
Для точности определения статуса порта и самой службы, запущенной на UDP-порте, используется специальная полезная нагрузка, наличие которой должно вызвать определенную реакцию у исследуемого приложения.
Редкие методы сканирования
Методы, которые практически не используются:
- TCP ACK,
- TCP NULL, FIN, Xmas,
- «Ленивое сканирование».
Прямое назначение метода ACK-сканирования — выявить правила средств защиты, а также определить фильтруемые порты. В пакете запроса при таком типе сканирования установлен только ACK-флаг. Открытые и закрытые порты вернут RST-пакет, так как порты достижимы для ACK-пакетов, но состояние неизвестно. Порты, которые не отвечают или посылают в ответ ICMP-сообщение Destination Unreachable с определенными кодами считаются фильтруемыми.
Методы TCP NULL, FIN, Xmas заключаются в отправке пакетов с отключенными флагами в заголовке TCP. При NULL-сканировании не устанавливаются никакие биты, при FIN-сканировании устанавливается бит TCP FIN, а в Xmas-сканировании устанавливаются флаги FIN, PSH и URG. Методы основаны на особенности спецификации RFC 793, согласно которой при закрытом порте входящий сегмент, не содержащий RST, повлечет за собой отправку RST в ответ. Когда порт открыт, ответа не будет. Ошибка достижимости ICMP означает, что порт фильтруется. Эти методы считаются более скрытными, чем SYN-сканирование, однако и менее точны, потому что не все системы придерживаются RFC 793.
«Ленивое сканирование» является самым скрытным из методов, поскольку для сканирования используется другой узел сети, который называется зомби-узлом. Метод применяется злоумышленниками для разведки. Преимущество такого сканирования в том, что статус портов определяется для зомби-узла, поэтому, используя разные узлы, можно установить доверительные связи между узлами сети. Полное описание метода доступно по ссылке.
Процесс выявления уязвимостей
Под уязвимостью будем понимать слабое место узла в целом или его отдельных программных компонентов, которое может быть использовано для реализации атаки. В стандартной ситуации наличие уязвимостей объясняется ошибками в программном коде или используемой библиотеке, а также ошибками конфигурации.
Уязвимость регистрируется в MITRE CVE, а подробности публикуются в NVD. Уязвимости присваивается идентификатор CVE, а также общий балл системы оценки уязвимости CVSS, отражающий уровень риска, который уязвимость представляет для конечной системы. Подробно об оценке уязвимостей написано в нашей статье. Централизованный список MITRE CVE — ориентир для сканеров уязвимостей, ведь задача сканирования — обнаружить уязвимое программное обеспечение.
Ошибка конфигурации — тоже уязвимость, но подобные уязвимости нечасто попадают в базу MITRE; впрочем, они все равно попадают в базы знаний сканеров с внутренними идентификаторами. В базы знаний сканеров попадают и другие типы уязвимостей, которых нет в MITRE CVE, поэтому при выборе инструмента для сканирования важно обращать внимание на экспертизу его разработчика. Сканер уязвимостей будет опрашивать узлы и сравнивать собранную информацию с базой данных уязвимостей или списком известных уязвимостей. Чем больше информации у сканера, тем точнее результат.
Рассмотрим параметры сканирования, виды сканирования и принципы обнаружения уязвимостей при помощи сканеров уязвимостей.
Параметры сканирования
За месяц периметр организации может неоднократно поменяться. Проводя сканирование периметра в лоб можно затратить время, за которое результаты станут нерелевантными. При сильном увеличении скорости сканирования сервисы могут «упасть». Надо найти баланс и правильно выбрать параметры сканирования. От выбора зависят потраченное время, точность и релевантность результатов. Всего можно сканировать 65 535 TCP-портов и столько же UDP-портов. По нашему опыту, среднестатистический периметр компании, который попадает в пул сканирования, составляет две полных сети класса «С» с маской 24.
Основные параметры:
- количество портов,
- глубина сканирования,
- скорость сканирования,
- параметры определения уязвимостей.
По количеству портов сканирование можно разделить на три вида — сканирование по всему списку TCP- и UDP-портов, сканирование по всему списку TCP-портов и популярных UDP-портов, сканирование популярных TCP- и UDP-портов. Как определить популярности порта? В утилите nmap на основе статистики, которую собирает разработчик утилиты, тысяча наиболее популярных портов определена в конфигурационном файле. Коммерческие сканеры также имеют преднастроенные профили, включающие до 3500 портов.
Если в сети используются сервисы на нестандартных портах, их также стоит добавить в список сканируемых. Для регулярного сканирования мы рекомендуем использовать средний вариант, при котором сканируются все TCP-порты и популярные UDP-порты. Такой вариант наиболее сбалансирован по времени и точности результатов. При проведении тестирования на проникновение или полного аудита сетевого периметра рекомендуется сканировать все TCP- и UDP-порты.
Важная ремарка: не получится увидеть реальную картину периметра, сканируя из локальной сети, потому что на сканер будут действовать правила межсетевых экранов для трафика из внутренней сети. Сканирование периметра необходимо проводить с одной или нескольких внешних площадок; в использовании разных площадок есть смысл, только если они расположены в разных странах.
Под глубиной сканирования подразумевается количество данных, которые собираются о цели сканирования. Сюда входит операционная система, версии программного обеспечения, информация об используемой криптографии по различным протоколам, информация о веб-приложениях. При этом имеется прямая зависимость: чем больше хотим узнать, тем дольше сканер будет работать и собирать информацию об узлах.
При выборе скорости необходимо руководствоваться пропускной способностью канала, с которого происходит сканирование, пропускной способностью канала, который сканируется, и возможностями сканера. Существуют пороговые значения, превышение которых не позволяет гарантировать точность результатов, сохранение работоспособности сканируемых узлов и отдельных служб. Не забывайте учитывать время, за которое необходимо успеть провести сканирование.
Параметры определения уязвимостей — наиболее обширный раздел параметров сканирования, от которого зависит скорость сканирования и объем уязвимостей, которые могут быть обнаружены. Например, баннерные проверки не займут много времени. Имитации атак будут проведены только для отдельных сервисов и тоже не займут много времени. Самый долгий вид — веб-сканирование.
Полное сканирование сотни веб-приложений может длиться неделями, так как зависит от используемых словарей и количества входных точек приложения, которые необходимо проверить. Важно понимать, что из-за особенностей реализации веб-модулей и веб-сканеров инструментальная проверка веб-уязвимостей не даст стопроцентной точности, но может очень сильно замедлить весь процесс.
Веб-сканирование лучше проводить отдельно от регулярного, тщательно выбирая приложения для проверки. Для глубокого анализа использовать инструменты статического и динамического анализа приложений или услуги тестирования на проникновение. Мы не рекомендуем использовать опасные проверки при проведении регулярного сканирования, поскольку существует риск нарушения работоспособности сервисов. Подробно о проверках см. далее, в разделе про работу сканеров.
Инструментарий
Если вы когда-нибудь изучали журналы безопасности своих узлов, наверняка замечали, что интернет сканирует большое количество исследователей, онлайн-сервисы, ботнеты. Подробно описывать все инструменты нет смысла, перечислим некоторые сканеры и сервисы, которые используются для сканирования сетевых периметров и интернета. Каждый из инструментов сканирования служит своей цели, поэтому при выборе инструмента должно быть понимание, зачем он используется. Иногда правильно применять несколько сканеров для получения полных и точных результатов.
Сетевые сканеры: Masscan, Zmap, nmap. На самом деле утилит для сканирования сети намного больше, однако для сканирования периметра вряд ли вам понадобятся другие. Эти утилиты позволяют решить большинство задач, связанных со сканированием портов и служб.
Поисковики по интернету вещей, или онлайн-сканеры — важные инструменты для сбора информации об интернете в целом. Они предоставляют сводку о принадлежности узлов к организации, сведения о сертификатах, активных службах и иную информацию. С разработчиками этого типа сканеров можно договориться об исключении ваших ресурсов из списка сканирования или о сохранении информации о ресурсах только для корпоративного пользования. Наиболее известные поисковики: Shodan, Censys, Fofa.
Для решения задачи не обязательно применять сложный коммерческий инструмент с большим числом проверок: это излишне для сканирования пары «легких» приложений и сервисов. В таких случаях будет достаточно бесплатных сканеров. Бесплатных веб-сканеров много, и тяжело выделить наиболее эффективные, здесь выбор, скорее, дело вкуса; наиболее известные: Skipfish, Nikto, ZAP, Acunetix, SQLmap.
Для выполнения минимальных задач сканирования и обеспечения «бумажной» безопасности могут подойти бюджетные коммерческие сканеры с постоянно пополняемой базой знаний уязвимостей, а также поддержкой и экспертизой от вендора, сертификатами ФСТЭК. Наиболее известные: XSpider, RedCheck, Сканер-ВС.
При тщательном ручном анализе будут полезны инструменты Burp Suite, Metasploit и OpenVAS. Недавно вышел сканер Tsunami компании Google.
Отдельной строкой стоит упомянуть об онлайн-поисковике уязвимостей Vulners. Это большая база данных контента информационной безопасности, где собирается информация об уязвимостях с большого количества источников, куда, кроме типовых баз, входят вендорские бюллетени безопасности, программы bug bounty и другие тематические ресурсы. Ресурс предоставляет API, через который можно забирать результаты, поэтому можно реализовать баннерные проверки своих систем без фактического сканирования здесь и сейчас. Либо использовать Vulners vulnerability scanner, который будет собирать информацию об операционной системе, установленных пакетах и проверять уязвимости через API Vulners. Часть функций ресурса платные.
Средства анализа защищенности
Все коммерческие системы защиты поддерживают основные режимы сканирования, которые описаны ниже, интеграцию с различными внешними системами, такими как SIEM-системы, patch management systems, CMBD, системы тикетов. Коммерческие системы анализа уязвимостей могут присылать оповещения по разным критериям, а поддерживают различные форматы и типы отчетов. Все разработчики систем используют общие базы уязвимостей, а также собственные базы знаний, которые постоянно обновляются на основе исследований.
Основные различия между коммерческими средствами анализа защищенности — поддерживаемые стандарты, лицензии государственных структур, количество и качество реализованных проверок, а также направленность на тот или иной рынок сбыта, например поддержка сканирования отечественного ПО. Статья не призвана представить качественное сравнение систем анализа уязвимостей. На наш взгляд, у каждой системы есть свои преимущества и недостатки. Для анализа защищенности подходят перечисленные средства, можно использовать их комбинации: Qualys, MaxPatrol 8, Rapid 7 InsightVM, Tenable SecurityCenter.
Как работают системы анализа защищенности
Режимы сканирования реализованы по трем схожим принципам:
- Аудит, или режим белого ящика.
- Комплаенс, или проверка на соответствие техническим стандартам.
- Пентест, или режим черного ящика.
Основной интерес при сканировании периметра представляет режим черного ящика, потому что он моделирует действия внешнего злоумышленника, которому ничего не известно об исследуемых узлах. Ниже представлена краткая справка обо всех режимах.
Аудит — режим белого ящика, который позволяет провести полную инвентаризацию сети, обнаружить все ПО, определить его версии и параметры и на основе этого сделать выводы об уязвимости систем на детальном уровне, а также проверить системы на использование слабых паролей. Процесс сканирования требует определенной степени интеграции с корпоративной сетью, в частности необходимы учетные записи для авторизации на узлах.
Авторизованному пользователю, в роли которого выступает сканер, значительно проще получать детальную информацию об узле, его программном обеспечении и конфигурационных параметрах. При сканировании используются различные механизмы и транспорты операционных систем для сбора данных, зависящие от специфики системы, с которой собираются данные. Список транспортов включает, но не ограничивается WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC, Remote Engine с использованием соответствующих протоколов и портов.
Комплаенс — режим проверки на соответствие каким-либо стандартам, требованиям или политикам безопасности. Режим использует схожие с аудитом механизмы и транспорты. Особенность режима — возможность проверки корпоративных систем на соответствие стандартам, которые заложены в сканеры безопасности. Примерами стандартов являются PCI DSS для платежных систем и процессинга, СТО БР ИББС для российских банков, GDPR для соответствия требованиям Евросоюза. Другой пример — внутренние политики безопасности, которые могут иметь более высокие требования, чем указанные в стандартах. Кроме того, существуют проверки установки обновлений и другие пользовательские проверки.
Пентест — режим черного ящика, в котором у сканера нет никаких данных, кроме адреса цели или доменного имени. Рассмотрим типы проверок, которые используются в режиме:
- баннерные проверки,
- имитация атак,
- веб-проверки,
- проверки конфигураций,
- опасные проверки.
Баннерные проверки основываются на том, что сканер определяет версии используемого программного обеспечения и операционной системы, а затем сверяет эти версии со внутренней базой уязвимостей. Для поиска баннеров и версий используются различные источники, достоверность которых также различается и учитывается внутренней логикой работы сканера. Источниками могут быть баннеры сервиса, журналы, ответы приложений и их параметры и формат. При анализе веб-серверов и приложений проверяется информация со страниц ошибок и запрета доступа, анализируются ответы этих серверов и приложений и другие возможные источники информации. Сканеры помечают уязвимости, обнаруженные баннерной проверкой, как подозрения на уязвимость или как неподтвержденную уязвимость.
Имитация атаки — это безопасная попытка эксплуатации уязвимости на узле. Имитации атаки имеют низкий шанс на ложное срабатывание и тщательно тестируются. Когда сканер обнаруживает на цели сканирования характерный для уязвимости признак, проводится эксплуатация уязвимости. При проверках используют методы, необходимые для обнаружения уязвимости; к примеру, приложению посылается нетипичный запрос, который не вызывает отказа в обслуживании, а наличие уязвимости определяется по ответу, характерному для уязвимого приложения.
Другой метод: при успешной эксплуатации уязвимости, которая позволяет выполнить код, сканер может направить исходящий запрос типа PING либо DNS-запрос от уязвимого узла к себе. Важно понимать, что не всегда уязвимости удается проверить безопасно, поэтому зачастую в режиме пентеста проверки появляются позже, чем других режимах сканирования.
Веб-проверки — наиболее обширный и долгий вид проверок, которым могут быть подвергнуты обнаруженные веб-приложения. На первом этапе происходит сканирование каталогов веб-приложения, обнаруживаются параметры и поля, где потенциально могут быть уязвимости. Скорость такого сканирования зависит от используемого словаря для перебора каталогов и от размера веб-приложения.
На этом же этапе собираются баннеры CMS и плагинов приложения, по которым проводится баннерная проверка на известные уязвимости. Следующий этап — основные веб-проверки: поиск SQL Injection разных видов, поиск недочетов системы аутентификации и хранения сессий, поиск чувствительных данных и незащищенных конфигураций, проверки на XXE Injection, межсайтовый скриптинг, небезопасную десериализацию, загрузку произвольных файлов, удаленное исполнение кода и обход пути. Список может быть шире в зависимости от параметров сканирования и возможностей сканера, обычно при максимальных параметрах проверки проходят по списку OWASP Top Ten.
Проверки конфигураций направлены на выявление ошибок конфигураций ПО. Они выявляют пароли по умолчанию либо перебирают пароли по короткому заданному списку с разными учетными записями. Выявляют административные панели аутентификации и управляющие интерфейсы, доступные принтеры, слабые алгоритмы шифрования, ошибки прав доступа и раскрытие конфиденциальной информации по стандартным путям, доступные для скачивания резервные копии и другие подобные ошибки, допущенные администраторами IT-систем и систем ИБ.
В число опасных проверок попадают те, использование которых потенциально приводит к нарушению целостности или доступности данных. Сюда относят проверки на отказ в обслуживании, варианты SQL Injection с параметрами на удаление данных или внесение изменений. Атаки перебора паролей без ограничений попыток подбора, которые приводят к блокировке учетной записи. Опасные проверки крайне редко используются из-за возможных последствий, однако поддерживаются сканерами безопасности как средство эмуляции действий злоумышленника, который не будет переживать за сохранность данных.
Сканирование и результаты
Мы рассмотрели основные методы сканирования и инструменты, перейдем к вопросу о том, как использовать эти знания на практике. Для начала требуется ответить на вопрос, что и как необходимо сканировать. Для ответа на этот вопрос необходимо собрать информацию о внешних IP-адресах и доменных именах, которые принадлежат организации. По нашему опыту, лучше разделять цели сканирования на инвентаризацию и определение уязвимостей.
Инвентаризационное сканирование можно проводить гораздо чаще, чем сканирование на уязвимости. При инвентаризации хорошей практикой является обогащение результатов информацией об администраторе сервиса, внутреннем IP-адресе сервиса, если используется NAT, а также о важности сервиса и его назначении. Информация в будущем поможет оперативно устранять инциденты, связанные с обнаружением нежелательных или уязвимых сервисов. В идеальном случае в компании есть процесс и политика размещения сервисов на сетевом периметре, в процессе участвуют службы ИТ и ИБ.
Даже при таком подходе присутствует вероятность ошибок по причинам, связанным с человеческим фактором и различными техническими сбоями, которые приводят к появлению нежелательных сервисов на периметре. Простой пример: на сетевом устройстве Check Point написано правило, которое транслирует порт 443 из внутренней сети на периметр. Сервис, который там был, устарел и выведен из эксплуатации. Службе ИТ об этом не сообщили, соответственно правило осталось. В таком случае на периметре может оказаться аутентификация в административную панель устройства Check Point либо другой внутренний сервис, который не планировали там размещать. При этом формально картина периметра не менялась и порт доступен.
Чтобы обнаружить подобные изменения, необходимо сканировать периодически и применять дифференциальное сравнение результатов, тогда будет заметно изменение баннера сервиса, которое привлечет внимание и приведет к разбору инцидента.
Устранение уязвимостей
Первым шагом к правильной технической реализации процесса устранения уязвимостей является грамотное представление результатов сканирования, с которыми придется работать. Если используется несколько разнородных сканеров, правильнее всего будет анализировать и объединять информацию по узлам в одном месте. Для этого рекомендуется использовать аналитические системы, где также будет храниться вся информация об инвентаризации.
Базовым способом для устранения уязвимости является установка обновлений. Можно использовать и другой способ — вывести сервис из состава периметра (при этом все равно необходимо установить обновления безопасности).
Можно применять компенсирующие меры по настройке, то есть исключать использование уязвимого компонента или приложения. Еще вариант — использовать специализированные средства защиты, такие как IPS или application firewall. Конечно, правильнее не допускать появления нежелательных сервисов на сетевом периметре, но такой подход не всегда возможен в силу различных обстоятельств, в особенности требований бизнеса.
Приоритет устранения уязвимостей
Приоритет устранения уязвимостей зависит от внутренних процессов в организации. При работе по устранению уязвимостей для сетевого периметра важно четкое понимание, для чего сервис находится на периметре, кто его администрирует и кто является его владельцем. В первую очередь можно устранять уязвимости на узлах, которые отвечают за критически важные бизнес-функции компании. Естественно, такие сервисы нельзя вывести из состава периметра, однако можно применить компенсирующие меры или дополнительные средства защиты. С менее значимыми сервисами проще: их можно временно вывести из состава периметра, не спеша обновить и вернуть в строй.
Другой способ — приоритет устранения по опасности или количеству уязвимостей на узле. Когда на узле обнаруживается 10–40 подозрений на уязвимость от баннерной проверки — нет смысла проверять, существуют ли они там все, в первую очередь это сигнал о том, что пора обновить программное обеспечение на этом узле. Когда возможности для обновления нет, необходимо прорабатывать компенсирующие меры. Если в организации большое количество узлов, где обнаруживаются уязвимые компоненты ПО, для которых отсутствуют обновления, то пора задуматься о переходе на программного обеспечение, еще находящееся в цикле обновления (поддержки). Возможна ситуация, когда для обновления программного обеспечения сначала требуется обновить операционную систему.
Итоги
Всю информацию о сервисах и службах на вашем сетевом периметре можете получить не только вы, но и любой желающий из интернета. С определенной точностью возможно определить уязвимости систем даже без сканирования. Для снижения рисков возникновения инцидентов информационной безопасности необходимо следить за своим сетевым периметром, вовремя прятать или защищать нежелательные сервисы, а также устанавливать обновления.
Неважно, организован процесс собственными силами или с привлечением сторонних экспертов, оказывающих услуги по контролю периметра или анализу защищенности. Самое главное — обеспечить контроль периметра и устранение уязвимостей на регулярной основе.
Автор: Максим Федотов, старший специалист отдела онлайн-сервисов, PT Expert Security Center, Positive Technologies
Денис Батранков, руководитель направления сетевой безопасности Positive Technologies
По данным Positive Technologies, 90% организаций, обращающихся за услугами по оценке киберзащищенности, уже взломаны злоумышленниками, при этом они находятся в сетях незаметно несколько месяцев и только потом наносят ущерб. Звучит шокирующе, особенно в контексте 2022 года, когда количество кибератак выросло на 1/5 в сравнении с аналогичным периодом прошлого года. Однако руководитель направления сетевой безопасности Positive Technologies Денис Батранков уверен, что первый шаг по защите компании от угроз информационной безопасности — принять, что хакеры научились проникать в сети, второй — выбрать верную тактику для защиты.
Девять из десяти организаций, заказавших аудит защищенности, в результате выяснили, что уже взломаны внутренним или внешним злоумышленником, — следует из статистики компании Positive Technologies. Только во втором квартале 2022 года злоумышленники реализовали свыше 700 кибератак, 83% из которых пришлись на организации, а остальные — на частных лиц. Из-за взломов каждая вторая компания сталкивается с нарушениями основной деятельности, а другие вынуждены мириться с утечками конфиденциальной информации.
Ты не видишь хакера? А он тебя видит
Когда наши сотрудники экспертного центра безопасности Positive Technologies — PT Expert Security Center, PT ESC при расследовании кибератак находят следы присутствия злоумышленников, чаще всего хакеры «работают» в организации уже не первый месяц, «среднее по больнице» — около 200 дней до обнаружения (результаты наших исследований 2000–2021 годов). Мы видели случаи, когда время проникновения в сеть составляло 30 минут, а максимальное время, которое хакер оставался незамеченным, — 11 лет. Нужно понимать, что на протяжении этого времени злоумышленник имеет доступ ко всей корпоративной информации и может не только просматривать, но и изменять ее.
Человеческий фактор
Эксперты выделяют порядка 17 способов проникновения в сеть компаний: это и простейший подбор паролей, и фишинговые письма по электронной почте, и ссылки на вредоносный код в облачном файлообменнике, и другие способы, более сложные. К последним относятся, например, атака на DNS-серверы организации или использование вредоносных контейнеров в Kubernetes.
Но все же угроза взлома в большинстве случаев исходит не столько от использования сомнительного ПО или деятельности самой компании, сколько от умений (или желаний) рядовых сотрудников соблюдать элементарные правила кибергигиены. Например, один сотрудник рассылает коллегам пиратский софт, а внутри оказывается троян. Второй сотрудник использует один и тот же пароль для разных внутренних систем. А третий регулярно заходит по всем ссылкам, которые получает в почту, и забывает об этом сказать специалисту по ИБ. В таком случае, конечно, никакие даже самые продвинутые средства защиты не смогут предотвратить взлом.
83% атак, совершенных во втором квартале 2022 года, были направлены на организации (данные Positive Technologies).
Даже небольшие ошибки в обеспечении информационной безопасности могут привести к недопустимым последствиям для компании: к потере значительной части прибыли, остановке производства, использованию ресурсов для атак на другие компании и даже к закрытию бизнеса. И такие случаи уже были.
Интересно, что даже технологические лидеры IT-рынка не могут быть на 100% защищены от кибератак. Например, в августе 2022 года команда информационной безопасности Cisco (а именно Cisco Talos) опубликовала отчет об атаке на инфраструктуру компании, которая произошла в мае. Злоумышленники проникли в корпоративную сеть и даже получили доступ к критически важным ресурсам — дошли до контроллеров домена (серверы, имеющие доступ к сетевым ресурсам в рамках одного конкретного домена). В итоге утекли данные «облака» одного пользователя, которые не относились к конфиденциальной информации. Атаку расследовали, компания не пострадала. Могла ли Cisco предотвратить этот инцидент на раннем этапе? Да, если бы специалисты по ИБ тщательнее изучали результаты сканирования трафика продуктами класса network traffic analysis (NTA).
Как защититься
Первое, с чего рекомендуем начать, — рассказать сотрудникам основные принципы кибергигиены. Сюда входят обучение и регулярные проверки знаний по парольным политикам (нужны сложные, несловарные пароли и, главное, разные пароли для разных сервисов), а также проверки по киберграмотности: как отличить фишинг, социнженерию, как работать со своими персональными данными, обращаться с логинами и паролями.
И второе действие уже касается служб ИТ и ИБ: нужно начать отслеживать признаки шагов злоумышленника внутри сети. 2022 год показал, что проникновение в инфраструктуру все равно не предотвратить, если цель хакера — именно ваша компания. И задачи службы ИБ — вовремя это обнаружить. Чем быстрее вашему ИБ-подразделению удастся обнаружить злоумышленника, тем меньший ущерб ждет вашу компанию и тем меньше временных и материальных ресурсов придется потратить на устранение «дыр». Поэтому важно максимально сократить время скрытого присутствия — снизить среднее время обнаружения компрометации с 200 дней до нескольких часов или даже минут.
Продукт-помощник
С указанными угрозами может справиться продукт-визионер для анализа трафика и обнаружения атак, созданный компанией Positive Technologies. Еще в 2016 году мы создали PT Network Attack Discovery (PT NAD) (0+) — программное решение класса NTA. Это система, которая позволяет выявлять вредоносные действия как внутри сети, так и на ее периметре, анализируя проходящий в сети трафик. Отличительной особенностью системы является то, что она записывает весь трафик внутри компании, чтобы во время расследования аналитики могли найти в трафике артефакты атаки, которые ранее могли быть неизвестны. Кроме того, система отслеживает аккаунты сотрудников, от которых идут соединения; страны, трафик которых есть в сети; имена файлов, которые передаются внутри и вовне сети; а затем отправляет файлы на проверку во внешние системы, например в песочницы (в портфеле Positive Technologies — PT Sandbox).
PT NAD входит в топ-5 наиболее успешных продуктов Positive Technologies (по результатам первого полугодия 2022 года рост продаж PT NAD составил 236 %).
PT NAD умеет определять и анализировать трафик 94 различных протоколов передачи данных по 1200 параметрам. Это позволяет максимально эффективно проанализировать внешний и внутренний трафик в инфраструктуре компании, включая как уязвимости, так и нарушения регламентов уже используемых систем. Например, нелегитимное использование майнеров (программных обеспечений, которые добывают криптовалюту за счёт несанкционированного использования ресурсов устройства) и утилит удаленного управления или подключения в сеть компании из-за границы, что может быть нарушением политики безопасности. Также система содержит более 7000 правил определения уже известных атак, которые обновляются сотрудниками экспертного центра безопасности Positive Technologies два раза в неделю. Есть еще правила для выявления аномалий, например медленных сканирований сети.
Аномалия — это отклонение от обычного поведения, а скрытая угроза — событие, которое не обнаруживается имеющимися средствами защиты. Самым частым способом сокрытия действий злоумышленника является шифрование. И PT NAD позволяет выявлять его даже в зашифрованном трафике.
PT NAD находит как аномалии, так и скрытые угрозы на любом этапе их возникновения. Нетипичное поведение любого сотрудника или устройства в сети (не только компьютера, но также веб-камеры, маршрутизатора, принтеров) будет сразу отслежено и блокировано до выяснения обстоятельств происшедшего. Например, однажды в моей практике был такой случай. В компании не было интернета, а 2500 принтеров внутри постоянно пытались синхронизировать время с интернетом, это создавало огромный поток трафика: по сути, это была внутренняя DDoS-атака, сеть атаковала саму себя. Мы выявили причины такой загрузки в первые же минуты анализа сети.
PT NAD можно запустить из установочного файла даже без подключения к интернету. Сам процесс установки займет не более 15 минут. Можно запросить бесплатную пробную версию с нашего официального сайта.
Важно, что даже во время пилотных проектов мы видим внешние атаки и внутренние нарушения (пароли в открытом виде, неправильная настройка сети, майнинг и многое другое). То есть после «пилота» на руках у компании остается полноценный отчет об уже имеющихся уязвимостях и недочетах в ее сетях. После покупки сервиса ретроспективного анализа мы проводим полноценный анализ сетевого трафика клиента и даем рекомендации по расследованию и устранению выявленных атак и подозрительных активностей.
Владельцам бизнеса и руководителям департаментов ИБ нужно принять тот факт, что больше не существует компании, которую нельзя взломать. Каждый месяц это правило подтверждается несколькими громкими случаями кибератак. Чем быстрее топ-менеджмент и IT-службы придут к этому пониманию, тем быстрее они смогут подобрать подходящую систему защиты и предотвратить нежелательные проникновения в свою сеть.
27 октября в 14:00 (мск) Positive Technologies проведет онлайн-запуск новой версии PT NAD для всех, кто заинтересован в защите компании от киберугроз. Эксперты расскажут про актуальные тренды на рынке и новые возможности продукта. Среди всех участников будут разыграны призы. Зарегистрироваться на онлайн-мероприятие можно по ссылке.
Всем привет 👋.
Наша организация занимается сбором больших данных из телеграм, а также множеством других услуг связанных с телегой. Мы даем пользователям возможность поиска по нашим базам данных и постоянно сталкиваемся с тем, что кто-нибудь пытается искать в наших скриптах уязвимости, в том числе xss, sqlinj, phpinc и т. д. Мы учитываем возможные риски и стараемся очень тщательно фильтровать пользовательский input. В один из дней мы заметили подозрительную активность, пользователь отправил в поиск каталога телеграм каналов 8583 запроса за короткий промежуток времени и пытался внедрить спецсимволы, наши скрипты отработали как надо и обрезали потенциально опасный payload, но в админке слетел вывод json в таблице активности пользователей, которую быстро удалось восстановить в рабочее состояние.
Из таблицы активности пользователей стало ясно, что пользователь использовал автоматизированное ПО сканер для поиска потенциальных уязвимостей на нашем сайте, т. к. интервалы между большинством запросов были около 1 сек и всего за несколько часов было 8583 запроса. Даже Яндекс Метрика не записала никаких действий в этот период времени, т. к. запросы делались не через браузер, поэтому скрипты Яндекс Метрики не загружались и не фиксировали посещения каталога.
Все запросы были с одного IP-адреса 46.159.122.238.
Вот примеры некоторых из них:
../../../../../../../../../../../../../../windows/win.ini
../../../../../../../../../../../../../../etc/passwd
[email protected],bcc:074 625.180–11 320.180.d49f3.19 [email protected]
+response.write90 222 479 510 213+
the||DBMS_PIPE.RECEIVE_MESSAGECHR98||CHR98||CHR98,15||
9SKpkoxn OR 273=SELECT 273 FROM PG_SLEEP15—
H6TY5zpX; waitfor delay 0:0:15 ‑-
index.php/.
select0fromselectsleep15v/+select0fromselectsleep15v++select0fromselectsleep15v+/
0XORifnow=sysdate,sleep15,0XORZ
-1 OR 2+323–323–1=0+0+0+1 ‑-
HttP://bxss.me/t/xss.html?00
;assertbase64_decodecHJpbnQobWQ1KDMxMzM3KSk7;
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs?.jpg
echo mmaxpk” class=”formula inline”> tjjjrl
Автор: хацкер
Решено было провести базовые этапы идентификации IP-адреса для выявления предполагаемого злодея.
Этап 1. Проверка страны IP-адреса
Для определения страны IP-адреса не принципиально каким сервисом вы будете пользоваться. Я предпочитаю использовать whoer.net и он показал, что IP-адрес принадлежит Российскому провайдеру. Многие сайты не могут верно определить город IP-адреса, но в случае с российскими провайдерам очень хорошо с этой задачей справляется reg.ru/web-tools/geoip и решино было повторно проверить этот IP-адрес там. В результате мы узнали, что предполагаемый хацкер находится в Краснодаре.
Этап 2. Поиск IP-адреса на торрент трекерах
Многие не задумываются, но когда вы качаете что-нибудь с торрентов ваш IP-адрес может посмотреть любой желающий, если у него будет доступ к *.torrent файлу при помощи которого вы скачиваете свой фильм или сериал. Об этом также задумались создатели сервиса iknowwhatyoudownload.com и начали собирать базу данных по пирам и сидам всех публичных *. torrent файлов, а затем сделали бесплатный поиск по собранным данным. Вбиваем туда IP адрес нашего злодея и узнаем, что не так давно он качал 19 различных торрентов по которым можно собрать небольшой психологических портрет, а самое интересное, что он качал сериал Хакер. Наверное для того чтобы набраться опыта 😀
Этап 3. Проверка IP-адреса по google доркам
Google Hacking Tests и Pentest-Tools.com — позволят быстро сгенерировать правильные запросы в гугл для поиска IP-адреса среди:
- Публичных и уязвимых каталогов
- Файлов конфигурации
- Файлов баз данных
- Логов
- Старых данных и данных резервного копирования
- Страниц аутентификации
- Ошибок SQL
- Документов хранящихся в общем доступе
- Информации о конфигурации php на сервере («phpinfo»)
- Файлов общего интерфейса шлюза (CGI)
Этот этап не дал никакого результата.
Этап 4. Поиск доменов привязанных к IP-адресу
Из прошлых этапов стало ясно, что злодей использует статический IP. Так как в разный период времени этот IP выпадает конкретно ему. Поэтому следующим этапом логично было проверить этот IP на привязку к сайтам, возможно он поднимал на своей локальной машине какой-нибудь сайт и специальные сервисы успели это засечь и поместить в свои базы данных. Пробую искать через 2ip.ru/domain-list-by-ip/ так как мой любимый domainbigdata.com по какой-то причине не доступен.
Этот этап также не дал никакого результата.
Этап 5. Поиск Skype аккаунта по IP-адресу
Хоть Skype уже не так популярен как в 2012, но все же есть люди, которые его используют. А раз его все еще кто-то использует, то продолжают существовать сервисы, которые помогают найти логин Skype по IP адресу. Я использую сервис webresolver.nl/tools/ip2skype, но он также не дал никакого результата.
Этап 6. Поиск IP-адреса в утекших базах данных
Немаловажным этапом любого интернет расследования являются утекшие базы данных различных сервисов. Особенно если мы используем базы данных не по отдельности, а при помощи поисковика, который собрал все базы данных в кучу и дал возможность поиска в один клик. Использую поисковик по утечкам leak-lookup.com и получаю еще одну зацепку.
В 2021 году этот IP-адрес засветился на сайте litecloud.me и его использовал пользователь с ником hardc0r_darkteam, а конкретно приставка darkteam как и скаченный торрент с сериалом Хакер указывают на то, что мы двигаемся в правильном направлении. Можно предположить, что 2005 в пароле указывает на год рождения злодея, а danil указывает на имя.
На этом этапе было решено оставить поиск по IP-адресу и переключиться на поиск по username и password, которые может использовать злодей. Следующий этап рассмотрим вкратце пропуская некоторые пункты так как там мы уже не будем работать с IP-адресом.
Финальный этап.
- Поиск по нику дает нам еще один сайт, где встречался этот логин, но лучше от этого не становится.
- Поиск по паролю дает почти 2000 результатов из которых сложно найти что-то конкретное.
- Идем искать ник hardc0r_darkteam в google и yandex, но не получаем никакого результата.
- Пробуем обрезать “_darkteam” от ника и “2005” от пароля, а затем поискать в hardc0r + danil. Получаем еще одну зацепку на сайте kwork.ru
- Далее ищем уже все 3 слова и находим сообщество ВКонтакте в котором всего 2 участника и один из них человек с именем Данил.
- Изучаем страницу Данила и понимаем, что год рождения на его странице скрыт. Пробиваем год рождения через сервис v1.220vk.ru/age и узнаем, что его год 2005 прям как в пароле у пользователя hardc0r_darkteam, а также приставка “_it” в его логине ВК и более 10 сообществ по программированию указывают на то, что злодеем все это время был именно он.
Если вам нужна помощь в деанонимизации злодеев, то мы с радостью вам поможем.
Современные маршрутизаторы или роутеры обладают очень высокой защитой от взлома. Но если подойти к их настройке недостаточно серьезно, есть большой риск оставить вашу домашнюю сеть без защиты от проникновения. В случае, если злоумышленник получит доступ к настройкам вашего роутера, то он сможет не только сконфигурировать его для своих целей, но и завладеет информацией, хранящейся на вашем ПК и мобильных устройствах, подключенных к маршрутизатору. Кроме того, под угрозой окажутся и передаваемые через Wi-Fi банковские данные и ваше переписка по почте и в соцсетях, т.к. шифрование выполняется самим устройством.
Избежать утечек ваших ценных данных позволит правильная настройка безопасности маршрутизатора и сегментерование сети. Последнее важно, если вы применяете в доме умные устройства, соединенные через беспроводное подключение.
Но для начала нужно узнать, кто сейчас пользуется вашим Wi-Fi и провести несколько тестов защищенности вашей беспроводной сети с помощью бесплатных онлайн-сервисов и антивирусов.
Кто еще пользуется вашим Wi-Fi
Бесплатный доступ в Интернет дома — это всегда хорошо, ведь не надо платить абонентскую плату. Особенно велик соблазн им воспользоваться, если сосед по подъезду с мощным сигналом роутера забыл или по каким-то причинам не сумел защитить беспроводную сеть паролем.
Однако, даже если ключ к доступу в домашнюю сеть имеется, он может быть недостаточно сложным, типа 123456 и другой простой популярной комбинацией на клавиатуре, которые легко подобрать простым перебором. В этом случае велик шанс заполучить несанкционированного пользователя в свою сеть.
Проверить, нет ли в вашей wi-fi сети чужих довольно легко. Для этого нужно войти в настройки роутера, введя IP-адрес устройства. Есть и альтернативные способы: например, владельцам устройств Zyxel Keenetic Giga II достаточно набрать в адресной строке браузера my.keenetic.net.
Узнать IP можно либо на нижней стороне роутера, либо введя команду в окно командной строки.
- Чтобы запустить команду, нажмите одновременно клавиши «Win+R»
- Введите в окне запроса в ней команду «cmd»
- Выполните «ipconfig/all»
- В разделе «Основной шлюз» вы найдете искомый IP-адрес.
Для роутеров Keenetic обычно это 192.168.1.1. Теперь откройте свой браузер и в адресной строке введите этот IP.
Ищем чужих
В интерфейсе настроек маршрутизатора кликните в нижнем меню на значке «Домашняя сеть» и перейдите в верхних закладках в раздел «Устройства». Перед вами откроется список зарегистрированных в домашней сети, если вы его ранее вводили. Если не вводили, то просто увидите все подключенные в данный момент к Wi-Fi устройства. Среди них не сложно идентифицировать свои смартфоны, планшеты и ноутбуки, если они в данный момент работают с сетью. Если нашли чужака, то это означает, что вашу сеть взломали и надо принимать меры.
Проще всего просто поменять пароль на более надежный. Точнее, это нужно сделать в любом случае, но можно и не ограничиваться такими элементными решениями, а, например, разрешить подключения к сети только для собственных устройств.
Доступ только для своих
Для начала поставьте галочку в поле «Запретить доступ к Интернету всем незарегистрированным устройствам». А для всех своих гаджетов создайте регистрацию с фиксированным IP. Это избавит вас от непрошеных гостей.
Теперь настало время поменять пароль. Кликните в нижнем меню на иконку «Сеть Wi-Fi» и в поле «Ключ сети» задайте 12-значный пароль с цифрами и буквами с использованием заглавных символов. Не забудьте здесь же задать в разделе «Защита сети» шифрование данных с типом WPA2-PSK. Напомним, что шифрование устанавливать нужно обязательно, хотя оно и несколько тормозит передачу данных. Это позволит защитить пакеты данных от перехвата злоумышленниками.
Еще одним важным шагом в защите домашней сети является установка пароля на доступ в настройки роутера. Изменить его можно для Keenetic в разделе «Система» и на вкладке «Пользователи». Настройки роутера доступны для пользователя admin.
Как проверить уязвимость роутера?
Прежде чем хакеры предпримут атаку на ваш компьютер, попробуйте сначала сами выяснить, где находится уязвимое место вашей домашней сети, чтобы им не смогли воспользоваться для проникновения. Таким образом, для защиты сначала придется обмануть систему.
В Интернете можно найти заслуживающие доверия сервисы, бесплатно проводящие тестирование на проникновение. В дополнение к этому необходимо заранее изучить сайты CERT (Computer Emergency Response Team) Федерального управления по информационной безопасности на предмет известных уязвимостей в ваших устройствах.
Как найти открытые порты?
Один из сервисов тестирования на проникновение предлагает американский поставщик IT-услуг Gibson Research Corporation. Для запуска проверки зайдите на сайт GRC, из меню «Services» выберите пункт «ShieldsUP», а затем нажмите на «Proceed».
Поиск багов: нажатием на «ShieldsUP» вы проверите свою сеть на наличие открытых портов
По завершению теста вы увидите в окне все открытые порты вашей сети. Чтобы выяснить, какие именно устройства за ними скрываются, забейте в Google номер порта. Как правило, эти результаты уже могут указать на виновника. Для ограничения зоны поиска добавьте к номеру порта название вашего умного оборудования.
После вычисления соответствующего устройства вы можете ограничить ему выход в Интернет. Пользователям роутеров Keenetic для этой цели, к примеру, доступны сегменты (см. выше «Сегментирование сетей») или список разрешенных устройств. Кроме того, проверьте на сайтах CERT, не входит ли это устройство в список
Повышаем защищенность роутера
Большинство популярных производителей роутеров регулярно выпускают обновления прошивки своих устройств, в которых помимо повышения стабильности и скорости доступа в сеть усиливают и защиту самих маршрутизаторов. Проверять обновления для своего устройства нужно регулярно хотя бы раз в месяц. Некоторые производители уже избавили пользователей от этой процедуры и прошивки роутер устанавливает самостоятельно — без шума и пыли.
Если вы владелец старой модели, например, как у нас Zyxel Keenetic Giga II, то для проверки и установки обновлений зайдите в раздел «Система» на вкладку «Обновление». Убедитесь, что в поле «Доступная версия» появился апдейт и установите его. После инсталляции роутер перезагрузится.
Встроенная антивирусная защита
Роутер Norton Core
В настоящее время многие производители работают над новыми устройствами с встроенными антивирусами. На европейском рынке уже появился роутер Norton Core, который может похвастаться встроенной защитой. На подходе и роутер с встроенным антивирусом от AVAST. Но для всех тех, кто пока не готов приобретать новый роутер, мы расскажем, как убедиться, что на устройстве продолжает работать оригинальная прошивка и что хакеры не вмешались в сетевой трафик.
Как распознать манипуляции
Чаще всего злоумышленники изменяют DNS-параметры устройства. Это позволяет перенаправить весь веб-трафик. На странице F-SECURE вы можете узнать, не проводилась ли подобная атака и на вас. Если вы стали ее жертвой, придется переустановить прошивку на роутер. Причина: вирус может скрываться глубоко в системе, простого сброса настроек недостаточно, а имеющаяся прошивка, вероятно, также заражена.
Сегментирования домашней сети
Для создания нового сегмента необходимо в интерфейсе роутера зайти в меню «Домашняя сеть» на вкладке «Сегменты» нажмите «Добавить сегмент». Далее можно установить для него настройки — например, разрешить или запретить устройству выход в Сеть.
Нужна своя политика доступа для каждого устройства. Владельцы Keenetic могут создать профили доступа. Они позволяют регулировать доступ к Интернету для каждого отдельного устройства. Эту защиту хакерам обойти непросто
Затем нужно будет прописать в этом сегменте клиентов, которым вы планируете выдать лишь доступ в Интернет, либо создается отдельный профиль, либо настраивается гостевой Wi-Fi. Кроме того, на вкладке «Устройства» можно разрешить или запретить конкретному девайсу доступ в Интернет.
Читайте также:
- Как обеспечить безопасность сети
- Могут ли взломать ваш Wi-Fi WPA2?
- Как организовать надежную защиту домашнего роутера
Фото: компании-производители
Обнаруживаем действия киберпреступников в корпоративной сети и классифицируем их в соответствии с матрицей MITRE ATT&CK, которая показывает, какие тактики и техники применялись в ходе кибератаки.
- Введение
- Где искать следы атаки
- Изучаем перемещения внутри сети
- Windows Admin Shares
- Windows Management Instrumentation
- Pass the Hash
- Ищем взаимосвязи
- Выявляем поиск учетных данных
- Credential Dumping
- Brute Force
- Ловим вредоносные скрипты
- Анализируем подключения к командным серверам
- Боремся с обфускацией
- Исследуем хакерский инструментарий
- Выводы
Введение
Прежде чем начинать поиски кибератаки в инфраструктуре, следует разобраться, где именно остаются её следы и на какой стадии можно с большей вероятностью выявить нелегитимные действия.
Обнаружить и предотвратить атаку на стадии проникновения крайне сложно, а иногда и вовсе невозможно. Если целью злоумышленников является конкретная компания, то рано или поздно они преодолеют периметр. Почему так происходит?
Во-первых, большинство киберпреступников попадает в инфраструктуру компании с помощью фишинга и вредоносных программ. Фишинг — одна из самых эффективных техник проникновения: наше исследование показывает, что каждый третий сотрудник запускает на своем компьютере файл, приложенный к фишинговому письму.
Во-вторых, злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом. Все необходимые для этого инструменты преступник может приобрести в даркнете, причём их авторы даже дают гарантию того, что вредоносные программы не будут обнаруживаться антивирусами в течение определённого периода времени.
Наконец, если организация стала целью APT-группировки, то не исключено, что высококвалифицированные хакеры смогут эксплуатировать ранее неизвестные изъяны в ПО (уязвимости нулевого дня) или пробраться в целевую инфраструктуру через взлом сторонних компаний, которые менее надёжно защищены. Поэтому предпочтительнее выстраивать такой подход к обеспечению безопасности, который направлен на обнаружение инцидента прежде нанесения ущерба критически важным ресурсам.
Где искать следы атаки
Эффективным методом выявления атаки является мониторинг и анализ событий, происходящих в инфраструктуре уже после проникновения злоумышленников в локальную сеть, со своевременным реагированием на инциденты. Однако здесь есть свои особенности. Мониторинг событий на конечных узлах позволяет обнаружить факт компрометации, но для того чтобы восстановить цепочку атаки, потребуется отследить перемещения злоумышленников между узлами сети и выявить подключения ко внешним командным серверам.
Анализ сетевой активности дополняет картину происходящего в инфраструктуре. Если злоумышленники получили возможность выполнять команды в пределах одного компьютера, то перед ними стоят две задачи: установить связь с командным сервером и начать продвигаться по сети. Все эти действия оставляют следы в сетевом трафике, а скрыть их становится сложнее. Например, если на отдельном узле иногда достаточно воспользоваться упаковщиком для сокрытия вредоносной утилиты, то для того чтобы полностью скрыть идентифицирующие утилиту сетевые запросы к другим узлам или командному серверу, потребуется изменить логику её работы. Кроме того, в атаках часто применяются бесфайловые вредоносные программы (fileless malware), которые исполняются сразу в оперативной памяти. Тело такого объекта не сохраняется на жёстком диске, а в некоторых случаях не создаётся также никаких новых процессов — вредоносный код внедряется в один из уже работающих. При этом сохраняются все функции хакерской программы, в том числе — коммуникации с командным центром.
Мы рассмотрим несколько популярных техник, которые могут выдать присутствие злоумышленников, и покажем, как обнаружить их в сетевом трафике.
Изучаем перемещения внутри сети
Проводя целенаправленную атаку, нарушитель не может быть уверен в том, что после проникновения в локальную сеть организации он окажется в нужном ему сегменте. Для поиска ключевых серверов и рабочих станций потребуются разведка и ряд подключений между узлами. Такие подключения (или, как обычно говорят, «горизонтальное перемещение» хакера в инфраструктуре) непременно оставят следы в сетевом трафике. Их можно найти, тем самым своевременно обнаружив кибератаку. Если сохранять копию трафика, то анализ можно проводить и ретроспективно.
Распространённые способы передвижения по сети — удалённое выполнение команд на других компьютерах с использованием связки из техник Windows Admin Shares и Service Execution, а также применение технологии WMI (Windows Management Instrumentation). Эти же техники лежат в основе утилит для администрирования, которыми часто пользуются злоумышленники, в частности psexec и wmiexec из набора Impacket. С их помощью злоумышленники могут осуществлять различные действия, например передавать файлы между узлами (Remote File Copy), создавать задачи, выполняемые по расписанию (Scheduled Task), или собирать информацию о пользователях (Account Discovery). Техника Pass the Hash позволяет подключаться к удалённым узлам, зная только хеш пароля пользователя.
Windows Admin Shares
Для перемещения между компьютерами сети могут использоваться общие сетевые ресурсы, доступ к которым имеют только локальные администраторы узла (техника Windows Admin Shares). Среди них есть сетевой ресурс IPC$ (Inter-Process Communication). Он предоставляет интерфейс для удалённого вызова процедур (RPC), через который можно обратиться к менеджеру сервисов Service Control Manager (SCM). Менеджер позволяет запускать и останавливать службы, а также взаимодействовать с ними (техника Service Execution). Эти две техники работают вместе для копирования исполняемого файла на удалённый компьютер и последующего запуска либо для выполнения команд через RPC.
Копирование и запуск исполняемого файла происходят следующим образом. Вначале будет выполнено подключение к ресурсу ADMIN$ (C:Windows), куда помещается файл. Затем необходимо соединиться с ресурсом IPC$ и обратиться с его помощью к интерфейсу SCM для создания и старта сервиса, который запустит скопированный файл. Всё это происходит поверх протокола SMB (Server Message Block).
Рисунок 1. Обращение к ресурсу ADMIN$
RPC может работать не только поверх SMB, но и поверх чистого TCP. В этом случае последовательность действий такова: злоумышленник подключается к IPC$, обращается к какому-либо сервису и отправляет ему команды.
Рисунок 2. Передача файла psexecsvc.exe
Запросы к SCM выявляются путём разбора вызовов DCE/RPC и поиска обращений к SVCCTL — интерфейсу менеджера сервисов SCM: OpenServiceW(), StartServiceW().
Рисунок 3. Создание нового сервиса с помощью SCM
С помощью RPC реализуются и другие техники, например Account Discovery. Отправка запросов сервису Security Accounts Manager по протоколу SAMR позволяет получить список учётных записей и групп в домене, а перебор идентификаторов SID с помощью службы Local Security Authority (LSARPC) позволяет узнать имена пользователей на удалённом узле.
Рисунок 4. Получение учётных записей с помощью lookupsids
Один из популярных методов закрепления в системе и продвижения по сети — создание задач, выполняемых по расписанию (Scheduled Task), путём отправки запросов сервису планировщика ATSVC.
Рисунок 5. Создание новой задачи в планировщике задач ATSVC
Описанные сценарии вполне легитимны и могут использоваться в повседневной деятельности администраторов, поэтому нужно создавать вспомогательные правила, которые автоматизировали бы обнаружение RPC-вызовов и обращений к сервисам. Эти действия необходимо анализировать в связи с другими событиями, учитывать общий контекст происходящего. Такой анализ может потребовать больших трудозатрат.
Более эффективны точечные правила, которые анализируют сетевой трафик с учётом порядка команд и значения объектов в запросах, характерных для конкретных инструментов. Например, зная последовательность действий и структуру данных, которые определены в коде утилиты psexec из набора Impacket, можно с большой точностью выявить следы её запуска в трафике.
Рисунок 6. Фрагмент кода psexec
Рисунок 7. SMB-пакет, который отправляется в результате выполнения представленного выше участка кода
Windows Management Instrumentation
Встроенная технология WMI позволяет злоумышленникам воспользоваться уже имеющимися в системе средствами для взаимодействия с удалёнными узлами. Когда WMI-команда передаётся по сети по незашифрованному протоколу DCERPC, в сетевом трафике можно увидеть текстовые строки, где указан класс, к которому происходит обращение, и метод, который вызывается у класса. Для того чтобы выявить передачу команды на исполнение, необходимо отслеживать вызов метода Create класса Win32_Process.
Рисунок 8. Вызов метода Create класса Win32_Process
Рисунок 9. Команда на исполнение
Модули для работы с WMI присутствуют во многих готовых инструментах, например в Impacket, Koadic и Cobalt Strike. В Cobalt Strike есть также модуль WMI Event Consumer, который создаёт подписку на WMI-события. Она позволяет выполнять определённое действие, когда происходит заданное событие — например, проходит установленное время с момента старта ОС или пользователь авторизуется в системе. Действием может быть запуск вредоносной программы или средства удалённого управления. Создание подписки также выявляется в сетевом трафике по специфическим строкам, в частности ROOTSubscription и EventConsumer.
Pass the Hash
Злоумышленнику не обязательно знать пароль пользователя, чтобы получить доступ к какому-либо сервису. Техника Pass the Hash эксплуатирует особенности протокола аутентификации NTLM, которые позволяют подключаться к ресурсам даже при наличии хеша пароля. Если же в инфраструктуре используется механизм аутентификации Kerberos, злоумышленник может прибегнуть к атаке Overpass the Hash, которая является развитием этой техники.
Протокол Kerberos был разработан специально для того, чтобы пароли пользователей не передавались по сети. Для этого на своей машине пользователь хешем своего пароля шифрует запрос на аутентификацию. В ответ Key Distribution Center выдаёт ему билет на получение других билетов — так называемый Ticket-Granting Ticket (TGT). Теперь клиент считается аутентифицированным, и в течение десяти часов он может обращаться за билетами для доступа к другим сервисам.
Последовательность действий при атаке Overpass the Hash состоит в следующем. Злоумышленник получает хеш пароля пользователя (например, с помощью техники Credential Dumping), шифрует им запрос на аутентификацию и выпускает для себя билет TGT. Затем он запрашивает билет для доступа к интересующему сервису и успешно в нём авторизуется.
Атака Overpass the Hash может выявляться в сетевом трафике, например, на основе следующей аномалии. Microsoft рекомендует использовать и по умолчанию устанавливает для современных доменов алгоритм AES-128/256 для шифрования запросов на аутентификацию, а утилита mimikatz шифрует их с помощью устаревшего алгоритма RC4 — если, конечно, злоумышленник специально не поменял тип шифрования.
Рисунок 10. Использование RC4 в атаке
При таком способе выявления возможно большое количество ложных срабатываний. Для снижения количества ошибок потребуется дополнительный поведенческий анализ.
В то же время в трафике можно обнаружить и инструменты, с помощью которых осуществляются атаки Credential Dumping и Pass the Hash, например mimikatz. Многие киберпреступники используют в своих целях готовые фреймворки для тестирования на проникновение, которые подгружают дополнительные модули разными способами. В частности, Koadic, применяемый в атаках MuddyWater, передаёт mimikatz на заражённый узел по протоколу HTTP в виде закодированной в Base64 библиотеки, сериализованного .NET-класса, который будет её внедрять, и аргументов для запуска утилиты. Результат выполнения передаётся по сети в открытом виде также по протоколу HTTP.
Выявляем поиск учётных данных
Реквизиты для подключения к удалённым узлам (и в том числе — учётные данные администратора домена) взломщики, как правило, извлекают из оперативной памяти или реестра ОС. Такая техника называется Credential Dumping. Впрочем, некоторые злоумышленники прибегают и к подбору паролей. Хотя это — весьма грубая техника, существуют методы, которые позволяют проводить атаку более незаметно, а из-за того что в компаниях часто используются словарные или простые пароли даже для административных учётных записей, такие методы дают результат.
Credential Dumping
Существует несколько подходов к реализации Credential Dumping, которые можно отследить путём анализа трафика. Один из них — это атака DCSync, то есть копирование учётных записей пользователей на поддельный домен-контроллер. Атака выявляется с помощью разбора RPC-вызовов, которые передаются по сети, и поиска запросов DsGetNCChanges.
Рисунок 11. Обнаружение атаки DCSync
Кроме того, злоумышленники могут попытаться скопировать файл NTDS.dit, содержащий данные об учётных записях. Поэтому необходимо отслеживать передачу этого файла по сети. Ещё один способ реализовать Credential Dumping — это удалённый доступ к реестру по протоколу WINREG. Запросы на доступ к ключам SAM, SECURITY и LSA могут свидетельствовать о попытке получить учётные данные.
Брутфорс
Microsoft Exchange и Office 365 очень популярны как решения для корпоративной почты. Эти сервисы могут быть использованы злоумышленниками для получения доступа к учётным записям пользователей Active Directory. Техника такова: сначала взломщики получают список пользователей, а затем подбирают к ним пароли так, чтобы учётная запись не заблокировалась: по одному паролю на всех пользователей вместо словаря паролей для каждого. Такой подход получил название Password Spraying.
Если в инфраструктуре реализована аутентификация с помощью Kerberos, то для выявления атак на подбор паролей требуется разбирать протокол, находить сессии с ошибками, сообщающими, что запрашиваемый пользователь отсутствует, и разделять сессии с точностью до миллисекунд.
Если в трафике присутствует множество сессий с ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN с разными учётными записями, то это означает, что происходит перебор имён пользователей.
Рисунок 12. Сессии с ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN
Сессии с малым временем ответа сервера (десятки миллисекунд) — в сравнении с другими похожими (сотни миллисекунд) — показывают, что в этих сессиях пароли подобрали успешно. В трафике будут также отражены попытки входа с подобранными учётными записями и ошибки Kerberos. Сессии без ошибок с успешными ответами AS_REP и выданными билетами показывают, к каким учётным записям были подобраны пароли.
Рисунок 13. Попытки подбора паролей
Здесь также будет видна цикличность в именах пользователей, потому что атакующие подбирают по одному паролю на все учётные записи. Атаке может предшествовать запрос парольной политики домена: сколько установлено попыток неверного ввода пароля и на какое время блокируется учётная запись.
Ловим вредоносные скрипты
В последнее время в атаках всё чаще применяются скриптовые языки программирования. Перед тем как выполнить скрипт, его нужно передать на целевой узел. Это может быть не только файл сценария с понятными для интерпретаторов расширениями (.ps1, .vbs, .bat и др.) или макрос внутри офисного документа: преступники часто прибегают к другим методам, которые позволяют не оставлять лишних следов на узле. Тело скрипта может передаваться по сети, например, в виде ответа веб-сервера внутри HTML, TXT-записи в DNS-ответе, закодированной строчки с командами на исполнение, передаваемой по протоколу WMI.
Рисунок 14. Схема загрузки вредоносного скрипта с внешнего ресурса на скомпрометированный компьютер сети
Для обнаружения разных способов передачи вредоносных скриптов необходимо уметь определять используемые протоколы и кодировку. Следует в автоматизированном режиме извлекать передаваемые данные и файлы, а найденные объекты отправлять на анализ в песочницу. Известные вредоносные утилиты можно также выявить по хеш-суммам, которые содержатся в списках индикаторов компрометации.
Рисунок 15. Код JSRat, передаваемый в ответе веб-сервера
Анализируем подключения к командным серверам
Вредоносные программы должны связываться со своими управляющими серверами. Основная задача — передавать данные в виде, который усложняет их обнаружение в общем потоке трафика. Существует множество методов сокрытия факта связи с командным сервером или усложнения анализа передаваемых данных. Это может быть, например, маскировка под легитимный трафик, использование стеганографии или нестандартных алгоритмов кодирования.
Выявляем использование туннелей
Злоумышленники могут передавать вредоносный код внутри туннеля, установленного с использованием распространённого протокола, например DNS, SMTP, ICMP.
Есть несколько подходов к выявлению туннелей: поиск признаков самого туннеля или индикаторов использования конкретной утилиты для его создания. В первом случае нужно знать, какие особенности в сетевом трафике указывают на наличие туннеля для каждого протокола. К примеру, для протокола DNS аномалией являются большие размеры TXT-записей. Признаком ICMP-туннеля может служить размер пакетов Echo Request и Echo Response: их размер лишь незначительно изменяется в зависимости от ОС, так что если пакет оказался заметно больше обычного, то это говорит об аномалии. Косвенным признаком может стать увеличение ICMP-трафика: обычно в сети его мало, а при передаче большого количества данных через туннель будет наблюдаться заметный всплеск.
Рисунок 16. DNS-туннель
Второй подход — обнаружение отдельных утилит. Например, использование инструментов ICMPTX и ICMPSH видно по особенностям ICMP-пакетов.
Боремся с обфускацией
Перед злоумышленниками особенно остро стоит проблема обхода средств защиты, поскольку для успешного развития атаки внутри корпоративной сети необходимо оставаться незамеченным как можно дольше. Первым эшелоном выступают средства сигнатурного анализа трафика, потому что именно через них проходит сетевой поток данных начальной компрометации и загрузки модулей на дальнейших стадиях.
Средства сигнатурного обнаружения выявляют уже известные угрозы. Аналитики проводят исследования, определяют общие признаки и на этом основании составляют правила и сигнатуры. В противовес злоумышленники используют техники обфускации кода, кодирования и шифрования. Это либо разрушает искомый паттерн, либо скрывает его от средства защиты.
Как правило, вредоносные программы используют те или иные методы кодирования информации. Наиболее распространёнными являются Base-подобные кодировки, чаще всего это — Base64. К примеру, ответ от агента Cobalt Strike содержит данные внутри POST-запроса, закодированные стандартным Base64. При исследовании сетевого трафика надлежит определять использование как минимум стандартной Base64-кодировки и применять правила анализа уже к декодированному содержимому.
Рисунок 17. Передача данных в кодировке Base64
Рисунок 18. Декодирование исполняемого файла
Одним из самых действенных средств борьбы с обфускацией является поведенческий анализ, поэтому хорошим решением станет объединение анализа сетевого трафика с запуском кода в специальной виртуализированной среде — песочнице. Таким образом следует проверять все извлечённые из трафика объекты, например незашифрованные архивы или упакованные исполняемые файлы. Поведенческий анализ позволяет выявить подозрительные действия при выполнении кода и обнаружить новые, неизвестные ранее угрозы.
Нужно учитывать, что некоторые хакерские инструменты умеют определять выполнение в виртуализированной среде. В таком случае они не запускают вредоносные функции и ведут себя как легитимное ПО. Поэтому песочница должна принимать меры по сокрытию своего присутствия и распознавать техники обхода. Виртуальные машины в песочнице должны моделировать пользовательскую рабочую станцию. Для этого устанавливается прикладное ПО, образы виртуальных машин наполняются пользовательскими файлами так, чтобы они были похожи на рабочие компьютеры потенциальных жертв внутри организации. Вредоносная программа может проверить наличие характерных для виртуальных машин процессов, ключей реестра и файлов, размер жёсткого диска и оперативной памяти, наличие перемещений курсора мыши. Соответствующие запросы необходимо перехватывать на уровне ядра, чтобы сделать бесполезными проверки с уровня пользователя.
В случае сложных целенаправленных кампаний (APT-атак) соответствующие индикаторы компрометации могут быть ещё неизвестны на момент атаки. Поэтому важно проводить ретроспективный анализ файлов при появлении новых данных.
Исследуем хакерский инструментарий
В большинстве своём злоумышленники используют уже готовые фреймворки, поэтому в поиске подозрительного трафика важно знать особенности, характерные для различных инструментов. Так, популярный среди киберпреступников фреймворк Koadic передаёт полезную нагрузку в виде ответа веб-сервера внутри HTML. Сама полезная нагрузка зашифрована, а к расшифровщику применены техники обфускации кода: случайные имена пользовательских функций, их аргументов и переменных. Зашифрованный скрипт дополнительно закодирован. Для обхода средств обнаружения вторжений (IDS) авторы скрывают имя функции, используемой для выполнения расшифрованного скрипта.
Рисунок 19. Обфускация «полезной» нагрузки в Koadic
Ниже представлен ответ агента Koadic командному серверу. Часть служебной информации, например тип исполненного задания, создатели хранят в собственных HTTP-заголовках. Идентификаторы сессии и задачи устанавливаются случайным образом, а путь к библиотеке mshtml обфусцирован для обхода сигнатур IDS, но вид URI всё равно является одним из индикаторов, по которому можно узнать Koadic.
Рисунок 20. Запрос, свидетельствующий об использовании Koadic
Опишем несколько подходов, которые помогают выявить шифрованное соединение с использованием Meterpeter из состава фреймворка Metasploit.
Долгое время хорошо работало правило детектирования Meterpreter HTTPS Reverse Shell, которое анализировало SSL-сертификат защищённого соединения. Дело в том, что в сертификате, сгенерированном через Metasploit, поля Distinguished Name (DN) Issuer и DN Subject содержат идентичные наборы из 6 RDN, расположенных в фиксированном порядке.
Рисунок 21. Содержимое полей DN Issuer и DN Subject
Метод, основанный на выявлении сертификата, подходит для обнаружения простых вариантов шеллов с настройками по умолчанию. Однако в Metasploit есть возможность использовать сертификаты, созданные через другие утилиты, или имитировать сертификат легитимного ресурса. По результатам исследований специалисты PT Expert Security Center пришли к выводу, что на данный момент самый оптимальный подход — детектирование, основанное на длинах пакетов зашифрованного трафика.
Другим примером детектирования служит обнаружение Meterpreter Reverse TCP Shell. В начале соединения происходит отправка пакета определённой длины, внутри которого передаётся публичный ключ RSA-2048. Такой пакет дополнительно защищён шифром гаммирования (XOR), однако из-за малой длины гаммы в структуре пакета можно выявить повторяющиеся части. На рисунке ниже выделены такие фрагменты, а также сам зашифрованный ключ.
Рисунок 22. Обнаружение Meterpreter Reverse TCP Shell
Благодаря большому количеству нулей в начале шифруемых данных и малой длине гаммы можно без труда найти ключ и посмотреть, что находится за XOR.
Рисунок 23. Расшифровка публичного ключа
Для фреймворка Cobalt Strike также были выявлены неизменные паттерны, связанные с особенностями используемого SSL-сертификата, которые позволяют обнаружить такую коммуникацию.
Выводы
Рассмотренные техники атаки можно обнаружить и другими методами (например, с помощью SIEM и анализа журналов событий). Артефакты на конечных узлах будут свидетельствовать о компрометации ресурса, но для того чтобы «раскрутить» всю цепочку атаки и определить начальный вектор проникновения или просто проверить гипотезы в рамках Threat Hunting, может потребоваться проследить перемещения злоумышленника внутри сети, выявить подключения к командным серверам.
Типовые решения для защиты конечных узлов в инфраструктуре и межсетевые экраны могут не обеспечить должный уровень контроля, опытные хакеры адаптируют свои инструменты для их обхода. Анализ потоков данных может служить дополнением к уже существующим средствам обнаружения атак. Копия сетевого трафика позволяет восстановить последовательность действий злоумышленников и детально разобраться в инциденте. Вместе с проверкой передаваемых по сети файлов в песочнице подобный подход даёт возможность обнаружить даже сложную APT-атаку (рассмотренные техники применялись такими группировками, как APT27, TaskMasters, Silence и др.).
Развернутый текст аналитики на тему поиска злоумышленников в инфраструктуре вы можете прочитать на сайте Positive Technologies.