Русский
Русский
English
Статистика
Реклама

Блог компании varonis systems

Перевод Руководство по анализу Sysmon-угроз, часть 1

30.06.2020 16:15:52 | Автор: admin


Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии:

Часть 1. Знакомство с анализом логов Sysmon (мы тут)
Часть 2. Использование данных из Sysmon событий для выявления угроз
Часть 3. Углубленный анализ Sysmon-угроз с помощью графов

Если вы занимаетесь информационной безопасностью, наверняка вам часто приходится разбираться в происходящих атаках. Если у вас уже намётанный глаз, вы можете поискать нестандартную активность в сырых необработанных логах скажем, PowerShell-скрипт с запущенной командой DownloadString или VBS-скрипт, притворяющийся Word-файлом, просто пролистывая последнюю активность в журнале событий Windows. Но это реально большая головная боль. К счастью, Microsoft создал Sysmon, делающий анализ атак куда более простым.

Хотите разобраться в базовых идеях, стоящих за отображаемыми в логе Sysmon угрозами? Скачайте наше руководство WMI события как средство шпионажа и вы осознаете, как инсайдеры могут незаметно наблюдать за другими сотрудниками. Основной проблемой работы с журналом событий Windows является отсутствие информации о родительских процессах, т.е. из него нельзя понять иерархию процессов. В записях лога Sysmon же наоборот, содержатся идентификатор процесса родителя, его имя и запускаемая командная строка. Спасибо тебе, Microsoft.

В первой части нашей серии мы посмотрим, что можно сделать с базовой информацией из Sysmon. Во второй части мы в полной мере воспользуемся информацией о родительских процессах для создания более комплексных структур соответствия, которые известны как графы угроз. В третьей части мы рассмотрим простой алгоритм, который сканирует граф угроз для поиска нестандартной активности через анализ веса графа. А в конце в качестве вознаграждения вас ждет аккуратный (и понятный) вероятностный метод обнаружения угроз.


Часть 1: Знакомство с анализом логов Sysmon


Что поможет разобраться в сложностях журнала событий? В конечном итоге SIEM. Она производит нормализацию событий и упрощает их последующий анализ. Но нам не обязательно заходить так далеко, по крайне мере первое время. В начале для понимания принципов SIEM достаточно будет попробовать замечательную бесплатную утилиту Sysmon. И с ней на удивление легко работать. Так держать, Microsoft!

Какие есть возможности у Sysmon?


Если кратко полезная и читабельная информация о процессах (см. картинки ниже). Вы обнаружите кучу полезных деталей, которых нет в журнале событий Windows, но самое главное следующие поля:
  • ID процесса (в десятичной форме, а не hex!)
  • ID родительского процесса
  • Командную строку процесса
  • Командную строку родительского процесса
  • Хэш образа файла
  • Имена образов файла

Sysmon устанавливается одновременно и как драйвер устройства, и как служба подробнее здесь. Её ключевым преимуществом является возможность анализа логов из нескольких источников, корреляция информации и вывод результирующих значений в одну папку журнала событий, находящуюся по пути Microsoft -> Windows -> Sysmon -> Operational. В моих собственных расследованиях логов Windows, от которых волосы встают дыбом, мне постоянно приходилось переключаться между, скажем, папкой с логами PowerShell, и папкой Безопасность, пролистывая журналы событий в героический попытке как-то сопоставить значения между ними. Это ни разу не легкая задача, и как я потом понял, лучше было сразу запастись аспирином.

Sysmon же делает качественный скачок вперёд, предоставляя полезную (или как любят говорить вендоры действенную) информацию для помощи в понимании основополагающих процессов. Например, я запустил скрытную сессию wmiexec, симулирующую перемещение умного инсайдера внутри сети. Вот что при этом вы увидите в журнале событий Windows:

В журнале Windows видна какая-то информация о процессе, но она малополезна. Плюс идентификаторы процессов в шестнадцатеричной форме???


В журнале Windows видна какая-то информация о процессе, но она малополезна. Плюс идентификаторы процессов в шестнадцатеричной форме???

У профессионального ИТ-специалиста с пониманием основ хакинга должна вызвать подозрение командная строка. Использование cmd.exe для последующего запуска другой команды с перенаправлением вывода в файл со странным названием это явно похоже на действия софта по контролю и управлению command-and-control (C2): таким способом создаётся псевдо-шелл с помощью служб WMI.
Теперь давайте взглянем на эквивалент записи из Sysmon, обратив внимание на то, сколько дополнительной информации она нам даёт:

Возможности Sysmon на одном скриншоте: детальная информация о процессе в читабельной форме


Возможности Sysmon на одном скриншоте: детальная информация о процессе в читабельной форме


Вы не только видите командую строку, но и имя файла, путь до исполняемого приложения, что Windows знает об этом (Windows Command Processor), идентификатор родительского процесса, командная строка родителя, запустившего cmd-шелл, а также реальное имя файла родительского процесса. Всё в одном месте, наконец-то!
Из лога Sysmon мы можем сделать вывод, что с высокой долей вероятности эта подозрительная командная строка, которую мы видели в сырых логах, не является результатом нормальной работы сотрудника. Скорее наоборот, она была сгенерирована C2-подобным процессом wmiexec, как я упоминал ранее и была напрямую порождена процессом WMI службы (WmiPrvSe). Теперь у нас есть индикатор того, что удалённый злоумышленник или инсайдер пробует корпоративную инфраструктуру на зуб.

Представляем Get-Sysmonlogs


Конечно замечательно, когда Sysmon располагает логи в одном месте. Но, наверное, было бы ещё лучше, если бы мы могли получить доступ к индивидуальным полям лога программным способом например, через команды PowerShell. В этом случае можно было бы написать небольшой PowerShell-скрипт, который бы автоматизировал поиск потенциальных угроз!
Не у меня первого возникла такая идея. И хорошо, что в некоторых постах форумов и GitHub проектах уже объяснено, как использовать PowerShell для парсинга Sysmon-лога. В моём случае мне хотелось избежать необходимости написания отдельных строк парсинг-скрипта для каждого поля Sysmon. Поэтому я использовал принцип ленивого человека и, как мне кажется, в результате придумал что-то интересное.
Первым важным моментом является возможность команды Get-WinEvent читать Sysmon логи, фильтровать нужные события и выводить результат в PS переменную, как здесь:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}


Если вы захотите самостоятельно проверить работу команды, то через отображение контента в первом элементе массива $events, $events[0].Message, на выходе можно получить серию текстовых строк с очень простым форматом: имя поля Sysmon, двоеточие и затем само значение.

Ура! Вывод Sysmon лога в готовый под JSON формат


Ура! Вывод Sysmon лога в готовый под JSON-формат


Вы думаете о том же, о чём и я? Приложив ещё немного усилий, можно сконвертировать вывод в отформатированную под JSON-строку и затем загрузить её напрямую в PS-объект с помощью мощной команды ConvertFrom-Json .
Я покажу PowerShell-код для конвертации он очень простой в следующей части. А пока что давайте глянем, что может делать моя новая команда под названием get-sysmonlogs, которую я установил как PS-модуль.
Вместо углубления в анализ логов Sysmon через неудобный интерфейс журнала событий, мы можем без усилий искать инкрементальную активность непосредственно из PowerShell-сессии, а также использовать PS-команду where (алиас ?) для сокращения результатов выдачи:

Список cmd-шеллов, запущенных через WMI. Анализ угроз задёшево с помощью нашей собственной команды Get-Sysmonlogs


Список cmd-шеллов, запущенных через WMI. Анализ угроз задёшево с помощью нашей собственной команды Get-Sysmonlogs


Удивительно! Я создал инструмент опроса Sysmon-лога, как если бы он был базой данных. В нашей статье про EQL отмечалось, что эту функцию и выполнят описываемая в нём крутая утилита, хотя формально всё же через реальный SQL-подобный интерфейс. Да, EQL изящен, но мы коснёмся его в третьей части.

Sysmon и анализ графов


Давайте абстрагируемся и подумаем, что мы только что создали. По сути, у нас теперь есть база данных событий Windows, доступная через PowerShell. Как я отметил ранее, между записями существуют соединения или связи через ParentProcessId поэтому можно получить полную иерархию процессов.

Если вы читали серию Приключения неуловимой малвари, то знаете, что хакеры любят создавать сложные многоэтапные атаки, в которых каждый процесс выполняет свою маленькую роль и готовит плацдарм для следующего шага. Такие вещи крайне сложно отловить просто из сырого лога.
Но с моей командой Get-Sysmonlogs и дополнительной структурой данных, которую мы рассмотрим далее по тексту (конечно же, это граф), у нас появится практичный способ обнаружить угрозы для чего требуется лишь выполнить правильный поиск по вершинам.
Как всегда в наших DYI блог-проектах, чем больше вы работаете над анализом деталей угроз в небольшом масштабе, тем лучше вы осознаёте, насколько сложным является детектирование угроз на уровне организации. И это осознание является крайне важным моментом.

Мы встретим первые интересные сложности во второй части статьи, где начнём связывать друг с другом Sysmon-события в куда более сложные структуры.
Подробнее..

Перевод Руководство по анализу Sysmon-угроз, часть 2. Использование данных из Sysmon-событий для выявления угроз

08.07.2020 16:06:56 | Автор: admin


Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии:
Часть 1. Знакомство с анализом логов Sysmon
Часть 2. Использование данных из Sysmon-событий для выявления угроз (мы тут)
Часть 3. Углубленный анализ Sysmon-угроз с помощью графов

В этом разделе мы углубимся и начнём использовать детализированную информацию, которую предоставляет нам Sysmon. Вот три основных момента, которые мы будем прорабатывать:

  1. Использование PowerShell для прямого доступа к гранулированной информации о процессах;
  2. Построение и визуализация иерархии процессов первый важный шаг в поиске угроз;
  3. Использование метаданных Sysmon для формирования важных метрик, полезных при углублённом расследовании угроз, таких как подсчёт частоты, с которой запускаются конкретные процессы.

Использование Get-Sysmonlogs


Давайте теперь подробнее рассмотрим мою замечательную команду, которая преобразовывает Sysmon-события в объекты PowerShell. Я в какой-то степени горжусь тем, что мне не пришлось прописывать вручную отдельные строки кода для каждого из полей. И вот, собственно, великое раскрытие кода:

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 } foreach ($event in $events)  {    $ev = $event.Message -split "`r`n"    $jsons="{ "    foreach ($line in $ev) {        $line=$line -replace "\\","\\" `               -replace "\{"," " `               -replace "\}"," " `               -replace '"','\"' `               -replace "`n"," "         $line=$line -replace '(\s*[\w\s]+):\s*(.*)', '"$1":"$2",'        $jsons = $jsons + $line }         $jsons =$jsons + '"blah" : "blah" }'         ConvertFrom-Json -InputObject $jsons     }}

Весь код сейчас выложен на GitHub и вы можете его скачать и импортировать как Sysmon-модуль для собственного проекта. Единственная нестабильность связана с удалением нескольких неприятных символов скобки, бекслэши, символы конца строки, кавычки чтобы сделать вывод приближённым к JSON.
Итак, классическим сигналом нарушителя, копошащимся вокруг системы, является использование команды whoami, и зачастую следующей после hostname. Хакер (или, возможно, инсайдер), заполучивший чью-то учётную запись, хочет убедиться, что имперсонализация работает, поэтому он часто набирает вышеуказанные команды, как только оказывается на сервере жертвы. Для остальных же whoami и hostname это не те слова, которые они будут вводить в консоли собственной системы, даже если они когда-либо пользуются командной строкой.

С помощью моей аккуратной команды, дающей доступ ко всем записям лога Sysmon, мы легко можем состряпать цепочку, фильтрующую имя процесса (как мы это сделали в первой части). При этом с Sysmon мы можем подойти к вопросу ещё более гранулярно, заглянув в командную строку родительского процесса.

Обычно, когда хакер проникает в сеть и получает доступ к командой строке, она представляет из себя устаревшую cmd кстати, именно так и происходит в случае взлома при помощи psexec или smbexec. Используя вывод get-symonlogs, можно отловить процессы whoami, которые были порождены этими устаревшими шеллами, и это будет хорошим доказательством угрозы.

Внимание: Whoami запустился через устаревший шелл cmd


Внимание: Whoami запустился через устаревший шелл cmd


С практической же точки зрения поиск по сырым логам журнала событий Windows и сопоставления процессов просто невозможно. Как мы только что видели, записи в Sysmon открывают множество возможностей для анализа угроз. Поэтому давайте продолжим наше исследование посредством сопоставления Sysmom-данных в более сложные структуры.

Азы структур данных: списки и графы


Логи Sysmon не только предоставляют нам командную строку родительского процесса, но и идентификатор этого процесса!

Я думаю, вы уже догадались, что это значит. Но всё же: теперь мы можем соединить воедино процессы в иерархии и, не побоюсь этого сказать, сети. Вспомнив базовые понятия информатики, можно обнаружить естественные структуры данных для получения такой информации связные списки и графы первыми приходят на ум.

Сначала я думал, что мне придётся сдувать пыль с моей копии Структуры данных для поэтов и су-шефов, но тут меня выручили интернеты. Я наткнулся на шикарную коллекцию базовых алгоритмов Дага Финке (Doug Finke) на Gihub, написанную на PowerShell. Спасибо тебе, Даг!
После преодоления некоторой кривой обучения, я смог использовать его алгоритмы для структуризации моих событий Sysmon. Я построил структуры данных в виде списка и графа, а затем, с использованием API, написал PowerShell-функцию поиска команды и вывода иерархии процесса. Круто.

Я назвал её show-threat-path. Она осуществляет поиск в глубину по иерархии процесса и выводит имена приложений и ассоциированные с ними команды для корневого приложения, указанного в качестве входного параметра. В качестве моего первого теста я поискал по whoami.exe. И вот что увидел:

Иерархия процессов: процесс 2452 выглядит подозрительным!


Иерархия процессов: процесс 2452 выглядит подозрительным!


Дополнительный бонус тому, кто заметил на выводе выше, что whoami, ассоциированный с процессом 2452, был вызван через устаревший шелл cmd, который уже в свою очередь был запущен exe-файлом со странным именем в папке Windows.

Хммм. Если вы знакомы с механиками удалённых вызовов psexec, описанными здесь , то мысленно должны уже бить в колокола. Но я расскажу вам маленький секрет: играя роль хакера, я предварительно запустил данный whoami с удалённого сервера Linux с помощью python-скриптов Impacket.

Целью является демонстрация того, что с помощью обогащённых Sysmon логов и небольшой порции PowerShell, можно приготовить вполне практичную утилиту по выявлению уязвимостей, как я это только что проделал с show-threat-path.

Охота на угрозы с помощью направленных графов


Пришло время заняться более странными вещами. Обладая всей этой информацией о процессах, полученной из Sysmon, можно взглянуть на связи в более общем виде. Другими словами, я хочу рассматривать запущенные приложения PowerShell.exe, Explorer.exe, и т.д. как вершины графа и связать их с тем приложением, которое в свою очередь их запустило. В результате получится схема, показывающая, каким образом приложения взаимодействуют друг с другом (вместо создания отдельной вершины на каждый инстанс процесса).

С технической точки зрения речь идёт о направленном графе, в котором путь, если можно так выразиться, представляет из себя одностороннюю дорогу от приложения к его родительскому процессу.

На данном этапе было бы неплохо взглянуть на визуализацию того, о чём я веду речь. К счастью, существует великолепная утилита визуализации PowerShell графов под названием GraphViz, у которой есть чрезвычайно простые оболочки, доступные через PSQuickGraph. Тогда с помощью небольшого куска кода

#Let's graph it!!!$gv = New-Graph -Type BiDirectionalGraph # PSQuickGraphforeach ($e in $g.getAllEdges() )  { $g from Doug Fink's functions    $vs= $e.startvertex   $ve= $e.endvertex    PSQuickGraph\Add-Edge -From $vs.value.Key -To $ve.value.Key -Graph $gv |Out-Null}Show-GraphLayout -Graph $gv

можно визуализировать сложные взаимодействия между приложениями через интерфейс GraphViz:

GraphViz:Библиотека PowerShell для визуализации иерархий процессов


GraphViz: Библиотека PowerShell для визуализации иерархий процессов


Что это даёт? По сути это графический способ выявлять угрозы. Вместо того, чтобы искать определённую сигнатуру текста, как мы это делали раньше с командой show-threat-path, теперь мы можем попытаться найти аномалии на графе.

Идея заключается в понимании того, что является нормальной картиной соседства графов и подграфов обычно они выглядят как связные структуры на визуализации а затем в попытке обнаружить вершины, выглядящие как более обособленные. И на самом деле наши глаза неплохо приспособлены под эту задачу. Но к счастью, также имеется и несколько простых алгоритмов обнаружения соседства и выявления угроз. И когда-то давно ваш покорный слуга даже написал пост об использовании техники выявления соседств в сети социальных связей, ассоциированной со знаменитым героем революции в США.

Преимущество данного подхода в поиске злоумышленников заключается в том, что хакеры могут менять свои техники и обфусцировать свои атаки, но им непросто скрыть свои паттерны графов.

В третьей части нашего обзора мы углубимся в анализ и применение алгоритмов и методов для поиска уязвимостей. Оставайтесь с нами!
Подробнее..

Перевод Руководство по анализу Sysmon-угроз, часть 3. Углубленный анализ Sysmon-угроз с помощью графов

15.07.2020 16:21:33 | Автор: admin


Эта статья является третьей, и финальной, частью серии по анализу Sysmon-угроз. Все остальные части серии:

Часть 1. Знакомство с анализом логов Sysmon
Часть 2. Использование данных из Sysmon событий для выявления угроз
Часть 3. Углубленный анализ Sysmon-угроз с помощью графов (мы тут)

Поиск нестандартных подграфов с данными событий Sysmon (простой пример)


Прежде чем мы ознакомимся с примером выявления аномалий в подграфах, указывающих на потенциальную угрозу (и если эти слова не пробуждают в вас ботаника, то ничто уже не пробудит!), давайте сделаем небольшое отступление.
В этом месте я обязан сделать предупреждение: данный пост вместе с кодом на GitHub не может заменить решение корпоративного класса. Оно может помочь выявить угрозы в меньшем масштабе, но моя благородная задача состоит в том, чтобы помочь представителям IT-безопасности понять и по достоинству оценить реальные решения по защите от угроз. И один из способов достичь этого самостоятельно создать собственное решение (с моей помощью).
Домашние эксперименты помогут понять, насколько сложно масштабировать DIY-софт по выявлению угроз. Вам придётся работать с наборами big data и со всем, что с ними связано: чисткой (что крайне непростая задача), эффективной обработкой (найти нужные структуры данных, алгоритмы и т.д.) и предоставлением результатов с низким количеством ложных cрабатываний, чтобы ваши же коллеги потом не полезли на вас с кулаками. С учётом этого вы можете рассмотреть уже готовое решение по обнаружению угроз но только после завершения нашей серии статей и проведения собственных экспериментов.

Выставление весовых коэффициентов графа


Один из простых способов построить решение по защите от угроз, которое не полагается на сигнатуры вредоносного софта, это использовать граф угроз из предыдущей части.
Такой граф соединяет вершины процессов на базе записей из журнала событий Sysmon. Обратите внимание: я не выделял каждое событие запуска процесса (Event ID 1 в событиях Sysmon) в отдельную вершину. Вместо этого я создал более абстрактный граф, который показывает, скажем, что вершина PowerShell имеет одну связь с любым приложением, которое она запустила из-под любого пользователя одну связь для Excel, одну для браузера и т.д.

Вид дерева PSQuickGraph моего графа угроз Sysmon. Обратите внимание на аномальную ветку под cmd.exe


Вид дерева PSQuickGraph моего графа угроз Sysmon. Обратите внимание на аномальную ветку под cmd.exe


Однако нам всё же желательно отслеживать частоту запускаемых процессов. Например, если PowerShell запустил whoami 1 раз и 10 раз устаревший Windows-редактор Notepad.exe, то данные ребра графа, отходящие от вершины PowerShell, должны быть отмечены соответствующими весами в 1 и 10 соответственно. Логично?
Во многих простейших алгоритмах детектирования угроз данный вес становится метрикой сравнения регионов графа. Основная мысль заключается в том, что подграф с более низким средним уровнем веса по сравнению со средним весом в целом, является подозрительным.
Не так ли? Редко посещаемая вершина является аномальной зоной. Поэтому если пользовательские действия при анализе потенциальных угроз уходят в сторону редко используемого подграфа, следует поднять уровень тревоги до жёлтого.
Описываемый мной подход и нижеприведённые PowerShell скрипты не предназначены для использования в практичных целях для больших инфраструктур. Но для отдельного сервера решение может оказаться рабочим, или, как минимум, предоставить независимую верификацию тех корпоративных решений, которые вы используете.
Говорил ли я уже, что алгоритмы Дага Финке в PowerShell для структур данных являются великолепным и мощным инструментом? Без его работы я бы ничего не достиг в своём проекте графа аномалий. Повторное тебе спасибо, Даг!
С помощью его PowerShell-библиотеки прекрасных граф-функций я легко могу посчитать вес моего Sysmon-графа угроз посредством всего нескольких строчек PS, а также узнать средний вес вершины для всего графа. По мере прохождения графа, код также назначает каждой вершине вес всех её исходящих рёбер:

$AW=0 #average weight$GW=0 #total weight$mset = [System.Collections.ArrayList]@() #master set of subraphs#calculate total weight by summing up the frequencies or weights of the edgesforeach ($e in $g.getAllEdges() ) {    $GW = $GW + $e.weight}write-host "Weight of Graph: " $GW$AW = $GW / $g.vertices.countwrite-host "Average weight per vertex: " $AW#assign weight of edges to verticefor ($i=0; $i -lt $g.vertices.count; $i++) {    $w=0   $v=$g.vertices[$i]   foreach($e in $v.getEdges()) {      if($e -eq $null) {continue}      $w=$w + $e.weight   }   $v.value.Weight = $w}


Вышеуказанный код проводит нужные нам расчёты. При этом можно рассматривать каждую вершину как частоту визитов, зависящей от исходящих рёбер.
Самая сложная часть моего PowerShell скрипта графа аномалий который я скоро покажу это найти регионы графа, которые реже всего встречаются, а затем найти наибольший подграф, содержащий их. Возможно, что для выполнения этой задачи вам потребуется пролистать какую-нибудь старую книгу по информатике. Но на самом деле это не так сложно написать!
Я использовал классический поиск в ширину для моего графа через посещение каждой вершины, а затем расширял его за счёт соседних вершин до тех пор, пока мой подграф не достигнет определённого порога в зависимости от среднего веса вершины. Вот так:

function extend-subgraph($v, $t) {    $vertexQueue = New-Object Queue        #initialize    $vertexQueue.enqueue($v)    $h=$v.value.Weight    $s=@() #subgraph    $s+=$v    $extend=$false    while (!$vertexQueue.isEmpty()) { #bfs        $currentVertex = $vertexQueue.dequeue()        $es= $currentVertex.getEdges()        foreach($e in $es) {            $ev= $e.endVertex                            if ((($h + $ev.value.Weight)/($s.count+1) -lt $th)  {                        #extend the sub-graph                $s+=$ev                $h =$h + $ev.value.weight                #queue it up                $vertexQueue.enqueue($ev)            }        }


Небольшая ремарка для любителей DIY: для создания массива массивов используйте тип arraylist и вы убережёте себя от большой головной боли.

Угрозы и подграфы с низким весом


Существует много разных алгоритмов аномальных графов. Тот, который я использовал, основывается на некоем graphBAD, который я нашёл на просторах интернетов, и я дам ссылку, как только найду его снова.
В целом, главной проблемой в практическом детектировании угроз является поиск хорошего набора данных для формирования базового уровня. Будучи фултайм-блоггером и парттайм специалистом по выявлению угроз, мне так и не удалось создать достаточно интересный Sysmon-лог, содержащий множество разных приложений. Было достаточно сложно сгенерировать аномальные подграфы, так как у меня не было достаточно большого разброса по весам. Так или иначе, при использовании реального сервера у вас может оказаться в руках куда лучший набор данных, чем эпизодическое использование AWS инстанса Windows, как в моём случае.
Написанный мной PS-скрипт аномальных графов вполне выдавал подозрительные подграфы с низкими средними весами. И мне удалось даже поймать несколько интересных окружений (см. ниже).

Алгоритм весов подграфов в действии: интересное окружение с низким весом подграфа 7


Алгоритм весов подграфов в действии: интересное окружение с низким весом подграфа 7


Как я упоминал ранее, существуют и другие алгоритмы обнаружения аномалий в графах с метриками, отличными от простых весовых коэффициентов, стоящие своего времени на изучение. Один из них ищет кластеры схожих вершин и подмечает соединения или связи между разными окружениями. В этом случае аномалия заключается в пользователе или процессе, который связывает окружения с помощью каких-то других характеристик. Логично, не так ли?
Если внутренний ботаник в вас силён, можете ознакомиться со SCAN (Structural Clustering Algorithm for Networks), который как раз осуществляет вышеописанное. Вместе с PowerShell алгоритмами Дага Финке вы даже можете его применить. Я сам хочу взяться за этот проект и выложить его скоро в свой GitHub.

Поиск аномалий посредством случайных обходов


Давайте закончим данный раздел ещё одним способом находить аномалии в графе угроз. Я ссылался на этот подход в конце предыдущей части . Для меня, как для человека с математикой на ты, он является более интуитивным. А фанаты старого ТВ-шоу numb3rs сразу же узнают концепцию [прочищает горло] цепей Маркова.
Для всех оставшихся вы можете рассматривать это как случайный обход по графу. На каждой из вершин мы кидаем кубик и выбираем ребро графа в зависимости от его веса: чем больше вес ребра, тем выше шанс, что мы пойдём по нему. Вам необходимо разбить граф на две части он называется двудольным графом в теории графов с пользователями в одной части и приложениями в другой.
Далее вы ранжируете все приложения-вершины, до которых можно дойти от пользователя, основываясь на вероятности добраться до конкретной вершины. Для анализа угрозы вы тогда будете искать запущенные приложения, и если какие-то из них имеют очень низкую вероятность их достичь, то вы, возможно, нашли реальную угрозу!
Плюс в карму тому, кто связал это с PageRank алгоритмом Google. Я опишу данный момент подробнее в следующей секции, но заинтересованные могут погуглить фразу random walk with restart.

Теория случайного обхода и EQL-практика


Давайте сделаем ещё одно отступление и проанализируем, чего мы пытаемся достичь с помощью лога Sysmon, являющимся великолепным инструментом детектирования угроз и проведения расследований после инцидентов.
  • В предыдущих частях нашей серии я показал, как обрабатывать и вывести базовую информацию о процессах из данных Sysmon. Но в Sysmon логе сокрыто ещё больше информации, если мы будем рассматривать взаимодействие родительского и дочернего процесса как звено графа.
  • В части 2 нашей серии мы преобразовали лог Sysmon в граф, получив тем самым куда больше контекста, что позволило нам продвинуться за пределы простого поиска конкретных вредоносных сигнатур.
  • В третьей части мы углубились в обзор одного простого алгоритма, рассматривающего связи рёбер как весовые коэффициенты. Секции графа, весящие меньше (в терминах рёбер), чем общий средний вес по всему графу, могут являться потенциальной угрозой. Я собираюсь выложить PowerShell скрипты алгоритмов из данной секции в моём GitHub (после наведения в них лоска).


Преимуществом данных методов является отсутствие зависимости от конкретных команд или имён процессов, которые атакующие постоянно меняют или маскируют.
К тому же, существует и другой метод, основыванный на вероятности, для поиска уязвимостей. Давайте рассмотрим его подробнее.

Случайный обход графа уязвимостей из данных на базе событий Sysmon


Вместо анализа структуры самого графа, мы можем рассматривать связи как некий путь или дорожную карту, в котором каждое приложение является отдельной остановкой по пути следования. Из данных журнала Sysmon мы можем получить частоту , с которой каждое приложение запускается от своего родителя.

Если вы посмотрите мой скрипт графа угроз на GitHub, то обнаружите, что эта частота сохраняется внутри каждого объекта-ребра с помощью чудесных PowerShell-алгоритмов Дага Финке.

Можно рассматривать частоту пересечения каждого из рёбер графа уязвимостей как вероятность!


Можно рассматривать частоту пересечения каждого из рёбер графа уязвимостей как вероятность!


Следующим шагом напрашивается использования этой информации для нахождения вероятности, скажем, запуска PowerShell-ом приложения taskmgr.exe, анализатора процессов Windows, блокнота или hostname.exe.

К чему я клоню?
Вкратце: я могу создать вероятностную матрицу переходов, так любимую последователями Маркова и частно используемую в системах моделирования. Фактически, бросание кубика, переход к следующему приложению в графе и повтор сих действий является случайным обходом графа. В конечном счёте, данный математический метод ранжирует каждую вершину графа в соответствии с вероятностью попадания туда из стартовой точки. И вы узнаете, что, скажем, запуск электронных таблиц из проводника Windows является крайне обыденным процессом, а движка сценариев Windows Script Host Engine теоретически крайне нестандартным и, соответственно, потенциально являющимся индикатором угрозы.
Данный метод известен как Random Walk With Restart (далее RWWR, случайный обход с перезапуском) и является вариацией ныне легендарного PageRank-алгоритма ранжирования Google.
Давайте рассмотрим кусок скрипта, который я написал для подсчёта этих рангов:

#lets build a row$row= @(0)*$g.vertices.count$w=0foreach($e in $start.getEdges()) {    #calculate total frequency    $w+=$e.weight}if ($w -eq 0)  {   #make it connected$row[$ix] =1}else {  #we assign probabilitys    #now create transition probability    foreach($e in $start.getEdges()) {        $ev = $e.endVertex        $p = $e.weight        $jx = v-index $ev.value.Key        $row[$jx]= $p/$w #normalize by dividing by total    }}$P[$ix] = $row  #yay! One row added to transition matrix


Для каждой вершины я рассчитываю итоговую частоту всех соседей и затем назначаю вероятность каждого перехода через нормализацию по суммарному значению. Таким образом, если PowerShell.exe имеет 20 визитов ко всем его соседям, но nc.exe только однажды посещалось от вершины PowerShell.exe, то вероятность перехода будет составлять 1/20 или 0.05. Логично?

Сложность заключается в расчёте матрицы, применяемой в RWWR, но для тех, кто посещал уроки вероятностного моделирования, данная процедура не составит труда. Есть неплохая обзорная статья на этот счёт на сайте Medium.
Мой скрипт, который я называю random-rater, ранжирует и выводит 10 наименьших значений из списка. Таким образом можно получить приложения, которые имеют наименьшую вероятность быть запущенными, начиная от заданной вершины графа угроз. Вот результат, если взять в качестве исходной точки PowerShell.exe:

Алгоритм Random Walk With Restart может выдавать гугл-подобное ранжирование угроз. Хммм, whoami имеет наименьшую вероятность быть запущенной


Алгоритм Random Walk With Restart может выдавать гугл-подобное ранжирование угроз. Хммм, whoami имеет наименьшую вероятность быть запущенной


В качестве практической ремарки и предупреждения стоит отметить, что PWWR будет являться проблемой больших данных в реальной системе. Даже в случае моего маленького журнала Sysmon лаг при расчётах составил вполне заметную величину за счёт большого количества операций с плавающей запятой.

Язык EQL (Event Query Language) для анализа угроз


Сейчас стоит отметить, что производители решений с использованием более сложных подходов для обнаружения угроз в своих продуктах далеко выходят за рамки того, что вы или я могут сделать самостоятельно. И, определённо, куда с более высокой точностью.
Для тех, кто хочет погрузиться в тематику обнаружения угроз, но при этом не хочет работать с моими скриптами я понимаю! существует Event Query Language , или EQL. Это проект с открытым кодом, позволяющий применять язык запросов к журналу Sysmon, и о котором вы можете узнать более подробно из чрезвычайно всеобъемлющего поста. EQL не только отлично подходит для расследования инцидентов, но и может быть использован как инструмент при условии, что у вас есть какая-никакая свежая копия лога Sysmon.
Набор EQL предоставляет обработчик событий, преобразующий лог в удобоваримый JSON. Вы можете ознакомиться с копией моей ветки на GitHub. В отличие от моего статичного show-threat-path PS-скрипта, EQL позволяет вам делать запросы на лету.
Допустим, что меня заинтересовали все шеллы cmd.exe, которые были запущены от лица scvhost.exe, это может являться признаком использования атакующим psexec.exe или smb.exe. Запрос будет выглядеть следующим образом:

Использование EQL для поиска шеллов cmd.exe, запущенного от svchost.exe. Кстати, jq это Linux-утилита для отображения JSON данных


Использование EQL для поиска шеллов cmd.exe, запущенного от svchost.exe. Кстати, jq это Linux-утилита для отображения JSON данных

Есть ещё более крутой и мощный способ получения данного результата через использование модификатора потомка. Такой EQL запрос позволяет искать по всем процессам с указанным предком, где угодно в иерархии. Например, вы можете искать приложения, которые, скажем, имели в качестве предка процесс regsvr32.exe и могли воспользоваться широко известной уязвимостью, о которой я рассказывал здесь.
Слишком многое хочется рассказать об EQL в этом и так большом посте, поэтому я лучше опубликую отдельную статью о деталях мастерства работы с EQL для поиска уязвимостей.

Заключительные мысли о DIY-решениях для выявления угроз


Я обещал загрузить репозиторий Sysmon со всеми скриптами обнаружения угроз, описанными в этой статье. Периодически заглядывайте на мой GitHub , так как я со временем буду добавлять новые PS-утилиты на базе графов для выявления угроз вместе с дополнительной документацией слишком много информации для раскрытия в одной статье.
Вы добрались до этого места, поздравляю!
Попробуйте мои скрипты или используйте их в качестве основы для разработки собственных идей по обнаружению угроз. PowerShell вполне подходит для применения в сложных алгоритмах. Для меня, выросшего на языке Linux-шелла, было приятной неожиданностью поработать со зрелым скриптовым языком. И я советую ознакомиться с галереей PowerShell, ещё одним отличным ресурсом готовых боевых скриптов: вам не нужно изобретать велосипед заново в мире PowerShell.
Другим более важным выводом из всей статьи будет осознание того, что производители решений корпоративного уровня не только используют куда более сложные технологии выявления угроз, чем те, которые ИТ-разработчик способен написать в своё свободное время, но и приспособленность этих решений для работы с трафиком уровня крупной организации. Конечно, использование DIY-решений для анализа недоиспользуемого сервера или дополнительной валидации работы корпоративных продуктов является хорошей идеей. Но анализ угроз и их выявление действительно является проблемой больших данных, и, очевидно, это не та задача, которую способен решить PowerShell.
Если вас заинтересовала возможность побольше узнать о том, как Varonis справляется с задачей анализа и выявления угроз, вы всегда можете запросить персональную демонстрацию.
Подробнее..

Перевод Что такое DNS-туннелирование? Инструкция по обнаружению

30.07.2020 16:13:15 | Автор: admin


DNS-туннелирование превращает систему доменных имён в оружие хакеров. DNS это, по сути, огромная телефонная книга интернета. А ещё DNS является базовым протоколом, позволяющим администраторам делать запросы в базу данных DNS-сервера. Пока вроде всё понятно. Но хитрые хакеры осознали, что можно скрытно общаться с компьютером-жертвой путём внедрения управляющих команд и данных в протокол DNS. Эта идея и лежит в основе DNS-туннелирования.

Как работает DNS-туннелирование




Для всего в интернете есть свой отдельный протокол. И DNS поддерживает относительно простой протокол типа запрос-ответ. Если вы хотите посмотреть, как он работает, то можете запустить nslookup основной инструмент для подачи DNS-запросов. Вы можете запросить адрес, просто указав интересующее доменное имя, например:



В нашем случае протокол ответил IP-адресом домена. В терминах DNS-протокола, я сделал запрос адреса или запрос т.н. А-типа. Существуют и другие типы запросов, при этом DNS-протокол будет отвечать с различным набором полей данных, которыми, как мы это позже увидим, могут воспользоваться хакеры.

Так или иначе, по своей сути DNS-протокол занимается передачей запроса на сервер и его ответа обратно клиенту. А что, если злоумышленник добавит срытое сообщение внутрь запроса доменного имени? Например, вместо ввода вполне легитимного URL, он введёт данные, которые хочет передать:



Предположим, злоумышленник управляет DNS-сервером. Тогда он может передавать данные например, персональные данные, и не обязательно будет обнаружен. В конце концов, с чего вдруг DNS-запрос может стать чем-то нелегитимным?

Управляя сервером, хакеры могут подделывать ответы и отправлять данные обратно на целевую систему. Это позволяет им передавать сообщения, спрятанные в различных полях DNS-ответа, во вредоносное ПО на заражённой машине, с указаниями наподобие поиска внутри определённой папки.

Туннелирующая часть данной атаки заключается в сокрытии данных и команд от обнаружения системами мониторинга. Хакеры могут использовать наборы символов base32, base64 и т.д., или даже шифровать данные. Такая кодировка пройдёт незамеченной мимо простых утилит обнаружения угроз, которые осуществляют поиск по открытому тексту.

И это и есть DNS-туннелирование!

История атак через DNS-туннелирование


У всего есть начало, включая идею захвата DNS-протокола для хакерских целей. Насколько мы можем судить, первое обсуждение такой атаки проводилось Оскаром Пирсаном (Oskar Pearson) в почтовой рассылке Bugtraq в апреле 1998 года.

К 2004 году, DNS-туннелирование было представлено на Black Hat как хакерский метод в презентации Дэна Каминского (Dan Kaminsky). Таким образом, идея очень быстро переросла в настоящий инструмент атаки.

На сегодня DNS-туннелирование занимает уверенные позиции на карте потенциальных угроз (и блогеров в сфере информационной безопасности часто просят его объяснить).

Слышали ли вы о Sea Turtle ? Это действующая кампания киберпреступных группировок скорее всего, спонсируемая государством, направленная на захват легитимных DNS-серверов с целью перенаправления DNS-запросов на собственные сервера. Это означает, что организации будут получать плохие IP-адреса, указывающие на поддельные веб-страницы под управлением хакеров, например, Google или FedEx. При этом злоумышленники смогут заполучить учётные записи и пароли пользователей, которые те неосознанно введут их на таких поддельных сайтах. Это не DNS-туннелирование, но просто ещё одно скверное последствие контроля DNS-серверов хакерами.

Угрозы DNS-туннелирования




DNS-туннелирование это как индикатор начала стадии плохих новостей. Каких именно? Мы уже рассказали о нескольких, но давайте их структурируем:

  • Вывод данных (эксфильтрация) хакер скрытно передаёт критичные данные поверх DNS. Это определённо не самый эффективный способ передачи информации с компьютера-жертвы с учётом всех издержек и кодировок но он работает, и при этом скрытно!
  • Управление и контроль (Command and Control, сокращённо C2) хакеры используют DNS-протокол для отправки простых управляющих команд, скажем, через троян удалённого доступа (Remote Access Trojan, сокращённо RAT).
  • Туннелирование IP-Over-DNS это может звучать безумно, но существуют утилиты, реализующие IP-стек поверх запросов и ответов DNS-протокола. Это делает передачу данных с помощью FTP, Netcat, ssh и т.д. относительно простым занятием. Крайне зловеще!

Выявление DNS-туннелирования




Существует два основных метода обнаружения злоупотреблением DNS: анализ нагрузки и анализ трафика.

При анализе нагрузки защищающаяся сторона ищет аномалии в данных, передаваемых в обе стороны, которые могут быть обнаружены статистическими методами: странно выглядящие имена хостов, тип DNS записи, которая не используется настолько часто, или нестандартная кодировка.

При анализе трафика оценивается число DNS запросов к каждому домену по сравнению со среднестатистическим уровнем. Злоумышленники, использующие DNS-туннелирование, будут генерировать большой объём трафика на сервер. В теории, значительно превосходящий нормальный обмен DNS-сообщениями. И это необходимо отслеживать!

Утилиты DNS-туннелирования


Если вы хотите провести собственный пентест и проверить, насколько хорошо ваша компания сможет обнаружить и отреагировать на такую активность, то для этого есть несколько утилит. Все они умеют туннелировать в режиме IP-Over-DNS:

  • Iodine доступна на многих платформах (Linux, Mac OS, FreeBSD и Windows). Позволяет установить SSH-шелл между целевым и управляющим компьютером. Вот неплохой гайд по настройке и использованию Iodine.
  • OzymanDNS проект DNS-туннелирования от Дэна Каминского, написанный на Perl. С ним можно подключаться по SSH.
  • DNSCat2 DNS-туннель, от которого не тошнит. Создаёт зашифрованный C2-канал для отправки/скачивания файлов, запуска шеллов и т.д.

Утилиты DNS-мониторинга


Ниже представлен список нескольких утилит, который будет полезен для обнаружения туннелирующих атак:

  • dnsHunter Python-модуль, написанный для MercenaryHuntFramework и Mercenary-Linux. Считывает .pcap файлы, извлекает DNS-запросы и производит сопоставление геолокации, что помогает при анализе.
  • reassemble_dns утилита на Python, читающая .pcap файлы и анализирующая DNS-сообщения.

Микро FAQ по DNS-туннелированию


Полезнейшая информация в виде вопросов и ответов!

В: Что такое туннелирование?
О: Это просто способ передачи данных поверх существующего протокола. Лежащий в основе протокол обеспечивает выделенный канал или туннель, который потом используется для сокрытия информации, передающейся в действительности.

В: Когда был осуществлена первая атака по DNS-туннелированию?
О: Мы не знаем! Если вы знаете дайте, пожалуйста, нам знать. Насколько нам известно, первое обсуждение атаки было инициировано Оскаром Пирсаном в почтовой рассылке Bugtraq в апреле 1998 года.

В: Какие атаки похожи на DNS-туннелирование?
О: DNS далеко не единственный протокол, который можно использовать для туннелирования. Например, вредоносные программы по управлению и контролю (C2) часто используют HTTP для маскировки канала взаимодействия. Как и при DNS-туннелировании, хакер скрывает свои данные, но в данном случае они выглядят как трафик обычного веб-браузера, обращающегося на удалённый сайт (контролируемый злоумышленником). Это может остаться незамеченным программами мониторинга, если они не настроены воспринимать угрозу злоупотребления HTTP-протоколом в хакерских целях.

Хотите, чтобы мы помогли с обнаружением DNS-туннелирования? Ознакомьтесь с нашим модулем Varonis Edge и попробуйте бесплатное демо!
Подробнее..

Перевод Скрытый взлом паролей с помощью Smbexec

12.08.2020 18:08:51 | Автор: admin


Мы регулярно пишем о том, как хакеры часто опираются на использование методов взлома без вредоносного кода, чтобы избежать обнаружения. Они буквально выживают на подножном корму, используя стандартные средства Windows, тем самым обходя антивирусы и другие утилиты выявления вредоносной активности. Мы, как защитники, теперь вынуждены иметь дело с печальными последствиями таких хитрых техник взлома: удачно расположенный сотрудник может использовать тот же подход для скрытой кражи данных (интеллектуальная собственность компании, номера кредиток). И если он не будет торопиться, а работать медленно и незаметно, будет чрезвычайно сложно но все же возможно, если применять правильный подход и соответствующие инструменты, выявить такую активность.

С другой стороны, мне бы не хотелось демонизировать сотрудников, так как никто не хочет работать в бизнес-среде прямиком из 1984 Оруэлла. К счастью, существуют ряд практичных шагов и лайфхаков, которое могут значительно усложнить жизнь инсайдерам. Мы рассмотрим скрытные методы атаки, используемые хакерами сотрудниками с некоторым техническим бэкграундом. А чуть дальше мы обсудим варианты сокращения таких рисков изучим как технический, так и организационный вариант действий.

Что плохого в PsExec?


Эдвард Сноуден, справедливо или нет, стал синонимом инсайдерской кражи данных. Кстати говоря, не забудьте взглянуть на эту заметку о других инсайдерах, также заслуживающих некоторого статуса известности. Стоит подчеркнуть один важный момент о методах, которые использовал Сноуден, насколько нам известно, он не устанавливал никакого внешнего вредоносного софта!

Наоборот, Сноуден применил немного социальной инженерии и воспользовался своим должностным положением системного администратора для сбора паролей и создания учётных данных. Ничего сложного никаких mimikatz, атак man-in-the-middle или metasploit.

Сотрудники организаций не всегда находятся в уникальной позиции Сноудена, но из концепции выживания на подножном корму можно извлечь ряд уроков, о которых следует знать не производить никаких вредоносных действий, которые можно обнаружить, и особенно аккуратно использовать учётные данные. Запомните эту мысль.

Psexec и его двоюродный брат crackmapexec произвели впечатление на бесчисленное множество пентестеров, хакеров и блогеров по информационной безопасности. А в комбинации с mimikatz, psexec позволяет атакующим перемещаться внутри сети без необходимости знать пароль в открытом виде.

Mimikatz перехватывает NTLM- хэш у процесса LSASS, а затем передаёт токен или учётные данные т.н. pass the hash атака в psexec, позволяя злоумышленнику войти на другой сервер от лица другого пользователя. И с каждым последующим перемещением на новый сервер, атакующий собирает дополнительные учётные данные, расширяя спектр своих возможностей в поиске доступного контента.
Когда я впервые начал работать с psexec, он показался мне просто магическим спасибо Марку Руссиновичу, гениальному разработчику psexec, но я также знаю и о его шумных компонентах. Он ни разу не скрытный!

Первый интересный факт о psexec заключается в том, что он использует чрезвычайно сложный сетевой файловый протокол SMB от Microsoft. С помощью SMB psexec передаёт небольшие бинарные файлы на целевую систему, помещая их в папку C:\Windows.
Далее psexec создаёт Windows-службу с помощью скопированного бинарника и запускает её под крайне неожиданным именем PSEXECSVC. При этом вы можете реально увидеть всё это, как и я, наблюдая за удалённой машиной (см. ниже).


Визитная карточка Psexec: служба PSEXECSVC. Она запускает бинарный файл, который был помещён по SMB в папку C:\Windows.


В качестве финальной стадии, скопированный бинарный файл открывает RPC-подключение к целевому серверу и затем принимает управляющие команды (по умолчанию через cmd-шелл Windows), запуская их и перенаправляя ввод и вывод на домашнюю машину атакующего. При этом злоумышленник видит базовую командную строку такую же, как если бы он был подключён напрямую.
Множество компонентов и очень шумный процесс!
Сложный механизм внутренних процессов psexec объясняет сообщение, которое озадачило меня во время моих первых тестов несколько лет назад: Starting PSEXECSVC и последующую паузу перед появлением командной строки.


Psexec от Impacket в действительности показывает, что происходит под капотом.


Не удивительно: psexec проделывал огромное количество работы под капотом. Если вас интересует более подробное объяснение, ознакомьтесь вот с этим замечательным описанием.
Очевидно, что при использовании в качестве инструмента системного администрирования, что и являлось изначальным предназначением psexec, ничего страшного в жужжании всех этих механизмов Windows нет. Для атакующего, однако, psexec создаст осложнения, и для осторожного и хитрого инсайдера, такого как Сноуден, psexec или похожая утилита будет слишком большим риском.

И тут приходит Smbexec


SMB это искусный и скрытный способ передачи файлов между серверами, и хакеры внедрялись напрямую в SMB ещё испокон веков. Полагаю, что все уже знают, что не стоит открывать SMB порты 445 и 139 в интернет, не так ли?

В 2013 году на Defcon Эрик Милман (brav0hax) представил в свет smbexec, чтобы пентестеры могли опробовать скрытный взлом SMB. Я не знаю всей истории, но затем Impacket дополнительно отточил smbexec. На самом деле, для своего тестирования я скачал именно скрипты от Impacket на питоне с Github.

В отличие от psexec, smbexec избегает передачи потенциально детектируемого бинарного файла на целевую машину. Вместо этого утилита полностью живёт с подножного корма через запуск локальной командной строки Windows.
Вот что она делает: передаёт команду от атакующей машины через SMB в специальный входящий файл, а затем создаёт и запускает сложную командную строку (как служба Windows), которая покажется знакомой линуксоидам. Вкратце: она запускает нативный Windows-шелл cmd, перенаправляет вывод в другой файл и затем отправляет его по SMB обратно на машину злоумышленника.
Лучшим способом понять это будет изучение командной строки, которую я смог заполучить из журнала событий (см. ниже).


Не это ли величайший способ перенаправления ввода/вывода? Кстати говоря, создание службы имеет идентификатор события 7045.


Как и psexec, она также создаёт службу, которая выполняет всю работу, но служба после этого удаляется она используется только один раз для запуска команды и потом пропадает! Сотрудник информационной безопасности, наблюдающий за машиной жертвы, не сможет обнаружить очевидных индикаторов атаки: нет никакого вредоносного запускаемого файла, никакой постоянной службы не устанавливается, и нет доказательства использования RPC, так как SMB является единственным средством передачи данных. Гениально!

Со стороны атакующего при этом доступен псевдо-шелл с задержками между отправкой команды и получением ответа. Но этого вполне достаточно для работы злоумышленника либо инсайдера, либо внешнего хакера, у которого уже есть плацдарм, чтобы начать искать интересный контент.



Для вывода данных обратно с целевой машины на машину злоумышленника, используется smbclient. Да, это та же самая Samba утилита, но только переделанная под Python-скрипт Impacketом. Фактически, smbclient позволяет вам скрытно организовать передачу FTP поверх SMB.

Давайте сделаем шаг назад и подумаем над тем, что это может дать для сотрудника. В моём вымышленном сценарии, скажем, блогеру, финансовому аналитику или высокооплачиваемому консультанту по безопасности разрешено использовать личный ноутбук для работы. В результате некоего магического процесса, она обижается на компанию и пускается во все тяжкие. В зависимости от операционной системы ноутбука, она либо использует Python версию от Impact, либо Windows версию smbexec или smbclient в виде .exe файла.
Как и Сноуден, она узнаёт пароль другого пользователя либо подглядев его через плечо, либо ей везёт, и она натыкается на текстовый файл с паролем. И с помощью этих учётных данных она начинает копаться вокруг системы на новом уровне привилегий.

Взлом DCC: нам не нужен никакой дурацкий Mimikatz


В моим предыдущих постах, посвящённых пентесту, я очень часто использовал mimikatz. Это замечательный инструмент для перехвата учётных данных NTLM-хэшей и даже паролей в открытом виде, затаившихся внутри ноутбуков и так и ждущих, чтобы ими воспользовались.
Времена изменились. Инструменты мониторинга стали лучше в детектировании и блокировке mimikatz. Администраторы информационной безопасности также стали обладать большим числом опций по сокращению рисков, связанных с атаками pass the hash-типа (далее PtH).
Так что же должен сделать умный сотрудник, чтобы собрать дополнительные учётные данные без использования mimikatz?

В набор от Impacket входит утилита под названием secretsdump, которая извлекает учётные данные из кэша Domain Credential Cache, или кратко DCC. Насколько я понимаю, если доменный пользователь входит на сервер, но контроллер домена при этом недоступен, DCC позволяет серверу аутентифицировать пользователя. Так или иначе, secretsdump позволяет вам сдампить все эти хэши, если они доступны.
DCC-хэши это не NTML-хэши и их нельзя использовать для PtH-атаки.

Ну, вы можете попытаться взломать их, чтобы получить исходный пароль. Однако Microsoft стала умнее при работе с DCC и взломать DCC-хэши стало чрезвыйчайно сложно. Да, есть hashcat, самый быстрый в мире подборщик паролей, но он требует наличия GPU для эффективной работы.
Вместо этого давайте попробуем размышлять как Сноуден. Сотрудник может провести очную социальную инженерию и, возможно, узнать какую-либо информацию о человеке, пароль которого она хочет взломать. Например, узнать, взламывался ли когда-либо онлайн-аккаунт этого человека и изучить его пароль в открытом виде на наличие каких-либо подсказок.
И это тот сценарий, по которому я решил пойти. Давайте предположим, что инсайдер узнал, что его руководитель, Круэлла, несколько раз была взломана на разных веб-ресурсах. После анализа нескольких из этих паролей, он осознаёт, что Круэлла предпочитает использовать формат названия бейсбольной команды Yankees и идущим за ним текущим годом Yankees2015.

Если вы сейчас пытаетесь воспроизвести это у себя в домашних условиях, то вы можете скачать небольшой, C код, реализующий алгоритм хэширования DCC, и скомпилировать его. John the Ripper, кстати говоря, добавил поддержку DCC, поэтому его тоже можно использовать. Давайте предположим, что инсайдер не хочет связываться с изучением John the Ripper и любит запускать gcc на устаревшем C-коде.
Изображая роль инсайдера, я запустил несколько разных комбинаций и в конце концов смог обнаружить, что пароль Круэллы Yankees2019 (см. ниже). Миссия выполнена!


Немного социальной инженерии, толику гадания и щепотку Maltego и вы уже на пути взлома хэша DCC.



Предлагаю на этом закончить. Мы ещё вернёмся к этому вопросу в других публикациях и рассмотрим ещё больше медленных и скрытных методов атаки, продолжая опираться на великолепный набор утилит от Impacket.
Подробнее..

Перевод Руководство по безопасности DNS

14.09.2020 20:08:14 | Автор: admin


Чем бы ни занималась компания, безопасность DNS должна являться неотъемлемой частью ее плана по обеспечению безопасности. Службы обработки имен, преобразовывающие имена сетевых узлов в IP-адреса, используются буквально всеми приложениями и службами в сети.

Если злоумышленник получит контроль над DNS организации, то сможет без проблем:
  • передать себе управление над ресурсами, находящимися в общем доступе
  • перенаправить входящие электронные письма, а также веб-запросы и попытки аутентификации
  • создавать и подтверждать сертификаты SSL/TLS

Данное руководство рассматривает безопасность DNS с двух сторон:
  1. Осуществление постоянного мониторинга и контроля над DNS
  2. Как новые протоколы DNS, такие как DNSSEC, DOH и DoT, способны помочь защитить целостность и конфиденциальность передаваемых DNS-запросов


Что такое безопасность DNS?




В понятие безопасности DNS входят две важные составляющие:


  1. Обеспечение общей целостности и доступности служб DNS, преобразовывающих имена сетевых узлов в IP-адреса
  2. Мониторинг активности DNS для определения возможных проблем безопасности где-либо в вашей сети


Почему DNS уязвима для атак?


Технология DNS была создана на заре развития интернета, задолго до того, как кто-либо вообще начал думать о сетевой безопасности. DNS работает без аутентификации и шифрования, вслепую обрабатывая запросы любого пользователя.

В связи с этим существует множество способов обмануть пользователя и подделать информацию о том, где на самом деле осуществляется преобразование имен в IP-адреса.

Безопасность DNS: вопросы и компоненты




Безопасность DNS состоит из нескольких основных компонентов, каждый из которых нужно принять во внимание для обеспечения полноценной защиты:
  • Усиление безопасности серверов и процедур управления: повышайте уровень защищенности серверов и создайте стандартный шаблон ввода в эксплуатацию
  • Совершенствование протокола: внедрите DNSSEC, DoT или DoH
  • Аналитика и отчетность: добавьте журнал событий DNS в SIEM-систему для дополнительного контекста при расследовании инцидентов
  • Киберразведка и обнаружение угроз: подпишитесь на активный канал получения аналитических данных об угрозах
  • Автоматизация: создайте максимально возможное количество сценариев, чтобы автоматизировать процессы

Вышеупомянутые высокоуровневые компоненты это лишь верхушка айсберга безопасности DNS. В следующем разделе мы подробно рассмотрим более конкретные варианты использования и передовые практики, о которых вам необходимо знать.

Атаки на DNS




  • подмена DNS или отравление кэша: использование уязвимости системы для управления кэшем DNS с целью перенаправления пользователей в другое место
  • DNS-туннелирование: в основном используется для обхода средств защиты от удаленных подключений
  • перехват DNS: перенаправление обычного трафика DNS на другой целевой DNS-сервер путем изменения регистратора домена
  • атака NXDOMAIN: проведение DDoS-атаки на авторитетный сервер DNS путем отправки неправомерных доменных запросов для получения принудительного ответа
  • фантомный домен: заставляет DNS-преобразователь (DNS resolver) ждать ответа от несуществующих доменов, что приводит к снижению производительности
  • атака на случайный субдомен: взломанные хосты и ботнеты проводят DDoS-атаку на действующий домен, но сосредотачивают огонь на ложных субдоменах, чтобы принудить DNS-сервер выполнять поиск записей и захватить управление над службой
  • блокировка домена: представляет собой отправку множества спам-откликов для блокировки ресурсов DNS-сервера
  • ботнет-атака с абонентского оборудования: совокупность компьютеров, модемов, роутеров и других устройств, концентрирующих вычислительную мощность на определенном веб-сайте для его перегрузки запросами трафика

Атаки с использованием DNS


Атаки, каким-либо образом использующие DNS для нападения на другие системы (т. е. изменение записей DNS не является конечной целью):

Атаки на DNS


Атаки, в результате которых с сервера DNS возвращается нужный злоумышленнику IP-адрес:
  • Подмена DNS или отравление кэша
  • Перехват DNS

Что такое DNSSEC?





DNSSEC модули безопасности службы доменных имен используются для проверки записей DNS без необходимости знать общую информацию по каждому конкретному DNS-запросу.

DNSSEC использует ключи цифровой подписи (PKI) для подтверждения того, получены ли результаты запроса доменного имени из допустимого источника.
Внедрение DNSSEC является не только лучшей отраслевой практикой, но также эффективно помогает избежать большинство атак на DNS.

Принцип работы DNSSEC


DNSSEC работает аналогично TLS/HTTPS, используя пары открытого и закрытого ключей для цифровой подписи записей DNS. Общий обзор процесса:
  1. Записи DNS подписываются парой закрытого и закрытого ключей
  2. Ответы на запросы DNSSEC содержат запрошенную запись, а также подпись и открытый ключ
  3. Затем открытый ключ используется для сравнения подлинности записи и подписи


Безопасность DNS и DNSSEC




DNSSEC это средство для проверки целостности DNS-запросов. Оно не влияет на конфиденциальность DNS. Иными словами, DNSSEC может дать вам уверенность в том, что ответ на ваш DNS-запрос не подделан, но любой злоумышленник может увидеть эти результаты в том виде, в каком они были переданы вам.

DoT DNS поверх TLS


Transport Layer Security (безопасность на транспортном уровне, TLS) это криптографический протокол для защиты передаваемой информации по сетевому соединению. Как только между клиентом и сервером установлено безопасное соединение TLS, передаваемые данные шифруются и никакие посредники не смогут их увидеть.

TLS чаще всего используется как часть HTTPS (SSL) в вашем веб-браузере, поскольку запросы отправляются на защищенные HTTP-серверы.

DNS-over-TLS (DNS поверх TLS, DoT) использует протокол TLS для шифрования UDP-трафика обычных DNS-запросов.
Шифрование этих запросов в виде обычного текста помогает защитить пользователей или приложения, выполняющие запросы, от нескольких атак.
  • MitM, или человек посередине: без шифрования промежуточная система, находящаяся между клиентом и авторитетным DNS-сервером, может потенциально отправить клиенту в ответ на запрос ложную или опасную информацию
  • Шпионаж и отслеживание: без шифрования запросов промежуточным системам легко просматривать, к каким сайтам обращается конкретный пользователь или приложение. Хотя из одного лишь DNS нельзя будет узнать конкретную посещаемую страницу на сайте, простого знания запрашиваемых доменов достаточно для формирования профиля системы или отдельного человека



Источник: University of California Irvine

DoH DNS поверх HTTPS


DNS-over-HTTPS (DNS поверх HTTPS, DoH) это экспериментальный протокол, продвигаемый совместно Mozilla и Google. Его цели схожи с протоколом DoT усиление конфиденциальности людей в интернете путем шифрования запросов и ответов DNS.

Стандартные DNS-запросы передаются через UDP. Запросы и ответы можно отслеживать с помощью таких инструментов, как Wireshark. DoT шифрует эти запросы, но они по-прежнему идентифицируются как довольно отчетливый трафик UDP в сети.

DoH использует другой подход и передает зашифрованные запросы на преобразование имен сетевых узлов через HTTPS-соединения, которые по сети выглядят как любой другой веб-запрос.

Это различие имеет весьма важные последствия как для системных администраторов, так и для будущего преобразования имен.
  1. DNS-фильтрация это распространенный способ фильтрации веб-трафика для защиты пользователей от фишинговых атак, сайтов, распространяющих вредоносные программы, или другой потенциально опасной интернет-активности в корпоративной сети. Протокол DoH обходит эти фильтры, потенциально подвергая пользователей и сеть более высокому риску.
  2. В текущей модели преобразования имен каждое устройство в сети в той или иной степени получает DNS-запросы из одного и того же места (из указанного DNS-сервера). DoH и, в частности, его реализация от Firefox показывают, что в будущем это может измениться. Каждое приложение на компьютере может получать данные из разных источников DNS, что значительно усложняет поиск и устранение проблем, обеспечение безопасности и моделирование рисков.



Источник: www.varonis.com/blog/what-is-powershell

В чем разница между DNS поверх TLS и DNS поверх HTTPS?


Начнем с DNS поверх TLS (DoT). Основное внимание здесь уделяется тому, что оригинальный протокол DNS не изменяется, а просто безопасно передается по защищенному каналу. DoH же помещает DNS в формат HTTP перед выполнением запросов.

Оповещения мониторинга DNS




Возможность эффективно отслеживать трафик DNS в вашей сети на предмет подозрительных аномалий имеет решающее значение для раннего обнаружения взлома. Использование такого инструмента, как Varonis Edge даст вам возможность быть в курсе всех важных показателей и создавать профили для каждой учетной записи в вашей сети. Вы можете настроить генерацию оповещений в результате комбинации действий, происходящих за определенный период времени.

Мониторинг изменений DNS, местоположений учетной записи, а также фактов первого использования и получения доступа к конфиденциальным данным, а также активности в нерабочее время это лишь несколько показателей, которые можно сопоставить для составления более обширной картины обнаружения.
Подробнее..

Перевод Как обнаружить и остановить Emotet c помощью Varonis

02.10.2020 18:16:15 | Автор: admin


Наша группа реагирования на инциденты отслеживает беспрецедентное количество заражений вредоносным ПО Emotet. Количество активных одновременных расследований Emotet в три раза превышает наш предыдущий рекорд. В этом посте будут рассмотрены индикаторы компрометации, меры по их устранению и то, как Varonis может помочь вам обнаружить и остановить Emotet на каждой фазе атаки.

Обзор Emotet


После долгого перерыва весной 2020 года злоумышленник TA542 (также известный как Mummy Spider) вернулся с новой масштабной спам-кампанией, использующей несколько ботнетов по всему миру, а также использующей улучшенный арсенал вредоносного ПО.
Emotet, первоначально известный как банковский троян, впервые был обнаружен в 2014 году. Его основная цель заключалась в перехвате банковских учетных данных с помощью атак типа Man-in-the-browser. На сегодняшний день Emotet эволюционировал в самообновляемый универсальный набор вредоносных программ, который также действует как загрузчик для полезных нагрузок, таких как Qbot и Trickbot (которые, в свою очередь, загружают Ryuk и Mimikatz).



Поскольку Emotet является полиморфным, конкретные IOC (индикаторы компрометации), такие как URL-адреса загрузчика, комбинации С2 IP (Command and Control IP)/порт и шаблоны спама часто меняются. Эта особенность делает обнаружение на основе правил игрой в кошки-мышки, усугубляемой тем, что существует три разных ботнета Emotet, каждый со своей собственной инфраструктурой. Вы можете найти чудесно подробный ежедневный журнал Emotet IOC, который ведется командой Cryptolaemus.
Попав в сеть, Emotet использует различные методы для распространения, повышения привилегий, обеспечения устойчивости и вывода данных за пределы компании. К cлову, поведенческие модели угроз Varonis могут обнаруживать ранние признаки взлома Emotet, а также аномальное поведение после вторжения.

Первичная компрометация


Вектор заражения Emotet фишинговая кампания, поддерживаемая тремя глобальными ботнетами: Epoch 1, Epoch 2 и Epoch 3 (для краткости E1, E2, E3). Каждый Epoch имеет свою собственную инфраструктуру C2, расписание обновлений и шаблоны спама. Фишинговое письмо, как правило, содержит вложения с поддержкой макросов или вредоносные ссылки, предназначенные для заражения новых хостов и добавления их в свой кластер.
Во время последней волны заражений вредоносные письма Emotet содержали защищенные паролем вложения ZIP. Это делается с расчётом, что фильтры электронной почты пропустят запароленный архив без сканирования и не обнаружат вредоносные документы с поддержкой макросов. Такой подход получил название Operation Zip Lock.



Пароль обычно указывается в теле письма в виде простого текста, например:
Zip file attached to email: Very urgent information from 24-09-2020.zip
The password for the document is LQWMFXu

При фиксации всплеска количества писем с запароленными вложениями ZIP, рекомендуется помещать такие письма в карантин. Однако имейте в виду, что Emotet также использует документы Office, прикрепленные напрямую.
Кампании вредоносного спама были обнаружены на многих языках: английском, голландском, французском, немецком, итальянском, японском. Epoch-и, вероятно, имеют географическую привязку (например, в Японии распространен E3).

Развитие успеха


Emotet выводит украденные сообщения электронной почты и списки контактов жертв на сервер C2 с помощью запросов HTTP POST. Затем ботнет использует эти данные, чтобы выдать себя за отправителя и ответить на существующие разговоры. Сделать это можно, либо подменив отправителя, либо, если есть полный контроль над машиной жертвы, отправив электронное письмо непосредственно от имени жертвы.
Такая техника делает спам Emotet очень убедительным и увеличивает вероятность того, что новая жертва откроет вредоносное вложение.
Varonis отслеживает почтовые ящики Microsoft Exchange и Exchange Online и может обнаруживать вложения вредоносных файлов, которые соответствуют словарю известных шаблонов, используемых в шаблонах спама Emotet. С помощью модуля Edge, контролирующего прокси, возможно обнаружить, когда пользователь нажимает ссылку в теле письма, что приводит к загрузке вредоносного загрузчика Emotet.

Varonis анализирует все действия с почтовым ящиком (отправка/получение/открытие/удаление и т. д.) и это позволяет быстро идентифицировать учетные записи, которые были скомпрометированы и начали рассылать спам-кампании (внутренние или внешние). Профиль поведения пользователя создается с учетом всех наблюдаемых платформ: незначительные отклонения в поведении в почте в сочетании с подозрительными событиями входа в систему, сетевыми подключениями и доступом к данным позволяют получать точные оповещения с небольшим количеством ложных срабатываний.



Varonis Edge может обнаруживать кражу сообщений электронной почты и контактов Outlook. На практике мы наблюдали вывод этих данных благодаря покрытию прокси-серверов компании Emotet использовал команды HTTP POST. Если в будущем будет создан скрытый канал DNS, то он будет покрыт моделями эксфильтрации на основе DNS.
Подключения к серверам C2 можно обнаружить несколькими способами. Во-первых, если соединение производится с доменом с плохой репутацией, Varonis предупредит и пометит эти соединения. Во-вторых, Varonis обнаруживает, когда злоумышленники скрывают свой трафик в большом количестве соединений (white smoke), используя алгоритм генерации доменов (DGA). В-третьих, модели поведения Varonis обнаруживают, когда злоумышленники используют DNS в качестве скрытого канала, чтобы скрыть свои команды или передачу данных в виде DNS-запросов. Наконец, Varonis будет предупреждать о необычной веб-активности, такой как использование новых или необычных пользовательских агентов, нетипичный или первый доступ учетной записи к интернету или необычная загрузка данных на внешний ресурс.



Распространение


Emotet имеет множество модулей, которые можно динамически загружать с его C2 сервера для расширения функциональности вредоносного ПО. Есть модуль рассылки спама, модуль кражи электронной почты, банковский модуль и т. д.
Один из модулей, на который следует обратить особое внимание, это модуль для распространения, который позволяет делать это с помощью эксплойтов SMB, таких как EternalBlue (MS17-010) и путем доступа к скрытым административным шарам (ICP$, C$ и Admin$). Мы рекомендуем пропатчить все машины, которые все еще уязвимы для EternalBlue, и отключить административные шары.
Хотя основным методом распространения Emotet является SMB, исследователи из BitDefense обнаружили новую технику распространения, которая сканирует сети Wi-Fi с помощью функции WlanEnumInterfaces в wlanAPI.dll и пытается распространиться на подключенные устройства.
Вредоносное ПО попытается взломать защищенные паролем сети Wi-Fi с помощью встроенного списка паролей. В случае успеха оно пересылает комбинацию SSID и пароля сети обратно на C2 сервер и предпринимает еще одну попытку атаки методом перебора, на этот раз направленную на клиентов этой сети.



Повышение привилегий


Злоумышленники получают учетные данные от привилегированных учетных записей используя хорошо известные инструменты с открытым исходным кодом, ища пароли, хранящиеся в виде простого текста, и собирая учетные данные из Active Directory. Получив учетные данные администратора, злоумышленник может добавить одного или нескольких пользователей в группу администраторов домена.

Наблюдая за активностью файловой системы, Varonis быстро определяет, когда известные инструменты проникновения сохраняются на диск или, когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными. Любая учетная запись пользователя обычно имеет доступ к гораздо большему количеству данных, чем должна, поэтому такие поиски часто бывают плодотворными подробнее об этом ниже.

Emotet хорошо известен тем, что загружает другие виды вредоносных программ таких как Ryuk, которые в свою очередь загружают инструменты взлома, такие как Mimikatz, для сбора учетных данных и повышения привилегий. Varonis анализирует активность в Active Directory для обнаружения сбора учетных данных (например, Kerberoasting) и других атак. Чтобы снизить вероятность того, что эти атаки будут успешными, Varonis выводит потенциально слабые места (например, административные учетные записи, имеющие SPN) на панель управления. Сокращение площади атаки в AD и на файловых ресурсах усложняет жизнь злоумышленникам. Varonis также уведомит, когда учетная запись будет добавлена в административную группу.



Последний рубеж


Если признаки проникновения, распространения и повышения привилегий не были замечены, важно обеспечить критический уровень защиты крупнейших хранилищ данных, защищая серверы Windows и UNIX, устройства NAS, SharePoint и Exchange (как локально, так и в Office 365).

Varonis анализирует активность файловой системы на платформах, которые обеспечивают аудит с помощью своих API, таких как Office 365 и устройства NAS от NetApp, EMC и других. На платформах, где включение родного аудита может вызывать проблемы с производительностью или аудит недостаточно полный, например, Windows, UNIX, Exchange и SharePoint, Varonis использует собственные проверенные в боях агенты для захвата операций.

Если пользователь начинает обращаться к необычному количеству или множеству данных по сравнению с его нормальным поведением, Varonis обнаружит это с помощью одной или нескольких поведенческих моделей. Если пользователь начинает шифрование файлов, это также будет обнаружено многие наши заказчики автоматизируют обработку такого инцидента при помощи скриптов, отключая учетную запись и убивая активные сессии.



Varonis выявляет, где доступ к данным избыточен, т. е. пользователи имеют доступ, в котором они не нуждаются. Предусмотрена возможность автоматического изъятия избыточных прав доступа (как прямых, так и путем удаления учетной записи из групп безопасности). Ограничение доступа к важным данным уменьшит риски и затруднит работу любого злоумышленника.



Заключение


Ботнет Emotet это самое крупное и изощренное оружие в мире для распространения вредоносных программ. Трудно предсказать, какое оружие TA542 будет использовать в следующий раз или какие APT поделятся своим оружием. Что мы действительно знаем, так это то, что кампании Emotet происходят всплесками и сильно различаются по своему характеру, поэтому чрезвычайно важно иметь многоуровневый подход к защите, включая управление обновлениями (patch management), обучение антифишингу, фильтрацию почты, защиту пользовательских устройств и подход, ориентированный на защиту данных (data-centric) наравне с инфраструктурой в целом.

Комплексное обнаружение может дать вашей организации преимущество, но и сокращение поверхности атаки (повышение уровня защищенности) вносит не меньший вклад. Технология Varonis, ориентированная на защиту данных, выстраивает кольца детективного контроля от данных до Active Directory, DNS, VPN и прокси. Varonis также подсвечивает потенциально уязвимые учетные записи и легкодоступные данные, чтобы вы могли исправить ситуацию до того, как злоумышленники ей воспользуются.
Подробнее..

Перевод Man-in-the-Middle советы по обнаружению и предотвращению

05.11.2020 18:21:17 | Автор: admin


Атака человек посередине (Man-in-the-Middle) это форма кибератаки, при которой для перехвата данных используются методы, позволяющие внедриться в существующее подключение или процесс связи. Злоумышленник может быть пассивным слушателем в вашем разговоре, незаметно крадущим какие-то сведения, или активным участником, изменяя содержание ваших сообщений или выдавая себя за человека или систему, с которыми вы, по вашему мнению, разговариваете.
Вспомните 20-й век, когда у многих были стационарные телефоны с несколькими трубками, и один член семьи мог взять трубку во время разговора другого. Вы могли даже не подозревать, что вас слушает кто-то еще, пока он не начнет вклиниваться в разговор. В этом и заключается принцип атаки человек посередине.

Как работает атака человек посередине?




Большинство атак человек посередине, независимо от используемых методов, имеет простую последовательность действий. Рассмотрим ее на примере трех действующих лиц: Алисы, Боба и Чака (злоумышленника).
  1. Чак тайно подслушивает канал, на котором общаются Алиса и Боб
  2. Алиса отправляет сообщение Бобу
  3. Чак перехватывает и читает сообщение Алисы без ведома Алисы или Боба
  4. Чак изменяет сообщения между Алисой и Бобом, создавая нежелательные или опасные ответы

Методы атаки человек посередине обычно используются на ранних этапах убийственной цепочки во время разведки, вторжения и заражения. Злоумышленники часто используют атаки человек посередине для сбора учетных данных и информации о своих целях.
Многофакторная аутентификация может быть эффективной защитой от кражи учетных данных. Даже если злоумышленник узнает ваше имя пользователя и пароль, ему понадобится ваш второй фактор аутентификации, чтобы их использовать. К сожалению, в некоторых случаях многофакторную защиту можно обойти.
Вот практический пример реальной атаки человек посередине на Microsoft Office 365, когда злоумышленник обошел многофакторную аутентификацию:
  1. Пользователь нажимает на фишинговую ссылку, которая переводит его на поддельную страницу входа в Microsoft, где он вводит свои имя пользователя и пароль.
  2. Поддельная веб-страница перенаправляет имя пользователя и пароль на сервер злоумышленника.
  3. Злоумышленник пересылает запрос на вход в Microsoft, так что эти действия не вызывают подозрений.
  4. Microsoft отправляет пользователю код двухфакторной аутентификации в текстовом сообщении на телефон.
  5. Пользователь вводит код на поддельной веб-странице.
  6. Поддельная веб-страница перенаправляет имя пользователя и пароль на сервер злоумышленника.
  7. Злоумышленник использует Evilginx для кражи cookie-файла сеанса.
  8. Злоумышленник пересылает полученный от пользователя код двухфакторной аутентификации в Microsoft, и теперь с помощью cookie-файла сеанса может войти в Office 365 от имени этого пользователя. Таким образом хакер получает доступ к конфиденциальным данным предприятия.

Вы можете посмотреть демонстрацию этой атаки в реальной среде во время наших еженедельных семинаров по кибератакам.

Методы и типы атак человек посередине




Вот несколько распространенных приемов, используемых злоумышленниками, чтобы стать человеком посередине.
  1. Отравление ARP-кэша
    Протокол разрешения адресов (ARP) это низкоуровневый процесс, который преобразует адрес машины (MAC) в IP-адрес в локальной сети.
    Злоумышленники вводят в эту систему ложную информацию, чтобы заставить ваш компьютер принимать компьютер злоумышленника за сетевой шлюз. Когда вы подключаетесь к сети, злоумышленник получает весь ваш сетевой трафик (вместо вашего реального сетевого шлюза) и передает его по своему реальному месту назначения. Вам кажется, что все нормально. Но в это время злоумышленник видит все данные, которые вы принимаете и передаете.
    • Чак (наш злоумышленник) подключается к вашей сети и запускает сетевой анализатор трафика (сниффер).
    • Чак проверяет ваши сетевые пакеты, чтобы попытаться предсказать последовательность номеров пакетов между вами и шлюзом.
    • Чак отправляет на ваш компьютер пакет с поддельным исходным адресом шлюза и правильной последовательностью ARP, чтобы заставить ваш компьютер думать, что компьютер злоумышленника является шлюзом.
    • В то же время Чак нагружает шлюз атакой типа отказ в обслуживании (DoS), поэтому настоящий шлюз отвечает с задержкой, и вы получаете поддельный пакет ARP.
    • Чак обманул ваш компьютер, заставив его думать, что ноутбук злоумышленника является настоящим шлюзом, и атака человек посередине прошла успешно.

  2. Отравление кэша DNS
    Отравлением кэша DNS называется действие, когда злоумышленник дает вам поддельную запись DNS, которая ведет на другой сайт. Он может выглядеть как Google, но это не Google, и злоумышленник будет перехватывать любые данные, которые вы вводите на поддельном сайте, в том числе имя пользователя и пароль:
    • Чак выясняет, что вы используете определенный DNS-резолвер.
    • Чак знает, что он уязвим для эксплойтов.
    • Чак использует этот эксплойт, чтобы сообщить DNS-резолверу, что условный сайт www.example.com находится на принадлежащем ему IP-адресе.
    • Вы переходите на www.example.com со своего компьютера, и DNS-резолвер сообщает вам, что IP-адрес этого сайта является компьютером злоумышленника!
    • Чак завершает подключение к реальному веб-сайту, поэтому вы не понимаете, что кто-то прослушивает трафик. Злоумышленник же может видеть все пакеты, которые отправляете вы или любой другой, использующий этот DNS-резолвер для подключения к www.example.com.

  3. Подмена HTTPS
    Аббревиатура HTTPS вселяет в пользователей уверенность в том, что их данные защищены. Здесь буква S означает secure безопасный. По крайней мере, злоумышленник хочет, чтобы вы так думали. Злоумышленники создают веб-сайты HTTPS, которые выглядят как сайты с действующими сертификатами аутентификации, но URL-адрес у них немного другой. Например, они регистрируют имя веб-сайта с кодировкой Юникод, в котором буква а выглядит как а, но не является таковой. Продолжим на примере условного сайта example.com: здесь URL может выглядеть как www.exаmple.com, но буква а в слове example будет кириллической. Это действительный символ Юникод, выглядящий точно так же, как и английская а, но имеющая другое Юникод-значение.
    • Чак направляет вас на этот веб-сайт www.example.com с кириллической буквой а с помощью какой-нибудь уловки, например, фишинга.
    • Вы загружаете сертификат Центра Сертификации (ЦС) для поддельного веб-сайта.
    • Чак подписывает сертификат своим закрытым ключом ЦС и отправляет его вам.
    • Вы храните сертификат в защищенном хранилище ключей.
    • Чак передает трафик на настоящий сайт www.example.com, и теперь он становится настоящим человеком посередине, прослушивающим ваш трафик.

  4. Перехват Wi-Fi
    Злоумышленники прослушивают трафик в общедоступных или незащищенных сетях Wi-Fi или создают сети Wi-Fi с распространёнными именами. Их цель обманом заставить людей подключиться, чтобы украсть их учетные данные, номера банковских карт или любую другую информацию, которую пользователи отправляют в этой сети.
  5. Перехват сеанса
    Перехват сеанса это атака человек посередине, при которой злоумышленник наблюдает за вами, чтобы войти на веб-страницу (например, учетную запись банка или электронной почты), а затем крадет ваш cookie-файл сеанса для входа в ту же учетную запись из своего браузера. Этот вид атаки мы демонстрируем на нашем семинаре по кибератакам Live Cyber Attack, о котором упоминали ранее.
    Как только злоумышленник получит ваш cookie-файл активного сеанса, он сможет делать на этом веб-сайте то же самое, что и вы. Чак (наш парень из примера) мог перевести все ваши сбережения на оффшорный счет, купить кучу товаров с помощью сохраненной банковской карты или использовать перехваченный сеанс, чтобы проникнуть в сеть вашей компании и глубоко внедриться в корпоративную сеть.


Насколько распространены атаки человек посередине?


Атаки человек посередине существуют уже давно, и хотя они не так распространены, как фишинг, вредоносные программы или даже программы-вымогатели, они обычно являются частью комплексных целевых атак, когда злоумышленник имеет четкие намерения. Например, злоумышленник, который хочет украсть номер банковской карты, может найти эти данные, перехватив трафик Wi-Fi в кафе. Другой злоумышленник может использовать методы атаки человек посередине как часть более масштабного плана проникновения в сеть крупной компании. Наша лаборатория, изучающая атаки человек посередине, демонстрирует, как злоумышленник может использовать вредоносное ПО для перехвата сетевого трафика и проникновения в корпоративную почту.

Как обнаружить атаку человек посередине





Атаки человек посередине трудноуловимы, но их присутствие всё же оставляет следы в обычной сетевой активности, а профессионалы в области кибербезопасности и конечные пользователи могут обнаружить эти следы. Принято считать, что лучше предотвратить, чем обнаружить.

Признаки атаки человек посередине


Вот некоторые признаки того, что в ваших сетях могут быть непрошенные слушатели:
  • Неожиданное или повторяющееся отключение: злоумышленники принудительно отключают пользователей, чтобы перехватить имя пользователя и пароль, когда те попытаются повторно подключиться. Отслеживая неожиданные или повторяющиеся отключения, вы можете заранее определить подобное опасное поведение.
  • Странные адреса в адресной строке браузера: если что-то в адресе выглядит хотя бы немного странно, перепроверьте свои подозрения. Возможно, вы имеете дело с перехватом DNS. Например, вы видите www.go0gle.com вместо www.google.com.
  • Вы входите в общедоступную или незащищенную сеть Wi-Fi: будьте очень осторожны с сетями, к которым подключаетесь, и по возможности избегайте общедоступного Wi-Fi. Злоумышленники создают поддельные сети с известными идентификаторами, такими как Бесплатный интернет или другим распространенным именем, чтобы обманом заставить людей подключиться. Если вы подключитесь к Wi-Fi злоумышленника, он сможет легко увидеть все, что вы отправляете по Wi-Fi.


Как предотвратить атаку человек посередине




Вот несколько рекомендаций по защите вас и ваших сетей от атак типа человек посередине. Однако ни одна из них не гарантирует 100% надежности.

Общие передовые практики


Cоблюдение общих правил кибербезопасности поможет вам защититься от атак типа человек посередине:
  • Подключайтесь только к защищенным маршрутизаторам Wi-Fi или используйте зашифрованное соединение вашего оператора беспроводной связи. Подключайтесь к маршрутизаторам, которые используют протокол безопасности WPA2. Он не обеспечивает абсолютной безопасности, но всё же это лучше, чем ничего.
  • Используйте VPN для шифрования трафика между конечными точками и сервером VPN (в корпоративной сети или в интернете). Если трафик зашифрован, человеку посередине сложнее его перехватить или изменить.
  • Используйте сквозное шифрование для электронной почты, чата и видеосвязи (Zoom, Teams и т. д.)
  • Обновляйте систему для защиты от вредоносных программ
  • Используйте менеджер паролей, чтобы защитить свои пароли и предотвратить их повторное использование.
  • Подключайтесь только к HTTPS-соединениям, используйте плагин браузера для контроля выполнения этого правила.
  • Используйте многофакторную аутентификацию везде, где это возможно.
  • Используйте DNS поверх HTTPS технологию, которая защищает вас от перехвата DNS путем шифрования ваших DNS-запросов.
  • Следуйте принципам нулевого доверия, чтобы создать внутренние барьеры для доступа к данным, которые не позволяют злоумышленникам свободно перемещаться по сети, даже если они проникнут внутрь.
  • Мониторинг активности в сети для обнаружения следов взлома или атак человек посередине (например, вредоносных сетевых подключений или необычного поведения пользователя).


Почему шифрование может защитить вас от атак человек посередине?


Сквозное шифрование поможет предотвратить чтение ваших сетевых сообщений злоумышленником, даже если он прослушивает ваш трафик. При шифровании отправитель и получатель используют общий ключ для шифрования и дешифрования передаваемых сообщений. Без этого ключа ваши сообщения будут выглядеть просто набором случайных символов, и человек посередине не сможет извлечь из них пользу.
Шифрование затрудняет злоумышленнику перехват и чтение сетевых данных, но все же это возможно и не дает полной защиты от раскрытия вашей информации, поскольку злоумышленники разработали методы обхода шифрования.
Например, в нашей лаборатории, изучающей атаки человек посередине, мы демонстрируем, как злоумышленник может украсть маркер проверки подлинности, содержащий имя пользователя, пароль и данные многофакторной аутентификации, чтобы войти в учетную запись электронной почты. После захвата cookie-файла сеанса не имеет значения, зашифрована ли связь между клиентом и сервером, хакер просто входит в систему как конечный пользователь и может получить доступ к той же информации, что и этот пользователь.

Будущее атак человек посередине


Атаки типа человек посередине будут оставаться эффективным инструментом в арсенале злоумышленников до тех пор, пока они смогут перехватывать важные данные, такие как пароли и номера банковских карт. Между разработчиками программного обеспечения и поставщиками сетевых услуг с одной стороны, и киберпреступниками с другой идет постоянная гонка вооружений для устранения уязвимостей, которые злоумышленники используют для запуска своих атак.

Возьмем, к примеру, массовое распространение интернета вещей (IoT) за последние несколько лет. Устройства интернета вещей еще не соответствуют стандартам безопасности и не обладают такими возможностями, как другие устройства, что делает их более уязвимыми для атак человек посередине. Злоумышленники используют их для входа в сеть организации, а затем переходят к другим методам. Кто бы мог подумать, что холодильник с выходом в интернет это не просто новое модное устройство, а еще и дыра в системе безопасности? Киберпреступники об этом знают!

Широкое распространение беспроводных сетей, например сетей 5G, еще одна возможность для злоумышленников использовать атаки типа человек посередине для кражи данных и проникновения в организации. Это было наглядно продемонстрировано на конференции по компьютерной безопасности BlackHat 2019. Компании, занимающиеся технологиями беспроводной связи, обязаны устранять уязвимости, подобные тем, что были показаны на BlackHat, и обеспечивать безопасную магистраль для пользователей и устройств.

Современные тенденции таковы, что количество сетей и подключенных к ним устройств растет, а это означает, что у злоумышленников больше возможностей использовать методы человека посередине. Знание явных признаков атаки человек посередине и применение методов обнаружения может помочь вам обнаруживать атаки до того, как они нанесут ущерб.

Посетите наш семинар по кибератакам Live Cyber Attack Workshop, на котором мы продемонстрируем, как с помощью метода человек посередине злоумышленник может перехватить маркер проверки подлинности пользователя, чтобы проникнуть и украсть важные данные. Мы также покажем, как Varonis может обнаруживать атаки такого вида.
Подробнее..

Перевод SolarWinds и бэкдор SUNBURST что скрывается внутри этой APT-кампании

25.12.2020 14:07:02 | Автор: admin


Представьте, что все, у кого дома есть умная колонка Amazon Echo (Яндекс Алиса, Маруся подставить подходящее), узнали бы, что на протяжении последних 6 месяцев она отпирала их дом и впускала воров внутрь. Как теперь чувствовать себя в безопасности, если злоумышленники могли сделать копии ваших ключей, документов, носителей информации или, например, отравить систему водоснабжения?
В таком положении сейчас находятся тысячи организаций, пострадавших от взлома цепочки поставок программного обеспечения компании SolarWinds при помощи вредоносного приложения Sunburst. Пострадавшие компании отчаянно ищут признаки компрометации, проводят внеочередной аудит безопасности инфраструктуры, а некоторые могут даже приостановить ряд сервисов до окончания расследования.

8 декабря компания FireEye сообщила, что была взломана, и начала расследование с привлечением правительства США и компании Microsoft.
13 декабря FireEye выпустила подробный отчет о компрометации, где описан принцип распространения вредоносного кода через ПО Orion от компании SolarWinds.
17 декабря Агентство по Кибербезопасности и Безопасности Инфраструктуры (CISA) выпустило экстренное сообщение, в котором опросило все компании, использующие ПО SolarWinds, обновить или даже отключить компонент SolarWinds Orion от сети (в Шаге 2 вышеупомянутого сообщения). С тех пор служба расследований инцидентов безопасности Varonis заметила всплеск криминалистических расследований, связанных с этой кампанией, и выявила несколько активных атак.
Хотя большая часть материала на сегодняшний день сосредоточена на устранении последствий от скомпрометированных версий решения SolarWinds Orion, согласно CISA, есть свидетельства дополнительных векторов вторжений, связанных с этой кампанией.

От атак через цепочки поставок сложно защититься


При атаке через цепочку поставок злоумышленник выбирает своей целью доверенного поставщика или доверенный продукт вместо того, чтобы атаковать свои цели напрямую. В данном случае злоумышленники внедрили заранее заготовленный бэкдор (потайной ход) в доверенный программный продукт (SolarWinds Orion), который затем был автоматически разослан тысячам клиентов, замаскированный под обычное обновление.
На этом плохие новости не заканчиваются злоумышленники оказались достаточно изощренными, чтобы месяцами оставаться незамеченными. У них было время оставить дополнительные бэкдоры и получить доступ к множеству систем и данных. В настоящее время организации, получившие вредоносное обновление, вынуждены изучать абсолютно всё: начиная с систем и учетных записей, которые напрямую связаны с SolarWinds, и продолжая расследование далее по цепочке.

Первичное выявление


Независимо от того, являетесь ли вы клиентом Varonis или нет, первый шаг проверить наличие уязвимой версии ПО SolarWinds. Компания SolarWinds определила уязвимые версии, и, по состоянию на 16 декабря 2020 года, выпустила обновления и исправления для замены скомпрометированных компонентов.
Если ваша версия уязвима, вот какие шаги вам следует предпринять:
  1. Проверьте подключения к avsvmcloud [.] com и к другим доменам, связанным с атакой
    Проверьте подключения DNS и прокси на предмет активности в доменах avsvmcloud [.] com, а также в других доменах, связанных с системой управления и контроля (C2) эксплойта SolarWinds Sunburst.
    Клиенты Varonis могут легко искать оповещения и события, связанные с активностью в этих доменах, с помощью панели управления Varonis Edge и предустановленных поисковых запросов для поиска угроз.
  2. Проверьте необычную активность учетных записей и систем, связанных с ПО SolarWinds
    Клиенты Varonis обнаружили необычную активность учетных записей служб, связанных с SolarWinds, в том числе аномальную активность на общих сетевых файловых ресурсах и странные подключения к рабочим станциям пользователей. Любые необычные соединения, события безопасности из Active Directory, или активность на сетевых файловых ресурсах от учетных записей служб SolarWinds должны быть исследованы, особенно в отношении конфиденциальных данных или систем.
    Вот пример уведомления Varonis о необычном поведении сервисной учетной записи SolarWinds аномальная активность на общем сетевом ресурсе:


  3. Проверьте необычные обращения и изменения ресурсов, сделанные другими учетными записями служб (не только теми, которые связаны с ПО SolarWinds)
    Просматривайте уведомления (алерты) и логи по необычным аутентификациям и доступу, уделяя особое внимание уведомлениям и действиям учетных записей служб и объектам, к которым они обращаются в гибридных средах (Azure Active Directory).
    Если вам нужна помощь нашего отдела расследований, свяжитесь с нашими представителями, также здесь можно запросить сессию для настройки продукта Varonis DatAlert.

Что мы знаем об этой APT-кампании (технический анализ)


Эта атака была проведена без использования уязвимости нулевого дня (по крайней мере такой уязвимости, о которой мы знаем на данный момент). Преобладающая теория, еще не подтвержденная компанией SolarWinds, заключается в том, что злоумышленники использовали открытые учетные данные FTP-сервера, обнаруженные на GitHub в 2018 году, для получения доступа к инфраструктуре обновления программного обеспечения компании.



Злоумышленник смог изменить пакет обновления программного обеспечения и добавить вредоносный бэкдор в одну из библиотек подключаемых модулей (DLL) программы SolarWinds Orion под названием SolarWinds.Orion.Core.BusinessLayer.dll.



Злоумышленники подписали свою вредоносную версию DLL закрытым ключом компании SolarWinds. Сертификат был выдан компанией Symantec.
Мы предполагаем, что злоумышленник смог подписать DLL одним из двух способов:
  1. Злоумышленник вклинился в процесс разработки, добавил бэкдор и позволил SolarWinds подписать его в рамках легитимного процесса создания и развертывания ПО.
  2. Злоумышленник украл закрытый ключ сертификата, подписал сами DLL и заменил официальную DLL своей вредоносной версией. Это менее вероятно.



Любая организация, которая использует ПО производства компании SolarWinds и получает обновления с их серверов, загрузила и запустила вредоносную DLL. Поскольку DLL была подписана и доставлена через официальные серверы обновлений SolarWinds, было чрезвычайно сложно обнаружить вредоносное содержимое.

Анализ бэкдора SolarWinds SUNBURST (BusinessLayer.dll)


Когда мы заглядываем внутрь вредоносной DLL, мы видим, что злоумышленники сделал ставку на скрытность. Они приложили немало усилий, чтобы написать код, который гармонировал бы с остальной частью исходного кода Orion, используя хорошо написанные аргументы и общие, не вызывающие подозрений имена классов и методов, такие как Initialize или Job.



Бэкдор SolarWinds Sunburst действует в несколько этапов:
  1. Бомба замедленного действия
    Бэкдор ждет 12-14 дней перед отправкой своего первого сигнала на управляющий сервер (C2). Это значительно усложняет обнаружение и сопоставление атаки с вредоносным обновлением.


  2. Сбор информации
    Бэкдор отправляет некоторую базовую информацию обратно на сервер C2 (имя пользователя, IP-адрес, версия ОС, установленные обновления), чтобы определить, стоит ли развивать атаку на данной машине.
  3. Связь
    Бэкдор использует свой собственный алгоритм генерации домена (DGA) для поиска активного IP-адреса сервера управления и контроля (C2). При взаимодействии с сервером C2 бэкдор имитирует легитимный канал связи для улучшения ПО SolarWinds OIP (Orion Improvement Program).
  4. Сокрытие
    Код сканирует машину на наличие антивирусов и других инструментов безопасности, которые могли бы обнаружить его присутствие.


  5. Развитие атаки
    Если злоумышленник считает, что сеть стоит исследовать, он использует бэкдор для загрузки небольшого дроппера (загрузчика), известного как TEARDROP, который затем загрузит дополнительные инструменты для выполнения дальнейших действий после вторжения.

Алгоритм действий бэкдора


При первом сеансе связи бэкдор отправляет информацию об устройстве и его окружении, зашифрованную в DNS-пакетах.
Необычным является факт, что IP адрес в ответном DNS-пакете определяет следующий шаг бэкдора. В зависимости от того в каком диапазоне находится IP-адрес, процесс SUNBURST завершает работу или активирует дополнительный функционал, например, отключение антивируса или скачивание и запуск новых вредоносов.

Давайте более подробно рассмотрим начало коммуникации бэкдора с C2


  1. После загрузки DLL SUNBURST выполняет ряд проверок, чтобы убедиться, что она работает в корпоративной сети, а не на изолированной машине.
  2. Злоумышленники использовали то, что наши исследователи называют алгоритмом генерации субдоменов. Его принцип заключается в создании уникального субдомена для каждой жертвы. Алгоритм собирает информацию о локальном устройстве и кодирует ее в небольшую текстовую строку.
  3. Затем генерируется часть FQDN сервера C2, к которому будет обращаться бэкдор. Алгоритм генерации использует две жестко заданные строки (domain1 и domain2) + а третья строка выбирается из четырех возможных значений, хранящихся в массиве строк (domain3):



    Расшифрованные значения:
    Domain1 =avsvmcloud[.]com
    Domain2 = appsync-api
    Domain3 = [eu-west-1, us-west-2, us-east-1, us-east-2]
    Функция GetStatus генерирует итоговую строку:



  4. Далее бэкдор добавляет информацию о жертве (п. 2) к полученному домену (п. 3) и отправляет DNS запрос на получившийся адрес. Соответственно, DNS запрос достигнет сервера, контролируемого злоумышленником.
    Для сбора и передачи информации о жертве используется 4 функции:

    GetCurrentString и GetPreviousString используются для получения уникального идентификатора GUID и имени хоста/домена устройства.

    GetNextString и GetNextStringEx используются для получения списка запущенных процессов и их статуса вместе с идентификатором GUID.

    Отправляя эту информацию через DNS-запросы, серверу C2 предоставляется возможность принимать обоснованные решения о том, как отвечать.

    Вот несколько примеров доменных имен, запрошенных SUNBURST:



    Аналитики из Prevasio расшифровали некоторые из субдоменов, обнаруженных в журналах DNS, для идентификации жертв.
  5. Как упоминалось выше, IP-адрес в DNS-ответе определяет дальнейшие действия SUNBURST. Класс IPAddressHelper содержит жестко заданные диапазоны IP-адресов, одному из которых будет соответствовать IP-адрес, полученный в DNS-ответе:



    В зависимости от того, какой IP-адрес возвращается злоумышленником, SUNBURST будет выполнять методы для получения списка текущих процессов текущих процессов, вызывать свой бэкдор HTTP и многое другое.
  6. Вместо ответа с IP-адресом DNS-сервер может перенаправить жертву на вторичный C2, отправив соответствующий CNAME. Пример таких доменов, опубликованных в общем доступе:


  7. Чтобы избежать обнаружения, SUNBURST выполняет DNS-запросы с низкой интенсивностью, используя случайную задержку между запросами для каждой жертвы / домена, в некоторых случаях ожидая до 120 минут между запросами.
  8. SUNBURST также отправляет HTTP-запросы к домену C2 используя псевдослучайный и безвредный на вид URL-адрес для вызова команд, передавая полезную нагрузку в теле HTTP в формате JSON.
    Пример URI:

    hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml

    Ответ может запускать несколько команд, поддерживаемых бэкдором SUNBURST, таких как чтение/запись файлов, перезапуск устройства и т. д.:



    Обнаружение вредоносной DLL


    К сожалению, SolarWinds советует клиентам исключать свое программное обеспечение из антивирусного сканирования и из сканирования средствами обнаружения и реакции на вторжения (EDR), чтобы избежать ложных срабатываний. Многие службы безопасности применяют эти типы исключений самостоятельно, чтобы снизить уровень шума от ложных срабатываний.



    Как только бэкдор SolarWinds Sunburst установлен, злоумышленник использует дроппер TEARDROP, который считывает поддельный файл изображения с именем gracious_truth.jpg для декодирования встроенной в него полезной нагрузки Cobalt Strike Beacon, причем полезная нагрузка уже настроена злоумышленником под конкретную жертву.
    Затем выполняются дальнейшие действия после проникновения распространение, повышение привилегий, кража данных и обеспечение дальнейшего присутствия.

    Компания FireEye и агентство CISA проделали фантастическую работу, документируя индикаторы компрометации (IOC), выявленные после вторжения. Мы не можем утверждать, что паттерн развития атаки каждой жертвы будет выглядеть одинаково. Фактически, можно с уверенностью сказать, что злоумышленники с большей вероятностью будут использовать тщательно настроенные кампании, управляемые человеком, для кражи специфической информации у каждой жертвы например, инструменты, используемые тестировщиками на проникновение (красной командой) компании FireEye.

    Подобные атаки на цепочку поставок являются убедительным аргументом в пользу принятия модели нулевого доверия и обнаружения угроз на основе поведенческого анализа. Злоумышленники смогли сделать свою вредоносную версию DLL программы SolarWinds Orion похожей на обычную версию программного обеспечения. Обнаружить это было практически невозможно, потому что все выглядело легитимно и официально. Тем не менее, как только злоумышленники начинают перемещаться по сети после проникновения, они получают доступ к новым учетным записям и обращаются к данным. Какими бы изощренными ни были действия атакующих, они не знают, как точно сымитировать нормальное поведение всех пользователей и устройств, с которыми они работают, что открывает новое окно возможностей для обнаружения.

    Агентство CASA подчеркивает важность анализа поведенческих моделей в оповещении, посвященном рассмотренной угрозе:

    При вроде бы легитимном, но на самом деле несанкционированном использовании обычных учетных записей, выявление такой активности требует определенной зрелости системы защиты, чтобы отличить действия, совершаемые за пределами повседневной работы. Например, сложно себе представить, чтобы учетной записи сотрудника отдела кадров вдруг требовалось бы обращаться к базе данных о расследованиях киберугроз.
Подробнее..

11 команд PowerShell для Office 365, которые полезно знать

12.01.2021 18:23:11 | Автор: admin


Использование PowerShell для управления Office 365 может сделать вашу работу быстрее, эффективнее и проще. PowerShell предоставляет доступ к информации о среде Office 365, к которой нельзя получить доступ через центр администрирования Microsoft 365, и позволяет выполнять массовые операции с помощью одной команды. Благодаря интеграции продуктов Office 365 в единый интерфейс, PowerShell также упрощает управление доступом пользователей и усиливает кибербезопасность.
Данная статья объясняет наиболее полезные для системных администраторов команды PowerShell для Office 365. Мы разделили эти команды на три категории автоматизация, отчетность и конфигурация, чтобы вы могли быстро найти то, что вам нужно.

Как PowerShell может помочь работе с Office 365




Центр администрирования Microsoft 365 отлично подходит для обычных пользователей. Используя эту систему, вы можете управлять своими учетными записями и лицензиями пользователей Office 365, а также такими службами, как Exchange Online, Teams и SharePoint Online. Вы также можете управлять всеми этими компонентами с помощью PowerShell. Его использование значительно упрощает автоматизацию и делает вашу работу более эффективной.
В частности, существует несколько ключевых факторов, которые упрощают управление Office 365 с помощью PowerShell:
  • PowerShell для Office 365 показывает дополнительную информацию, которую вы не можете увидеть в центре администрирования Microsoft 365;
  • PowerShell позволяет настраивать функции и параметры, недоступные в центре администрирования Office 365;
  • Если вы используете Office 365 для обмена файлами, PowerShell для Office 365 позволит быстро выполнять проверку и управлять доступом пользователей к общим дискам;
  • Через командную строку вы можете легко выполнять массовые операции;
  • В PowerShell для Office 365 вы можете использовать командлеты для фильтрации данных, полученных из вашей системы Office 365. Таким образом вы получите быстрый доступ к информации о пользователях и системах;
  • Его также можно использовать для автоматизации процесса сбора данных из Office 365 и их выгрузки в CSV-файл;
  • Благодаря возможности быстро проверять информацию о пользователях PowerShell является мощным инструментом для мониторинга и повышения кибербезопасности.

Все эти функции чрезвычайно полезны для системных администраторов. Однако следует отметить, что PowerShell помогает расширить возможности по управлению Office 365, а не заменяет центр администрирования Microsoft 365. Выполнение некоторых задач будет более эффективным с помощью центра администрирования, и наоборот, некоторые процедуры настройки можно выполнить только с помощью команд PowerShell.

Как только вы освоите основы PowerShell, система станет практически неограниченно расширяемой. Существуют десятки инструментов PowerShell, которые могут упростить и ускорить системное администрирование, а использование командной строки позволит запускать сценарии для автоматизации частых и трудоемких задач.

Наконец, попробуйте интегрированную среду разработки сценариев PowerShell (ISE) для всех ваших потребностей, связанных с PowerShell. Эта среда не только упрощает создание сценариев PowerShell, но и улучшает взаимодействие с интерфейсом командной строки.

Команды PowerShell для автоматизации Office 365




Вместо обработки десятков учетных записей пользователей вручную, вы можете использовать PowerShell для быстрого сбора, фильтрации и систематизации информации о пользователях Office 365. Затем с помощью того же интерфейса командной строки вы можете выполнять массовые действия в отношении нужной учетной записи.

Наиболее полезные команды PowerShell для автоматизации Office 365:

1. Подключение к приложению Office 365 с помощью PowerShell


Прежде чем начать использовать PowerShell для Office 365, необходимо скачать и установить модуль Office 365 для Windows PowerShell и подключить его к своему инстансу Office 365.

Вот как это сделать:
  • Cкачайте и установите Помощник по входу в Microsoft Online Services для ИТ-специалистов, RTW.
  • Импортируйте модуль PowerShell Online Services для Microsoft Azure Active Directory и Office 365, используя следующие команды в PowerShell:
    1.Install-Module -Name AzureAD2.3.Install-Module -Name MSOnline
    

  • Введите свои учетные данные администратора Office 365:
    $Cred = Get-Credential
    

    Теперь вам нужно создать сеанс PowerShell от имени удаленного пользователя. Это можно сделать с помощью следующей команды:
     $O365 = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic -AllowRedirection
    

  • Теперь импортируйте команды сеанса в локальный сеанс Windows PowerShell:
    Import-PSSession $O365
    

  • Наконец, подключите сеанс ко всем своим службам Office 365 с помощью этой команды:
    Connect-MsolService Credential $O365
    

    Это подключит PowerShell для Office 365 к вашему инстансу Office 365 и позволит управлять им.

2. Подключение к Exchange Online и SharePoint Online с помощью PowerShell


Вы можете подключиться к Microsoft Exchange Online и Microsoft SharePoint Online, чтобы управлять этими службами с помощью PowerShell.
  • Подключение к Exchange Online, по сути, происходит так же, как и подключение к Office 365. Вот соответствующие команды:
    1.$Cred = Get-Credential2.3.$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic AllowRedirection
    

  • Подключение к SharePoint Online немного сложнее, и вам потребуется установить дополнительное программное обеспечение.
    Сначала установите компонент командной консоли SharePoint Online.

    Затем запустите из PowerShell следующую команду:
    1.$admin="Admin@enterprise.onmicrosoft.com"2.3.$orgname="enterprise"4.5.$userCred = Get-Credential -UserName $admin -Message "Укажите пароль."6.7.Connect-SPOService -Url https://$orgname-admin.sharepoint.com -Credential $userCred
    


3. Cписок доступных командлетов PowerShell для Office 365


Командлеты это основной тип команд PowerShell для Office 365, и вы будете использовать их чаще всего. PowerShell для Office 365, как и большинство интерфейсов командной строки, позволяет просмотреть список всех доступных командлетов для вашей системы.
  • Чтобы получить список всех доступных командлетов для MSOnline, выполните следующую команду:
    Get-Command -module MSOnline
    
  • Вы также можете запустить ту же команду, чтобы увидеть список всех доступных командлетов для Azure Active Directory, просто заменив переменную -module:
    Get-Command -module AzureAD
    

4. Cписок всех пользователей Office 365


Одно из наиболее распространенных применений PowerShell получение списка всех пользователей Office 365. В PowerShell это можно сделать с помощью всего одного командлета: Get-msoluser.
Этот командлет покажет вам всех пользователей Office 365 с действующей лицензией и автоматически получит некоторую базовую информацию о каждом из них: параметры DisplayName, City, Department и ObjectID.
  • Для этого выполните команду:
    1.Get-MsolUser | Select DisplayName, City, Department, ObjectID 
    
  • Затем вы можете увидеть количество учетных записей, выполнив аналогичную команду:
    1.Get-MsolAccountSku
    
  • А для получения списка доступных вам служб выполните эту команду:
    1.Get-MsolAccountSku | select -ExpandProperty ServiceStatus
    
  • С помощью стандартной логики командной строки эти команды можно расширить для фильтрации получаемых результатов. Например, вы можете сгруппировать всех пользователей в зависимости от места, запустив:
    1.Get-MsolUser | Select DisplayName, UsageLocation | Sort UsageLocation, DisplayName
    

5. Создание нового пользователя в Office 365 с помощью PowerShell


PowerShell можно использовать для автоматизации процесса создания новых пользователей вашей системы. Для этого воспользуйтесь командлетом New-MsolUser:
Для автоматизации процесса создания пользователей используйте этот командлет с соответствующими переменными:
1.New-MsolUser -UserPrincipalName JSmith@enterprise.onmicrosoft.com -DisplayName "John Smith" -FirstName John -LastName Smith

После выполнения данной команды PowerShell выведет информацию о созданном вами пользователе, включая его временный пароль и статус лицензии.

6. Изменение пароля в Office 365 с помощью PowerShell


Одна из самых распространенных и наиболее раздражающих задач системных администраторов смена пароля пользователя. В идеале для этого использовать менеджер паролей, но PowerShell дает вам возможность автоматически обновлять пароли для отдельных пользователей.

Для этого выполните команду:
1.Set-MsolUserPassword -UserPrincipalName JSmith@netwrixqcspa.onmicrosoft.com -NewPassword P@SSw0rd!

Вы также можете не использовать параметр -NewPassword, и в этом случае система автоматически сгенерирует случайный пароль:
1.Set-MsolUserPassword -UserPrincipalName JSmith@netwrixqcspa.onmicrosoft.com

Команды Windows PowerShell для отчетности




PowerShell для Office 365 это отличный инструмент для создания отчетов. Использование командлетов PowerShell позволяет быстро и легко получать доступ, сортировать и сопоставлять информацию о пользователях Office 365, а также информацию о том, как они используют систему.
Следует отметить, что большинство командлетов для создания отчетов устарело в январе 2018 года. Корпорация Microsoft заменила эти командлеты новым API отчетов Microsoft Graph. Это сократило возможности PowerShell по созданию отчетов в Office 365, но все старые функции по-прежнему доступны через центр безопасности и соответствия требованиям Office 365.

Тем не менее, в вопросах отчетности о пользователях и группах PowerShell для Office 365 по-прежнему является ключевым инструментом. Ниже мы приведем наиболее полезные отчеты, для которых можно использовать PowerShell.

1. Планы лицензирования


В PowerShell есть чрезвычайно полезный командлет, который позволяет вам видеть сводку ваших текущих планов лицензирования и доступных лицензий для каждого плана. Для того, чтобы им воспользоваться, сделайте следующее.
Для этого выполните команду:
1.Get-MsolAccountSku

В результате вы получите отчет, содержащий несколько ключевых элементов информации:
  • AccountSkuld показывает доступные планы лицензирования для вашей организации;
  • ActiveUnits количество лицензий, приобретенных вами для определенного плана лицензирования;
  • WarningUnits количество непродленных лицензий в плане лицензирования, которые истекают по окончании 30-дневного льготного периода;
  • ConsumedUnits количество лицензий, которые вы назначили пользователям из определенного плана лицензирования.

Вы также можете использовать дополнительный синтаксис для получения дополнительной информации о ваших лицензиях или фильтрации и сортировки результатов. Дополнительные сведения о том, как это сделать, вы найдете документации Microsoft по использованию PowerShell для создания отчетов.

2. Учетные записи пользователей


Еще один полезный командлет для создания отчетов Get-MsolUser, который возвращает список всех учетных записей пользователей Office 365. Вот как вы можете использовать эту команду:
Выполните команду:
1.Get-MsolUser

Вы увидите полный список учетных записей пользователей с соответствующими именами. Вы также можете добавить ряд параметров для фильтрации отображаемых учетных записей. Например, чтобы получить список нелицензированных пользователей (пользователей, которые были добавлены в Office 365, но еще не получили лицензии на использование какой-либо из служб), выполните следующую команду:
1.Get-MsolUser -UnlicensedUsersOnly

Для дальнейшего изучения конкретных учетных записей можно использовать командлет where.
Чтобы скомбинировать два командлета, воспользуйтесь вертикальной чертой |: Это означает, что PowerShell для Office 365 возьмет результаты первой команды и отправит их следующей команде. Например, если вы хотите отображать только те учетные записи пользователей, у которых не указано место использования, вы можете использовать такую команду:
1.Get-MsolUser | Where {{$_.UsageLocation -eq $Null}}

Добавив дополнительный синтаксис после символа вертикальной черты |, вы сможете конкретизировать отчеты и получать списки пользователей с любой комбинацией атрибутов.

3. Отчеты электронной почты


PowerShell также является мощным инструментом для проверки использования электронной почты и пользователей. Фактически это одно из основных системных приложений, когда дело доходит до отчетности. Ниже перечислено несколько полезных отчетов, касающихся электронной почты:
  • Вы можете использовать PowerShell для получения информации о каждом почтовом ящике в вашей системе, используя следующую команду:
    1.Get-mailbox | get-MailboxStatistics
    

  • Вы также можете получить список всех почтовых ящиков, в которые не выполнялся вход в течение 30 дней (или любого другого нужного вам периода, означающего, что вам необходимо закрыть эти ящики). Для этого выполните команду:
    1.Get-Mailbox RecipientType 'UserMailbox' | Get-MailboxStatistics | Sort-Object LastLogonTime | Where {{$_.LastLogonTime lt ([DateTime]::Now).AddDays(-30) }} | Format-Table DisplayName, LastLogonTime
    

  • Еще один полезный инструмент для обеспечения кибербезопасности проверка активности ваших почтовых ящиков, чтобы отметить те из них, которые отправляют и получают больше всего почты. Для этой задачи есть специальный командлет. Выполните команду:
    1.Get-MailTrafficTopReport
    


Командлеты PowerShell для настройки Office 365




PowerShell также чрезвычайно полезен для настройки среды Office 365. Как мы отмечаем в нашем бесплатном видеокурсе по скрытым параметрам Office 365, которые можно разблокировать с помощью PowerShell, существуют определенные параметры конфигурации, которые доступны только через интерфейс PowerShell.
Наиболее полезными и часто используемыми командами PowerShell для настройки являются те, которые относятся к управлению группами пользователей и созданию новых сайтов SharePoint. Зачастую эти задачи усложняют работу системных администраторов, и их автоматизация может сэкономить много времени.

1. Настройте скрытые параметры с помощью PowerShell для Office 365


Как мы упоминали ранее, к некоторым параметрам конфигурации Office 365 можно получить доступ только с помощью PowerShell.
Наиболее ярким примером являются параметры конфигурации Skype для бизнеса. Онлайн-центр администрирования этой службы содержит несколько параметров, позволяющих настроить способ ее работы для вашей организации. Однако с помощью PowerShell вы получите доступ к большему количеству параметров настройки. Например, стандартные конференции в Skype настроены так, что:
  • анонимные пользователи могут автоматически войти в каждую конференцию;
  • участники могут вести запись конференции;
  • все пользователи вашей организации могут быть назначены докладчиками.

Чтобы изменить эти стандартные настройки, вы можете использовать Powershell. Вот команда для отключения всех трех вышеперечисленных параметров:
1.Set-CsMeetingConfiguration -AdmitAnonymousUsersByDefault $False -AllowConferenceRecording $False -DesignateAsPresenter "None"


Если вы хотите сбросить настройки до значений по умолчанию, используйте следующую команду:
1.Set-CsMeetingConfiguration -AdmitAnonymousUsersByDefault $True -AllowConferenceRecording $True -DesignateAsPresenter "Company"


Это лишь один пример скрытых параметров, к которым вы можете получить доступ с помощью PowerShell. Чтобы узнать больше, посетите наш бесплатный онлайн-курс.

2. Управление членством в группах Office 365 с помощью PowerShell


PowerShell имеет несколько командлетов, специально предназначенными для работы с группами Office 365. Например:
Выполните команду, чтобы просмотреть список всех активных групп в Office 365.
1.Get-MsolGroup

Эта команда также предоставит вам шестнадцатеричный идентификатор для каждой группы, который вам понадобится для управления членством.
Для добавления и удаления членов группы вам также понадобится шестнадцатеричный идентификатор их учетных записей, который можно получить с помощью команды:
1.Get-MsolUser | Select ObjectID.

Затем вы можете запустить соответствующий командлет для добавления или удаления пользователей из определенных групп. Чтобы добавить пользователей, выполните следующую команду, заменив указанные в примере шестнадцатеричные идентификаторы на идентификаторы, относящиеся к вашей группе и нужному пользователю:
1.Add-MsolGroupMember -GroupObjectId 5b61d9e1-a13f-4a2d-b5ba-773cebc08eec -GroupMemberObjectId a56cae92-a8b9-

Чтобы удалить пользователей из групп, вы можете выполнить ту же команду, но с измененной первой частью:
1.Remove-MsolGroupMember


Как Varonis взаимодействует с PowerShell


Varonis дополняет использование PowerShell несколькими способами.

Мониторинг


Varonis отслеживает и проверяет активность в Office 365 (включая изменения конфигурации) и команды PowerShell. Это позволяет вам отслеживать любые изменения, которые администраторы или злоумышленники вносят с помощью PowerShell.
Администраторы должны вносить изменения в конфигурации или разрешения Office 365, имея действующий запрос на изменение. Этот дополнительный уровень проверки обеспечивает бесперебойную работу процессов и процедур.
Злоумышленники пытаются использовать PowerShell для отключения мер безопасности или повышения прав учетной записи. Varonis улавливает эти изменения и отслеживает любые другие действия, которые злоумышленники совершают в Office 365.

Получайте оповещения и принимайте меры


Varonis позволяет пользователям запускать сценарии PowerShell при получении оповещений.
Наиболее распространенным применением этой функции является автоматическая реакция на атаки программ-вымогателей. Модель угроз программ-вымогателей вызывает сценарий, деактивирующий учетную запись пользователя и выключающий все компьютеры, в которые они входили, для остановки атаки.

Заключение


PowerShell является эффективным инструментом для работы с Office 365. Он позволяет быстро получать доступ к информации из системы, составлять подробные отчеты и выполнять массовые действия. Кроме того, с его помощью можно получить доступ к определенным функциям Office 365, которые недоступны другим способом.
Подключить Powershell к Office 365 относительно просто, и в результате вы получите доступ ко всем перечисленным выше расширенным функциям. Это также позволит вам более легко интегрировать вашу среду Office 365 с платформой кибербезопасности Varonis и обеспечить безопасность конфиденциальных данных.
Подробнее..

Перевод Что такое Mimikatz руководство для начинающих

26.01.2021 16:05:52 | Автор: admin


Бенджамин Делпи изначально создал Mimikatz в качестве доказательства концепции, чтобы продемонстрировать Microsoft уязвимость для атак их протоколов аутентификации. Вместо этого он непреднамеренно создал один из самых широко используемых и загружаемых хакерских инструментов за последние 20 лет.
Джейк Уильямс из Rendition Infosec говорит: Mimikatz сделал для повышения безопасности больше, чем любой другой известный мне инструмент. Если защита сетей Windows ваша работа, важно быть в курсе последних обновлений Mimikatz, чтобы понимать методы, которые хакеры будут использовать для проникновения в ваши сети, и оставаться на шаг впереди.

Что такое Mimikatz?


Mimikatz это приложение с открытым исходным кодом, которое позволяет пользователям просматривать и сохранять учетные данные аутентификации, такие как тикеты Kerberos. Бенджамин Делпи продолжает руководить разработкой Mimikatz, поэтому набор инструментов работает с текущей версией Windows и включает самые современные виды атак.

Злоумышленники обычно используют Mimikatz для кражи учетных данных и повышения привилегий: в большинстве случаев программное обеспечение для защиты конечных точек и антивирусные системы обнаруживают и удаляют его. И наоборот, специалисты по тестированию на проникновение используют Mimikatz для обнаружения и тестирования уязвимостей в ваших сетях, чтобы вы могли их исправить.



Возможности Mimikatz


Первоначально Mimikatz демонстрировал, как использовать одну уязвимость в системе аутентификации Windows. Теперь же этот инструмент охватывает несколько различных видов уязвимостей. Mimikatz может выполнять следующие методы сбора учетных данных:
  • Pass-the-Hash (перехват хеша): ранее Windows хранил данные аутентификации в хэше NTLM. Злоумышленники используют Mimikatz для передачи точной строки хеша на целевой компьютер для входа в систему. Злоумышленникам даже не нужно взламывать пароль, им просто нужно перехватить хеш и использовать его без какой-либо обработки. Это то же самое, что найти ключ от всех дверей дома на полу. Вам нужен один ключ, чтобы открыть любую дверь.
  • Pass-the-Ticket (перехват тикета): новые версии Windows хранят данные аутентификации в конструкции, называемой тикетом (Ticket). Mimikatz предоставляет пользователю возможность передать тикет Kerberos на другой компьютер и войти в систему с помощью этого тикета. В остальном это то же самое, что и перехват и передача хеша.
  • Over-Pass the Hash (Pass the Key): еще одна разновидность атаки pass-the-hash, но этот метод передает уникальный ключ для выдачи себя за пользователя, данные которого можно получить от контроллера домена.
  • Kerberos Golden Ticket): это вид атаки с перехватом тикета (pass-the-ticket), но в данном случае целью является конкретный тикет для скрытой учетной записи под названием KRBTGT. Эта учетная запись шифрует все остальные тикеты.Золотой билет дает вам учетные данные администратора домена для любого компьютера в сети без срока истечения.
  • Kerberos Silver Ticket: еще одна атака типа pass-the-ticket, но серебряный тикетиспользует для своих целей функцию Windows, которая упрощает использование служб в сети. Kerberos предоставляет пользователю тикет сервера выдачи разрешений (TGS), и пользователь может использовать этот тикет для входа в любые службы в сети. Microsoft не всегда проверяет тикет сервера выдачи разрешений (TGS) после его выпуска, поэтому с его помощью можно легко обойти любые меры безопасности.
  • Pass-the-Cache): единственная атака, не использующая уязвимости Windows! Атака с перехватом кэша обычно аналогична атаке с перехватом билета, но в этой атаке используются сохраненные и зашифрованные данные для входа в систему Mac/UNIX/Linux.




Как скачать Mimikatz


Вы можете скачать Mimikatz с GitHub Бенджамина Делпи. Он предлагает несколько вариантов загрузки, от исполняемого файла до исходного кода, который вам нужно будет скомпилировать с Visual Studio 2010 или более новой версии.

Как использовать Mimikatz


После запуска исполняемого файла Mimikatz появится интерактивная консоль Mimikatz, в которой вы сможете запускать команды в реальном времени.

Запустите Mimikatz от имени администратора: для полноценной работы Mimikatz выберите Запуск от имени администратора, даже если вы используете учетную запись администратора.

Проверка версии Mimikatz
Существует 2 версии Mimikatz: 32-битная и 64-битная. Убедитесь, что вы используете версию, соответствующую разрядности вашей Windows. Выполните команду version из командной строки Mimikatz, чтобы получить информацию об исполняемом файле Mimikatz, версии Windows и о наличии каких-либо настроек Windows, которые могут помешать корректной работе Mimikatz.

Извлечение из памяти паролей в виде открытого текста
Модуль sekurlsa в Mimikatz позволяет выгружать пароли из памяти. Чтобы использовать команды в модуле sekurlsa, у вас должны быть права на уровне администратора или системы.

Сначала выполните команду:
mimikatz # privilege::debug 

Вы увидите, есть ли у вас соответствующие разрешения, чтобы продолжить.
Затем запустите функции логирования, в дальнейшем этот журнал вам может понадобиться в работе:
mimikatz # log nameoflog.log

И, наконец, выведите все хранящиеся на этом компьютере пароли в виде незашифрованного текста:
mimikatz # sekurlsa::logonpasswords


Использование других модулей Mimikatz


Модуль шифрования открывает доступ к CryptoAPI в Windows, который позволяет перечислять и экспортировать сертификаты и их закрытые ключи, даже если они отмечены как неэкспортируемые.
Модуль Kerberos обращается к API Kerberos, поэтому вы можете поэкспериментировать с этой функциональностью, извлекая тикеты Kerberos и управляя ими.
Модуль служб позволяет запускать, останавливать, отключать и выполнять другие операции со службами Windows.
И, наконец, команда coffee выводит ASCII-изображение кофе, ведь кофе нужен всем. :)

Mimikatz способен на гораздо большее Если вы интересуетесь тестированием на проникновение или просто хотите покопаться во внутреннем устройстве проверки подлинности Windows, ознакомьтесь со ссылками ниже.

Хотите увидеть Mimikatz в действии и узнать, как Varonis защищает вас от проникновения? Присоединяйтесь к нашему бесплатному интерактивному практическому семинару по кибератакам и посмотрите, как инженеры Varonis проводят кибератаку в нашей лаборатории безопасности.
Подробнее..

Перевод Всё, что нужно знать о программе-вымогателе Netwalker

15.02.2021 14:04:42 | Автор: admin


В 2020 году киберпреступность росла в геометрической прогрессии: программы-вымогатели Emotet, Trickbot, Maze, Ryuk, а теперь и Netwalker стали серьезной проблемой во всех отраслях, больших и малых, государственных и частных, и пока нет оснований полагать, что эта тенденция ослабнет.
За 2019 год злоумышленники вымогательством получили от своих жертв около 11,5 миллиардов долларов. Для сравнения, в 2018 году эта цифра составила 8 миллиардов. По оценкам экспертов, к 2021 году потери от атак программ-вымогателей вырастет почти на 100% и достигнут 20 миллиардов долларов. С момента своих первых атак в марте 2020 года Netwalker, также известный как Mailto, позволил злоумышленникам получить в виде выкупа более 30 миллионов долларов.


Что из себя представляет программа-вымогатель Netwalker?


Netwalker это быстро набирающая масштабы программа-вымогатель, созданная в 2019 году группой киберпреступников, известной как Circus Spider. Circus Spider один из новых членов более обширной группы Mummy Spider. На первый взгляд Netwalker действует, как и большинство других разновидностей программ-вымогателей: проникает в систему через фишинговые письма, извлекает и шифрует конфиденциальные данные, а затем удерживает их для получения выкупа.

Увы, Netwalker способен на большее, чем просто удержание захваченных данных в заложниках. Чтобы продемонстрировать серьезность своих намерений, Circus Spider публикует образец украденных данных в интернете, заявляя, что, если жертва не выполнит их требования вовремя, то в даркнет попадут и остальные данные. Circus Spider выкладывает конфиденциальные данные жертвы в даркнете в защищенной паролем папке и публикует пароль в интернете.

Программа-вымогатель Netwalker использует модель вымогательство как услуга (RaaS).
В марте 2020 года члены Circus Spider решили сделать имя Netwalker стало нарицательным. Они расширили свою партнерскую сеть подобно тому, как это сделала группа преступников, стоящих за Maze. Переход к модели программа-вымогатель как услуга (RaaS) позволил им существенно расширить масштабы, нацелиться на большее количество организаций и увеличить размеры получаемых выкупов.
Модель RaaS включает вербовку помощников для содействия в выполнении преступных планов. Как упоминалось выше, Netwalker начинал набирать обороты и уже имел ряд крупных результатов. Однако по сравнению с другими крупными группами вымогателей они оставались небольшими пока не перешли к модели RaaS.

Чтобы заслужить честь присоединиться к их небольшой преступной группе, Circus Spider опубликовали определенный набор требуемых критериев своеобразную криминальную вакансию, если хотите.
Их основные критерии при выборе помощников:
  • опыт работы с сетями;
  • владение русским (они не принимают англоговорящих);
  • они не обучают неопытных пользователей;
  • наличие постоянного доступа к целям, представляющим для них ценность;
  • доказательства наличия опыта.

Чтобы привлечь как можно больше потенциальных сторонников, Circus Spider опубликовали список возможностей, к которым их новые партнеры получат доступ.
Они включают:
  • полностью автоматическая панель чата TOR;
  • права наблюдателя;
  • поддержка всех устройств Windows, начиная с версии Windows 2000;
  • быстрый многопотоковый блокировщик;
  • быстрые и гибкие настройки блокировщика;
  • доступ к процессам разблокировки;
  • шифрование смежной сети;
  • уникальные сборки PowerShell для упрощения работы с антивирусными программами;
  • мгновенные выплаты.



На кого и на что нацелена программа-вымогатель Netwalker?


С момента первого крупного результата в марте 2020 года наблюдается всплеск атак программы-вымогателя Netwalker. В первую очередь, ее целями стали учреждения здравоохранения и образования. Они провели одну из своих наиболее публично освещенных кампаний против крупного университета, специализирующегося на медицинских исследованиях. Программа-вымогатель похитила конфиденциальные данные этого университета, и, чтобы показать серьезность намерений, злоумышленники выложили образец украденных данных в открытый доступ. Эти данные включали студенческие приложения, содержащие такую информацию, как номера социального страхования и другие конфиденциальные данные. Это нарушение привело к тому, что университет заплатил злоумышленникам выкуп в размере 1,14 миллиона долларов за расшифровку их данных.

Злоумышленники, стоящие за Netwalker, предприняли серьезную попытку извлечь выгоду из хаоса эпидемии коронавируса. Они рассылали фишинговые электронные письма на тему пандемии, выбрав целью медицинские учреждения, которые уже перегружены пострадавшими от пандемии. Сайт одной из первых жертв в сфере здравоохранения был заблокирован программой-вымогателем как раз в тот момент, когда люди начали обращаться к ним за советом во время пандемии. Эта атака вынудила их запустить второй сайт и направить пользователей на новый, вызвав беспокойство и замешательство у всех участников. В течение года Netwalker и другие группы программ-вымогателей продолжали атаковать медицинские учреждения, пользуясь тем, что они уделяют мало внимания информационной безопасности.

Помимо сфер здравоохранения и образования, Netwalker атакует организации в других отраслях, в том числе:
  • производство;
  • управление бизнесом;
  • управление потребительским опытом и качеством обслуживания;
  • электромобили и решения для накопления электричества;
  • образование;
  • и многие другие.


Как работает Netwalker?





Шаг 1: фишинг и проникновение


Netwalker в значительной степени полагается на фишинг и адресный фишинг как методы проникновения. Если сравнивать с другими программами-вымогателями, рассылки фишинговых писем у Netwalker происходят часто. Эти письма выглядят вполне легитимно, что легко вводит в заблуждение жертв. Обычно Netwalker прикрепляет сценарий VBS с названием CORONAVIRUS_COVID-19.vbs, который запускает программу-вымогатель, если получатель откроет вложенный текстовый документ с вредоносным сценарием.



Шаг 2: эксфильтрация и шифрование данных


Если сценарий открывается и запускается в вашей системе, значит Netwalker начал проникать в вашу сеть. С этого момента начинается отсчет времени до шифрования. Попав в систему, программа-вымогатель превращается в не вызывающий подозрений процесс, обычно в виде исполняемого файла Microsoft. Это достигается за счет удаления кода из исполняемого файла и внедрения в него собственного вредоносного кода для доступа к process.exe. Этот метод известен как Process Hollowing. Он дает программе-вымогателю возможность находиться в сети достаточно долго для извлечения и шифрования данных, удаления резервных копий и создания лазеек на случай, если кто-либо заметит, что что-то не так.

Шаг 3: вымогательство и восстановление (или потеря) данных


Как только Netwalker закончит эксфильтрацию и шифрование данных, жертва обнаружит, что данные украдены, и найдет записку с требованием выкупа. Записка с требованием выкупа Netwalker относительно стандартна: в ней объясняется произошедшее и что пользователь должен делать, если хочет вернуть свои данные в целости и сохранности. Затем Circus Spider потребует определенную сумму денег для оплаты в биткойнах, используя портал браузера TOR.


(Источник)

Как только жертва удовлетворяет выдвинутые требования, она получает доступ к своему индивидуальному инструменту дешифрования и может безопасно расшифровать свои данные.
Если жертва не выполнит требования вовремя, злоумышленники увеличат размер выкупа или опубликуют в даркнете все украденные данные либо их часть.
Ниже представлена схема конкретного пути атаки Netwalker.

(Источник)

Советы по защите от программы-вымогателя Netwalker


Netwalker становится все более изощренным, и от него все труднее защищаться. В первую очередь это связано с ростом их сети помощников.

Мы рекомендуем следующие простые процедуры для смягчения последствий:
  • Выполняйте резервное копирование важных данных на локальные хранилища данных;
  • Убедитесь, что копии критически важных данных хранятся в облаке, на внешнем жестком диске или устройстве хранения;
  • Защитите свои резервные копии и убедитесь, что данные невозможно изменить или удалить из системы, в которой они хранятся;
  • Установите и регулярно обновляйте антивирусное программное обеспечение на всех компьютерах;
  • Используйте только безопасные сети и избегайте общедоступных сетей Wi-Fi. По возможности используйте VPN;
  • Используйте двухфакторную аутентификацию с надежными паролями;
  • Регулярно обновляйте компьютеры, устройства и приложения. Netwalker, как и другие программы-вымогатели, использует уязвимости в системах и инфраструктуре, чтобы взять под контроль компьютеры пользователей и целые сети, а затем удерживает ваши данные в зашифрованном виде, пока вы не заплатите выкуп.

Хотя эти процедуры помогут уменьшить ущерб, нанесенный программой-вымогателем после заражения вашей системы, это все же лишь смягчение ущерба. Упреждающее выполнение этих процедур поможет предотвратить распространение и уменьшить ущерб от программ-вымогателей после того, как они проникли в вашу систему. Информирование и обучение сотрудников основам информационной безопасности станет мощным инструментом борьбы с Netwalker.

Не попадайтесь на фишинговые уловки


Поскольку Netwalker в основном заражает системы через рассылку фишинговых писем с вредоносными ссылками и исполняемыми файлами, информирование сотрудников вашей организации об опасностях фишинговых писем и о том, на что нужно обращать внимание для фильтрации подозрительных электронных писем, обязательная мера для защиты ваших конфиденциальных данных.
Обязательное регулярное обучение основам информационной безопасности это отличный способ предотвращения, который поможет вашей организации выявлять признаки вредоносных электронных писем. Вот на что нужно обращать внимание каждый раз, когда вы получаете электронное письмо с просьбой нажать на ссылку, загрузить файл или поделиться своими учетными данными:
  • внимательно проверьте имя и домен, с которого отправляется электронное письмо;
  • проверьте наличие явных орфографических ошибок в теме и тексте сообщения;
  • не сообщайте свои учетные данные законные отправители никогда их не попросят;
  • не открывайте вложения и не загружайте подозрительные ссылки;
  • сообщайте о подозрительных электронных письмах вашей службе информационной безопасности.

Мы также рекомендуем проводить симуляции атак. Отправка ненастоящих фишинговых писем сотрудникам вашей организации отличный способ оценить эффективность вашего обучения основам безопасности и определить, кому может потребоваться дополнительная помощь в этом вопросе. Отслеживайте показатели взаимодействия пользователей, чтобы узнать, кто взаимодействует с любыми ссылками или вложениями, выдает свои учетные данные или сообщает об этом ответственной службе в вашей организации.

Используйте системы обнаружения угроз на основе поведенческого анализа


Обучение сотрудников вашей организации распознаванию и реагированию на фишинговые атаки, связанные с программами-вымогателями, является большим подспорьем в защите ваших конфиденциальных данных. Однако раннее обнаружение угроз на основе поведенческого анализа позволит ограничить уязвимость перед разрушительными последствиями программ-вымогателей.
Если взломанная учетная запись пользователя начинает получать доступ к конфиденциальным данным, система обнаружения угроз на основе поведенческого анализа сразу об этом узнает и уведомит вас. Например, Varonis использует несколько моделей поведения, чтобы узнать, как определенные пользователи обычно обращаются к данным. Благодаря этому можно определить, когда характер доступа пользователя к данным или объемы данных начинают отличаться от обычных. Varonis различает ручные и автоматические действия и улавливает, если пользователь начинает перемещение или шифрование файлов необычным образом, в самом зародыше прекращая деятельность программы-вымогателя. Многие наши заказчики автоматизируют ответную реакцию на такое поведение, отключая учетную запись и прерывая активные соединения.
Также важно непрерывно отслеживать активность в файловой системе, чтобы вовремя распознать, когда программа-вымогатель сохраняет на диск известные инструменты проникновения (распространенная тактика Netwalker), или когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными.

Любая пользовательская учетная запись обычно имеет доступ к гораздо большему количеству данных, чем необходимо, поэтому эти поиски часто бывают плодотворными. О том, как снизить эти риски, читайте ниже.



Переходите на модель минимальных привилегий (Zero Trust)


Правильное обнаружение важный шаг к защите вашей организации от программ-вымогателей. Однако не менее важно создать такие условия, что даже если программа-вымогатель останется незамеченной для первичного обнаружения, ее урон будет минимальным. Организации могут добиться этого, сводя к минимуму данные, к которым они раскрывают доступ. Таким образом, количество данных, которые могут быть зашифрованы или украдены, будет ограничено.
Если вы подозреваете, что стали жертвой программы-вымогателя Netwalker, выполните поиск всех обращений к файлам и изменений, сделанных любым пользователем за любой период времени, чтобы точно определить затронутые файлы и восстановить правильные версии. Вы также можете обратиться к службе реагирования на инциденты Varonis, и мы бесплатно поможем вам расследовать инцидент.
Подробнее..

Как предотвратить проникновение программ-вымогателей основные советы

22.03.2021 12:19:24 | Автор: admin


Согласно отчету Verizon Data Breach Report программы-вымогатели являются вторыми по частоте атаками вредоносных программ после атак категории Командование и управление (C2). Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Так как же научить пользователей не переходить по фишинговым ссылкам?
Мнение профессионалов: никак. Люди будут делать то, что присуще их природе. Таким образом, мы должны подойти к проблеме программ-вымогателей по-другому. В этой статье мы рассмотрим основные особенности и методы борьбы с программами-вымогателями.

Больше информации о программах-вымогателях можно получить в рамках бесплатного обучающего курса Троя Ханта Вводный курс о вирусах-вымогателях.

Что представляют собой программы-вымогатели?


Программа-вымогатель это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?

Как работает программа-вымогатель?





Программа-вымогатель это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.

1. Инфицирование


Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Получение ключей безопасности


Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.

3. Шифрование


На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство


Жертва поражена, и злоумышленник отправляет уведомление с требованием заплатить за дешифровку. Обычно в нем указывается некоторая цифра в долларах с угрозами наподобие таких: заплатите нам, или потеряете свои данные.
Стоит отметить, что благодаря криптовалюте распространение программ-вымогателей стало прибыльным занятием. Сейчас трудно определить прибыльность преступной деятельности, но частота атак указывает на то, что злоумышленники видят выгоду и продолжают использовать эти методы.
В последнее время план вымогательства основывается на угрозе раскрытия данных. Программа-вымогатель способна не только зашифровать данные в системе, но и передать их злоумышленникам. За этим следует угроза: заплатите нам или ваши данные окажутся в открытом доступе.

5. Разблокировка и восстановление


Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:



Как защититься от программ-вымогателей: основные советы





Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.

Не нажимайте на ссылки!


Да-да, вы уже слышали об этом раньше. Но всегда стоит повторить еще раз. В 2020 году большой процент вредоносных программ проник в системы через фишинговые электронные письма. Люди (все без исключения!) не перестанут переходить по ссылкам. Не так давно мы опубликовали материал Полное руководство по фишинговым атакам, в котором подробно изложены принципы фишинговой атаки и рекомендации, как не стать ее жертвой.

Обеспечьте защиту электронной почты и конечных точек


По своему опыту мы знаем, что сотрудники будут всегда нажимать на ссылки. Поэтому:
  • Сканируйте все электронные письма на предмет известных штаммов вредоносных программ и обновляйте брандмауэры и средства защиты конечных точек с использованием последних известных сигнатур вирусов;
  • Уведомляйте пользователей о внешних электронных письмах;
  • Предоставьте пользователям VPN для использования за пределами сети.


Храните резервные копии


Храните актуальные резервные копии для защиты важных данных как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены это уже другая проблема.

Защищайте конфиденциальную информацию


Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.

Кто находится в группе риска?


Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

7 типов программ-вымогателей, которые необходимо знать каждому


Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.

В последнее время стала весьма популярна модель программа-вымогатель как услуга (RaaS), как например Netwalker, когда хакеры дают свое вредоносное ПО в аренду другим киберпреступникам, в результате чего увеличиваются частота случаев и охват поражения.
Рассмотрим другие виды программ-вымогателей и принципы их работы.

Шифровальщики


Первая и наиболее распространенная категория этих программ это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.

Взлом шифровальщиков


Взлом методом перебора: алгоритм с симметричным ключом занимает от нескольких часов для небольшого 20-битного ключа до миллионов лет для 128-битного ключа.

Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).

Программы-вымогатели, удаляющие данные


Злоумышленники могут угрожать, что любая ваша попытка расшифровать файлы приведет только к безвозвратной потере данных. Или же файлы будут удалены, если вы не заплатите.

Широко известные вирусы, удаляющие данные, Gpcode и FileCoder.
Мнение профессионалов: если файлы удалены вымогателем, их нельзя перезаписать на диске. Оптимальный вариант восстановление из резервной копии.

Блокировщики


Злоумышленники создают вредоносные сайты, с помощью которых пытаются обмануть вас, заставляя думать, что вас разыскивает полиция и вам нужно заплатить штраф, или злоупотребляют вашим доверием другим способом. Они даже умеют отключать клавиши быстрого доступа, чтобы вам было сложнее закрыть экран. Такие методы используются, например, программами Winlock и Urausy.
Мнение профессионалов: все поступающие сообщения с просьбой перевести деньги мошенничество.

Программы-вымогатели для мобильных устройств


Поскольку вымогатели хорошо зарекомендовали себя на ПК, злоумышленники создают подобные программы и для мобильных устройств. В основном они представляют собой разновидности блокировщиков, так как шифрование мобильного устройства, для которого регулярно выполняется резервное копирование, бессмысленно.

Правила реагирования на атаку программы-вымогателя





Справиться с текущими атаками вымогателей и смягчить их последствия помогут следующие действия:

1. Изоляция


Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.

2. Идентификация


Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.

3. Оповещение регулирующих органов об угрозе


В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.

4. Удаление вредоносного ПО


Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.

5. Восстановление данных


После подавления атаки переходите к процессу восстановления. Оплата выкупа один из вариантов. Возможно, злоумышленники благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант восстановление из самой последней доступной резервной копии. При ее наличии.

Стоит ли платить выкуп?


Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросов.

Перед рассмотрением вопроса о переводе средств


Поиск инструмента для дешифрования


Просмотрите интернет-ресурсы на предмет существующих инструментов дешифрования. При обнаружении ключей для отражения атаки платить выкуп не нужно. Иногда экспертам по кибербезопасности удается получить ключи для дешифрования с вредоносных серверов и опубликовать их онлайн. Ниже описаны некоторые из них:


В каких случаях стоит задуматься о переводе средств


На саммите по кибербезопасности Джозеф Бонаволонта, отвечающий за программу ФБР по кибербезопасности и контрразведке, сказал: Честно говоря, мы часто советуем просто заплатить выкуп.
Он также уточнил: Успешная атака вируса-вымогателя в конечном итоге приносит пользу жертвам: поскольку очень многие оплачивают выкуп, авторы вредоносных программ менее склонны выжимать крупные суммы из одной жертвы, устанавливая небольшие размеры. И большинство мошенников-вымогателей держат свое слово. Поэтому вам вернут доступ.
По данным ФБР, большинство вирусов-вымогателей требует выкуп в диапазоне $200$10 000.
Однако есть прецеденты, когда сумма была намного больше. В 2014 году злоумышленники зашифровали файлы администрации Детройта и потребовали выкуп в размере 2 000 биткойнов, что на тот момент составляло около 800 000 долларов. У этой истории счастливый конец: администрации Детройта не нужна была эта база данных, поэтому она не стала платить.
Иногда перевод средств правильное решение. Офис шерифа округа Диксон в штате Теннесси заплатил 622 доллара в биткойнах хакерам, которые зашифровали файлы с уголовными делами департамента. По словам детектива Джеффа Макклисса, всё свелось к выбору между потерей всех данных и невозможностью выполнять критически важные задачи, в которых мы их использовали, и оплатой 600 с небольшим долларов для их возврата данных. Офису шерифа повезло ему вернули доступ к файлам.

Отказ от оплаты: в каких случаях не стоит идти на поводу


Некоторые эксперты по кибербезопасности призывают не платить выкуп из-за отсутствия гарантий возврата файлов в исходное состояние даже после перевода средств. Кроме того, согласие заплатить вымогателям усугубляет существующую проблему, делая жертву мишенью для дальнейших атак вредоносными программами.
В 2016 году сообщалось, что руководство больницы Канзаса, пораженной программой-вымогателем, заплатило выкуп в надежде на скорейшее возобновление работы, но после перевода средств файлы были расшифрованы лишь частично. При этом киберпреступники потребовали еще денег для расшифровки остальных файлов. В результате больница отказалась платить второй раз, так как это уже не казалось разумным или стратегическим решением.
Что еще хуже, при заражении дефектным штаммом, например Power Worm, вернуть файлы невозможно независимо от предпринимаемых действий. Даже при желании заплатить выкуп в результате этой атаки данные жертвы будут неизбежно уничтожены во время шифрования.
В других случаях, например во время атаки вирусом NotPetya, цель которой заключается не в финансовой выгоде, а в уничтожении данных, даже при накоплении биткойнов для выплаты выкупа вернуть данные не получится.
Согласитесь, что это простое и эффективное решение остановить атаку вируса-вымогателя в самом ее начале, когда зашифровано всего пару сотен файлов, вместо того, чтобы потом иметь дело с полностью зашифрованной системой хранения.

Дополнительные ресурсы и литература


Здесь вы найдете ряд статей о программах-вымогателях, а также ссылки на конкретные разновидности, обнаруженные аналитиками по информационной безопасности Varonis:
Подробнее..

Перевод Darkside возвращается анализ крупномасштабной кампании по хищению данных

05.04.2021 20:15:29 | Автор: admin

Наша команда недавно провела несколько резонансных расследований атак, приписываемых группировке киберпреступников Darkside. Эти узконаправленные кампании проводились в несколько этапов и длились от нескольких недель до нескольких месяцев, а их целью было хищение и шифрование конфиденциальных данных, включая резервные копии. В этой статье мы рассмотрим замеченные нами тактики, техники и процедуры (ТТП).

О группе Darkside Inc.


Группировка хакеров-вымогателей Darkside выпустила пресс-релиз о своем продукте RaaS (программа-вымогатель как услуга) в августе 2020 года. С тех пор группировка получила известность благодаря профессиональному проведению операций и крупным суммам требуемых выкупов. Хакеры предоставляют жертвам техподдержку в веб-чате, создают сложные системы хранения украденных данных с резервными подсистемами и анализируют финансовую ситуацию жертв перед атакой.

Название группировки Darkside (Темная сторона) вызывает ассоциации с хорошим парнем (или девушкой), которые отреклись от светлой стороны. Мы не можем утверждать, что в группировке работают бывшие специалисты в области ИТ-безопасности, но ее атаки свидетельствуют о глубоком понимании инфраструктуры, технологий безопасности и слабых сторон своих жертв.

Представители данной организации публично заявили, что предпочитают атаковать не больницы, школы, некоммерческие организации и государственные органы, а крупные организации, которые в состоянии заплатить большие выкупы.

Благодаря методу обратного инжиниринга мы выявили, что вредоносное ПО Darkside проверяет языковые параметры устройства, чтобы не атаковать российские организации. Представители группы также отвечали на вопросы форумов на русском языке и сейчас активно набирают в свою команду русскоязычных партнеров.

У группы есть наборы инструментов как для Windows, так и для Linux. У Darkside есть партнерская программа наподобие NetWalker и REvil, которая предлагает всем, кто помогает распространять их вредоносное ПО, 1025% от суммы выкупа.

Анатомия кибератак


Атаки программы-вымогателя Darkside отличаются использованием скрытых приемов, особенно на начальных этапах. После проведения тщательной разведки группа приняла меры для того, чтобы контролируемые устройства и конечные точки не могли определить ее инструменты и способы атаки.

Несмотря на то, что хакеры используют несколько вариантов внедрения в систему, действия внутри нее довольно стандартны, а успешный результат достигается с холодной непоколебимостью.

Тактика скрытности включает:


  • Управление и контроль TOR
  • Избегание узлов, контролируемых EDR
  • Выжидание подходящего времени и откладывание подозрительных действий для более поздних этапов атаки
  • Индивидуальный код и хосты соединения для каждой жертвы атаки
  • Техники обфускации, такие как шифрование и загрузка динамической библиотеки
  • Контркриминалистические методы, такие как удаление файлов журналов


На более поздних этапах атак:


  • Сбор учетных данных, хранящиеся в файлах, памяти и на контроллерах домена
  • Использование файловых ресурсов для распространения инструментов вирусной атаки и хранения файловых архивов
  • Ослабление ограничений доступа к общим файловым ресурсам для упрощения сбора учетных данных
  • Удаление резервных копий, включая теневые
  • Внедрение индивидуального вируса-вымогателя


Первый этап внедрения: поиск слабого звена


Программа-вымогатель Darkside изначально проникает в систему через слабые места: удаленно управляемые учетные записи и системы.

Мы выявили, что группа Darkside использовала скомпрометированные учетные записи подрядчиков для проникновения в инфраструктуру виртуальных рабочих столов (VDI), которая была создана для упрощения удаленного доступа во время пандемии. Хотя сами подрядчики этого не делали.

Хакеры также использовали серверы, а затем оперативно устанавливали дополнительный RDP, который сохраняет доступ, даже если уязвимость сервера устранена.

Ни один из этих вариантов не является новым они выступают предупреждением о том, что опытные злоумышленники способны легко обойти защиту периметра сети. Это иллюстрирует необходимость многофакторной аутентификации для всех учетных записей и оперативного устранения уязвимостей систем, подключенных к Интернету.

Управление и контроль




Хакеры-вымогатели Darkside создали механизмы управления и контроля в основном с помощью клиента RDP, работающего через порт 443, маршрутизируемого через TOR. После установки браузера Tor они изменили его конфигурацию, чтобы он функционировал как постоянная служба, перенаправляя трафик, отправляемый на локальный (динамический) порт с помощью TOR по HTTPS через порт 443. Такие соединения были постоянными, поэтому злоумышленники могли устанавливать сессии RDP на взломанных хостах и через них, облегчая перемещение внутри сети.

Мы обнаружили присутствие пользователей TOR на многих серверах с десятками активных соединений.
Хакеры использовали Cobalt Strike как вторичный механизм управления и контроля. Мы проанализировали десятки настраиваемых стейджеров, которые загружали маяки, подключенные к определенным серверам. Стейджеры (под названием file.exe) устанавливались удаленно на определенных целевых устройствах с использованием WinRM, каждое из которых было настроено по-разному. Стейджеры Cobalt-Strike установили соединение с выделенным сервером C2 для загрузки Cobalt Strike Beacon.

Злоумышленники обычно используют всего несколько серверов C2 для каждой жертвы, но хакеры Darkside настроили каждый маяк для подключения к другому серверу C2 с другим пользовательским агентом. Это может свидетельствовать о том, что Darkside управляет крупной, хорошо налаженной системой хакерских атак.

Для упрощенного распространения стейджеры и исполняемые файлы TOR хранились в общих сетевых папках. Хакеры старались не устанавливать бэкдоры в системах, контролируемых решениями EDR.


Обнаружение загрузки маяка на взломанный сервер

Мы наблюдали, как злоумышленники входят в систему виртуального рабочего стола, используя сразу несколько учетных записей. Каждый раз, когда хакер входил в систему, во взломанных домашних каталогах пользователя создавались файлы .lnk. Действия с файлами .lnk помогли выявить взломанные учетные записи и среды VDI, а также время использования в атаке каждой учетной записи.

Разведка и сбор учетных данных


Вирус-вымогатель Darkside известен тем, что живет за счет жертвы. По нашим наблюдениям, он сканирует сети, запускает команды, создает дампы процессов и крадет учетные данные. Инструменты атаки применялись на хостах с минимальной вероятностью обнаружения и блокировки. Среди широко известных инструментов advanced_ip_scanner.exe, psexec, Mimikatz и другие.

Хакеры предприняли много попыток для получения доступа к дополнительным системам и учетным записям, начиная с первоначальных взломанных хостов, тикет-систем и соединений NTLM. После периода выжидания злоумышленники использовали разведывательный инструмент Active Directory (ADRecon.ps1) для сбора дополнительной информации о пользователях, группах и привилегиях, сохраняя результаты в файле под названием DC.txt. Все инструменты были удалены после использования. Злоумышленники временно сохранили результаты разведки и учетные данные на активном сервере Windows. Среди интересных имен файлов, записываемых и удаляемых на сервере, были такие: Typed_history.zip, Appdata.zip, IE_Passwords.zip, AD_intel и ProcessExplorer.zip.

Помимо сбора учетных данных злоумышленники извлекли учетные данные из папок профиля пользователя, в том числе:
Users\\Appdata\[Roaming\Local]\Microsoft [Credentials\Vault]
Users\\Appdata\Roaming\Mozilla\Firefox\Profiles
Users\\\Appdata\Local\Google\Chrome

Злоумышленники использовали Invoke-mimikatXz.ps1 для извлечения учетных данных с неконтролируемых серверов и сохранили их в файле под именем dump.txt. Эта операция была направлена на очень важную жертву c минимальной вероятностью обнаружения.



Как только злоумышленники получили учетные данные администратора домена, им открылся доступ и к контроллерам домена. На более поздних этапах хакеры осуществили хорошо известную атаку DCSync, при которой злоумышленник выдает себя за правомерного контроллера домена и использует службу репликации каталогов для копирования информации AD и получения доступа к данным паролей всего домена, в том числе KRBTGT HASH.

Сбор данных и стейджинг


Активный сервер Windows также служил концентратором для хранения данных перед их эксфильтрацией. Данные извлекались с сотен серверов с помощью пакетной программы (dump.bat), расположенной в \Desktop\Dump, которая записывала файлы в одно и то же место, сжимая их в архивы 7zip с простыми названиями *.7z.[001]-[999].
Несмотря на то что хакеры накопили повышенные привилегии, мы обнаружили, что они ослабили ограничения файловых систем, чтобы получить доступ к файлам с помощью любой учетной записи пользователя домена. Командный файл, целевые данные и архивы были удалены в течение нескольких часов после их извлечения.

Шифрование


Darkside не внедряет программы-вымогатели до обследования среды, извлечения полезных данных, получения контроля над привилегированными учетными записями и определения всех систем резервного копирования, серверов и приложений. Мы выявили несколько подключений к резервным хранилищам с использованием взломанных учетных записей служб незадолго до шифрования данных. Откладывая фазу шифрования, хакеры получают возможность максимизировать ущерб жертв атаки и свою прибыль.

Код вымогателя передается через установленные бэкдоры (лазейки) (TOR-RDP или Cobalt Strike) и модифицируется отдельно для каждой жертвы. Полезная нагрузка содержит исполняемый файл, уникальное расширение и уникальный идентификатор жертвы, который дает ей доступ к веб-сайту Darkside для произведения оплаты.

Используя уникальные исполняемые файлы и расширения, программа-вымогатель легко обходит сигнатурный поиск. Darkside также предлагает программы-вымогатели другим злоумышленникам под заказ (программа-вымогатель как услуга) и получает часть прибыли от успешных кибератак.

Одна из версий индивидуального кода получила название Homie.exe. По нашим данным, он не только настраивается индивидуально, но и защищен от криминалистического анализа и отладки технологиями для самовнедрения, обнаружения виртуальных машин и динамической загрузки библиотеки. Он также удаляет теневые копии на устройствах жертв.

Вирус-вымогатель Darkside. Этап 1: самовнедрение


При активации вредоносное ПО копируется в папку C:\Users\admin\AppData\Local\Temp\ и вставляет свой код в существующий процесс с помощью команды CMD:



Если вредоносная программа обнаруживает признаки отслеживания или обнаружения запуска на виртуальном устройстве, она сразу же прекращает работу.
Чтобы избежать обнаружения инструментами AV и EDR, программа-вымогатель динамически загружает свои библиотеки, не регистрируя их в разделе импорта:



Импортируются только 3 библиотеки, что свидетельствует о том, что имена других библиотек распознаются динамически во время запуска вредоносной программы без непосредственного импорта.

Вирус-вымогатель. Этап 2: удаление теневых копий


Вредоносное ПО пытается удалить теневые копии на устройстве жертвы обфусцированной командой PowerShell:



Деобфусцированная команда:



Вирус-вымогатель. Этап 3: шифрование файлов


После удаления теневых копий вредоносное ПО сначала останавливает определенные процессы во избежание блокировки файлов, которые могут задерживать шифрование, а затем сама запускает его.

Список процессов:


sql
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
Firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
Excel
infopath
msaccess
mspub
onenote
Outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad

Во время шифрования вредоносное ПО добавляет строку из 8 символов к зашифрованным именам файлов.



Программы-вымогатели Darkside избегают шифрования файлов со следующими расширениями:
386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb


Программа-вымогатель создает инструкции по выкупу (READMEtxt), чтобы жертва могла связаться с создателем вируса для расшифровки файлов:



Как защититься от опасных злоумышленников в 2021 году



Найдите и устраните слабые звенья до того, как это сделают хакеры


Любая учетная запись, для которой не требуется многофакторная аутентификация, может быть взломана простой атакой методом перебора паролей. Любой подключенный к Интернету сервер с неустраненной уязвимостью источник легкого дохода хакера.

Предотвращайте попытки взлома и устраняйте уязвимости внутри системы


Злоумышленники ищут быстрые способы получить учетные данные администратора домена. Слабо зашифрованные учетные записи служб или администраторов с SPN или, что еще хуже, привилегированные учетные записи со слабыми требованиями к паролю или без них слишком легкие цели.

Во многих организациях злоумышленникам для сбора сведений даже не нужны данные привилегированной учетной записи: обычный сотрудник имеет доступ к гораздо большему количеству информации, чем нужно. Доступ к конфиденциальным данным должны иметь только учетные записи, отвечающие определенным требованиям. Также рекомендуется регулярно отслеживать файловые системы на предмет необычного доступа и изменений.

Пролейте свет на слепые зоны там может быть много интересного


Организации с комплексными инструментами мониторинга быстрее обнаруживают и расследуют подобные атаки. Если у вас есть слепые зоны в основных хранилищах данных, Active Directory, DNS, системах удаленного доступа или веб-соединениях, вам будет сложно определить, какие системы были скомпрометированы и были ли украдены конфиденциальные данные.

Если вы обнаружите вторжение, позвольте Active Directory очертить его радиус


События службы каталогов Active Directory помогают быстро определить взломанные учетные записи и устройства. Выполните запрос Active Directory для поиска признаков перемещения внутри этой учетной записи (или записей).
Подробнее..

Перевод Как хакеры подменяют DNS-запросы с помощью отравления кэша

30.04.2021 20:15:00 | Автор: admin


Подмена сервера доменных имен (DNS) это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод отравления кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.


Что такое подмена DNS и отравление кэша?




Прежде чем начать разговор об отравлении кэша DNS, сначала давайте вспомним, что такое DNS и кэширование DNS. DNS это всемирный каталог IP-адресов и доменных имен. Можно сказать, что это своеобразный телефонный справочник интернета. DNS переводит удобные для пользователей адреса, такие как varonis.com, в IP-адреса, например 92.168.1.169, которые используются компьютерами для работы в сети. Кэширование DNS это система хранения адресов на DNS-серверах по всему миру. Для ускорения обработки ваших DNS-запросов разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей, который называется кэшем. Если на ближайшем к вам DNS-сервере нужный IP-адрес отсутствует, он запрашивает вышестоящие DNS-серверы до тех пор, пока адрес веб-сайта, на который вы пытаетесь попасть, не будет найден. После этого ваш DNS-сервер сохраняет эту новую запись в вашем кэше, чтобы в следующий раз получить ответ быстрее.

Примеры и последствия отравления кэша DNS


Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.

Как работает отравление кэша DNS?





Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.

Перехват трафика локальной сети с помощью подмены протокола ARP


Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.

Одна из распространенных проблем сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.

Еще одна проблема открытые порты Ethernet, доступные всем желающим в коридорах, вестибюлях и других общественных местах. Просто представьте: посетитель может подключить к своему устройству кабель Ethernet, предназначенный для дисплея в вестибюле. Как хакер может использовать доступ к вашей локальной сети, полученный одним из перечисленных выше способов? Во-первых, он сможет создать фишинговую страницу для сбора учетных данных и другой ценной информации. Затем он может разместить этот сайт либо в локальной сети, либо на удаленном сервере, и для этого ему потребуется всего-навсего одна строка кода на Python. После этого хакер может начать следить за сетью с помощью специальных инструментов, таких как Betterrcap. На этом этапе хакер изучает сеть и производит рекогносцировку, но трафик все еще проходит через маршрутизатор. Затем злоумышленник может совершить подмену протокола разрешения адресов (ARP), чтобы изнутри изменить структуру сети. Протокол ARP используется сетевыми устройствами для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения, заставляя все устройства в сети считать компьютер хакера маршрутизатором. Благодаря этой уловке хакер сможет перехватывать весь сетевой трафик, проходящий через маршрутизатор. Достигнув перенаправления трафика, злоумышленник может запустить модуль Bettercap для подмены DNS. Этот модуль будет искать любые запросы к целевому домену и отправлять жертве ложные ответы. Ложный ответ содержит IP-адрес компьютера злоумышленника, переправляя все запросы к целевому сайту на фишинговую страницу, созданную хакером. Теперь хакер видит трафик, предназначенный для других устройств в сети, собирает вводимые учетные данные и внедряет вредоносные загрузки.
Если же хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.

Подделка ответов с помощью атаки дней рождения


DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому в кэше сохраняется первый ответ. Злоумышленники используют так называемый парадокс дней рождения, чтобы попытаться предугадать и отправить поддельный ответ запрашивающей стороне. Для предугадывания атака дней рождения использует математику и теорию вероятностей. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, и в случае успеха поддельная запись DNS попадает к вам раньше легитимного ответа. Успех атаки дней рождения не гарантирован, но в конце концов злоумышленник сможет подложить в кэш поддельный ответ. После того как атака увенчается успехом, хакер сможет видеть трафик от поддельной записи DNS до окончания жизненного цикла (TTL) записи DNS.

Эксплойт Каминского


Эксплойт Каминского является разновидностью атаки дней рождения. Обнаруживший эту уязвимость Дэн Каминский впервые представил ее на конференции BlackHat в 2008 году. Суть эксплойта заключается в том, что сначала хакер отправляетDNS-резолверу запрос для несуществующего домена, например fake.varonis.com. Получив такой запрос, DNS-резолвер перенаправляет его на авторитетный сервер имен, чтобы получить IP-адрес ложного субдомена. На этом этапе злоумышленник перегружает DNS-резолвер огромным количеством поддельных ответов в надежде, что один из этих поддельных ответов совпадет с идентификатором транзакции исходного запроса. В случае успеха хакер подменяет в кэше DNS-сервера IP-адрес, например, как в нашем примере с varonis.com. Резолвер продолжит отвечать всем запрашивающим, что поддельный IP-адрес varonis.com является настоящим, пока не истечет жизненный цикл записи DNS.

Как обнаружить отравление кэша DNS?


Как обнаружить, что кэш DNS отравлен? Для этого нужно следить за вашими DNS-серверами в поисках индикаторов возможной атаки. Однако ни у кого нет вычислительных мощностей, чтобы справиться с такими объемами DNS-запросов. Лучшим решением будет применить к вашему мониторингу DNS аналитику безопасности данных. Это позволит отличить нормальное поведение DNS от атак злоумышленников.
Внезапное увеличение активности DNS из одного источника в отношении одного домена свидетельствует о потенциальной атаке дней рождения.
Увеличение активности DNS из одного источника, который запрашивает у вашего DNS-сервера многочисленные доменные имена без рекурсии, свидетельствует о попытке подобрать запись для последующего отравления.
Помимо мониторинга DNS необходимо также вести мониторинг событий Active Directory и поведения файловой системы, чтобы вовремя обнаружить аномальную активность. А еще лучше будет использовать аналитику для поиска взаимосвязи между всеми тремя векторами. Это позволит получить ценную контекстную информацию для усиления стратегии кибербезопасности.

Способы защиты от отравления кэша DNS





Помимо мониторинга и аналитики вы можете внести изменения в настройки DNS-сервера:
  • ограничьте рекурсивные запросы, чтобы защититься от потенциального целевого отравления кэша;
  • храните только данные, относящиеся к запрашиваемому домену;
  • ограничьте ответы только теми, которые касаются запрашиваемого домена;
  • требуйте у клиентов использовать протокол HTTPS.

Убедитесь, что вы используете последние версии программного обеспечения BIND и DNS и, таким образом, имеете все актуальные исправления уязвимостей. Если возможно, например, в случае с удаленными сотрудниками, организуйте работу так, чтобы все удаленные компьютеры были подключены через VPN. Это защитит трафик и DNS-запросы от локального отслеживания. Кроме того, стимулируйте сотрудников создавать надежные пароли для сетей Wi-Fi, чтобы также снизить риски.

И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.

DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS и, в отличие от DNSSEC, предназначены для обеспечения безопасности DNS-запросов без ущерба скорости. Тем не менее эти решения не идеальны, поскольку могут замедлить или полностью сделать невозможным локальный мониторинг и анализ DNS. Важно отметить, что DoH и DoT могут обходить родительский контроль и другие блокировки на уровне DNS, установленные в сети. Несмотря на это, Cloudflare, Quad9 и Google имеют общедоступные DNS-серверы с поддержкой DoT. Многие новые клиенты поддерживают эти современные стандарты, хотя их поддержка и отключена по умолчанию. Вы можете найти более подробную информацию об этом в нашем посте по безопасности DNS.

Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).

Отравление кэша: часто задаваемые вопросы


Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.

Отравление кэша DNS и подмена кэша DNS (спуфинг) это одно и то же?


Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.

Как работает отравление кэша DNS?


Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.

Какие меры безопасности можно применять для защиты от отравления кэша DNS?


Владельцы сайта могут осуществлять мониторинг и аналитику для выявления подмены DNS. Кроме того, можно обновить DNS-серверы, чтобы использовать модули безопасности службы доменных имен (DNSSEC) или другую систему шифрования, например DNS поверх HTTPS или DNS поверх TLS. Повсеместное использование полного сквозного шифрования, такого как HTTPS, также может предотвратить подмену DNS. Брокеры безопасного облачного доступа (CASB) чрезвычайно полезны для этих целей. Конечные пользователи могут сбросить потенциально подделанный кэш DNS, периодически очищая кэш DNS своего браузера, или после подключения к небезопасной или общедоступной сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок. Это поможет избежать риска заражения кэша вашего браузера.

Как проверить, подверглись ли вы атаке с отравлением кэша?


После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.

Как работает связь DNS?


Когда конечный пользователь вводит URL-адрес, например Varonis.com, в свой браузер, происходит следующее:
  1. Сначала браузер проверит свой локальный кэш на наличие уже сохраненных данных DNS.
  2. Если эти данные отсутствуют, он запросит вышестоящий DNS-сервер, которым, как правило, является ваш маршрутизатор в локальной сети.
  3. Если маршрутизатор в своем кэше тоже не содержит требуемой записи DNS, то запрос отправится дальше, к вышестоящим поставщикам DNS, таким как Google, Cloudflare или Quad9.
  4. Этот вышестоящий сервер получит DNS-запрос и проверит свой кэш.
    4.1. Если данных в кэше нет, запустится рекурсивный DNS-резолвер, и сначала будут запрошены корневые серверы DNS с вопросом кто обрабатывает .com.
    4.2. Затем резолвер отправит запрос серверу домена верхнего уровня .com, чтобы узнать кто обрабатывает Varonis.com, на который домен верхнего уровня отвечает полномочным сервером имен для данного URL.
    4.3. После этого резолвер отправляет запрос полномочному серверу имен вопрос какой IP-адрес у Varonis.com, на который полномочный сервер отвечает IP-адресом домена.
  5. Затем данные DNS отправляются обратно по цепочке, пока не попадут на устройство конечного пользователя. На всем пути следования каждый из DNS-серверов запишет полученный ответ в свой кэш для дальнейшего использования.


Как злоумышленники отравляют кэш DNS?


Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью атаки через посредника. Вышеупомянутая атака через посредника использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.

Что такое отравление кэша DNS?


Отравление кэша DNS это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.

Как выполняется подмена DNS?


Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.

Что подразумевается под подменой DNS (спуфингом)?


Понятие подмена DNS (спуфинг) значит, что URL, вводимый пользователем в браузере, например varonis.com, на самом деле не ведет на нужный официальный IP-адрес, соответствующий этому URL. Вместо этого пользователь перенаправляется на вредоносный сервер, контролируемый хакером.

Чем опасна подмена DNS?


Подмена DNS представляет опасность, потому что по своей природе служба имен доменов (DNS) считается надежной, поэтому зачастую ее не защищают каким-либо шифрованием. Это приводит к тому, что хакеры могут подменять записи в кэше DNS для дальнейшей кражи данных, внедрения вредоносных программ, фишинга и блокировки обновлений.
Основная угроза, которую представляет атака подменой DNS, заключается в краже данных через фишинговые страницы. Помимо этого существует риск внедрения вредоносной программы под видом загружаемых файлов, которые выглядят настоящими. Также, если обновление системы производится через интернет, злоумышленник может блокировать обновление, изменяя записи в DNS так, чтобы они не вели на нужный сайт.
Подробнее..

Перевод Docker vs Kubernetes

14.05.2021 20:06:19 | Автор: admin


Сегодня мы знакомимся с Kubernetes и Docker и разберемся, какую технологию лучше применять в каждом конкретном случае и стоит ли использовать обе одновременно? Часто разработчики (особенно начинающие) оказываются перед необходимостью выбора приложения для контейнеризации Kubernetes или Docker. Давайте разбираться, для каких целей каждая из этих технологий подходит лучше всего.

Для этого сначала дадим определение термину контейнер в контексте Kubernetes (K8) и Docker. Это позволит понять основы обеих технологии, прежде чем мы углубимся в каждую из них.

Что такое контейнер


Допустим, вы хотите установить приложение в идеальной для максимальной производительности среде. Обычно параметры такой среды зависят от серверных стоек, сетевых переменных и других технических характеристик внешней инфраструктуры. Это означает, что в 100% случаев вы не достигнете максимальной производительности только если не создадите контейнер, чтобы абстрагировать приложение от его физического местоположения.
Представьте себе песочницу или виртуальную машину с указанными переменными (тип ОС, Compute и т. д.). Допустим, вам также нужно было установить другое приложение, контейнер на том же оборудовании, но с другой ОС и другими переменными, и это создало изолированную среду, идеально подходящую для тестирования и внедрения данного приложения.
Эти контейнеризированные приложения функционируют таким образом, как будто они находятся на разных компьютерах и даже в разных местах. Ключевое преимущество использования контейнеров заключается в том, что мы можем реплицировать их среды на любом устройстве, таким образом устраняя проблемы несоответствия, существовавшие в доконтейнерную эру разработки ПО.

Что представляет собой Kubernetes?


Kubernetes это инструмент, разработанный Google в 2014 году для оркестровки задач, связанных с контейнерами и платформами контейнеризации. Это система с открытым исходным кодом, которая может управлять несколькими контейнерами, расширяя свои возможности (см. функции ниже) для поддержания бесперебойной работы и доступности контейнеризованных приложений.

Ключевые функции Kubernetes


Одними из особенностей Kubernetes являются:
  1. Поддержание среды с заданными параметрами для разработки, тестирования и внедрения
  2. Предсказуемая и автоматически масштабируемая (горизонтально) инфраструктура
  3. Самовосстанавливающаяся (с возможностью отмены) среда с балансировкой нагрузки
  4. Широкие возможности для установки приложений
  5. Инструменты управления на уровне приложений

Это пять основных характерных особенностей, для которых разработчики создали Google Kubernetes Engine.

Что представляет собой Docker?


Docker это инструмент для контейнеризации, разработанный в 2013 году. Docker также является технологией с открытым исходным кодом и не потребляет много ресурсов, при этом позволяя разработчикам автоматизировать установку приложений в портативных контейнерах.

Ключевые функции Docker


Вот краткий список особенностей Docker:
  1. Совместное использование образов среды с помощью Docker Build
  2. Docker Assemble для распознавания языка программирования и речи при создании контейнеров
  3. Нативные и облачные инструменты для оптимизации производительности разработчиков
  4. Инструменты CI/CD для команд, работающих над развивающимися приложениями с системой контроля версий
  5. Высокая отказоустойчивость с надежной поддержкой больших кластеров


Docker или Kubernetes. Нужно ли выбирать между ними?




Не всегда.
Сам по себе Kubernetes не может запустить контейнер, когда вы начинаете свой проект. Для этого лучше использовать Docker (или его альтернативу). Но мы рекомендуем использовать их в синергии.
Docker создает контейнеры и управляет ими..., а затем Kubernetes управляет Docker.
В случае, если ваше приложение простое, Docker может также предоставить всю необходимую инфраструктуру для поддержания его работоспособности. По мере роста приложения, когда ему может потребоваться несколько кластеров и более сложное обслуживание, нужно использовать Kubernetes.
Вы стоите перед необходимостью выбора только в том случае, когда ваше приложение масштабируется.

Плюсы и минусы Docker: контейнеризация


Разработчики не стали бы заниматься контейнеризацией приложений, если бы не было преимуществ, связанных с этой технологией. Давайте рассмотрим некоторые из очевидных преимуществ, которые делают Docker идеальным решением, а также несколько его недостатков.

Плюсы:


  • Легкость создания. Инициализация контейнеров в Docker выполняется быстро и требует минимальных технических навыков.
  • Инструменты Docker. Управлять контейнерами легко благодаря полному набору стартовых инструментов
  • Эффективная поддержка. У Docker есть активное сообщество разработчиков, которые предоставляют техническую поддержку и помогают устранить любые проблемы, с которыми вы можете столкнуться.


Минусы:


  • Отсутствие хранилища. При каждой перезагрузке контейнер теряет ранее созданные вами данные. Сохранение не настроено по умолчанию, и для начинающих разработчиков это может создавать сложности.
  • Низкая скорость. Контейнеры Docker никогда не достигнут уровня производительности выделенных серверов из-за сетевого уровня, на котором они теряют скорость. Нечто неслыханное при использовании инфраструктуры выделенных серверов для хостинга приложений.
  • Отсутствие кроссплатформенной поддержки. Изолированный характер контейнеров Docker делает невозможным установку приложений в средах, отличных от среды, в которой они были разработаны.


Плюсы и минусы Kubernetes: оркестровка контейнеров


Как и у Docker, у Kubernetes есть свои преимущества и недостатки, которые разработчики должны учитывать при его использовании. Давайте рассмотрим несколько плюсов и минусов для более глубокого понимания использования K8.

Плюсы:


  • Модули pod (поды). К8 поддерживает поды (контейнеры и инструменты контейнеризации) для сохранения с автовосстановлением (воссозданием) в случае неожиданного сбоя.
  • Разработка Google. Kubernetes вселяет уверенность (не всем, конечно) в своем качестве за счет известности разработчика и растущего (самого большого) сообщества.
  • Наличие хранилища по умолчанию. Для удобства разработчиков K8 поставляется с облачными хранилищами и хранилищами SAN.


Минусы:


  • Сложная установка. Требует значительных технических усилий, а для правильной установки и настройки нужно много времени.
  • Overkill простым приложениям не нужна сложность Kubernetes. Но кто из ваших разработчиков признается, что ваше приложение простое?
  • Технические возможности К8 обходятся недешево. Услуги разработчиков DevOps, способных создавать и поддерживать инструменты Kubernetes, стоят дорого.


Несмотря на эти недостатки, К8 является перспективной технологией, на которую стоит перейти. Опыт показал, что создание приложений с нуля в соответствии с его стандартами значительно снижает затраты и факторы сложности.

Примеры использования Docker и Kubernetes





Хотя этот пост посвящен Docker и Kubernetes по отдельности, нужно признать, что они не существуют изолированно. На успех претендуют и другие конкурирующие инструменты оркестровки и контейнеризации.
Однако для некоторых ситуаций идеально подходят именно K8 и Docker. В нескольких случаях нет необходимости совместного использования этих двух технологий. Рассмотрим их ниже.

Когда нужно использовать Kubernetes


Если масштаб вашего приложения значительно вырос, возможно, вам пора переходить на К8:
  • Почти идеальное время безотказной работы. Функция самовосстановления Kubernetes позволяет ресурсоемким приложениям продолжать работу независимо от количества сбоев в системе.
  • При выборе между различными поставщиками услуг контейнеризации. Так как К8 сотрудничает (на разных уровнях сложности) почти со всеми поставщиками, использование К8 в качестве системы оркестровки дарит свободу выбора. Ни один поставщик не может претендовать на контракт с вашей компанией, если вы не будете довольны качеством услуг после пробного периода.
  • Если вы не уверены в потенциале роста. Во время горизонтального масштабирования К8 автоматически распределяет ресурсы по приложениям.


Когда нужно использовать Docker


В некоторых случаях для хостинга приложений лучше использовать Docker и его инструменты. Рассмотрим некоторые из них.
  • Если К8 не подходит. Недостаточные технические возможности, несовместимость с API и высокая стоимость услуг могут привести к необходимости использования Docker и его инструментов. Платформа оркестровки Docker Swarm может полностью заменить К8.
  • Когда вы только начинаете развитие приложения. Вам не нужно использовать Docker совместно с какой-либо другой системой оркестровки, когда приложения еще находятся в стадии роста. На данных этапах скорость важнее устойчивости.
  • При создании приложений CLI. При разработке Docker была предусмотрена его интеграция с приложениями CLI, благодаря эффективности которых повышается производительность.


Когда необходимо совместное использование


При совместном использовании Kubernetes и Docker дополняют друг друга. Во-первых, стоит отметить медленную пропускную способность, на которую мы жаловались при внедрении Kubernetes и проверке работоспособности контейнеров.
При наличии достаточного бюджета и технических возможностей для поддержки приложений, эти инструменты отлично работают. Вы не столкнетесь с проблемой простоя приложения, поскольку вам поможет сообщество.
Также нужно признать, что в каждом из данных инструментов остались пробелы и недостатки, поэтому они лучше функционируют вместе. Kompose от K8 это адаптация Docker Compose. Это означает, что использование обоих инструментов было и остается стандартом.
Таким образом, результат данного противостояния дружеская ничья. Случаи применения полностью зависят от ваших предпочтений. Однако лучше не использовать только Kubernetes.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru