Способы выявления и анализа АРТ в финансовом секторе без специализированных решений sniffedccshopnet, zukkoshopsu

Спикер: Алексей Павлов, ведущий аналитик Solar JSOC компании Solar Security
В последнее время было написано множество статей на тему организации APT на финансовые структуры, и, наверняка, во большинстве из них присутствовала полезная информация для сотрудников служб информационной безопасности. В данной статье будет представлена методология, которой мы пользуемся в JSOC для выявления на наших клиентов атак, а также будут описаны те точки контроля, с помощью которых можно выявить данную атаку на различных этапах.
Для начала немного общего описания: основной элемент атаки – найти точку входа в инфраструктуру компании, проникнуть за периметр. Далее злоумышленник пытается всеми средствами остаться незамеченным и получить как можно больше привилегий в инфраструктуре.
Зачастую злоумышленники стараются получить доступ к контроллеру домена и привилегиям администратора. Используя различные уязвимости и действия злоумышленник получает доступ к рабочим станциям и серверам с доменном аутентификацией. Далее он распространяет свое влияние на другие системы и, в конечном счете, получает доступ к финансовому прикладу, который осуществляют операции с деньгами.
Для выявления атак на организации с точки зрения точек контроля таких действий в первую очередь интересны события следующих типов:
· Сетевые коммуникации (события построения сетевых сессий);
· Аутентификации, как доменные, так и в приложениях;
· Изменения в ключевых файлах, реестре, процессах на критичных станциях;
· Логи ключевых приложений и их баз данных.
Основной целью атак в большинстве случаев является финансовый «приклад», а способов монетизации в банковской структуре с точки зрения кражи денег у самого банка (а не у клиентов) существует несколько, здесь приведу лишь основные:
1. Модификация отчетности в ЦБ (АРМ КБР)
2. Внесение изменений в БД процессинга и вывод денег через Visa, MasterCard (Swift)
3. Модификация данных в платежных системах – анелик, western union и другие
Первый и третий вариант имеют свои ограничения, например, первый вариант зависит от расписания отправки отчетности, не осуществляется в нерабочее время и выходные дни. Третий вариант имеет существенные ограничения по количеству выводимых средств. А второй вариант можно «провернуть» в любое время дня и ночи, но процессинг, в том числе благодаря требованиям PCI DSS защищен несколько лучше от несанкционированного входа.
Теперь, когда общая картина примерно понятна, давайте перейдем непосредственно к выявлению описанных выше атак без различных систем threat prevention, а используя лишь логи со стандартных средств защиты информации и механизмы корреляции siem-системы.
Этап первый. Проникновение в инфраструктуру.
и здесь существуют различные варианты:
1. Социальная инженерия – наиболее популярное средство – это отправка вредоносных писем, ссылок на сайты с вредоносным ПО. Инструментами могут быть как личные, так и корпоративные почтовые ящики, социальные сети и средства общения (напр. Skype).
2. Ковровое бомбометание, которое относится не совсем к APT, но перерастает в таргетированную атаку на организацию, в первую очередь, конечно же, банки. Под этим термином я понимаю создание и распространение вирусов, не детектируемых антивирусным ПО, в глобальном Интернете. За счет массовости распространения заражаются такими вредоносными программами десятки и сотни тысяч хостов, в том числе, сотрудников финансовых организаций
3. Использование уязвимостей, в том числе нулевого дня, на периметровых компонентах: веб-сайтах, различных приложениях.
4. Использование штатных механизмов передачи данных в организацию для нелегитимных действий. Здесь могу привести в пример заражения анкеты заявки на кредит в виде pdf-формы. Такой файл без проблем пройдет web application firewall и поступит в обработку кредитному специалисту, то есть попадет в инфраструктуру.
5. Хищение данных пользователя на доступ по VPN любых других средств удаленного администрирования.
Индикаторы:
1. При получении письма с вредоносным содержимым может контролироваться на уровне срабатываний почтового антивируса, входящих писем с опасным по мнению репутационных баз хостов и по последующей активности на рабочей станции, о которых я расскажу далее
2. При попадании вредоноса в инфраструктуру через действия сотрудников компании (скачивание псевдополезного ПО, различных файлов или входы на зараженные сайты) точками контроля могут являться репутационные базы, в которых содержатся списки опасных ip-адресов, url
3. Ярким примером использования уязвимостей является shellshock. Проэксплуатировав уязвимость атакующий имеет возможность выполнить, например, произвользую команду, благодаря которой «подсаживает» бота и осуществляет дальнейшее распространение по инфраструктуре. Потенциальной точкой контроля являются сигнатуры IPS (если стоит в разрыв в режиме блокировки – прекрасно, дальнейших действий не требуется), а также логи с веб-сервера, где видны конкретные запросы. Таким образом даже в отсутствие ips и патчей на уязвимый ресурс, можно настроить корреляционное правило, детектирующее определенные запросы на сайт. Это актуально в момент появления новых типов уязвимостей в отсутствии обновления сигнатур на IPS или WAF.
4. Проникновение с использованием штатных механизмов передачи данных – наименее обнаружаемый кейс. В случае налаженного процесса получения кредитных анкет в виде pdf-файлов, получение такого файла с zero-day вирусом никаким образом обнаружить на «подступах» не удастся.
5. При компрометации учетных данных vpn точкой контроля является новый ip-адрес, а в том случае, если геолокация не совпадает с местонахождением сотрудника, шансы на false positive уменьшаются в разы.
В JSOC используются репутационные базы различных вендоров – websense, arbor, Kaspersky, group-ib, malwaredomainlist и других. С точки зрения западных практик – чем больше фидов (от англ. feeds) агрегируется компанией – тем лучше, и, несмотря на большое количество ложных срабатываний, каждый инцидент необходимо расследовать со всей тщательностью.
Этап второй. Обустройство. Первые шаги.
Когда злоумышленник оказался в инфраструктуре, основная его цель – закрепиться и добраться до ключевых машин, которыми на первом этапе являются различные сотрудники, администрирующие (или эксплуатирующие с повышенными привилегиями) финансовые приложения и сервисы компании, такие как АБС, АРМ КБР, базы данных процессинга, ДБО и прочее.
Если вирус оказался в инфраструктуре, ему необходимо отправить информацию на управляющий центр и получить дальнейшие команды. Доступ на сайт, скачивание ПО и его запуск, получение письма с вредоносным вложением и его запуск, либо открытие зараженного документа вызывает срабатывание триггера на запуск нелегитимного процесса. Здесь конечно же есть определенные сложности с профилированием таких процессов – обновления многих приложений используют папку temp, в том числе и windows обновления. Вторая сложность – подключение всех хостов на уровне локальных логов в siem-систему. Обычно подключаются самые критичные, поэтому данные индикаторы не всегда актуальны.
Но то, что применимо для всех – это дальнейшее обращение вредоносов к управляющим серверам для получения команд. Здесь снова вступают в силу репутационные базы, которые по логам пограничных межсетевых экранов или прокси-серверов выявляют такие обращения.
Расширение влияния начинается с повышения привилегий на скомпрометированной рабочей станции и подкачки дополнительных модулей, например, средств удаленного администрирования.
Использование средств удаленного администрирования фиксируются несколькими способами:
· Обращение к серверам средств удаленного администрирования (teamviewer, ammyyadmin и др.), что фиксируется либо категоризацией прокси-серверов (таких, например, как bluecoat), либо подтягивается из базы знаний о таких серверах. В JSOC присутствует данная база, пополняемая как посредством штатных категоризаций прокси-серверов, так и собственными силами при расследовании инцидентов у наших клиентов;
· Срабатывание по портам на пограничных сетевых устройствах. В таких случаях необходим анализ сетевой трафик, так как часто возникают FP при использовании skype, torrent и других активных, с точки зрения сетевого трафика, приложений;
· Запуск процессов на хостах. Это наиболее редко встречающийся кейс, так как подключаются обычно лишь ключевые системы, а не все рабочие станции клиентов.
Для расширения влияния, в рамках атаки, используется множество различных способов. Ниже я приведу наиболее популярные:
1. Рассылка писем с вредоносами внутри организации с целью заражения ключевых рабочих станций. Точка контроля – фиксация инцидента о массовой рассылке писем (аномальная статистика)
2. Сканирование хостов-портов (особенно административных) внутри периметра. Целью этого – осмотреться в инфраструктуре, понять, куда дальше двигаться. Фиксируется данный инцидент, если между сканируемыми подсетями есть межсетевые экраны, тогда попытки доступа на административные порты разных хостов или множественные попытки доступа на один хост могут фиксироваться, как сканирование. Так же возможен брутфорс учетных данных как на уровне домена, так и ключевого приложения.
3. В случае использования vpn возникает еще несколько точек контроля:
a. Дальнейшая попытка аутентификации на тех машинах, которые не входят в профиль подключения пользователя
b. Различие в аутентификационных данных на уровне vpn и ОС
c. Попытки брутфорса учетных данных
Один из недавних примеров – Заказчик хотел реализовать требования sox-compliance закупив logger, но в итоге было принято решение об использовании логгера в целях безопасности. Благодаря новым возможностям логгера по сопоставлению списков (lookup files) было обнаружено несколько машин, зараженных вредоносом meteit. Причем заказчик жаловался на постоянные глобальные сбои в работе сразу нескольких (иногда десятков) рабочих станциях, включая перезагрузки и сбои. Далее – все как по учебнику, все IOC (Indicators of compromise) были найдены в определенных директориях, ветках реестра и процессах и удалены. Callback`и закончились. Так что даже минимальными вложениями, с помощью логгера реально осуществить проверку простейших вещей – сетевых IOC. Помимо этого, конечно же, существуют и другие возможности (например, выявление активностей из-под заблокированных учеток, события брутфорса и пр.)
Этап третий. Заражение ключевых машин.
Попадание злоумышленника на критичные машины можно фиксировать следующими точками контроля:
1. Став администратором домена злоумышленник получает доступ к любой учетной записи и машине сотрудника. Индикаторами здесь являются сбросы паролей для критичных УЗ, активность пользователей в нерабочее время, создание и удаление учеток в течение короткого промежутка времени, внесение изменений в критичные файлы операционной системы на КД. Последний сценарий позволяет выявить такие уязвимости, как skeleton key, который вносит изменения в библиотеки windows и позволяет делать скрытые параллельные сессии под любым пользователем домена в любой системе с доменной аутентификацией, не зная паролей.
2. Если злоумышленник получил права привилегированного пользователя в домене– скорее всего в рамках его активностей будет наблюдаться значительное отклонение от профиля нормальной активности администратора. Как по сетевой активности (аутентификация и действия с рабочих станций других пользователей), так и по доступу в системы с доменной аутентификацией. Так же часто возникают несоответствия учетных данных – различия при аутентификации в приложении и домене, на vpn и в домене и прочее.
3. В рамках активности злоумышленника на рабочих станциях критичных пользователей, вероятно, будут наблюдаться установки keylogger`ов (запуск нелегитимных процессов), установка скрытых remoteadmintools, модификации реестра.
Этап четвертый. Поход за деньгами
Критически важный сегмент обычно отделен межсетевыми экранами и доступ к нему осуществляется через терминальные сервера и с определенных компьютеров. За критичным сегментом, ровно как и терминальным сервером, а так же межсегментным сетевым оборудованием контроль должен осуществляться в обязательном порядке. Вот наиболее часто срабатывающие сценарии:
Сетевой кусок:
· Отклонения от профиля пользователей при подключении к продуктивному сегменту (временной профиль, качественный)
· изменение acl межсетевых экранов
· Подключения с неразрешенных хостов на неразрешенные порты
Инфраструктурный:
· Терминальный сервер
o факт использования различных учетных данных при доменной аутентификации и входе на терминальный сервер. Это же относится к любому другому различию учетных данных: vpn-домен, домен-приложение, терминальный сервер-база данных и пр.;
o факт доступа на терминальный сервер в нерабочее время с нетипичного хоста;
o брутфорсы;
· Целевые системы:
o остановка либо запуск процессов на критичных хостах, контроль файлов, реестре
o попытки подключения к бд под технологическими уз, либо с использованием неразрешенной утилиты
o модификация ключевых значений таблиц напрямую
· Отчетность ЦБ:
o фиксация нелегитимного доступа к папке обмена отчетностью с ЦБ
Для успешной фиксации инцидентов и расширения точек контроля аналитики JSOC проводят предварительное обследование инфраструктуры и бизнес-процессов клиентов, выделяют критичную информацию и сотрудников, а также реализуют профилирование как сетевых, так и локальных активностей в качественном и количественном выражении по критичным сотрудникам и системам.
Одним из основных процессов в рамках выявления инцидентов информационной безопасности в компаниях является оперативное наполнение точек контроля специалистами JSOC на основе обмена опытом с партнерами компании, и за счет процессов «перекрестного опыления» и расширение списка репутационных баз, агрегируемых JSOC.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
sniffedccshopnet zukkoshopsu