Алексей Ясинский - Опыт расследования современных...
TRANSCRIPT
ОПЫТ РАССЛЕДОВАНИЯ СОВРЕМЕННЫХ КИБЕР-АТАК НА
ПРИМЕРЕ BLACKENERGY
ИСТОРИЯ ОДНОГО ИНЦИДЕНТА
Ясинский Алексей
Директор кибер-лаборатории
Знакомство с моделью Cyber Kill Chain1. Разведка. Злоумышленник собирает информацию о цели перед началом реальной атаки. Он
может сделать это, глядя на общедоступную информацию в Интернете.
2. Вооружение. Атакующий использует эксплойты и создает вредоносное ПО, чтобы отправить жертве. Этот шаг происходит на стороне атакующего без контакта с жертвой.
3. Доставка. Злоумышленник отправляет свой вредоносный пакет жертве по электронной почте или одним из многих методов проникновения, которые злоумышленник может использовать.
4. Эксплойтация. Фактическое исполнение эксплойта, которое, опять же, актуально только когда злоумышленник использует эксплойт.
5. Установка. Инсталляция вредоносных программ на зараженном компьютере имеет значение только если злоумышленник использует вредоносные программы, и даже тогда, установка может быть только небольшой частью гораздо более сложного процесса атаки, который длится несколько месяцев.
6. Командование и управление (C&C). Злоумышленник создает канал командования и управления для того, чтобы продолжать дистанционно управлять внутренними активами.
7. Достижение целей. Злоумышленник выполняет шаги для достижения своих фактических целей внутри сети жертвы. Это активный сложный процесс атаки, который проходит несколько месяцев, и требует тысячи малых шагов для достижения успеха.
ЭТАП «ACTIONS ON OBJECTIVES»
ЭТАП «ACTIONS ON OBJECTIVES»
ИЗУЧЕНИЕ СКОМПРОМЕТИРОВАННОГО СЕРВЕРА
ИЗУЧЕНИЕ СКОМПРОМЕТИРОВАННОГО СЕРВЕРА
LOGPARSER – НЕЗАМЕНИМ ДЛЯ АВТОМАТИЗАЦИИ ОБРАБОТКИ ОГРОМНЫХ МАССИВОВ ЖУРНАЛОВ С РАБОЧИХ
СТАНЦИЙ И СЕРВЕРОВ
НЕПОСРЕДСТВЕННЫЕ ДЕЙСТВИЯ ЗЛОУМЫШЛЕННИКОВ
ИЗУЧЕНИЕ АНОМАЛИЙ ОТ ИМЕНИ СКОМПРОМЕТИРОВАННЫХ УЧЁТНЫХ ЗАПИСЕЙ
АДМИНИСТРАТОРОВ
ИЗУЧЕНИЕ АНОМАЛИЙ ОТ ИМЕНИ СКОМПРОМЕТИРОВАННЫХ УЧЁТНЫХ ЗАПИСЕЙ
АДМИНИСТРАТОРОВ
«INSTALLATION» И «EXPLOITATION»VBoxDrv.sys (CVE-2008-3431)
14 МИНУТ НА УСТАНОВКУ НУЖНЫХ ИНСТРУМЕНТОВ!
«ИНСТРУМЕНТЫ» ГОТОВЯТСЯ ПЕРЕД АТАКОЙ ПОД КАЖДУЮ КОНКРЕТНУЮ ЦЕЛЬ
«COMMAND & CONTROL (C2)»
«COMMAND & CONTROL (C2)»
«DELIVERY» — ДОСТАВКА МОДУЛЕЙ BLACKENERGY
ТО САМОЕ ПИСЬМО!
ИНСТРУМЕНТЫ ПРОНИКНОВЕНИЯ СКРЫВАЮЩИЕСЯ В МАКРОСЕ
КАК «ОНИ» УЗНАЮТ ОБ УСПЕШНОМ ПРОНИКНОВЕНИИ
ДОСТАВКА «ИНСТРУМЕНТОВ»
ДОСТАВКА «ИНСТРУМЕНТОВ»
ПРЕПАРИРОВАНИЕ «ИНСТРУМЕНТА»
ПРЕПАРИРОВАНИЕ «ИНСТРУМЕНТА»
ДЕЛЬНЕЙШИЕ ШАГИ…
АТАКА НА КОНТРОЛЛЕР ДОМЕНА ЧЕРЕЗ LM-HASH
ВЗЛОМ ПАРОЛЯ СОСТОЯЩИЙ ИЗ 14 СИМВОЛОВ, ПРИ НАЛИЧИИ LM-ХЕША, ЗАНЯЛ ВСЕГО 40
СЕКУНД!
316 УЧЁТНЫХ ЗАПИСЕЙ СОДЕРЖАЛИ LM-HASH ВЗЛОМ ИХ СОСТАВИЛ 2 ЧАСА 38
МИНУТ !
ПРОДОЛЖИТЕЛЬНОСТЬ АТАКИ И ЭТАПЫ ЕЁ РАССЛЕДОВАНИЯ
ОЦЕНКА ПОСЛЕДСТВИЙ И ВЫВОДЫИз негативных последствий: была уничтожена информация на двух контроллерах домена, одном сервере приложений и чуть более десятка ПК.
Из положительных: бесплатный пентест, неоценимый опыт в реальном расследовании, было написано множество инструментов автоматизирующих работу не только с логами но и при реверсе зловредов (но не буду забегать вперёд, это тема для отдельной статьи). Руководству стало более понятной роль информационной безопасности (бесценно!), Эта единоразовая демонстрация реальной угрозы и её расследование помогли намного больше, чем озвучивание нами гипотетических угроз. Плотное взаимодействие с админами из ИТ отдела позволило выстроить грамотные отношения и даже сплотить коллектив. Поэтому считаю, что это были реальные боевые учения и только на таких уроках можно получить реальное представление о методах и техниках атаки.
РесурсыСтатьи на русском:https://socprime.com/ru/blog-ru/demontag-killdisk-blackenergy/https://socprime.com/ru/blog-ru/blackenergy-2-shtamp/https://socprime.com/ru/blog-ru/ohota-za-zlovredami-s-pomoshyu-shtampa-dobitogo-iz-blackenergy/https://socprime.com/ru/blog-ru/razbor-blackenergy-chast-3-abordazh/https://socprime.com/ru/blog-ru/ataka-na-bazu-kontrollera-domena-ntds-dit/Эти же статьи для англоговорящих читателей:https://socprime.com/en/blog/dismantling-killdisk-reverse-of-the-blackenergy-destructive-component/https://socprime.com/en/blog/dismantling-blackenergy-part2-the-mark/https://socprime.com/en/blog/threat-hunting-assisted-by-blackenergy-mark/https://socprime.com/en/blog/dismantling-blackenergy-part-3-all-aboard/https://socprime.com/en/blog/attack-on-domain-controller-database-ntds-dit/
ВОПРОСЫ?