Кібератака в Україні – найкращі практики зниження ризиків та можливої компрометації даних

Американські організації, такі як Агентство кібербезпеки та інфраструктури (CISA), Агентство національної безпеки (NSA), а також Служба безпеки України проводять розслідування, щоб ретельніше проаналізувати та зрозуміти загрози, що стоять за кібератакою, та створити надійний кіберзахист від подальших атак. Наразі роботу тимчасово відключених сайтів відновлено.

У зв’язку з цією атакою Microsoft виявила нову шкідливу програму wiper, націлену на українські організації, яка була призначена для знищення та виведення з ладу цільових пристроїв. Центр аналізу загроз Microsoft (MSTIC) повідомляє, що шкідлива програма була запрограмована на виконання, коли цільові пристрої перебували у вимкненому режимі.

Після цього шкідлива програма перезаписувала головний завантажувальний запис (MBR), розміщуючи повідомлення про викуп, а потім завантажувала другий файл .exe, який перезаписував список файлів, видаляючи всі дані та інформацію, що містяться в них.

Ми радимо нашим читачам почати захищати свої критично важливі інфраструктури разом із Fudo PAM, використовуючи передові методи зниження та запобігання ризикам.

Ми рекомендуємо організаціям використовувати MITRE ATT&CK Framework для боротьби з атаками програм-вимагачів за допомогою тактик, методів та процедур (TTP) та стратегій безпеки Advance Persistent Threat (ATPs). У атаці було також виявлено кілька індикаторів компрометації (IOC).

IOC та виявлення на етапі виконання

Деякі з IOC можна знайти на етапі виконання атаки. Ми можемо зазначити, що інтерпретатор командного рядка cmd.exe можна використовувати для виконання віддалених команд PowerShell.

Це примітно, оскільки дії користувача, що створює cmd.exe, реєструватимуться, тоді як система за замовчуванням не створює таких оболонок.

Більш того, у багатьох випадках журнали подій можуть бути отримані для надання аргументів командного рядка в нових процесах, що створюються.

Адміністратори можуть відслідковувати виконання cmd.exe у директивах /c. Корпорація Майкрософт реєструє ці події під кодом ID 4688, де можна здійснити пошук за ідентифікатором події ID, наприклад, у журналі XML подій.

Системні адміністратори можуть отримати уявлення про шкідливу або підозрілу активність. Подія з кодом ID 4688 також надає ім’я користувача та «батьківський процес», що може бути використане для пошуку точок входу через користувачів або «батьківські процеси».

Наполегливість – Збереження плацдарму

Щоб закріпитись у системі, зловмисники починають шукати точки доступу, щоб залишатися в системі та не залежати від перебоїв.

Перезавантаження системи, зміна облікових даних або перебої в роботі мережі можуть позбавити зловмисників доступу до системи, внаслідок чого вони втратить точку опори цільової системи.

У багатьох випадках атаки методом перебору паролів використовуються для пошуку вразливих облікових записів з дійсним доступом та отримання облікових даних. Індикатори компрометації від атак грубої сили можуть бути великим збоєм входу в систему від одного користувача або декількох користувачів протягом короткого часу.

Рекомендується створювати кроки з виявлення попереджень, наприклад, за допомогою журналу подій ID 4625, де він генерується на контролерах домену, серверах-учасниках та робочих станціях, із зазначенням комп’ютера, на якому була спроба входу в систему.

Ще одна спроба зловмисника закріпитись на об’єкті – це затримати незалежного користувача.

Це робиться шляхом отримання облікових даних облікового запису служби з Active Directory.

Зловмисник може запросити ключі для перевірки особи. При запиті Service-Ticket використовується Ticket-Granting Ticket для створення Service-Ticket, який забезпечує доступ до послуг програми. Функція хорошого IOC – стежити за зниженням рівня шифрування, наприклад, з AES до RC4, тому що зловмисникам все одно доведеться перебирати паролі до відкритого тексту.Ідентифікатор події Windows Event ID 4769 передає, чи запитав ключ служби Kerberos. Моніторинг шифрування в ідентифікаторі події може допомогти встановити ідентифікацію зниження стійкості (раніше).

Іншим прийнятним варіантом є відстеження події з кодом ID 4769 серед користувачів, оскільки часто користувачі використовують кілька ключів служби аутентифікації.

Крім того, дамп облікових даних ОС може використовуватись для отримання логінів та паролів облікових записів. Зловмисники можуть експортувати копії з бази даних Active Directory. База даних ntds.dit зберігає дані Active Directory, включаючи об’єкти користувачів, групи та членство у групах.

Рекомендується відстежувати доступ до бази даних ntds.dit на будь-який доступ у неробочий час або нерегулярного користувача/машини.

Цього можна досягти шляхом моніторингу доступу через подію з кодом ID 4663 у Windows. Подія вказує на те, що над об’єктом (файлом, ядром або реєстром) було проведено певні операції.

Доступ до облікових даних

Після виконання та перевірки зловмисники часто шукають додаткові вразливості для використання облікових даних.

У середовищі, що використовують функцію Active Directory Federation Services (ADFS) у Windows та містять сертифікати SAML для підпису, атаки спрямовані на отримання шифрів до закритих ключів з ADFS для розшифрування сертифікатів підпису SAML.

Далі відбувається виконання атаки Golden SAML, надання їм токена SAML, який можна використовувати для отримання доступу до всього, що довіряє цим маркерам.

Найкраща практика IOC полягає у спостереженні та регулюванні доступу до ключів шифрування з незвичайним доступом до файлів. Спостереження за Event ID 4633 може допомогти підтвердити доступ до цих файлів закритих ключів, де адміністратори можуть встановити різні типи доступу до цих файлів, наприклад, READ.

Ще одним експлойтом, який може бути використаний для отримання облікових даних, є вразливість CVE-2020-1472, відома як NetLogon. Експлойт дозволяє підвищити рівень привілеїв. Атаки можуть встановити вразливе з’єднання безпечного каналу Netlogon із контролером домену.

І далі можна змінити паролі для контролерів домену. На це можуть вказувати події входу в систему за допомогою анонімного доступу, з додаванням подій windows ID 4742 & 5805, що вказують, чи було змінено обліковий запис комп’ютера і спробу NetLogon.

Зниження ризиків, що рекомендується

Кіберзагрози динамічно змінюються в міру того, як на організації відбуваються все більш витончені атаки.

Динаміка обумовлена удосконаленням та розвитком процедур та політик безпеки. Оскільки ідентифікація стає все більш очевидним параметром входу, організаціям необхідно захистити свої облікові дані та слабкі точки доступу, щоб забезпечити безпеку своїх ресурсів.

Хоча багато організацій слідують фундаментальним безпековим процесам, таким як багатофакторна автентифікація, віртуальні приватні мережі, оновлення/установка патчів і сувора політика паролів, важливо дотримуватися ретельної, поглибленої стратегії захисту.

Динамічний контроль – заборона виконання довільного коду дозволяє політиці безпеки обмежувати легітимні виконувані файли в привілейованих користувачах.

Забезпечте обмеження облікових записів адміністраторів – підтримуйте постійний контроль над привілейованими обліковими записами в організації, відключаючи облікові записи-примари або обмежуючи доступ до критично важливих цілей.

Забезпечте проактивну систему моніторингу та керування доступом для запобігання крадіжці облікових даних та підвищення привілеїв.

Підтримуйте захищені резервні копії – створіть стратегії для утримання резервних копій контролера домену та захистіть їх за допомогою обмеженого або фізичного доступу.

Будьте готові до крадіжки облікових даних у файлі NTDS бази даних Active Directory та адаптуйте засоби безпеки, які можуть запобігти доступу до файлу NTDS.

Заходи безпеки для сертифікатів посвідчень особи – Захистіть будь-які додаткові спроби та уразливості у ваших методах ідентифікації/автентифікації.

Зв’яжіться з Fudo та вивчіть новітні практики та рішення для зниження ризиків та інсайдерських загроз у галузі кібербезпеки!

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Fudo і організації партнерських тренінгів звертайтеся, будь ласка: f[email protected], +38 099 427 94 04.

Джерело: https://bit.ly/3uPJTur