Истории успеха

Пилотная история: PT NAD в сети клиента - инциденты, нарушение регламента, вредонорсное ПО и сетевые атаки

PT Network Attack Discovery (PT NAD) — решение класса NTA для выявления следов компрометации в сетевом трафике и расследования атак. PT NAD захватывает и разбирает сетевой трафик на внешнем и внутреннем периметрах. Это позволяет выявлять активность атакующих извне и внутренних нарушителей. Служба ИБ или внешние эксперты анализируют в системе метаданные и сырой трафик, что помогает выявлять следы компрометации, подтверждать их, проводить расследования и собирать доказательную базу.
Пилот проходил в структуре промышленной автоматики. А теперь по порядку о том, что мы нашли у нашего клиента на последнем пилоте PT NAD.
ИНЦИДЕНТЫ ИБ
1. Захват баннеров с помощью ZGrab

Описание: захват баннеров - метод, который используется для сбора информации о запущенных службах на сервере. Злоумышленники могут в своих интересах воспользоваться данными, находящимися в баннере, получив тем самым конкретные номера версий используемых служб, что значительно облегчит им задачу проведения разведки и планирования взлома. В данном случае для этих целей использовался инструментарий для сканирования ZGrab.

Рекомендации: убедиться в легитимности выполняемого сканирования. Большинство подобных запросов поступает из интернета и не представляет особой угрозы. Подобная активность внутри сети может быть результатом работы сканеров безопасности или сетевых администраторов.
Карточка атаки
Информация об IP-адресе на VirusTotal сообщает, что поставщики решений по безопасности относят его к вредоносным
Карточка сессии
Все зафиксированные сработки этого типа происходили во внешнем контуре. Сканировался внешний IP-адрес межсетевого экрана.

Итог разбора: по рекомендации системные порты, открытые по умолчанию, были закрыты.
2. Сетевое сканирование HTTP утилитой Nmap

Описание: обнаружено сканирование сети утилитой Nmap. Утилита используется злоумышленниками для сбора информации о сети, которая может быть использована при планировании атак.

Рекомендации: убедиться, что обнаруженная активность не связана с работой сетевого администратора или проверкой работы системы в рамках пилотного проекта. Если источник активности находится внутри сети и легитимность выполняемых операций не подтверждается - данный узел используется злоумышленником. Необходимо изолировать скомпрометированный узел и провести расследование.
Карточка атаки
Информация об IP-адресе на VirusTotal сообщает, что поставщики решений по безопасности относят его к вредоносным
Карточка сессии
Все зафиксированные сработки этого типа происходили во внешнем контуре. Сканировался внешний IP адрес межсетевого экрана.

Итог разбора: порт является системным, служит для VPN PPTP. Протокол настроен и используется, но только с одного статического внешнего IP, соответственно разрешающее правило настроено так, что только этот IP адрес имеет право подключаться, а остальные запросы отражаются межсетевым экраном. Считаем, что это легитимная активность.
3. PsExec

Описание: обнаружено использование средства администрирование PsExec, позволяющего удаленно выполнять команды. Данный инструмент может использоваться как администраторами, так и злоумышленниками.

Рекомендации: проверить список выполненных команд и легитимность удаленного выполнения команд данными узлами.
Лента активностей
Карточка атаки
Карточка сессии
Итог разбора: все зафиксированные случаи были легитимной активностью системного администратора. Активность связана с установкой ПО. Текущие средства защиты не могли обнаружить данную активность.
4. ПО Sina

Описание: обнаружена сетевая активность ПО Sina. Sina Corp — китайская интернет-компания. Является сетью общения между китайскими диаспорами по всему миру. Имеет четыре направления деятельности: Sina Weibo, Sina Mobile, Sina Online и Sina.net. Объединяет более 100 миллионов пользователей по всему миру.

Рекомендации: проверить легитимность использования этого ПО.
Карточка сессии
Подключения происходили с адресов, которые по функционалу являются прокси-серверами.
Информация из раздела «Узлы»
На все сессии вернулся ответ Forbidden 403. Предположительно блокируется NGFW.

Итог разбора: по результатам проведенной проверки вредоносного ПО обнаружено не было. Предполагаемый источник - WPSOffice, пока не запустили WPS активности не было, возможно программа улучшения качества.
На данный момент checkbox сняли и оставили под наблюдением. NGFW может блокировать активность. Есть сомнения в возможностях оперативного обнаружения подобных активностей средствами только лишь NGFW.
5. TOR

Описание:обнаружено подключение к нодам сети TOR, исходящие из внутренней сети заказчика. Данная сетевая активность может быть следствием работы вредоносного ПО или действий злоумышленников. Также сеть TOR может использоваться для скрытой передачи конфиденциальных данных.

Рекомендации: выполнить проверку узлов с целью установки источника данной сетевой активности.
Лента активностей
Карточка сессии
Подробная информация об IP-адресе во внешней аналитической системе AlienVault
Проверка IP-адреса во внешних аналитических системах
Итог разбора: в целях безопасности сети предприятия, были усилены правила обхода межсетевого экрана трафиком через различные VPN протоколы, Proxy, DoH и т.д. В случае с TOR – это постоянная гонка "брони и снаряда", на текущий момент условно можно закрыться NGFW и различными другими мерами, но нет гарантии, что не найдутся новые способы обхода, которые имеющимися средствами невозможно закрыть и/или обнаружить.
6. Сетевое сканирование (TCP SYN scan)

Описание:обнаружен способ сканирования сети TCP SYN scan. Это может говорить о проведении злоумышленником сетевой разведки.

Рекомендации: определить источник, проверить сетевую активность и системные события на этом узле на наличие следов первоначального доступа или перемещения злоумышленника внутри инфраструктуры.
Лента активностей
Карточка атаки
Карточка сессии
Временной всплеск активности
Сканирование из интернета происходит на регулярной основе.
Итог разбора: был усилен профиль безопасности. Правила по умолчанию, настроенные только на предупреждение о сканировании сети, теперь блокируют соединение. При корректной настройке достаточно текущих средств защиты.
7. Сетевое сканирование (UDP Custom scan)

Описание:обнаружен способ сканирования сети TCP SYN scan. Это может говорить о проведении злоумышленником сетевой разведки.

Рекомендации: определить источник проверить сетевую активность и системные события на этом узле на наличие следов первоначального доступа или перемещения злоумышленника внутри инфраструктуры.
Внешние источники
Лента активностей
Лента активностей
Карточка атаки
Карточка сессии
Частота и время сканирований
Внутренний источник
Лента активностей
Карточка атаки
Карточка сессии
Частота и время сканирований
Итог разбора: дополнительно был усилен профиль безопасности «Предотвращения вторжений». Правила по умолчанию, настроенные только на предупреждение о сканировании сети, теперь блокируют соединение. При корректной настройке должно хватить текущих средств защиты.
НАРУШЕНИЕ РЕГЛАМЕНТА ИБ
1. ПО AmmyAdmin

Описание: Обнаружено ПО Ammyy Admin, предназначенное для удаленного управления устройством. Подобные программы (Remote Administration Tool, или RAT) используются для демонстрации действий пользователя или оказания технической поддержки. Не всегда являются вредоносными, но часто используются злоумышленниками. После запуска RAT-программы, в скомпрометированной системе могут возникать долгоживущие соединения или периодическая активность.

Рекомендации: Чтобы проверить срабатывание правила, необходимо обратить внимание на следующие признаки: сколько раз сработало правило и какую репутацию имеет рассматриваемый IP-адрес или домен. Как правило, активность вредоносного ПО сопровождается периодическими запросами к управляющему серверу злоумышленников, поэтому единичные срабатывания правил обнаружения вредоносного ПО нельзя считать абсолютным признаком вредоносной активности. Репутацию IP-адреса или домена можно проверить с помощью сторонних источников (например, используя сервис VirusTotal); они доступны по кнопке рядом с адресом. Если подобная активность ранее не наблюдалась и признана вредоносной, изолируйте скомпрометированный узел, проведите проверку на наличие вирусов и расследуйте инцидент.
Лента активностей
Карточка сессии
Итог разбора: программный продукт используется системными администраторами для осуществления удаленного взаимодействия с пользователями. Уже с заранее настроенными настройками подключения. Сетевая активность осуществлялась на сервера rl.ammyy.com для получения сетевого ID, данный запрос легитимный.
2. ПО AeroAdmin

Описание: Обнаружена сетевая активность ПО для удаленного управления. Злоумышленники могут использовать его для получения удаленного доступа к внутренней сети организации.

Рекомендации: Проверьте легитимность использования этого ПО. Разграничьте права локальных пользователей. Введите политику белых списков ПО с помощью AppLocker (если политикой организации запрещено использовать стороннее ПО для удаленного администрирования).
Лента активностей
Карточка сессии
Итог разбора: будет проведено внутреннее расследование для чего было использован данный продукт и используется ли в данный момент.
3. LLMNR and NetBios

Описание: В сети выявлено использование устаревших протоколов LLMNR (Link-Local Multicast Name Resolution) и NetBios. Данные протоколы позволяют, за счет широковещательных запросов в локальном сегменте сети L2, разрешать имена соседних компьютеров без использования DNS сервера. Эти протоколы также автоматически используется при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку «человек посередине» (англ. Man in the middle (MITM)). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Рекомендации: на клиентах произвести настройку DNS. Отключить использование протокола LLMNR (в случае, если данный протокол не используется в инфраструктуре). Произвестиотключениеможноспомощьюгрупповойполитики «Turn Off Multicast Name Resolution» вразделе «Computer Configuration -> Administrative Templates -> Network -> DNS Client». Для отключения значение политики должно быть выставлено в «Enabled».

Произвести отключение NetBios можно через настройку DHCP (dhcpmgmt.msc). Server Options (или Scope Option). Вкладка Advanced -> Microsoft Windows 2000 Options -> 001 Microsoft Disable Netbios Option выставитьзначение 0x2. Если в инфраструктуре имеются узлы под управлением Windows XP или Windows 2000, то отключение NetBios может сказаться на их работоспособности.
Лента активностей
Дашборд "Трафик"
Итог разбора: запланированы работы для будущего отключения использования протокола LLMNR. Это не вредоносная активность, это лишь «подсвечивание рисков», о которых сложно догадаться.
4. VPN-туннель PPTP

Описание: Обнаружен PPTPVPN туннель. Если он используется несанкционированно, это может свидетельствовать об организации канала удаленного подключения нарушителем.

Рекомендации: Проверить легитимность использования PPTP VPN туннеля.
Карточка сессии
Информация на VirusTotal о некоторых IP адресах из сессий:
Итог разбора: порт является системным, служит для VPNPPTP. Данный протокол настроен и используется, но только с одного статического внешнего IP, соответственно разрешающее правило настроено так что только этот IP адрес имеет право подключаться, а остальные запросы отражаются межсетевым экраном. Проникновения не фиксируется, а все попытки успешно отражаются.
5. OpenVPN

Описание: PT NAD зафиксировал использования протокола OpenVPN. Данный протокол позволяет организовывать шифрованные каналы связи типа точка-точка или клиент-сервер. Такой функционал позволяет нарушителю или вредоносному ПО осуществлять скрытную передачу украденных данных на подконтрольные серверы.

Рекомендации: Проверить легитимность данной активности.
Карточка сессии
Было выполнено подключение OpenVPN в том числе к серверу во Франции, некоторые поставщики в сфере безопасности отмечают этот IP как вредоносный
Итог разбора: иногда возникает потребность использовать VPN, тогда по запросу предоставляется разрешение. Все остальные попытки блокируются межсетевым экраном.
6. Socks5 Proxy

Описание: Обнаружено проксирование сетевого трафика через внешний прокси-сервер по протоколу socks5. Прокси-сервера могут использоваться злоумышленниками для сокрытия вредоносного трафика.

Рекомендации: проверить легитимность данной активности. Настроить NGFW.
Карточка сессии
Итог разбора: на данном АРМ проходят сеансы ВКС и поэтому предоставлены особые разрешения в том числе разрешен proxy.
7. DoH / DoT

Описание: Обнаружено ПО, предназначенное для реализации технологий DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH). Данные технологии предназначены для защиты DNS-трафика (запросов и ответов) от перехвата и подмены.

Рекомендации: убедиться, что использование подобных приложений разрешено корпоративной политикой компании. Активность добавлена в отчёт в качестве примера для демонстрации возможностей системы выявлять работу этого инструментария.
Карточка сессии
Итог разбора: в целях безопасности сети предприятия, были усилены правила обхода межсетевого экрана трафиком через различные VPN протоколы, Proxy, DoH и т.д.
8. Telegram Messenger

Описание: Выявлены различные варианты использования мессенджера Telegram. Правило информирует о наличии в сети активности приложения Telegram Messenger. Данная активность не является вредоносной.

Рекомендации: убедиться, что использование подобных мессенджеров разрешено корпоративной политикой компании.
Карточка сессии
Итог разбора: использование не запрещено.
9. Viber

Описание: Выявлено использование мессенджера Viber. Правило информирует о наличии в сети активности приложения Viber Connection. Данная активность не является вредоносной.

Рекомендации: Убедитесь, что использование подобных мессенджеров разрешено в вашей компании. Источники такой активности, как правило, находятся в сетях Wi-Fi.
Карточка сессии
Итог разбора: использование не запрещено.
10. Facebook*

*Социальная сеть Facebook запрещена на территории РФ.

Описание: Обнаружено ПО, предназначенное для подключения к социальной сети.

Рекомендации: Убедиться, что использование подобных приложений разрешено корпоративной политикой компании. Активность добавлена в отчёт в качестве примера для демонстрации возможностей системы выявлять работу этого инструментария.
Карточка сессии
Итог разбора: ресурс входит в региональную блокировку, доступ мог быть получен только путем туннелирования трафика. Возможно трафик исходил от страниц с возможностью регистрации через данную социальную сеть. Доступ к социальной сети будет заблокирован на уровне NGFW.
11. Instagram*

*Социальная сеть Instagram запрещена на территории РФ.

Описание: Обнаружено ПО, предназначенное для подключения к социальной сети.

Рекомендации: Убедиться, что использование подобных приложений разрешено корпоративной политикой компании. Активность добавлена в отчёт в качестве примера для демонстрации возможностей системы выявлять работу этого инструментария.
Карточка сессии
Итог разбора: ресурс входит в региональную блокировку, доступ мог быть получен только путем туннелирования трафика. Возможно трафик исходил от страниц с возможностью регистрации через данную социальную сеть. Доступ к социальной сети будет заблокирован на уровне NGFW. Текущие средства защиты не могли обнаружить активность.
12. Bittorrent

Описание: Обнаружена сетевая коммуникация по протоколу bittorrent. Данный сетевой протокол используется для пирингового (P2P) обмена файлами через сеть Интернет. ПО, использующее данный протокол, может использоваться для несанкционированной загрузки/отдаче файлов (в том числе конфиденциальных данных и вредоносного ПО), а также создавать нагрузку на сетевое оборудование организации.

Рекомендации: организовать разграничение прав локальных пользователей. Ввести политику «белых списков» ПО с помощью AppLocker (в случае, если политикой организации запрещено использовать ПО использующее протокол bittorrent для передачи данных)
Карточка сессии
Итог разбора: иногда появляется необходимость в использовании torrent-клиентов, но в целях безопасности сети и предотвращения избыточной нагрузки на канал было настроено правило блокировки подобных клиентов по профилю приложений на межсетевом экране.
13. HTTP credentials

Описание: в сети обнаружена передача данных для аутентификации по незащищенному протоколу HTTP с большого количества узлов. В случае компрометации сети, злоумышленник сможет перехватить аутентификационные данные.

Рекомендации: на web-серверах перейти на использование защищенного протокола HTTPS.
Дашборд "Учетные данные"
Итог разбора: в отношении политики безопасности в отношении учетных данных уже были изменения, оставляем под наблюдением. Так же были усилены правила предотвращения вторжения и фильтрации трафика. Текущие средства защиты не могли обнаружить данную активность.
14. LDAP credentials

Описание: в сети обнаружено использование cleartext аутентификации в протоколе LDAP. В случае компрометации сети, злоумышленник сможет перехватить учетные данные, тем самым повысить свои привилегии в сети или получить доступ к новым сетевым сервисам.

Рекомендации: настроить клиент на использование защищенной версии протокола SLDAP или Kerberos.
Дашборд "Учетные данные"
Итог разбора: в отношении политики безопасности в отношении учетных данных уже были изменения, оставляем под наблюдением. Так же были усилены правила предотвращения вторжения и фильтрации трафика. Текущие средства защиты не могли обнаружить данную активность.
15. Словарные пароли

Описание: обнаружено использование словарных паролей для аутентификации. Такие пароли легко подобрать, используя общедоступные словари. Это может стать точкой проникновения в инфраструктуру или использоваться для кражи данных. Также слабые и словарные пароли широко используются при атаке под названием "Распыление пароля" (Password Spraying).

Рекомендации: измените пароль учетной записи на более надежный, без упоминания времен года, названия компании или домена, а также, по возможности, проверьте его отсутствие в словарях паролей. Также стоит обратить внимание на количество знаков и наличие специальных символов.
Лента активностей
Итог разбора: в отношении политики безопасности и в отношении учетных данных произведены изменения, оставляем под наблюдением. Так же были усилены правила предотвращения вторжения и фильтрации трафика. Текущие средства защиты не могли обнаружить данную активность.
16. Подключение из внешней сети с открытыми учетными данными и машинно-сгенерированной учетной записью

Описание: Обнаружена передача данных для аутентификации по незащищенным протоколам во внешнем контуре. Подключение происходило на внешний адрес межсетевого экрана, но порт http

Рекомендации: Закрыть внешний порт на подклчючение / Перейти на использование защищенных версий протоколов.
Дашборд "Учетные данные"
Карточка сессии
Итог разбора: по рекомендации специалистов порт был закрыт. Так же были усилены правила предотвращения вторжения и фильтрации трафика.
17. Lifting Zmiy

Описание: Обнаружено периодическое зондирование с IP адреса, замеченного в активности, которой было присвоеное название «Lifting Zmiy». Злоумышленники взламывали ПЛК Текон-Автоматика и размещали на них управляющие серверы, используемые в атаках на главные цели.

Среди скомпрометированных устройств — входящие в состав SCADA-систем контроллеры, которые в том числе управляют лифтовым оборудованием. Были атакованы как Linux-, так и Windows-системы. Подробная информация дана по ссылке: https://rt-solar.ru/solar-4rays/blog/4506/

Рекомендации: Закрыть внешний порт на подключение / заблокировать подключение с указанного IP / удостовериться, что подключение не доходит до целевого адресата во внутренней сети / проверить настройки NAT.
Вкладка сессии
Прослеживается явная периодичность события. Указана активность за неделю, но в системе можно увидеть, что активность была и ранее.
Карточка сессии
К сожалению, в сессии получаемая информация по этому событию 1 секунда. Следует придерживаться рекомендациям.
Анализ IP-адреса на VirusTotal
Итог разбора: были усилены правила предотвращения вторжения и фильтрации трафика. В данном случае заблокирован трафик распознаваемый как Lifting Zmiy, а так же подобные попадающие под тактику сбора данных.
18. Psiphon3 VPN connection

Описание: В сети обнаружено устройство, которое система классифицировала как мобильное, с операционной системой Android.
В то же время в сети замечено устройство с операционной системой Windows
Можно предположить с очень большой вероятностью, адреса принадлежат одной широковещательной сети. Из этого предложения следует, что мобильные (скорее всего персональные) и стационарные корпоративные устройства имеют непосредственный доступ между собой, что является грубым нарушением безопасности.

Как пример, на мобильным устройстве обнаружена активность VPN сервисаPsiphon3 VPN, следовательно, нарушается контроль периметра сети.

Рекомендации: вынести неконтролируемые частные устройства с беспроводной связью в отдельный сетевой сегмент. Разнести физически маршрутизаторы корпоративной сети и сети WiFi. Настроить NGFW. Исключить прямой доступ к стационарным устройствам.

Итог разбора: в зафиксированной сработке замечен личный телефон, подключенный через корпоративную сеть Wi-Fi. В ближайшем будущем будет пересмотрены настройки Wi-Fi точек, так чтобы подключенные устройства попадали в отличную от рабочих станций подсеть. Но на данном этапе уже включена дополнительная аутентификация через AD для доступа в интернет при подобном подключении, подобные подключения согласованы с отделом IT.
СЕТЕВЫЕ АТАКИ
1. Apache HTTP Server 2.4.49 / 2.4.50 / RCE attempt / Directory Traversal (CVE-2021-41773, CVE-2021-42013)

Описание: обнаружены попытки эксплуатации различных уязвимостей (CVE-2021-41773, CVE-2021-42013) на внешний адрес.Данная активность может говорить о проведении сканирования/разведки или о попытках получения первоначального доступа.

Рекомендации: проверить сетевую активность и системные события на атакуемых узлах на наличие следов первоначального доступа. В случае необходимости изолировать скомпрометированные узлы. Заблокировать подобную активность правилами WAF, можно загрузить черный список IP адресов (https://blacklist.3coresec.net/lists/et-open.txt). Убедиться в отсутствие указанных выше уязвимостей на атакуемых веб-серверах.
Репутационная информация с сайта VirusTotal
Карточка атаки
Видно, что в рамках одной сессии было произведено четыре атаки. Все сесии окончились ответом «Bad Request 400».

Типы атак, проведенные в рамках данных CVE:

Possible webshell: WGET command in POST body
Apache HTTP Server 2.4.49 RCE attempt (CVE-2021-41773)
Apache HTTP Server 2.4.50 RCE attempt (CVE-2021-42013)
Likely Apache HTTP Server 2.4.49 Directory Traversal (CVE-2021-41773)
Likely Apache HTTP Server 2.4.50 Directory Traversal (CVE-2021-42013)
Possible Directory Traversal in URI

Итог разбора: было установлено, что подобное могло случиться после попыток сканирования сети и последующей фиксацией открытого порта. Порт уже закрыт, а также усилены правила предотвращения вторжения и сканирования сети.
К сожалению, разместить весь отчет в рамках сайта не получается, но мы рекомендуем не смотреть на чужую историю, а создавать свою.
NTA