Эксперты Positive Technologies провели исследование на основе результатов пилотных проектов по внедрению в российских компаниях системы поведенческого анализа сетевого трафика — PT Network Attack Discovery (PT NAD). Эта система позволяет выявлять сетевые атаки и нежелательную активность в трафике1. Согласно результатам анализа, в 100% организаций обнаружены нарушения регламентов информационной безопасности, которые могли быть использованы злоумышленниками.
Аналитики Positive Technologies изучили результаты пилотных проектов, проведенных в 60 компаниях2, где была использована система глубокого анализа сетевого трафика PT NAD. Согласно полученным результатам, во всех исследованных компаниях были выявлены нарушения регламентов ИБ и обнаружены такие инциденты, как использование незащищенных протоколов (97% компаний) и программного обеспечения для удаленного доступа (72%). В некоторых организациях было обнаружено использование сразу нескольких незащищенных протоколов. В таких случаях злоумышленники могли бы перехватить информацию (например, учетные данные), которая передается по открытым протоколам. Среди ПО для удаленного доступа в организациях, где проводились пилотные проекты, чаще всего использовались TeamViewer (70%), AnyDesk (52%) и Ammyy Admin (23%). Используя возможности такого ПО, злоумышленники могут незаметно подключаться к узлам инфраструктуры и совершать действия, которые не будут расценены средствами защиты как несанкционированные, поскольку все действия выполняются от имени легитимного пользователя по защищенному каналу связи. Для минимизации угроз, связанных с использованием средств удаленного доступа, эксперты Positive Technologies рекомендуют использовать только один вид такого ПО (актуальной версии) и разграничивать права локальных и удаленных пользователей.
В 70% компаний, которые проводили пилотные проекты PT NAD в 2021–2022 годах, была обнаружена активность вредоносного ПО. Чаще всего в сетевом трафике обнаруживались следы функционирования майнеров, вредоносного ПО (ВПО) для удаленного управления и шифровальщиков. По-прежнему актуален и опасен шифровальщик WannaCry, активность которого была замечена в каждой пятой компании. Среди шпионского ПО наиболее популярны Agent Tesla (он встретился в четырех компаниях) и Formbook (в трех организациях). В двух промышленных компаниях были обнаружены сразу несколько образцов ВПО для удаленного управления и шпионажа, что указывает либо на несколько фактов компрометации, независимых друг от друга, либо на загрузку дополнительных модулей. В одной финансовой организации были выявлены сразу четыре программы для шпионажа и кражи учетных данных.
Подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, зафиксирована в 93% исследованных организаций.
«Сокрытие сетевого трафика — одна из основных техник, которые были выявлены при анализе трафика: в 65% случаев было обнаружено туннелирование3, а в 53% — прокси4, — говорит аналитик исследовательской группы Positive Technologies Федор Чунижеков. — Для незаметного перемещения по сети и коммуникации с управляющими серверами злоумышленники могут использовать подключения к узлам Tor (выявлены в 47% компаний), VPN (OpenVPN — в 28% компаний) или нестандартные библиотеки для подключения по протоколу SSH, который часто используется администраторами для удаленного доступа к ресурсам. С помощью решения PT Anti-APT (комплекс PT NAD и PT Sandbox) в одном из проектов, который проводился в промышленной компании, удалось выявить обращения к узлам Tor и несколько экземпляров шпионского ПО. Такая связка могла быть использована злоумышленниками для эксфильтрации конфиденциальной информации и получения команд в зашифрованном виде без раскрытия инфраструктуры управления и контроля».
В 17% компаний были выявлены множественные неудачные попытки аутентификации. По данным специалистов Positive Technologies, они могут свидетельствовать о попытках перемещения по узлам внутри периметра и продвижения по ресурсам инфраструктуры. Главная опасность такой атаки заключается в том, что могут быть скомпрометированы учетные записи пользователей критически важных систем и администраторов домена: техника brute force оказалась эффективной во всех пентестах, проведенных экспертами компании в 2021–2022 годах.
«Разнообразие выявленных угроз говорит о том, что злоумышленники становятся изощреннее, — комментирует Олег Хныков, менеджер по продвижению PT Network Attack Discovery. — Злоумышленникам такое положение вещей только „на руку“. Проникнув в сеть и закрепившись в ней, они могут зашифровать инфраструктуру, требуя выкуп, захватить контроль над всеми активами компании, использовать инфраструктуру как плацдарм для других атак или майнинга, а также продать доступы в дарквебе. Защитить компанию в данном случае способны продукты класса NTA (network traffic analysis), в частности PT NAD, который служит радаром для специалистов по ИБ, позволяя быстро определить попытки проникновения в инфраструктуру и определить уже закрепившихся злоумышленников или действующих инсайдеров, сокращая время их присутствия в сети до минимума».
По мнению экспертов Positive Technologies, несмотря на то, что злоумышленники постоянно совершенствуют техники и тактики компрометации корпоративных сетей, они оставляют в трафике много следов: средства класса NTA позволяют оперативно выявлять сетевую активность атакующих и реагировать на их действия в реальном времени, а также расследовать их с помощью ретроспективного анализа сетевой активности на узлах.
- Данные отчетов, представленных в выборке, получены из проектов, заказчики которых дали согласие на анализ результатов мониторинга сетевой активности и их публикацию в обезличенном виде.
- В исследование вошли результаты мониторинга сетевой активности в 60 компаниях за 2021–2022 годы, в которых проводились пилотные проекты по внедрению PT NAD.
- Передача данных между участниками сетевого взаимодействия с помощью встраивания передаваемых пакетов данных в другой протокол.
- Перенаправление сетевого трафика между системами через промежуточный сервер (прокси-сервер).