Обнаружение распространенных угроз ИБ в сетевом трафике

Скрытность и время — лучшие друзья злоумышленника в атаках на инфраструктуру компаний: незаметное пребывание в корпоративной сети позволяет лучше изучить жертву, найти наиболее ценную информацию и похитить ее, а также после тщательного планирования совершить молниеносную атаку и уйти, не оставив следа. Атакующие активно пытаются скрыть следы применения специфического и вредоносного программного обеспечения от брандмауэров и антивирусных сканеров и преуспевают в этом: используют шифрование передаваемых данных, эксплуатируют актуальные уязвимости, разворачивают туннели. Подобную сетевую активность обнаружить сложно, и для ее выявления используются системы анализа трафика (network traffic analysis, NTA).

В линейке продуктов Positive Technologies есть решение класса NTA — PT Network Attack Discovery (PT NAD), которое позволяет выявлять сетевые атаки и нежелательную активность в трафике.

В исследование вошли результаты мониторинга сетевой активности в 60 компаниях Данные, представленные в выборке, получены из проектов, заказчики которых дали согласие на анализ результатов мониторинга сетевой активности и публикацию в обезличенном виде. за 2021–2022 годы, в которых проводились пилотные проекты по внедрению PT NAD. Кроме того, были использованы данные пилотных проектов комплекса для раннего выявления сложных угроз (PT Anti-APT), в состав которого входят PT NAD и PT Sandbox. При оценке активности вредоносного ПО также учитывались результаты работы PT Sandbox.

По результатам исследования была сформирована тепловая карта MITRE Adversarial Tactics, Techniques & Common Knowledge (ATT&CK), на которой отображены наиболее популярные техники и подтехники атак, выявленные при проведении пилотных проектов.

Распределение по категориям выявленных в инцидентах угроз в рассматриваемый период получилось следующим:

• Нарушения регламентов ИБ были выявлены во всех компаниях, которые проводили пилотные проекты; например, среди инцидентов — использование незащищенных протоколов или программ для удаленного доступа.
• Подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, отслеживалась в 93% организаций.
• Активность вредоносного ПО замыкает тройку наиболее распространенных угроз. Она была выявлена в 70% компаний. При анализе сетевого трафика чаще всего обнаруживалась активность майнеров, ВПО для удаленного управления и шифровальщиков.
• Основные изменения связаны с с попытками эксплуатации уязвимостей в ПО — они стали выявляться чаще: доля компаний, где были замечены такие инциденты, увеличилась с 31% до 45%. Ранее мы отмечали увеличение числа атак, в которых эксплуатируются уязвимости веб-приложений и ПО, в квартальных и годовых аналитиках актуальных киберугроз. В каждом пятом проекте были замечены попытки эксплуатации известной уязвимости CVE-2017-0144, которая активно эксплуатируется шифровальщиком WannaCry. В каждой десятой компании были выявлены попытки эксплуатации уязвимостей в продуктах Apache, например уязвимости Log4Shell в библиотеке Log4j.

Мы проанализировали результаты мониторинга сетевой активности, сопоставили выявленные события с матрицей MITRE ATT&CK и отметили наиболее часто обнаруживаемые в сетевом трафике техники и подтехники. По большей части выявлялись техники из тактик Discovery, Lateral Movement, Command and Control, поскольку в основном такая активность обнаруживается именно в результате анализа сетевого трафика. В 80% компаний была детектирована подозрительная сетевая активность, связанная с сокрытием трафика, — такие техники могут использовать злоумышленники. В четверти пилотных проектов были выявлены попытки эксплуатации веб-уязвимостей для доступа во внутреннюю сеть (техника Exploit Public-Facing Application) — по данным исследования по итогам проведенных в 2021–2022 годах пентестов, эта техника была успешно использована специалистами в 100% проектов.

Тепловая карта MITRE ATT&CK

Одним из способов обеспечения безопасности организаций являются политики безопасности, которые ограничивают пользователям доступ к ненадежным ресурсам, регламентируют использование протоколов для безопасной передачи данных и запрещают использование средств удаленного доступа, торрентов и мессенджеров, которые не разрешены в компании. Все эти меры направлены на обеспечение необходимого уровня информационной безопасности, и пренебрежение ими может привести к расширению ландшафта киберугроз. Мониторинг нарушений политик безопасности позволяет отмечать потенциально опасные события и оперативно реагировать на инцидент, а устранение и недопущение нарушений повышают общий уровень защищенности.

Передача данных по незащищенным протоколам была выявлена практически в каждой компании (97%), причем в некоторых компаниях было обнаружено использование сразу нескольких незащищенных протоколов. Злоумышленники могут перехватить информацию, которая передается по открытым протоколам, например учетные данные.

Более чем в половине исследованных компаний для передачи аутентификационных данных используется открытый протокол HTTP, что может привести к их перехвату злоумышленником. Еще одна распространенная проблема — использование незащищенных почтовых протоколов, таких как SMTP, POP3 и IMAP. Обе эти проблемы безопасности были выявлены в результате анализа сетевого трафика в одном из государственных учреждений: злоумышленники при нахождении в сети могли перехватывать учетные данные и электронную почту.

В 90% компаний применяются протоколы LLMNR и NetBIOS, которые могут быть использованы для обнаружения ресурсов в сети. Этот недостаток конфигурации злоумышленники могут эксплуатировать для перехвата значений NetNTLMv2 challenge-response, передаваемых по сети, и дальнейшего подбора учетных данных.

В 72% компаний применяется ПО для удаленного доступа: чаще всего это TeamViewer (70%), AnyDesk (52%) или Ammyy Admin (23%). Причем в компании может использоваться сразу несколько таких программ. Используя возможности ПО для удаленного доступа, злоумышленники могут незаметно подключаться к узлам инфраструктуры и совершать действия, которые не будут расценены средствами защиты как несанкционированные. Это происходит из-за того, что все действия выполняются от имени легитимного пользователя по защищенному каналу связи.

Сетевая активность может исходить как от легитимных пользователей и узлов, так и от злоумышленников, которые находятся в инфраструктуре с целью разведки, сокрытия своих действий или сокрытия активности вредоносного ПО. По этой причине инциденты с выявлением подозрительных действий в сети требуют дополнительного внимания и проведения расследования.

В большинстве компаний (93%) замечена подозрительная сетевая активность: в основном это сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов, получение данных о пользователях, группах, парольной политике с контроллера домена.

Сокрытие сетевого трафика — одна из основных техник, которые были выявлены при анализе сетевого трафика: в 65% случаев было обнаружено туннелирование (подозрение на DNS-туннели в 37% компаний), а в 53% — прокси (SOCKS5 в 13% компаний). Для незаметного перемещения в сети и коммутации с управляющими серверами злоумышленники могут использовать подключения к узлам Tor (выявлены в 47% компаний), VPN (OpenVPN в 28% компаний) или нестандартные библиотеки для подключений по протоколу SSH, который часто используется администраторами для удаленного доступа к ресурсам (18%). С помощью решения PT Anti-APT в одном из проектов, который проводился в промышленной компании, удалось выявить обращения к узлам Tor и несколько штаммов шпионского ПО — такая связка могла быть использована злоумышленниками для эксфильтрации конфиденциальной информации и получения команд в зашифрованном виде без раскрытия инфраструктуры управления и контроля.

Более чем в трети компаний (38%) в ходе пилотных проектов были зафиксированы случаи получения данных с контроллеров домена — эта активность по большей части является легитимной, но при запросе специальных атрибутов или списка администраторов может трактоваться как проведение разведки злоумышленниками. В одном из проектов был выявлен факт получения атрибутов парольной политики — это может облегчить подбор учетных данных.

Множественные неудачные попытки аутентификации, которые были выявлены в 17% компаний, могут свидетельствовать об атаках, направленных на подбор учетных данных (техника Brute Force) для перемещения внутри периметра. Главная опасность такой атаки заключается в том, что могут быть скомпрометированы учетные записи пользователей критически важных систем и администраторов домена — техника Brute Force оказалась эффективной во всех пентестах, проведенных в 2021–2022 годах.

Для доступа к ресурсам домена, помимо подбора учетных данных, злоумышленники могут провести атаку DCSync (OS Credetial Dumping: DCSync) для выгрузки хешей паролей всех пользователей, в том числе пользователя KRBTGT, Пользователь KRBTGT — это специальная учетная запись, используемая для подписи всех Kerberos-билетов. хеш которого позволяет сгенерировать билет для доступа к любому ресурсу домена с максимальными привилегиями от имени любого доменного пользователя (Steal or Forge Kerberos Tickets: Golden Ticket). В одном из пилотных проектов, проведенных в промышленной компании, с помощью PT NAD была обнаружена атака DCSync, а также возможная попытка использования техники Golden Ticket; мы рекомендовали оперативно расследовать инцидент. Опыт проектов по тестированию на проникновение показывает, что специалисты успешно используют технику DCSync в 93% проектов; она является одним из самых распространенных методов атак.

В 70% компаний, которые проводили пилотные проекты PT NAD в 2021–2022 годах, была обнаружена активность вредоносного ПО. Чаще всего в сетевом трафике обнаруживались следы функционирования майнеров, ВПО для удаленного управления и шифровальщиков. Актуальным и все еще опасным остается шифровальщик WannaCry, активность которого была замечена в каждой пятой компании. Среди шпионского ПО наиболее популярны Agent Tesla, который встретился в четырех компаниях, и Formbook, встретившийся в трех компаниях.

В двух промышленных компаниях было обнаружено сразу несколько образцов ВПО для удаленного управления и шпионажа (это указывает либо на несколько фактов компрометации, независимых друг от друга, либо на загрузку дополнительных модулей). В одной финансовой организации были выявлены сразу четыре программы для шпионажа и кражи учетных данных.

Наличие в трафике обращений с корпоративных устройств и серверов к «засинкхоленным» Засинкхоленный домен — доменное имя, которое было замечено во вредоносных кампаниях. Обращения по таким адресам перенаправляются на специальные sinkhole-серверы, препятствуя связи вредоносного ПО с управляющими серверами. доменам является аномалией, которая свидетельствует о том, что система заражена вредоносным ПО. Такие обращения были зафиксированы в 22% компаний.

Инфицирование любым видом вредоносного ПО необходимо выявлять как можно раньше и реагировать незамедлительно: оно свидетельствует о значительных брешах в системе безопасности и может привести к самым печальным последствиям.

Злоумышленники совершенствуют свои навыки компрометации корпоративных систем, и не все средства защиты могут их остановить: они используют шифрованные соединения и прокси для коммуникации с управляющими серверами, обфускацию для обхода антивирусов и проверку на виртуальную среду; эксплуатируют ранее неизвестные уязвимости и пользуются легитимными системными инструментами для проведения атак. Тем не менее злоумышленники оставляют следы в сетевом трафике: 96% угроз было выявлено внутри инфраструктуры. Средства класса NTA позволяют оперативно выявлять сетевую активность атакующих и реагировать на их действия как в реальном времени, так и с помощью ретроспективного анализа сетевой активности на узлах.

Результаты пилотных проектов по мониторингу сетевой активности с помощью PT NAD, полученные в 2021–2022 годах, показали, что:

• во всех компаниях встречались нарушения регламентов ИБ: использование устаревших и незащищенных протоколов передачи данных, ПО для удаленного доступа;
• практически в каждой организации были выявлены следы применения инструментов для сокрытия трафика, аномальные подключения к внешним узлам и запросы на получение данных с контроллеров доменов — все это можно классифицировать как подозрительную сетевую активность;
• активность вредоносного ПО по-прежнему остается актуальной угрозой для многих организаций: чаще всего злоумышленники используют майнеры, ВПО для удаленного управления и шифровальщики. Помимо использования вредоносов, для компрометации систем преступники активно пытаются эксплуатировать уязвимости ПО.

Основные преимущества PT NAD:

• Повышает прозрачность взаимодействий внутри сети. PT NAD определяет более 100 протоколов и разбирает наиболее распространенные из них до прикладного уровня по модели OSI. Модель, обобщающая и стандартизирующая процесс обмена информацией между устройствами. Это позволяет получить полную картину активности в инфраструктуре и выявить проблемы ИБ, которые снижают эффективность системы защиты и способствуют развитию атак.
• Выявляет угрозы на периметре и внутри него. PT NAD использует репутационные сервисы, правила обнаружения, машинное обучение и ретроспективный анализ. Набор правил и репутационные списки PT NAD ежедневно пополняются экспертизой команды PT Expert Security Center (PT ESC). Специалисты PT ESC непосредственно участвуют в изучении актуальных методов и средств проведения кибератак, анализируют вредоносное ПО и расследуют инциденты ИБ в крупнейших компаниях из различных отраслей.
• Помогает выявлять сложные целенаправленные атаки. PT NAD проводит статистический анализ сессий, поведенческий анализ, умеет выявлять аномалии в зашифрованном трафике и отслеживать потенциально опасные сетевые события. Как только база знаний обновляется, можно выполнить повторный анализ трафика. Это помогает обнаружить в инфраструктуре новые виды угроз, которые не были обнаружены ранее.
• Эффективен в расследованиях. PT NAD хранит записи трафика и 1200 параметров сетевых взаимодействий. Оператор системы может быстро узнать, что предшествовало подозрительному событию ИБ, с кем взаимодействовал скомпрометированный узел и как началась атака.
• Решение для выявления сложных целевых атак PT Anti-APT (комплекс PT NAD и PT Sandbox) позволяет проводить глубокий анализ не только трафика, но и вредоносного ПО, которое может быть доставлено в инфраструктуру в упакованном и зашифрованном виде.

PT NAD соответствует требованиям регулирующих организаций по защите критической информационной инфраструктуры (приказы ФСТЭК № 239 и 235), персональных данных (приказ ФСТЭК № 21), а также информации в ГИС, в АСУ ТП и в информационных системах общего пользования (приказы ФСТЭК № 19, 31 и 489).