Исследование и профилирование киберугроз в сетевом трафике российских компаний

С развитием средств защиты информации совершенствуются и методы кибератак. Злоумышленники пытаются скрыться от SIEM-систем, используя теневые IT-ресурсы, неподконтрольные службам ИТ и ИБ; вредоносное ПО (ВПО) умеет определять виртуальные среды (например, sandbox и EDR (Endpoint Detection and Response)-решения) и менять свое поведение, чтобы избежать обнаружения. Но несмотря на это в сетевом трафике все равно остаются следы, по которым можно вычислить присутствие злоумышленников и расследовать атаку, определив все ее этапы. Для глубокого анализа сетевого трафика и расследования инцидентов на его основе используются NTA (Network Traffic Analysis)- и NDR (Network Detection and Response)-системы. К ним относится система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), который анализирует сетевые связи, обнаруживает аномалии и признаки проведения атак, а также следы присутствия ВПО и появление новых устройств в сети организации.

Мы изучили данные пилотных проектов, проведенных за 2023 год и первое полугодие 2024 года в 38 компаниях, и определили угрозы ИБ, наиболее часто встречающиеся в корпоративных сетях. При анализе использовались отчеты по «пилотам» PT NAD и комплекса защиты от целенаправленных атак PT Anti-APT , в состав которого входит PT NAD.

В этой статье мы расскажем, какие инциденты ИБ часто встречаются в пилотных проектах PT NAD, какие виды и семейства ВПО наиболее распространены, и рассмотрим регламенты ИБ, которые нарушаются чаще всего. На основании полученных результатов мы составили тепловую карту MITRE ATT&CK, на которой отобразили популярные среди злоумышленников техники и подтехники атак, выявленные при проведении пилотных проектов.

Изучив данные пилотных проектов за 2021–2022 годы и сравнив их с рассматриваемым в исследовании периодом, мы пришли к следующим выводам:

• Третий год мы наблюдаем тенденцию к потенциальным нарушениями регламентов ИБ: Использование небезопасных протоколов передачи данных, слабые пароли учетных записей, а также использование ПО для удаленного управления были обнаружены в 100% организаций.
• Подозрительная сетевая активность была замечена в 97% компаний, что превышает показатели прошлых лет (90% в 2021 году, 93% в 2022 году). Примеры такой активности: сканирование сетевого периметра, попытки эксплуатации уязвимостей или попытки подбора паролей.
• Доля организаций, в сети которых были обнаружены признаки присутствия вредоносного или нежелательного ПО, выросла до 76%. В 2021 году доля таких компаний составляла 68%, в 2022 году — 70%. Однако стоит учесть, что в этот список попадает и рекламное ПО (Adware).
• В 42% компаний было замечено использование средств для горизонтального перемещения в инфраструктуре, повышения привилегий или получения несанкционированного доступа к данным, причем речь идет именно о тех инструментах, которые используются как администраторами для управления инфраструктурой, так и злоумышленниками для развития атак вглубь. В рамках данной активности также были замечены попытки эксплуатации уязвимостей — на основании полученных данных мы выявили топ-10 уязвимостей, которые пытаются эксплуатировать наиболее часто. 

Далее подробно рассмотрим основные категории выявленных инцидентов: подозрительную сетевую активность, потенциальные нарушения регламентов ИБ, попытки эксплуатации уязвимостей и активность вредоносного ПО.

Мы проанализировали результаты мониторинга сетевого трафика и сопоставили выявленные события с матрицей MITRE ATT&CK. В результате определили техники и подтехники атакующих, наиболее распространенные в сетевом трафике. Бо́льшую часть составили тактики Command and Control (Организация управления), Discovery (Изучение) и Initial Access (Первоначальный доступ), поскольку такая активность чаще всего выявляется именно при анализе сетевого трафика. В 55% компаний было зафиксировано сканирование внутренних сетевых ресурсов — такие техники часто используются злоумышленниками на этапе разведки. За 2023 год и первое полугодие 2024 года увеличилась доля проектов, в которых были выявлены попытки эксплуатации уязвимостей веб-приложений для проникновения во внутреннюю сеть. Такая активность наблюдалась в 39% компаний против 25% в 2022 году.

Скачать тепловую карту

Любое устройство оставляет свой след в сети. Активность может выглядеть безопасной (посещение общеизвестных сайтов, отправка писем, загрузка обновлений ПО, синхронизация данных) или быть подозрительной (подключения по нестандартным портам, выгрузка большого объема данных, попытки несанкционированного доступа, подозрительные запросы к серверам). В случае подозрительной активности необходимо провести расследование, выяснить источник и причины ее возникновения — это могут быть как действия злоумышленника, так и ошибки в сетевой конфигурации или особенности поведения ПО. Важно своевременно выявлять и анализировать подозрительную активность, чтобы предотвратить возможные угрозы безопасности.

Как мы уже говорили, вредоносная и другие подозрительные активности были замечены в подавляющем большинстве компаний (97%). Наиболее часто встречались попытки эксплуатации уязвимостей на периметровых системах, подбор паролей, сканирование внутренних сетей организации, сокрытие сетевого трафика и запуск инструментов для удаленного запуска команд.

Кроме того, в 55% пилотных проектов мы обнаруживали активность, связанную со сканированием внутренней сети организации. В рамках данной активности использовались такие утилиты, как Nmap — специализированное ПО для определения активных узлов в сети и выявления установленного на них ПО путем анализа ответов на посылаемые запросы. Эту активность можно интерпретировать по-разному:

• как часть атаки на сеть организации, во время которой злоумышленники производят сетевую разведку и пытаются определить, в каком сегменте сети они находятся (тактика Discovery), чтобы спланировать свои дальнейшие шаги;
• как активность команды red team, которая занимается анализом защищенности организации.
• как активность администраторов сети, которые могут использовать данные средства в своих целях;
• как часть работы сканера уязвимостей.

Почти в половине случаев (47%) было выявлено сокрытие сетевого трафика. Кроме случаев легитимного использования, эта техника также популярна и у злоумышленников, как для создания бэкдоров и получения постоянного доступа к скомпрометированным узлам инфраструктуры, так и для эксфильтрации данных. Среди выявленных средств можно было заметить обращения к сервисам VPN, трафик Tor и SSH-туннели.

Помимо этого, были выявлены случаи отправки на 53-й порт (стандартный порт протокола DNS) пакетов, не являющихся DNS-запросами. Такая активность также может быть признаком сокрытия трафика, а большой объем DNS-трафика может указывать на использование техники DNS-туннелирования. В таких подходах передаваемая информация дополнительно «упаковывается» в протокол прикрытия. Например, в случае с ICMP-туннелем передаваемые данные помещаются в полезную нагрузку эхо-запросов и эхо-ответов, реализованных в протоколе ICMP для проверки сетевого соединения. Использование такой техники позволяет дополнительно скрыть присутствие злоумышленника и помогает незаметно передавать данные на командный сервер. В отличие от VPN и Tor, трафик которых успешно обнаруживается сигнатурным методом и репутационными списками, обнаружение ICMP- и DNS-туннелей требует более сложных механизмов обнаружения.

По результатам пилотных проектов за рассматриваемый период также был выявлен рост числа случаев запуска инструментов администрирования и проведения атак. Эта активность была замечена почти в трети организаций (32%), тогда как в 2022 году доля таких компаний составляла 15%. Подобные действия всегда стоит расследовать особо тщательно. Наличие следов использования легитимных инструментов (например, PsExec) может свидетельствовать как об активности администраторов сети или сотрудников службы ИБ, так и о действиях злоумышленников.

Средство PsExec является частью пакета утилит PsTools от компании Sysinternals и представляет собой бесплатную портативную программу, предназначенную для удаленного запуска и управления процессами с использованием учетных данных любых пользователей. Она популярна у сетевых администраторов, поскольку позволяет управлять устройствами сети из одной консоли, в частности устанавливать на них ПО, передавать файлы с управляющего узла, а также выполнять на удаленном устройстве команды CLI. Однако эту утилиту используют и злоумышленники — для получения удаленного доступа к устройствам сети, распространения вредоносного ПО, повышения привилегий и сокрытия следов своего присутствия.

В 2023 году и первом полугодии 2024 года заметно выросло количество случаев обнаружения множественных неуспешных попыток аутентификации (26%, в 2022 — 17%). Эта активность может свидетельствовать об атаке методом перебора (техника Brute Force). Получение учетных данных от различных активов позволяет злоумышленникам проникать внутрь сети организации (тактика Initial Access), перемещаться между узлами сети (тактика Lateral Movement) или даже повысить привилегии (тактика Privilege Escalation). Иногда срабатывания по данной активности могут быть следствием нескольких неудачных попыток входа легитимного пользователя, поэтому каждый такой случай необходимо рассматривать детально. Кроме того, рекомендуется определить максимально допустимое число попыток ввода пары «логин — пароль» в политиках безопасности компании.

Политики ИБ — ключевой элемент защиты информационных систем современных организаций. Они представляют собой свод правил и ограничений, направленных на снижение рисков, связанных с несанкционированным доступом, утечкой данных и внедрением вредоносного ПО. Основные аспекты политик включают регламентацию использования сетевых ресурсов и протоколов передачи данных, требования к средствам аутентификации, а также порядок реагирования на инциденты ИБ. Соблюдение этих мер гарантирует непрерывность бизнес-процессов и сохранность критически важной информации. Несоблюдение политик ИБ расширяет спектр рисков кибербезопасности и возможность их реализации.

В четырех из пяти исследуемых отчетов по пилотным проектам был выявлен факт использования незащищенных протоколов передачи данных. Это чревато тем, что при проникновении в сеть организации злоумышленники смогут перехватить и прочитать информацию, передаваемую с помощью незащищенных протоколов. При этом содержание перехваченных пакетов может быть разным: от безобидной информации до данных ограниченного доступа или учетных записей пользователей, перехват которых значительно облегчит развитие атаки.

В 74% компаний учетные данные для аутентификации передавались в открытом виде по небезопасному протоколу HTTP, в 53% компаний — по протоколу LDAP. Оба протокола не используют шифрование данных. Протокол LDAP используется для аутентификации пользователей и доступа к различным сервисам. Перехватив такие данные, злоумышленник сможет использовать их для получения доступа к ресурсам компании. Не менее серьезная проблема — использование протоколов SMTP, POP3 и IMAP, по которым осуществляется доставка электронных писем и в которых отсутствуют авторизация и шифрование данных. В таких письмах может содержаться конфиденциальная информация, которую нарушитель сможет прочитать, прослушивая трафик организации.

Кроме того, в каждой третьей организации было замечено использование словарных паролей, которое сильно упрощает задачу злоумышленнику при проведении атаки методом перебора. Такие пароли очень легко подобрать, используя общедоступные словари. Кроме того, слабые пароли часто используются в атаке под названием «Распыление пароля» (Password Spraying).

По результатам пилотных проектов виден рост использования ПО для удаленного доступа — сетевая активность таких программ, как TeamViewer, AnyDesk, Radmin, Ammyy, МойАссистент, RMS и многих других выявлена в 82% организаций (в 2021 году было 67%, в 2022-м — 72%), причем в некоторых организациях обнаружены следы работы сразу нескольких решений для удаленного доступа. Этот тип ПО зачастую используется сетевыми администраторами и даже обычными пользователями для легитимного удаленного подключения к узлам сети и работы с ними. Злоумышленники могут использовать средства удаленного доступа для незаметного проникновения в корпоративные сети и получения несанкционированного доступа к системам и конфиденциальным данным.

Снизилась доля использования протоколов LLMNR и NetBios — с 90% в 2022 году до 63% в период с начала 2023 года по первое полугодие 2024 года. Эти протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS-сервера, а также автоматически используются при недоступности DNS-сервера. В случае проникновения во внутреннюю сеть компании злоумышленник сможет провести атаку типа man in the middle (MITM) — ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный сервер. Такая атака позволяет перехватить аутентификационные данные.

Согласно нашей выборке, больше всего случаев эксплуатации связано с уязвимостью CVE-2021-44228 (Log4Shell) в Apache Log4j, обнаруженной 24 ноября 2021 года и публично раскрытой в декабре того же года. Несмотря на то, что Apache выпустила обновления безопасности уже 6 декабря, за три дня до публикации, в сети по сей день могут находиться устройства, на которые до сих пор не были установлены обновления безопасности, и злоумышленники продолжают активно эксплуатировать эту уязвимость.

На основании анализа отчетов по пилотным проектам мы составили список из топ 10 уязвимостей, которые пытаются эксплуатировать наиболее часто.

Активность вредоносного ПО в сетевом трафике была выявлена в 76% организаций, в основном, за счет криптомайнеров Monero и рекламного ПО. В 2021 году доля проектов с использованием ВПО составляла 68%, в 2022 году — 70%.

Наиболее часто обнаруживались следы присутствия ПО для майнинга криптовалюты — в 39% проектов были обнаружены индикаторы, сигнализирующие о наличии майнеров.

Рекламное ПО, также известное как adware, стало вторым по популярности видом вредоносного программного обеспечения и присутствовало в каждом третьем проекте. Это значительное увеличение по сравнению с 2022 годом, когда доля рекламного ПО составляла всего 12%. Отчасти это связано с увеличением количества детектирующих правил самых разных вредоносных программ. Такое ВПО обычно устанавливается скрытно и отображает нежелательную или вредоносную рекламу на экране зараженного устройства. Кроме того, рекламное ПО зачастую имеет возможность перенаправлять результаты поиска на рекламные сайты и собирать данные пользователей без их согласия для последующей отправки рекламодателям.

В 26% проектов было обнаружено использование ВПО для удаленного управления устройствами — оно позволяет злоумышленникам красть, изменять или удалять информацию, а также использовать устройство как точку входа в сеть для дальнейшего развития атаки. Важно отметить, что большинство троянов удаленного доступа имеют функции шпионского ПО — могут скрытно записывать экран пользователя, определять его местоположение и регистрировать ввод данных с клавиатуры, что представляет серьезную угрозу для безопасности информации и конфиденциальности пользователей.

Отдельно стоит отметить такую категорию ВПО, как шифровальщики. Активность этого вида была замечена в 18% проектов, причем во всех этих организациях было обнаружено семейство WannaCry. Для распространения этого шифровальщика используется уязвимость CVE-2017-0144 в реализации протокола SMBv1, также известная, как EternalBlue, которая была устранена еще в 2017 году, — на этот же год пришелся пик распространения зловреда. Несмотря на то, что с момента выпуска патча прошло почти семь лет, в сетях многих компаний до сих пор находятся хосты, зараженные WannaCry - вреда они уже нанести практически не могут, но говорят о плохой организации ИБ в компании.

Несмотря на то, что средства защиты периметра, такие как IDS, IPS и NGFW, постоянно совершенствуются, злоумышленники тоже не стоят на месте и модернизируют инструментарий.Опираясь на картину происходящего в продукте, оператор SOC может вовремя остановить кибератаку.  злоумышленникам все чаще удается проникать во внутреннюю сеть организации. В этих условиях периметровых средств защиты становится недостаточно и возникает необходимость в дополнительном мониторинге и анализе сетевого трафика внутри инфраструктуры.  При этом, если правильно выстроить мониторинг трафика в компании, то злоумышленники в сети будут как на ладони. Получить полную картину происходящего в трафике и обнаружить даже сложные киберугрозы, такие как использование инструментов для туннелирования, шифрование через SSH, перемещение внутри периметра, атаки типа NTLM Relay могут продукты класса NTA (Network Traffic Analysis), к которым относится система поведенческого анализа трафика PT NAD. 

Из результатов пилотных проектов PT NAD, проведенных в период с начала 2023года по конец первого полугодия 2024 года, можно сделать следующие выводы:

• В 100% компаний обнаруживаются потенциальные нарушения регламентов ИБ.
• Практически в каждой компании обнаружена подозрительная сетевая активность.
• Второй год подряд наблюдается рост доли компаний, в сети которых обнаруживается активность вредоносного ПО.

Внедрение системы глубокого анализа трафика PT NAD позволит организациям получить наиболее полное представление о состоянии сетевой инфраструктуры, выявить слабые места и уязвимости, а также оперативно реагировать на инциденты безопасности. Использование таких решений способствует сокращению времени обнаружения и устранения угроз, повышению эффективности работы служб ИБ и снижению общих затрат на обеспечение кибербезопасности.