3 декабря, 2020

SOC-cast: три истории о трендах и угрозах кибератак

В рамках «SOC-cast: Тренды/Угрозы» на SOC-Форум Live эксперты поделились своими познаниями и результатами аналитической работы в сфере обнаружения кибератак и защиты от них. Каждый со своей стороны рассказал о скрытых процессах, опасных трендах, новых методиках и подходах к взлому.

 

Интересные истории из жизни JSOC CERT

Первым выступал руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» Игорь Залевский с темой «Интересные истории из жизни JSOC CERT». Он на примерах собственного SOC рассказал о трех главных угрозах этого года, которые, в принципе, можно отнести к уже классическим в ИБ.

Первая тема коснулась внутреннего нарушителя, инсайдера. Игорь Залевский рассказал про обращение к ним одного банка, где заметили странные манипуляции с балансом банковских карт. В хоте проверок и расследования выяснилось, что нового администратора подкупили на одном из форумов. Его удалось отследить, исследуя работу одной утилиты. Изучив как она работает, какие лог-файлы пишет и какие артефакты оставляет, выяснилось, что именно она изменяла баланс банковских карт.

«Вообще с точки зрения проведения расследований истории, когда вы выходите за рамки типичных артефактов операционной системы — это очень важно. Потому что каждое расследование — это какой-то уникальный кейс, какая-то уникальная история», — рассказал Игорь Залевский.

Вторая тема в его арсенале относилась к шифровальщикам. В последнее время они крайне активны в связи с тем, что из-за пандемии многие компании переходят на удаленный режим работы и в качестве альтернативы работы через удаленный режим выбрали протокол RDP. И тренд, который отметил спикер, что такого рода группировки имеют кране низкий технический уровень. По словам эксперта, с марта этого года они фиксировали в 1-2 недели в среднем рост в 15% доступности протоколов RDP по всему миру.

«Проблемой стало, что на этот рынок киберкриминала зашли абсолютно неграмотные технически злоумышленники. Порог вхождения стал настолько низок, что среднее предложение о покупке или продаже доступа в инфраструктуру в компании с достаточно большим штатом ИТ и ИБ мог варьироваться от 300 до 500 рублей», — пояснил Игорь Залевский.

И в последнее время таких историй все больше. В течение года к ним обратились порядка 5-6 различных компаний с подобной проблемой. И судя по признакам и выводам, которые они получили в результате расследования, это были одни и те же люди: они не обладали сильными техническими навыками, они просто использовали то, что дала им ситуация — а это удаленный доступ, это RDP и маркетплейсы по 300 рублей.

«Помимо этого связанную с шифровальщиками мы обнаружили группировку TinyScouts — это ребята, которые стоят в градации технических скиллов чуть выше того, о чем я говорил раньше, но при этом они не уровня APT или прогосударственной группировки. Они достаточно много написали собственного кода, применяли изощренные схемы, применяли актуальные темы для фишинга (Беларусь, разлив нефти на Дальнем Востоке, COVID и так далее)», — поделился Игорь Залевский.

Третьим кейсом про угрозы и тренды стала тема APT-группировок. На своем опыте эксперт рассказал про столкновение с группировкой APT15 (Ke3chang), которая известна еще с 2012 года, атакует различные отрасли, но преимущественно сосредоточена на государственных организациях и предположительно имеет азиатские корни.

В своем расследовании они наткнулись на уже классический и один из самых популярных кейсов Supply Chain, когда был взломан подрядчик государственной организации, через которого вошли в эту госорганизацию. К ним на анализ попало только два внешних веб-сервера, поэтому полное расследование провести не удалось. «Но даже на этих двух серверах для нас были найдены очень интересные вещи. На первом сервере мы обнаружили известный, и я бы сказал, атрибутирующий эту группировку blackdoor — Okrum. На втором сервере мы нашли модуль для проксирования и эксфильтрации данных, описание которого мы не нашли ни у кого. Почему мы атрибутировали этот модуль PIProxy именно в APT15? Потому что сервера управления у Okrum и ip-адреса и домены, откуда шли команды на PIProxy, у нас совпадали по логам и атрибутам. Поэтому мы сделали вывод, что второй модуль по PIProxy  принадлежит этой группировке», — рассказал Игорь Залевский.

 

Big Brother Chronicles

Вторым выступал директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков. Все свое выступление он посвятил подведению итогов недавно прошедшего киберполигона The Standoff. По итогам мероприятия он отметил, что наиболее часто реализуемыми рисками стали: сбой продажи билетов и систем регистрации пассажиров, утечка персональных данных пассажиров, утечка конфиденциальной информации и ценных документов — то есть это те риски, которые по настоящему волнуют компании.

«Потому что зачастую не так важно обнаружить инцидент, не так важно обнаружить заражение какого-либо компьютера массовым вредоносным ПО, а главное, что бы бизнес работал и это никак не влияло на те процессы, которые есть внутри организации», — добавил эксперт.

По словам Алексея Новикова, во время соревнований они увидели, что в среднем командам нападения требовалось порядка 4 шагов для того, чтобы реализовать тот или иной бизнес-риск. «То есть это цепочка, последовательность инцидентов внутри инфраструктуры, где финальной точечкой, вишенкой являлась именно реализация того или иного бизнес-риска. Основные вектора, которые так или иначе эксплуатировались — это атаки на удаленный доступ (то, что видели на протяжении всего 2020 года), уязвимости веб-приложений и социальная инженерия», — пояснил эксперт.

Также они выяснили, что как только началось соревнование, red team понадобилось 19 минут для первого получения несанкционированного доступа и эксплуатации уязвимости, а также 27 минут, чтобы в результате противостояния хакеры восстанавливали доступ, с которого из выбивали защитники.

«В принципе это все демонстрирует, что сейчас происходит в реальном мире», — подытожил Алексей Новиков.

 

Практика оказания услуг по симуляции целевых атак (Red Teaming)

Фокус выступления третье спикера — руководителя центра компетенций по анализу защищенности «Лаборатории Касперского» Александра Зайцева — была тема проведения симуляции целевых атак (Red Teaming). Эксперт очень подробно рассказал как выстроить процесс Red Teaming, чем отличается Red Teaming от пентеста и киберучений.

Кроме того он просил обратить внимание на специальные документы с шаблонами и поэтапным описанием, как подготовить симуляцию, как выбрать команду, как происходит процесс и так далее. По его словам, наиболее полно описывают тему Red Teaming такие документы как CBEST (Великобритания), TIBER-NL (Нидерланды), AASE (Сингапур). И несмотря на то, что каждая страна имеет свои особенности, в этих рекомендациях есть хорошие общие моменты и практики. К сожалению, в России подобного документа нет, поэтому приходится придумывать все самим.

Проходясь по важным этапам организации в компании симуляции целевых атак, Александр Зайцев затронул такие аспекты как выставление правильных целей симуляции, параметры проведения атаки, подбор команды и основные и обязательные моменты уже непосредственно самой симуляции. Так, правильной целью Red Teaming является компрометация критических функций инфраструктуры организации, а не просто проникновение внутрь.

«Важно разметить все параметры и договориться о них с поставщиком на берегу, чтобы потом не было мучительно больно», — добавил Александр Зайцев.

Не менее важными являются и этапы подбора команд атакующих (здесь эксперт советовал обратиться к сингапурскому AASE, где этот вопрос крайне подробно изложен), а также этап непосредственной реализации. Помимо того, что любая реализация должна состоять из трех обязательных этапов (подготовка к атаке, осуществление атаки и подведение итогов), каждый из них должен содержать внутри также обязательные блоки.

 

Рейтинг выступлений

В конце сессии бизнес-консультант по безопасности CISCO Алексей Лукацкий дал свой собственный комментарий и даже ранжировал выступления.

По его мнению, на первом месте стоит доклад «Лаборатории Касперского». «По одной простой причине, мне показалось, он наиболее практичный с точки зрения того, что можно извлечь из него после того, как закончится это мероприятие и нам надо будет на практике применять те знания, которые мы получили в рамках Форума», — пояснил Алексей Лукацкий.

Вместе с тем он добавил, что к определениям Red Team, пентест и киберучения он бы добавил еще одну аббревиатуру — BAS. Это один из классов продуктов, который также позволяет автоматизировать задачи, связанные с либо с пентестом, либо с red team, хотя конечно же ни в коем случае не заменяет. По словам эксперта, для тех организаций, которые имеют возможность приобретать инструментарий, а не приглашать какие-то внешние команды или не иметь свою — это тоже выход из проблемы.

На второе место он бы поставил доклад компании «Ростелеком-Солар». «Всегда интересно слушать, что было задетектировано, обнаружено в реальной жизни. Единственное, чего мне не хватило в этом докладе, это двух вещей. Первое — это списка поведенческих индикаторов по каждому докладу. Для того, чтобы можно было это взять и применить на практике. И второе, чего мне не хватило, это списка активности: а как обнаруживать такого рода кейсы. Понятно, что мы можем пойти в JSOC «Солара» и отдать на аутсорсинг функцию обнаружения, но иногда хочется что-то делать своими руками. Здесь нам не помешал бы набор активностей», — пояснил Алексей Лукацкий.

И на третьем месте оказался доклад Positive Technologies. «На мой взгляд он тоже очень интересен, рассказывает о действительно уникальной платформе для проведения киберучений, которые состоялись относительно недавно в России в формате онлайн, большое количество команд из разных стран мира подключались к этой платформе, пытались взломать кого-то, а кто-то пытался отразить такого рода атаки», — отметил эксперт.

Вместе с тем он добавил, что единственный минус доклада, что мероприятие уже прошло. И было бы здорово получить анонс, что эта платформа будет теперь становится постоянно действующей, где любой желающий может в непрерывном режиме круглосуточно (как работает полноценный SOC) еще и пытаться атаковать и кто-то будет в режиме 24/7 пытаться это обнаружить и отразить.

«Наверное, цены бы не было такому сервису, который позволил бы уйти от теоретических знаний к практическим навыкам опробации и red team навыков, и навыков, связанных с обнаружением атак, с обнаружением тех или иных инцидентов», — подытожил Алексей Лукацкий.

Смотрите также