Давно хотели написать заметку про атаки на государственные ресурсы Югры и вот в конце года случилось поучаствовать вместе с правоохранительными органами в разборе интересной, многоступенчатой и направленной атаки на один из органов власти автономного округа (наименование органа власти не приводим из этических соображений). Ниже сценарий полностью реально реализованной атаки, в некотором смысле нарушившей работоспособность ОГВ Югры (зашифрованы информационные ресурсы, не сохраненные в резервных копиях и планируемые к использованию утром следующего за атакой рабочего дня).
Небольшая заметка об этой атаке была размещена в том числе на Ура.ру (написанная конечно обывательским языком). Мы же представим Вам «разбор полетов» ни злорадства ради а пользы для J ! Ну и поскольку просто констатировать факты не наш стиль, как всегда предложим рекомендации.
Схема реальной атаки злоумышленников на ОГВ.
Атака была направленная, т.к. злоумышленник готовился к ней, производил действия вручную, а не использовал вредоносное ПО типа WannaCry, petya и т.п. и реализовывалась в несколько этапов.
На первом этапе все тривиально: был отправлен файл, содержащий «троян» на электронную почту приемной ОГВ.
Пользователь, получив письмо, открыл его содержимое и был заражен вредоносным ПО типа RAT (Remote Administration Tool ). Троян был зашифрован и не определялся классическими антивирусами.
При запуске «троян» использовал обратное подключение (backconnect) которое позволило обойти персональный МЭ, установленный на компьютере пользователя. (Всё еще используете разрешающие правила межсетевого экрана для исходящих соединений, например 3 или 4 режим VipNet в.3?).
Второй этап: Получив доступ к зараженной машине, злоумышленник запустил сетевой сканер для определения открытых портов TCP (139, 445,3389) в сети ОГВ. Все действия проводились в нерабочее время. (Всё еще не выключаете компьютер когда уходите с работы?).
Третий этап атаки: В результате обнаружения локальных узлов и анализа открытых портов с помощью автоматизированного ПО, злоумышленник обнаружил машину на которой были авторизованы пользователи и администраторы домена. (Когда Вы в последний раз производили обновления для ОС у пользователей? А ведь с каждым днем уязвимостей все больше и больше. Многие считают, что одного межсетевого экрана хватит чтобы не обновлять ОС, но что если злоумышленнику всё же удаться проникнуть в защищенную сеть? Его шансы на распространение по сети возрастут и потом будет не так просто отследить где же он закрепился и сливает персональную (ценную) информацию. Пример — уязвимость которую использовала WannaCry.).
На четвертом этапе применив уязвимость MS17-010 злоумышленник получил доступ к ОС с правами системы. Отключив антивирус и использовав популярную утилиту mimikatz, удалось получить пароли всех авторизованных пользователей на данной машине, в том числе администратора домена.
Таким образом злоумышленник получил возможность доступа ко всем рабочим станциям и серверам домена.
На завершающем этапе атаки злоумышленник выбирал для шифрования наиболее важные и критичные данные на файловом сервере. Атакующий установил на данном сервере не являющееся вредоносным ПО с открытым исходным кодом (бесплатно распространяемое) для шифрования жесткого диска. (Антивирус не увидел угрозы в данном ПО. Ведь оно может использоваться и в легитимных целях).
На рабочем столе был создан текстовой файл, в котором указывалась электронная почта для связи с злоумышленником, а также с суммой (5000$) и кошельком биткоин для оплаты за расшифровку.
Схематично проведение атаки выглядело следующим образом:
Хроника событий:
- 16.34 — Заражение компьютера пользователя
- 18.54 — Сканирование сети на наличие «живых» хостов и открытых портов
- 19.15 — Применение эксплойта для уязвимого SMB сервера.
- 19.20 — Кража пароля доменного администратор
- 19.25-19.40 — Поиск наиболее значимых ресурсов.
- 19.40-21.30 — Шифрование диска.
- 02.00 — Обнаружение зашифрованного сервера
Теперь рекомендации (в основном организационные и не первый раз на страницах нашего блога).
Итак, на каждом из этапов атаку можно и нужно было предотвратить:
- на первом этапе:
- повышение осведомленности и обучение персонала (пользователь возможно и не открыл бы это сообщение с неизвестного адреса);
- средства защиты от таргетированных атак (выявление/предотвращение атак);
- НАСТРОЕННЫЕ средства защиты от спама (сообщение могло быть отсеяно) (выявление/предотвращение атак);
- эмуляторы среды исполнения ПО (песочницы) (выявление/предотвращение атак);
- анализ защищенности и тесты на проникновение в информационные системы (самостоятельное обнаружение уязвимостей и предупреждение их использования).
Все это позволило бы предотвратить/снизить вероятность «проникновения» злоумышленника.
- на втором этапе:
- обеспечение регулярного обновления ПО, в том числе средств защиты, а также антивирусных баз (устраняем уязвимости, исправленные разработчиками ПО, также возможно «троян» уже есть в сигнатурах антивирусных баз);
- регулярное резервное копирование данных, в т.ч. на внешние отчуждаемые носители;
- настройка межсетевых экранов, исключающая возможность несанкционированного доступа к внутренним ресурсам (исключаем доступ к ненужным пользователю ресурсам в ЛВС), с оформленной разрешительной системой доступа для МЭ;
- удаление неиспользуемого в рабочих процессах ПО и отключение неиспользуемых сетевых сервисов и протоколов (снижаем возможности использования уязвимостей в ПО);
- использование системы управления событиями (инцидентами) ИБ (выявление аномальных событий, например, вход пользователя в нерабочее время);
- использование надежных средства аутентификации пользователей (персональные токены (особенно для входа администраторов)).
- на третьем этапе:
- обновление системного и прикладного ПО;
- внедрение действенных политик ИБ для доменных администраторов и контроль их выполнения.
Данные меры значительно усложнили бы возможность проведения всех последующих этапов, даже если злоумышленнику удалось получить под контроль компьютер с правами обычного пользователя.
Цените свою информацию и наши советы…)