Кибербезопасность: игра на опережение

0 комментировать
Для защиты от кибератак необходимо менять подход к безопасности

27 июня 2017 года Украина подверглась массированной кибератаке под видом программы-вымогателя. В процессе атаки из строя были выведены сотни тысяч компьютеров, что привело к частичной или полной остановке деятельности нескольких больших банков, крупных предприятий и тысяч различных компаний рангом поменьше. Последствия атаки ощущаются до сих пор: многие компании все еще занимаются восстановлением своей инфраструктуры.

Подразделение кибербезопасности Cisco Talos идентифицировало новую вредоносную программу как Netya. Эта атака использовала методы шифрования диска из программы-вымогателя годичной давности Petya.A. Несмотря на схожие методы, это две разные программы. Ключевое отличие заключается в том, что Netya не является вымогателем, несмотря на функционал шифрования. По подтвержденным данным, заплатившие жертвы ключа так и не получили. Анализ кода показывает, а используемые способы связи (открытый почтовый ящик) позволяют предполагать, что не оплата, а выход из строя инфраструктуры являлся основной целью атаки.

Первоначальный вектор атаки удалось успешно идентифицировать. Согласно полученным данным, ее основным источником стали серверы обновлений известного бухгалтерского ПО M.E.Doc (www.me-doc.com.ua), компрометация которых привела к возможности автоматической загрузки вредоносной программы с помощью системы обновлений M.E.Doc и последующему распространению по сети вредоносных действий. Для распространения по сети Netya использовал четыре метода. Два из них связаны с использованием эксплоитов EthernalBlue и EthernalRomance (MS17-010), другие два – методы распространения с помощью легитимных системных инструментов Windows. Windows Management Instrumentation (WMI) и утилита Sysinternals PsExec являлись основными инструментами быстрого распространения вредоносного ПО по сети.

Для распространения с помощью WMI/PsExec необходимы администраторские учетные записи, которые вредоносное ПО получало с помощью модификации популярной opensource-утилиты mimikatz, которая используется для получения учетных данных пользователей из памяти и последующего запуска WMI/PsExec команд на удаленных компьютерах с помощью этих учетных записей. Детальный разбор malware можно увидеть у нас в блоге

Разбор атаки от Talos

Связь M.E.Doc с атакой

Как защититься

Преступники очень изобретательны, они всегда разыскивают новые способы проникновения внутрь сети и хищения учетных данных, поэтому полностью защититься от них чрезвычайно сложно и дорого. Но используя набор организационных и технических мер, можно уменьшить последствия атаки до уровня незначительного инцидента.

Организационные меры

Для эффективной защиты от современных угроз надо использовать комплексный подход. Только объединение определенных инструментов и подходов может дать требуемый эффект. Для разработки стратегии построения комплексной системы ИБ мы рекомендуем использовать документ, предложенный NIST – NIST Framework for Improving Critical Infrastructure Cybersecurity и The CIS Critical Security Controls for Effective Cyber Defense. В приложении можно найти ссылки на соответствующие документы.

Сегментация сети

Как показали первые результаты наших расследований, те компании, в которых были внедрены корректные правила сегментации сети, или практически не пострадали, или пострадали минимально. Сегментация – это довольно мощный инструмент, который позволяет ограничить доступ к важной информации и разрешить его только для тех сотрудников, приложений и устройств, которым он требуется. С другой стороны, она ограничивает возможности злоумышленника по поиску и атаке необходимых ему ресурсов. Сегментация может включать в себя разделение сети на различные сегменты (по филиалам, подразделениям, отделам) и ограничение обмена трафиком между этими сегментами. Это позволяет предотвратить горизонтальное распространение malware между сегментами и ограничивает зону распространения атаки. Для червей, подобных Netya и WannaCry, достаточно заблокировать обмен smb-трафиком (порты tcp 139 и 445).

Следующий шаг – это внедрение динамической микросегментации сети. Этот режим предусматривает авторизацию каждого устройства, которое подключается к сети, и в зависимости от результатов аутентификации и авторизации применение специфических правил доступа к сетевым ресурсам. Правила аутентификации могут включать в себя имя пользователя, принадлежность к AD-группе, многофакторную аутентификацию, а авторизация – тип ОС, установленные патчи, наличие антивируса, а также тип подключаемого устройства и его состояние (мобильное устройство с root/jailbreak или нет).

Системы управления сетью и безопасностью

Во время атаки в некоторых компаниях корректно работали и реагировали на атаку системы мониторинга и сетевой безопасности, но администраторы не смогли отреагировать на атаку из-за выхода из строя рабочих мест. Во избежание подобной ситуации системы управления сетью и рабочие места администраторов следует размещать в отдельном сегменте сети (ДМЗ) с ограниченными правами сетевого доступа в этот сегмент и из него. Желательно применить правила "одностороннего" доступа (невозможность доступа из общей сети в сеть администрирования, ограниченные правила доступа из сети администрирования к общей сети). Те же правила относятся к системам хранения журнальной информации: они должны располагаться в отдельной DMZ с ограниченным доступом.

Безопасность Windows

Детальное описание построения безопасности Windows не является целью данной статьи, здесь мы приводим возможные рекомендации для повышения безопасности Windows сети.

  • Запретить SMBv1 во всей сети и на всех компьютерах. Те серверы, на которых по разным причинам должна работать SMBv1, должны располагаться в отдельных DMZ, и доступ к ним должен быть строго ограничен.
  • Запретить работу с правами локальных администраторов для пользователей. Это минимизирует последствия запуска вредоносного кода на локальных компьютерах и будет требовать дополнительных действий для того, чтобы увеличить уровень привилегий, что приводит нас к третьему пункту.
  • Администраторы домена должны управлять только доменом и AD-серверами. Запретить использование учетной записи администратора домена для управления рабочими станциями.
  • Использовать аппаратные токены для аутентификации администраторов домена.
  • Создать отдельную учетную запись без прав администратора домена, но с правами на администрирование рабочих станций. После ее использования (подключения к рабочей станции, удаленного сеанса) обязательна перезагрузка станции.
  • Для защиты от инструмента хищения паролей mimikatz применить рекомендации, описанные в статье https://jimshaver.net/2016/02/14/defending-against-mimikatz/
  • Внимательно изучить следующий документ: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory (вариант на украинском и русском языках переведен с помощью Google Translate, поэтому лучше использовать оригинал на английском).
  • Изучить рекомендации от SANS Institute https://digital-forensics.sans.org/blog/2013/06/20/overview-of-microsofts-best-practices-for-securing-active-directory. В этих рекомендациях есть ссылки на системы для управления привилегированными учетными записями, которые тоже помогают защититься от последовательного распространения и атак на привилегированные учетные записи.

Системы Endpoint Detection and Response (EDR)

EDR (по определению Gartner) или BDS (Breach Detection System по определению NSS Labs) – это новое поколение систем защиты от malware на рабочих станциях и в сети. Эти системы позволяют интерактивно отслеживать, что происходит на рабочих станциях, быстро и централизованно предпринимать меры по блокированию выполнения подозрительных файлов. EDR всегда имеют возможность отправить подозрительный файл в "песочницу" для дополнительной проверки, чтобы убедиться в его вредоносности. EDR-системы также активно используют для выявления подозрительных действий наборы индикаторов компрометации, создаваемых как централизованно, так и вручную.

Системы сбора анализа телеметрии

Системы сбора телеметрической информации предоставляют очень большое количество полезной информации об атаке. Эти данные помогают как в детектировании атаки на ранних стадиях, так и в проведении расследования. Обнаружение атаки на ранних стадиях позволяет снизить ее последствия путем принятия различных предварительных организационно-технических мер. Это может включать в себя ограничение интернет-доступа, доступа к электронной почте или временное блокирование трафика в сети.

Системы резервного копирования

Если системы резервного копирования используют стандартную инфраструктуру, есть высокая вероятность атаки и потери резервных копий. Следует пересмотреть политики резервного копирования, обеспечить офлайн-хранение некоторых критических резервных копий, а также актуализировать планы по резервному копированию и восстановлению данных с учетом возможности возникновения широкомасштабных атак, которые могут привести к полной неработоспособности IT-инфраструктуры.

Журнал Новое Время №38

Тема номера — Спецназ Кремля. Российское ГРУ превратилось в монстра с многомиллиардным бюджетом, который смешит мир нелепым поведением своих «шпионов».

Читать журнал онлайн
Ukraine-2020

Читайте срочные новости и самые интересные истории в Viber и Telegram Нового Времени.

Комментарии

1000

Правила комментирования
Показать больше комментариев
Если Вы хотите вести свой блог на сайте Новое время Бизнес, напишите, пожалуйста, письмо по адресу: kolonka@nv.ua

Эксперты ТОП-10

Читайте на НВ style

Последние новости

опрос

Погода
Погода в Киеве

влажность:

давление:

ветер: