Кібербезпека: гра на випередження

0 коментувати
Для захисту від кібератак треба міняти підхід до безпеки

27 червня 2017 року Україна зазнала масованої кібератаки під виглядом програми-здирника. У процесі атаки з ладу було виведено сотні тисяч комп'ютерів, що призвело до часткового або повного зупинення діяльності декількох банків, великих підприємств і тисяч менших за рангом компаній. Наслідки атаки відчуваються досі: багато підприємств ще займаються відновленням своєї інфраструктури.

Підрозділ кібербезпеки Cisco Talos ідентифікував нову шкідливу програму, як Netya. Ця атака використовувала методи шифрування диска з програми-здирника річної давнини Petya.A. Незважаючи на схожі методи, це — дві різні програми. Ключова відмінність полягає в тому, що Netya не є вимагачем, незважаючи на функціонал шифрування. За підтвердженими даними, жертви, які заплатили за ключ, так його і не отримали. Аналіз коду показує, а використовувані способи зв'язку (відкрита поштова скринька) дозволяють припустити, що основною метою цієї атаки була не оплата, а вихід з ладу інфраструктури.

Початковий вектор атаки вдалося успішно ідентифікувати. Згідно з отриманими даними, її основним джерелом стали сервери оновлень відомого бухгалтерського ПЗ M.E.Doc (www.me-doc.com.ua), компрометація яких призвела до можливості автоматичного завантаження шкідливої програми за допомогою системи оновлень M.E.Doc і подальшого розповсюдження по мережі шкідливих дій. Для поширення мережею Netya використовував чотири методи. Два з них пов'язані із застосуванням експлойтів EthernalBlue і EthernalRomance (MS17-010), інші два — методи поширення за допомогою легітимних системних інструментів Windows. Windows Management Instrumentation (WMI) й утиліта Sysinternals PsExec були основними інструментами швидкого поширення шкідливого ПЗ мережею.

Для поширення за допомогою WMI/PsExec необхідні адміністраторські облікові записи, які шкідливе ПЗ отримувало завдяки модифікації популярної opensource-утиліти mimikatz, яка використовується для отримання облікових даних користувачів із пам'яті та подальшого запуску WMI/PsExec-команд на віддалених комп'ютерах за допомогою цих облікових записів. Детальний розбір malware можна побачити в нашому блозі.

Розбір атаки від Talos

Зв'язок M.E.Doc з атакою

Як захиститися

Злочинці дуже винахідливі, вони завжди розшукують нові способи проникнення всередину мережі й розкрадання облікових даних, тому повністю захиститися від них надзвичайно складно та дорого. Але використовуючи набір організаційних і технічних заходів, можна зменшити наслідки атаки до рівня незначного інциденту.

Організаційні заходи

Для ефективного захисту від сучасних загроз треба використовувати комплексний підхід. Тільки об'єднання певних інструментів і підходів може дати необхідний ефект. Для розробки стратегії побудови комплексної системи інформаційної безпеки (ІБ) ми рекомендуємо використовувати документ, запропонований NIST — NIST Framework for Improving Critical Infrastructure Cybersecurity і The CIS Critical Security Controls for Effective Cyber Defense. У додатку можна знайти посилання на відповідні документи.

Сегментація мережі

Як показали перші результати наших розслідувань, ті компанії, в яких були впроваджені коректні правила сегментації мережі, або практично не постраждали, або постраждали мінімально. Сегментація — це досить потужний інструмент, який дає можливість обмежити доступ до важливої інформації та дозволити його лише для тих співробітників, програм та пристроїв, яким він потрібен. З іншого боку, вона обмежує можливості зловмисника з пошуку й атаки необхідних йому ресурсів. Сегментація може включати в себе поділ мережі на різні сегменти (по філіях, підрозділах, відділах) і обмеження обміну трафіком між цими сегментами. Це дозволяє запобігти горизонтальному поширенню malware між сегментами й обмежує зону поширення атаки. Для хробаків, подібних до Netya і WannaCry, досить заблокувати обмін smb-трафіком (порти tcp 139 та 445).

Наступний крок — це впровадження динамічної мікросегментації мережі. Цей режим передбачає авторизацію кожного пристрою, що підключається до мережі, і залежно від результатів аутентифікації та авторизації — застосування специфічних правил доступу до мережевих ресурсів. Правила аутентифікації можуть включати в себе ім'я користувача, належність до AD-групи, багатофакторну аутентифікацію, а авторизація — тип ОС, встановлені патчі, наявність антивірусу, а також тип пристрою, що підключається, та його стан (мобільний пристрій з root/jailbreak чи ні).

Системи управління мережею та безпекою

Під час атаки в деяких компаніях коректно працювали і реагували на атаку системи моніторингу та мережевої безпеки, але адміністратори не змогли відреагувати на атаку через вихід із ладу робочих місць. Щоб уникнути подібної ситуації, системи управління мережею та робочі місця адміністраторів слід розміщувати в окремому сегменті мережі (DMZ) із обмеженими правами мережевого доступу до цього сегмента і з нього. Бажано застосувати правила «однобічного» доступу (неможливість доступу із загальної мережі до мережі адміністрування, обмежені правила доступу з мережі адміністрування до загальної мережі). Такі самі правила стосуються і систем зберігання журнальної інформації: вони повинні розташовуватися в окремій DMZ з обмеженим доступом.

Безпека Windows

Детальний опис побудови безпеки Windows не є метою даної статті, ми лише наведемо можливі рекомендації для підвищення безпеки мережі Windows:

  • Заборонити SMBv1 у всій мережі та на всіх комп'ютерах. Ті сервери, на яких із різних причин має працювати SMBv1, повинні розташовуватися в окремих DMZ, і доступ до них має бути суворо обмежений.
  • Заборонити роботу з правами локальних адміністраторів для користувачів. Це мінімізує наслідки запуску шкідливого коду на локальних комп'ютерах і вимагатиме додаткових дій для того, щоб збільшити рівень привілеїв, що приводить нас до наступного пункту.
  • Адміністратори домену повинні керувати лише доменом і AD-серверами. Заборонити використання облікового запису адміністратора домену для управління робочими станціями.
  • Використовувати апаратні токени для аутентифікації адміністраторів домену.
  • Створити окремий обліковий запис без прав адміністратора домена, але з правами на адміністрування робочих станцій. Після його використання (підключення до робочої станції, віддаленого сеансу) - обов'язкове перезавантаження станції.
  • Для захисту від інструменту розкрадання паролів mimikatz застосувати рекомендації, описані в статті https://jimshaver.net/2016/02/14/defending-against-mimikatz/
  • Уважно вивчити наступний документ: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory (варіант українською та російською мовами перекладений за допомогою Google Translate, тому краще використовувати оригінал англійською).
  • Вивчити рекомендації від SANS Institute https://digital-forensics.sans.org/blog/2013/06/20/overview-of-microsofts-best-practices-for-securing-active-directory. У цих рекомендаціях є посилання на системи для управління привілейованими обліковими записами, які теж допомагають захиститися від послідовного поширення і атак на привілейовані облікові записи.

Системи Endpoint Detection and Response (EDR)

EDR (за визначенням Gartner) або BDS (Breach Detection System за визначенням NSS Labs) — це нове покоління систем захисту від malware на робочих станціях і в мережі. Ці системи дозволяють інтерактивно відстежувати, що відбувається на робочих станціях, швидко й централізовано вживати заходів щодо блокування виконання підозрілих файлів. EDR завжди мають можливість відправити підозрілий файл у «пісочницю» для додаткової перевірки, щоб переконатися в його шкідливості. Для виявлення підозрілих дій EDR-системи також активно використовують набори індикаторів компрометації, створюваних як централізовано, так і вручну.

Системи збору аналізу телеметрії

Системи збору телеметричних даних надають дуже велику кількість корисної інформації про атаку. Ці відомості допомагають як у детектуванні атаки на ранніх стадіях, так і в проведенні розслідування. Виявлення атаки на ранніх стадіях дозволяє знизити її наслідки шляхом прийняття попередніх організаційно-технічних заходів. Це може включати в себе обмеження інтернет-доступу, доступу до електронної пошти або тимчасове блокування трафіку в мережі.

Системи резервного копіювання

Якщо системи резервного копіювання використовують стандартну інфраструктуру, є висока ймовірність атаки та втрати резервних копій. Слід переглянути політики резервного копіювання, забезпечити офлайн-зберігання деяких критичних резервних копій, а також актуалізувати плани щодо створення резервної копії та відновлення даних з урахуванням можливості виникнення широкомасштабних атак, які можуть призвести до повної непрацездатності IT-інфраструктури.


Читайте термінові новини та найцікавіші історії у Viber та Telegram Нового Времени.

Коментарі

1000

Правила коментування
Показати більше коментарів
Якщо Ви бажаєте вести свій блог на сайті Новое время Бізнес, напишіть, будь ласка, листа за адресою: kolonka@nv.ua

Експерти ТОП-10

Читайте на НВ style

Останні новини

опитування

Погода
Погода в Киеве

влажность:

давление:

ветер: