- Бу! Испугался? Не бойся! Я всего лишь «тень». Я тут тихонько пролезу к вам в инфраструктуру, вы меня даже не заметите.
- Не все так просто, малоуважаемая «тень»!
Одним пятничным вечером компонент F.A.C.C.T. MXDR — EDR, решение для защиты конечных точек, зафиксировал необычное поведение на сервере пилотируемого проекта.
Сотрудники Центра кибербезопасности F.A.C.C.T. предварительно проанализировали события, далее был сформирован инцидент. Следующее исследование помогло обнаружить интересные детали, свидетельствующие об активной стадии проведения управляемой человеком атаки. В последствии оказалось, что атаку осуществляла уже известная по прошлым громким инцидентам группировка киберпреступников — Shadow (Comet, DarkStar) / Twelve.
Анализ событий свидетельствовал, что с помощью стандартного модуля PowerShell — BitsTransfer киберпреступники пытались загрузить скрипт 005.ps1 с веб-ресурса с доменным именем connect[.]otherliveupdate[.]com в папку C:\Users\public под названием intel.ps1. Все зафиксированные попытки загрузить и запустить скрипт оказались неуспешными.
Неуспешные попытки загрузки и исполнения сценария .PS1 с удаленного ресурса.
Далее анализ инцидента был разделен на два параллельных этапа:
- Анализ поведения, в контексте которого пытались загрузить скрипт.
- Анализ скрипта и сетевой инфраструктуры, с которого грузили скрипт.
Аналитики провели сетевую изоляцию скомпрометированного сервера от локальной и глобальной сети. В результате изоляции получилось сбросить активную RDP-сессию злоумышленников, затем локальная учетная запись преступников была удалена со скомпрометированного сервера. Использование доменной учетной записи злоумышленниками для создания локальных учетных записей свидетельствовало о том, что они уже получили достаточно прав для горизонтального перемещения. Следовательно, были инициированы мероприятия по развертыванию EDR-агентов в остальных сегментах сети организации.
После оперативного согласования с клиентом были инициированы мероприятия по нейтрализации угроз, который состоял из:
- Обнаружения каналов управления злоумышленников.
- Выявления всех скомпрометированных хостов.
- Выявления информации, скомпрометированной злоумышленниками.
- Выявления вектора первоначальной компрометации.
Параллельно обеспечивался непрерывный мониторинг и реагирование в режиме 24/7, проводилась изоляция скомпрометированных хостов, выявляемых в том числе по новым индикаторам.
Данными совместными мероприятиями, в отличии от традиционного подхода к реагированию, удалось реализовать эффективную стратегию по оперативному устранению последствий компрометации и восстановлению инфраструктуры, предотвратив реализацию атаки.
Скомпрометированный сервер был изолирован от сети. Специалисты удалили локальную учетную запись злоумышленников.
За последние два года количество атак на российские компании со стороны опытных киберпреступных группировок сильно выросло. Практика показывает, что:
необходимо использовать комплексный подход, который позволит защитить от различных векторов совершения атак и устранить проблемы инфраструктуры до того, как ими воспользуются злоумышленники. Выявление и устранение киберугроз могут обеспечить решения класса XDR с возможностями оперативного и управляемого реагирования.
Листая дальше, вы перейдёте на facct.ru