1. Введение
4. Шаг 2. Получение первичного доступа
5. Шаг 3. Сбор дополнительной информации
6. Шаг 4. Финал
7. Заключение
Введение
Предотвратить проникновение злоумышленника, сделать периметр организации неприступной крепостью – именно такие задачи чаще всего ставятся перед подразделениями ИБ. По многим объективным причинам это не работает на 100%. Периодически всплывают громкие скандалы со взломом крупных компаний, например, кибератака на SolarWinds в результате которой пострадали многие ИТ компании, среди которых были даже производители средств защиты информации. Пандемия неожиданно принесла еще один сюрприз в виде размытия периметра. Организации, вынужденно отпустив своих сотрудников во время локдаунов на удаленку, зачастую, решили сохранить данный режим работы или же сделать смешанный режим. Конечно, контролировать периметр, когда множество девайсов появляется и исчезает уже внутри инфраструктуры становится значительно сложнее.
Если компаниям уже нельзя значительно повысить сложность проникновения злоумышленника в инфраструктуру организации, то можно повысить скорость выявление злоумышленника внутри этой инфраструктуры.
Согласно исследованиям в 100% случаев, если атакующий проник в инфраструктуру организации, то атака заканчиваются достижением цели атакующих.
Почему так происходит?
Потому что атаку не смогли вовремя обнаружить.
Что делать в такой ситуации?
Для начала нарастить инструментарий для выявления того, чего не должно быть в инфраструктуре.
Одним из классов систем, которые значительно ускоряют выявление злоумышленника, являются Deception системы. Для тех, кто еще не успел познакомиться с этим классом решений, напомню, Deception системы — это комбинация серверов-ловушек, способов обмана злоумышленника и подталкивания его на взаимодействие с серверами-ловушек, которые детектируют любое взаимодействие с ними. Именно способ «подталкивания» злоумышленника к взаимодействию и является отличительной (и, наверное, самой важной) чертой разных Deception систем от honeypot. Обман обычно сводится к двум способам:
-
создание ложных сетевых узлов с различными сервисами;
-
размещение на узлах данных, которые ведут злоумышленника на взаимодействие с trap-сервером (сервер ловушка). Именно те системы, которые комбинируют два этих подхода и являются наиболее действенными.
Дано:
- Домен, внутри которого несколько АРМ и серверов.
- Злоумышленник, имеющий сетевой доступ к домену и АРМ, но без каких-то известных учетных записей в инфраструктуре.
- Развернутый Xello Deception:
· на конечных устройствах учетные записи настоящие, пароли ложные (легко подобрать). В рамках нашего примера ограничимся только настоящими учетными записями (Dexem-приманки в терминологии вендора). Кроме действующих УЗ можно еще создавать ложные записи (которые есть только локально и не существуют в AD) и отключенные учетные записи.
· Созданы DNS-алиасы, ведущие на сенсоры Xello (trap-серверы)
· Созданы сервера сенсоры xello (trap-серверы)
Типичный случай
Представим ситуацию, что злоумышленники смогли подключить к внутренней сети через одноплатный компьютер с удаленным доступом (подкуп-шантаж или просто обиженный сотрудник решил оставить свой след в истории – не важно для нашего случая). Если вам ближе истории про социальную инженерию, прокрутите статью до шага 3 и представьте, что хакер сразу получил доступ к АРМ.
Одно из первых действий, которые делает злоумышленник это разведка. Это может быть как безобидный пинг, так и полноценное сканирование.
Часто в ходе разведки удается найти учетные данные в исходных кодах внутренних веб-приложений, внутренних инструкций, регламентах, логах отладки и т.д. все это может содержать данные полезные для злоумышленника. Именно поэтому одно из первых возможных действий типичного злоумышленника сканирование открытых сетевых директорий.
Договоримся, что листинг команд мы обрежем для экономии «бумаги» и будем подводить итоги сами. Злоумышленник общедоступных сетевых директорий не нашел, подписывание SMB включено и NTLM-релей не пройдет. Есть список стандартных портов unix и windows машин.
Пока злоумышленник думает, что лучше проверит следующим, посмотрим, что уже видно со стороны Xello. А там, красота!