02.02.2016

Способы выявления и анализа АРТ в финансовом секторе без специализированных решений

image

Спикер: Алексей Павлов, ведущий аналитик Solar JSOC компании Solar Security

В последнее время было написано множество статей на тему организации APT на финансовые структуры, и, наверняка, во большинстве из них присутствовала полезная информация для сотрудников служб информационной безопасности. В данной статье будет представлена методология, которой мы пользуемся в JSOC для выявления на наших клиентов атак, а также будут описаны те точки контроля, с помощью которых можно выявить данную атаку на различных этапах.

Для начала немного общего описания: основной элемент атаки – найти точку входа в инфраструктуру компании, проникнуть за периметр. Далее злоумышленник пытается всеми средствами остаться незамеченным и получить как можно больше привилегий в инфраструктуре.

Зачастую злоумышленники стараются получить доступ к контроллеру домена и привилегиям администратора. Используя различные уязвимости и действия злоумышленник получает доступ к рабочим станциям и серверам с доменном аутентификацией. Далее он распространяет свое влияние на другие системы и, в конечном счете, получает доступ к финансовому прикладу, который осуществляют операции с деньгами.

Для выявления атак на организации с точки зрения точек контроля таких действий в первую очередь интересны события следующих типов:

· Сетевые коммуникации (события построения сетевых сессий);

· Аутентификации, как доменные, так и в приложениях;

· Изменения в ключевых файлах, реестре, процессах на критичных станциях;

· Логи ключевых приложений и их баз данных.

Основной целью атак в большинстве случаев является финансовый «приклад», а способов монетизации в банковской структуре с точки зрения кражи денег у самого банка (а не у клиентов) существует несколько, здесь приведу лишь основные:

1. Модификация отчетности в ЦБ (АРМ КБР)

2. Внесение изменений в БД процессинга и вывод денег через Visa, MasterCard (Swift)

3. Модификация данных в платежных системах – анелик, western union и другие

Первый и третий вариант имеют свои ограничения, например, первый вариант зависит от расписания отправки отчетности, не осуществляется в нерабочее время и выходные дни. Третий вариант имеет существенные ограничения по количеству выводимых средств. А второй вариант можно «провернуть» в любое время дня и ночи, но процессинг, в том числе благодаря требованиям PCI DSS защищен несколько лучше от несанкционированного входа.

Теперь, когда общая картина примерно понятна, давайте перейдем непосредственно к выявлению описанных выше атак без различных систем threat prevention, а используя лишь логи со стандартных средств защиты информации и механизмы корреляции siem-системы.

Этап первый. Проникновение в инфраструктуру.

и здесь существуют различные варианты:

1. Социальная инженерия – наиболее популярное средство – это отправка вредоносных писем, ссылок на сайты с вредоносным ПО. Инструментами могут быть как личные, так и корпоративные почтовые ящики, социальные сети и средства общения (напр. Skype).

2. Ковровое бомбометание, которое относится не совсем к APT, но перерастает в таргетированную атаку на организацию, в первую очередь, конечно же, банки. Под этим термином я понимаю создание и распространение вирусов, не детектируемых антивирусным ПО, в глобальном Интернете. За счет массовости распространения заражаются такими вредоносными программами десятки и сотни тысяч хостов, в том числе, сотрудников финансовых организаций

3. Использование уязвимостей, в том числе нулевого дня, на периметровых компонентах: веб-сайтах, различных приложениях.

4. Использование штатных механизмов передачи данных в организацию для нелегитимных действий. Здесь могу привести в пример заражения анкеты заявки на кредит в виде pdf-формы. Такой файл без проблем пройдет web application firewall и поступит в обработку кредитному специалисту, то есть попадет в инфраструктуру.

5. Хищение данных пользователя на доступ по VPN любых других средств удаленного администрирования.

Индикаторы:

1. При получении письма с вредоносным содержимым может контролироваться на уровне срабатываний почтового антивируса, входящих писем с опасным по мнению репутационных баз хостов и по последующей активности на рабочей станции, о которых я расскажу далее

2. При попадании вредоноса в инфраструктуру через действия сотрудников компании (скачивание псевдополезного ПО, различных файлов или входы на зараженные сайты) точками контроля могут являться репутационные базы, в которых содержатся списки опасных ip-адресов, url

3. Ярким примером использования уязвимостей является shellshock. Проэксплуатировав уязвимость атакующий имеет возможность выполнить, например, произвользую команду, благодаря которой «подсаживает» бота и осуществляет дальнейшее распространение по инфраструктуре. Потенциальной точкой контроля являются сигнатуры IPS (если стоит в разрыв в режиме блокировки – прекрасно, дальнейших действий не требуется), а также логи с веб-сервера, где видны конкретные запросы. Таким образом даже в отсутствие ips и патчей на уязвимый ресурс, можно настроить корреляционное правило, детектирующее определенные запросы на сайт. Это актуально в момент появления новых типов уязвимостей в отсутствии обновления сигнатур на IPS или WAF.

4. Проникновение с использованием штатных механизмов передачи данных – наименее обнаружаемый кейс. В случае налаженного процесса получения кредитных анкет в виде pdf-файлов, получение такого файла с zero-day вирусом никаким образом обнаружить на «подступах» не удастся.

5. При компрометации учетных данных vpn точкой контроля является новый ip-адрес, а в том случае, если геолокация не совпадает с местонахождением сотрудника, шансы на false positive уменьшаются в разы.

В JSOC используются репутационные базы различных вендоров – websense, arbor, Kaspersky, group-ib, malwaredomainlist и других. С точки зрения западных практик – чем больше фидов (от англ. feeds) агрегируется компанией – тем лучше, и, несмотря на большое количество ложных срабатываний, каждый инцидент необходимо расследовать со всей тщательностью.

Этап второй. Обустройство. Первые шаги.

Когда злоумышленник оказался в инфраструктуре, основная его цель – закрепиться и добраться до ключевых машин, которыми на первом этапе являются различные сотрудники, администрирующие (или эксплуатирующие с повышенными привилегиями) финансовые приложения и сервисы компании, такие как АБС, АРМ КБР, базы данных процессинга, ДБО и прочее.

Если вирус оказался в инфраструктуре, ему необходимо отправить информацию на управляющий центр и получить дальнейшие команды. Доступ на сайт, скачивание ПО и его запуск, получение письма с вредоносным вложением и его запуск, либо открытие зараженного документа вызывает срабатывание триггера на запуск нелегитимного процесса. Здесь конечно же есть определенные сложности с профилированием таких процессов – обновления многих приложений используют папку temp, в том числе и windows обновления. Вторая сложность – подключение всех хостов на уровне локальных логов в siem-систему. Обычно подключаются самые критичные, поэтому данные индикаторы не всегда актуальны.

Но то, что применимо для всех – это дальнейшее обращение вредоносов к управляющим серверам для получения команд. Здесь снова вступают в силу репутационные базы, которые по логам пограничных межсетевых экранов или прокси-серверов выявляют такие обращения.

Расширение влияния начинается с повышения привилегий на скомпрометированной рабочей станции и подкачки дополнительных модулей, например, средств удаленного администрирования.

Использование средств удаленного администрирования фиксируются несколькими способами:

· Обращение к серверам средств удаленного администрирования (teamviewer, ammyyadmin и др.), что фиксируется либо категоризацией прокси-серверов (таких, например, как bluecoat), либо подтягивается из базы знаний о таких серверах. В JSOC присутствует данная база, пополняемая как посредством штатных категоризаций прокси-серверов, так и собственными силами при расследовании инцидентов у наших клиентов;

· Срабатывание по портам на пограничных сетевых устройствах. В таких случаях необходим анализ сетевой трафик, так как часто возникают FP при использовании skype, torrent и других активных, с точки зрения сетевого трафика, приложений;

· Запуск процессов на хостах. Это наиболее редко встречающийся кейс, так как подключаются обычно лишь ключевые системы, а не все рабочие станции клиентов.

Для расширения влияния, в рамках атаки, используется множество различных способов. Ниже я приведу наиболее популярные:

1. Рассылка писем с вредоносами внутри организации с целью заражения ключевых рабочих станций. Точка контроля - фиксация инцидента о массовой рассылке писем (аномальная статистика)

2. Сканирование хостов-портов (особенно административных) внутри периметра. Целью этого – осмотреться в инфраструктуре, понять, куда дальше двигаться. Фиксируется данный инцидент, если между сканируемыми подсетями есть межсетевые экраны, тогда попытки доступа на административные порты разных хостов или множественные попытки доступа на один хост могут фиксироваться, как сканирование. Так же возможен брутфорс учетных данных как на уровне домена, так и ключевого приложения.

3. В случае использования vpn возникает еще несколько точек контроля:

a. Дальнейшая попытка аутентификации на тех машинах, которые не входят в профиль подключения пользователя

b. Различие в аутентификационных данных на уровне vpn и ОС

c. Попытки брутфорса учетных данных

Один из недавних примеров – Заказчик хотел реализовать требования sox-compliance закупив logger, но в итоге было принято решение об использовании логгера в целях безопасности. Благодаря новым возможностям логгера по сопоставлению списков (lookup files) было обнаружено несколько машин, зараженных вредоносом meteit. Причем заказчик жаловался на постоянные глобальные сбои в работе сразу нескольких (иногда десятков) рабочих станциях, включая перезагрузки и сбои. Далее – все как по учебнику, все IOC (Indicators of compromise) были найдены в определенных директориях, ветках реестра и процессах и удалены. Callback`и закончились. Так что даже минимальными вложениями, с помощью логгера реально осуществить проверку простейших вещей – сетевых IOC. Помимо этого, конечно же, существуют и другие возможности (например, выявление активностей из-под заблокированных учеток, события брутфорса и пр.)

Этап третий. Заражение ключевых машин.

Попадание злоумышленника на критичные машины можно фиксировать следующими точками контроля:

1. Став администратором домена злоумышленник получает доступ к любой учетной записи и машине сотрудника. Индикаторами здесь являются сбросы паролей для критичных УЗ, активность пользователей в нерабочее время, создание и удаление учеток в течение короткого промежутка времени, внесение изменений в критичные файлы операционной системы на КД. Последний сценарий позволяет выявить такие уязвимости, как skeleton key, который вносит изменения в библиотеки windows и позволяет делать скрытые параллельные сессии под любым пользователем домена в любой системе с доменной аутентификацией, не зная паролей.

2. Если злоумышленник получил права привилегированного пользователя в домене– скорее всего в рамках его активностей будет наблюдаться значительное отклонение от профиля нормальной активности администратора. Как по сетевой активности (аутентификация и действия с рабочих станций других пользователей), так и по доступу в системы с доменной аутентификацией. Так же часто возникают несоответствия учетных данных – различия при аутентификации в приложении и домене, на vpn и в домене и прочее.

3. В рамках активности злоумышленника на рабочих станциях критичных пользователей, вероятно, будут наблюдаться установки keylogger`ов (запуск нелегитимных процессов), установка скрытых remoteadmintools, модификации реестра.

Этап четвертый. Поход за деньгами

Критически важный сегмент обычно отделен межсетевыми экранами и доступ к нему осуществляется через терминальные сервера и с определенных компьютеров. За критичным сегментом, ровно как и терминальным сервером, а так же межсегментным сетевым оборудованием контроль должен осуществляться в обязательном порядке. Вот наиболее часто срабатывающие сценарии:

Сетевой кусок:

· Отклонения от профиля пользователей при подключении к продуктивному сегменту (временной профиль, качественный)

· изменение acl межсетевых экранов

· Подключения с неразрешенных хостов на неразрешенные порты

Инфраструктурный:

· Терминальный сервер

o факт использования различных учетных данных при доменной аутентификации и входе на терминальный сервер. Это же относится к любому другому различию учетных данных: vpn-домен, домен-приложение, терминальный сервер-база данных и пр.;

o факт доступа на терминальный сервер в нерабочее время с нетипичного хоста;

o брутфорсы;

· Целевые системы:

o остановка либо запуск процессов на критичных хостах, контроль файлов, реестре

o попытки подключения к бд под технологическими уз, либо с использованием неразрешенной утилиты

o модификация ключевых значений таблиц напрямую

· Отчетность ЦБ:

o фиксация нелегитимного доступа к папке обмена отчетностью с ЦБ

Для успешной фиксации инцидентов и расширения точек контроля аналитики JSOC проводят предварительное обследование инфраструктуры и бизнес-процессов клиентов, выделяют критичную информацию и сотрудников, а также реализуют профилирование как сетевых, так и локальных активностей в качественном и количественном выражении по критичным сотрудникам и системам.

Одним из основных процессов в рамках выявления инцидентов информационной безопасности в компаниях является оперативное наполнение точек контроля специалистами JSOC на основе обмена опытом с партнерами компании, и за счет процессов «перекрестного опыления» и расширение списка репутационных баз, агрегируемых JSOC.