Детектирование атак или про Bitdefender, EDR и NTA «на пальцах». Часть 3

Детектирование атак или про Bitdefender, EDR и NTA «на пальцах». Часть 3
В последней, заключительной статье, я расскажу:
  • StrongPity Attack, расширенная постоянная угроза, используемая для наблюдения за людьми.
  • Атака RDP с использованием функции в сервисе RDP в качестве метода атаки без файлов
  • Автоматическое действие NTSA, вызываемое сигналом тревоги узла TOR.
Атака StrongPity

StrongPity или Promethium – группа угроз, известная своей активностью, по крайней мере, с 2012 года. Впервые StrongPity была опубликована в октябре 2016 года с подробной информацией об атаках на пользователей в Бельгии и Италии в середине 2016 года. Позднее, в 2018 году, было обнаружено заражение турецкой телекоммуникационной компании, направленное против сотен пользователей в Турции и Сирии.


StrongPity использовала атаки Watering Hole, чтобы доставить вредоносные версии легитимных инсталляторов. К троянизированным программным пакетам относятся:

  • WinRAR,
  • TrueCrypt,
  • WinBox (utility that allows administration of Mikrotik RouterOS using a simple GUI),
  • CCleaner v 5.34,
  • Driver Booster,
  • The Opera Browser,
  • Skype,
  • The VLC Media Player v2.2.6 (32bit).
Злонамеренная версия программы устанавливает вредоносную программу StrongPityбез каких-либо явных признаков для жертвы, а затем работает так, как если бы это была стандартная неизмененная версия доверенной программы.


Эта APT-группировка имеет сильные шпионские возможности. Считается, что она используется для правительственных целей для наблюдения за населением. Основной целью является кража различных типов документов, таких как PPT, PPTX, XLS, XLSX, DOC, PDF, RTF, DOCX, PGP, DGS, TC, GPG, ASC, RMS, RJV, RAR, 7Z или TXT, а после установки черного хода в сети жертвы могут быть выполнены дополнительные инструменты и средства боевой нагрузки.


Watering Hole — это стратегия компьютерной атаки, при которой злоумышленник угадывает или наблюдает, какие веб-сайты часто использует организация, и заражает один или несколько из них вредоносным ПО. В конце концов, какой-нибудь член целевой группы заразится.


После загрузки и выполнения такого инсталлятора устанавливается бэкдор. Сначала собираются, архивируются, шифруются и отправляются на командно-контрольный сервер различные типы документов. После выполнения этой операции бэкдор ждет новых инструкций, в зависимости от важности жертвы.


Покажу на примере.


Мы установили на машине Кали фальшивый веб-сайт, который выглядит точно так же, как официальный сайт winrar из Бельгии. Единственное отличие состоит в том, что при нажатии кнопки скачивания вместо winrar вы получите пользовательский самораспаковывающийся архив. При запуске архива он тихо выгрузит различные файлы в C:UsersPublicDownloads. Среди этих файлов есть документ с вредоносным кодом (который мы обнаруживаем с помощью Hyper Detect), который, чтобы избежать обнаружения, мы опускаем на 2 части и только в конце перекомбинируем его, а также специальная программа, которую мы включили в демо-версию, которая просто показывает, что операция прошла успешно.


На Kaliзапускаю фишинговый сайт:



Далее я «иду» на этот сайт:





Скачиваю «архиватор»:



И запускаю:


Результат:



Консоль антивируса на машине оповещает нас о новых детектах:







EDR консоль подробно оповещает нас о каждом шаге:



Атака с использованием функционала RDP

Исследователи Bitdefender недавно обнаружили, что злоумышленники, злоупотребляющие функцией службы RDP, действуют в качестве безфайловой атаки и используют многофункциональный готовый инструмент для снятия отпечатков пальцев с устройств и подброса вредоносного ПО, начиная от выкупа и взломщиков криптографической валюты и заканчивая похитителями информации и буферов с данными.

Вектор атаки включает в себя Windows Remote Desktop Server. Клиент RDP имеет возможность совместно использовать букву диска на своей машине, которая действует в качестве ресурса в локальной виртуальной сети.

Злоумышленники смогли использовать разделяемый каталог в качестве очень простого механизма фильтрации данных по протоколу RDP. Используя готовый компонент, размещенный в сетевом расположении "tsclient1" (клиент терминального сервера), злоумышленники могли выполнить его (через "explorer.exe" или "cmd.exe") и использовать для загрузки дополнительного вредоносного ПО.

Компонент "worker.exe" предоставляет широкий спектр возможностей, в основном для сбора данных. Он обладает возможностями, варьирующимися от сбора системной информации:
  • Архитектуры.
  • Модели процессора и количества ядер.
  • Размера оперативной памяти.
  • Версии Windows и т. д.
  • Съемки скриншотов.
  • Сбора IP-адреса и доменного имени жертвы.
  • Получения информации о браузерах по умолчанию и конкретных открытых портах.
  • А также команд уклонения от криминалистики и детектирования.
Что касается "бесфайлового" исполнения, то это можно предотвратить, если задана определенная установка политики. Если включена политика «Не разрешать перенаправление диска», расположенная в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Службы удаленного рабочего стола» > «Хост сеанса удаленного рабочего стола» > «Переадресация устройств и ресурсов», то механизм заражения для этой атаки может быть предотвращен.

С помощью консоли GZ и функционала Risk Analytics (Аналитика Рисков) мы можем видеть проблемные зоны, в том числе и вышеупомянутую историю:



Предотвращение перенаправления привода:


На машине Windows10 откройте редактор групповой политики, перейдите к «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Службы удаленного рабочего стола» > «Хост сеанса удаленного рабочего стола» > «Перенаправление устройств и ресурсов».

Откройте политику «Do not allow drive redirection» (Не разрешать перенаправление дисков).

Убедитесь, что она включена. Если она либо не настроена, либо отключена, будет разрешен общий доступ к перенаправлению накопителей через RDP.


Автоматические действия GravityZone и NTSA

Мы можем попросить антивирус проверить определенную машинку в сети, если с помощью аналитики сетевого трафика обнаружим использование TOR.

Для этого я делаю интеграцию NTSA и GravityZone:

Настраиваю ACTION:



И проверяю результат:



В консоли NTSA вижу уведомления безопасности:



И в консоли GravityZone вижу задачу на сканирование конечно точки:



В этих статьях я постарался показать вам:
  • Различные типы угроз.
  • Как Bitdefender детектирует эти угрозы.
  • Как можно расследовать инциденты на реальных примерах атак.
  • Насколько важна совокупность разных алгоритмов обнаружения, а также инструменты анализа и реагирования.
В современном мире, полном эволюционирующих угроз, не обойтись без подобного набора инструментов и остаться защищенными. Пробуйте Bitdefender , чтобы оставаться в безопасности!
Bitdefender антивирусное решение антивирусная защита
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Bitdefender Россия

Bitdefender является производителем программных продуктов для обеспечения информационной безопасности. Решения Bitdefender защищают сотни миллионов домашних и корпоративных пользователей во всем мире. Программные средства защиты от вирусов Bitdefender распространяются через партнерскую сеть компании более чем в 100 странах.