Факты
August 10

Цифровая охота: Отслеживание LOTL в вашей сети

В рамках рекомендаций предлагаются регулярные проверки инвентаризации системы для выявления поведения злоумышленников, которое может быть пропущено журналами событий из-за некорректных конфигураций. Организациям рекомендуется включить регистрацию всех событий, связанных с безопасностью, включая действия командной строки, системные вызовы и журналы аудита на всех платформах, чтобы улучшить обнаружение вредоносной активности LOTL.

Сетевые журналы

Обнаружение LOTL-методов с помощью сетевых журналов представляет собой проблемы из-за преходящего характера сетевых артефактов и сложности распознавания вредоносной активности от легитимного поведения. В отличие от артефактов хоста, которые часто можно обнаружить, если только атакующий намеренно не удалит их, сетевые артефакты являются производными от сетевого трафика, временными и требуют надлежащей настройки систем управления событиями для их отслеживания. Без соответствующих датчиков для регистрации сетевого трафика невозможно наблюдать за активностью LOTL.

Показатели активности LOTL

Обнаружение активности LOTL включает в себя поиск набора возможных индикаторов для формирования связанных поведенческих сетевых признаков в трафике.

📌 Просмотр журналов брандмауэра: Заблокированные попытки доступа в журналах брандмауэра могут сигнализировать о компрометации, особенно в должным образом сегментированной сети. Попытки обнаружения сети и сопоставления внутри неё также могут указывать на активность LOTL. Важно различать обычное поведение инструмента управления сетью и аномальное.

📌 Исследование аномальных признаков в трафике: изучение определённых типов трафика, такие как запросы LDAP от хостов Linux, не присоединённых к домену, запросы SMB из разных сегментов сети или запросы доступа к базе данных с рабочих станций пользователей, которые должны выполняться только внешними серверами, с конечной целью отличить легитимное приложения от вредоносных запросов.

📌 Изучение журналов сетевых служб на хост-машинах: журналы таких служб, как Sysmon и IIS, на хост-машинах могут предоставить информацию о взаимодействиях веб-сервера, транзакциях FTP и других сетевых действиях. Эти журналы содержат ценный контекст и детали, которые могут быть недоступны традиционным сетевым устройствам.

📌 Объединение журналов сетевого трафика с журналами на базе хоста: этот подход позволяет включать дополнительную информацию, такую как учётная запись пользователя и сведения о процессе. Расхождения между артефактами назначения и внутри сети могут указывать на вредоносный трафик.

Журналы событий приложений, безопасности и системных событий

Системы регистрации событий по умолчанию часто не позволяют фиксировать все необходимые события, потенциально оставляя пробелы в видимости вредоносных действий. Определение приоритета журналов и источников данных, которые с большей вероятностью выявят вредоносную активность LOTL, имеет решающее значение для эффективного обнаружения и реагирования.

Журналы аутентификации

Журналы аутентификации играют важную роль в выявлении попыток несанкционированного доступа и отслеживании действий пользователей по сети. Регистрация всех операций, включая вызовы API и входы конечных пользователей, с помощью таких сервисов, как Amazon Web Services CloudTrail, Azure Activity Log и Google Cloud Audit Logs. Эти журналы могут предоставить ценную информацию о потенциальных действиях LOTL, выявляя необычные схемы доступа или попытки использования механизмов аутентификации.

Надёжная стратегия разграничения привилегий необходима для идентификации методов LOTL по журналам аутентификации. Такие практики, как ограничение доступа учётных записей администраторов домена только к контроллерам домена и использование рабочих станций привилегированного доступа (PAWs) и наличие MFA могут свести к минимуму доступ к учётным данным и усилить сегментацию сети.

Регистрация событий на хосте

Sysmon и другие инструменты регистрации хостовых событий обеспечивают детальную визуализацию системных действий о создании процессов, сетевых подключениях и изменениях файловой системы, эти инструменты с целью обнаружения и расследования подозрительных активностей и поведенческих признаков.

Установление исходных условий и обеспечение защиты журнала

Основополагающим шагом в обнаружении аномального или потенциально вредоносного поведения является установление условий запуска инструментов и событий. Это включает в себя понимание механизмов безопасности операционных систем для выявления отклонений, которые могут указывать на угрозу безопасности. Также важно полагаться на защищённые журналы, которые менее подвержены подделке злоумышленниками. Например, в то время как файлы Linux .bash_history могут быть изменены непривилегированными пользователями, журналы аудита системного уровня более безопасны и обеспечивают надёжную запись действий.

Использование Sysmon в средах Windows

Sysmon, инструмент мониторинга системы Windows, предоставляет детальную информацию о таких действиях, как создание процессов, сетевые подключения и модификации реестра. Подробное протоколирование имеет неоценимое значение для служб безопасности при поиске и выявлении случаев неправильного использования легитимных инструментов. Ключевые стратегии включают:

Использование свойства OriginalFileName для идентификации переименованных файлов, которые могут указывать на вредоносную активность (для большинства утилит Microsoft исходные имена файлов хранятся в заголовке PE).

Внедрение методов обнаружения для выявления использования утилит командной строки и скриптов, особенно использующих альтернативные потоки данных (ADS) - мониторинг определённых аргументов командной строки или синтаксиса, используемых для взаимодействия с ADS.

Стратегии обнаружения

Усовершенствование конфигураций Sysmon для анализа с упором на шаблоны, указывающие на обфускацию, может помочь выявить попытки обойти средства мониторинга безопасности, например использование управляющих символов, объединение команд и использование кодировки Base64.

Мониторинг подозрительных цепочек процессов

Мониторинг подозрительных цепочек процессов, например связанных с Microsoft Office и процессами создания скриптов, является ключевым показателем активности LOTL, т.к. приложения Office редко запускают процессы (cmd.exe, PowerShell, wscript.exe или cscript.exe).

Интеграция журналов с SIEM-системами

Интеграция журналов Sysmon с SIEM-системами с целью применения правил корреляции может значительно улучшить обнаружение атак путём автоматизации процесса обнаружения и применения аналитики для выявления сложных поведенческих моделей вредоносной активности.

Рекомендации по работе с Linux и macOS

На компьютерах с Linux использование Auditd или Sysmon и интеграция этих журналов с платформой SIEM могут значительно улучшить обнаружение аномальных действий. Для macOS использование таких инструментов, как Santa, система авторизации с открытым исходным кодом, может помочь отслеживать выполнение процессов и обнаруживать аномальное поведение производительных приложений

Просмотр Конфигураций

Регулярный анализ и обновление системных конфигураций необходимы для обеспечения того, чтобы меры безопасности оставались эффективными против возникающих угроз. Это включает проверку того, что параметры систем регистрации событий надлежащим образом настроены для сбора соответствующих данных и что средства контроля безопасности соответствуют современным передовым практикам. Организациям также следует оценить использование списков разрешений и других механизмов контроля доступа для предотвращения злоупотребление легитимными инструментами злоумышленниками.

Регулярные проверки конфигураций хостов на соответствие установленным базовым показателям необходимы для выявления признаков компрометации, и включают изменения в установленном программном обеспечении, конфигурации брандмауэра и обновления основных файлов, таких как файл Hosts, который используется для разрешения DNS. Проверки могут выявить несоответствия, которые сигнализируют о несанкционированных модификациях или присутствии вредоносного программного обеспечения.

📌 Обход стандартных журналов событий: известно, что атакующие обходят стандартные журналы событий, напрямую внося изменения в реестр для регистрации служб и запланированных задач. Такой подход не регистрируется в стандартных системных событиях, что делает его способом сокрытия активностей.

📌 Системные инвентаризационные аудиты: проведение регулярных системных инвентаризационных аудитов является упреждающей мерой для выявления поведения злоумышленников, которое могло быть пропущено журналами событий по различным причинам, а также гарантирует, что любые изменения в системе санкционированы и учтены.

Поведенческий анализ

Сравнение активности с обычным поведением пользователя позволяет говорить об обнаружении аномалий. Необычное поведение, на которое следует обратить внимание, например включает нетиповое время входа в систему, доступ вне ожидаемого рабочего графика или праздничных перерывов, быструю последовательность или большое количество попыток доступа, необычные пути доступа, одновременные входы в систему из нескольких мест.

NTDSUtil.exe и PSExec.exe

Особое внимание уделяется выявлению неправомерного использования NTDSUtil.exe и PSExec.exe инструментов, которые, хотя и являются легитимными, часто используются злоумышленниками в злонамеренных целях, например попытки сбросить учётные данные или распространяться по сети в направлении. Сосредоточив внимание на поведенческом контексте использования этих инструментов, организации могут более эффективно проводить различие между легитимными и вредоносными действиями.

Процесс эксплуатации

Обычная тактика заключается в создании теневой копии системного диска на томе, обычно с помощью vssadmin.exe с помощью таких команд, как Create Shadow /for=C:. Это действие создает моментальный снимок текущего состояния системы, включая базу данных Active Directory. После этого ntdsutil.exe используется для взаимодействия с этой копией с помощью определённой последовательности команд (ntdsutil snapshot “activate instance ntds” create quit quit). Затем злоумышленники получают доступ к теневой копии, чтобы извлечь файл ntds.dit из указанного каталога. Эта последовательность предназначена для извлечения конфиденциальных учётных данных, таких как хэшированные пароли, из Active Directory, что позволяет полностью скомпрометировать домен.

Обнаружение и реагирование

Для обнаружения такого использования и реагирования на него крайне важно понимать контекст ntdsutil.exe действий и проводить различие между легитимным административным использованием и потенциальным злонамеренным использованием. Основные источники журналов и стратегии мониторинга включают:

📌 Журналы командной строки и создания процессов: журналы безопасности (идентификатор события 4688) и журналы Sysmon (идентификатор события 1) предоставляют информацию о выполнении ntdsutil.exe команд. Необычное или нечастое использование ntdsutil.exe для создания моментальных снимков может указывать на подозрительную активность.

📌 Журналы создания файлов и доступа к ним: мониторинг событий создания файлов (идентификатор события Sysmon'а 11) и попыток доступа к конфиденциальным файлам, таким как NTDS.dit (идентификатор события 4663), могут предоставить дополнительный контекст для процесса создания моментальных снимков и доступа.

📌 Журналы использования привилегий: идентификатор события 4673 в журналах, указывающий на использование привилегированных служб, может говорить о потенциальном злоупотреблении, когда оно связано с выполнением ntdsutil.exe команд.

📌 Журналы сетевой активности и аутентификации: журналы могут содержать информацию о одновременных удалённых подключениях или передачах данных, потенциально указывая на попытки эксфильтрации данных. Журналы аутентификации также важны для идентификации исполнителя команды ntdsutil.exe и оценки того, соответствует ли использование типичному поведению администратора.

Комплексный анализ PSExec.exe

PSExec.exe, компонент пакета Microsoft PsTools, представляет собой мощную утилиту для системных администраторов, предлагающую возможность удалённого выполнения команд в сетевых системах, часто с повышенными привилегиями. Однако его универсальность также делает его излюбленным инструментом у APT-групп.

Роль PSExec.exe в киберугрозах

PSExec.exe обычно используется для удалённого администрирования и выполнения процессов в разных системах. Его способность работать с системными привилегиями делает его особенно привлекательным для вредоносного использования, например для выполнения одноразовых команд, направленных на изменение системных конфигураций, таких как удаление конфигураций прокси-порта на удалённом хосте с помощью команд типа:

"C:\pstools\psexec.exe" {REDACTED} -s cmd /c "cmd.exe /c netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=9999"

Стратегии обнаружения

Для эффективного противодействия злонамеренному использованию PSExec.exe сетевые защитники должны использовать различные журналы, которые дают представление о выполнении команд и более широком контексте операции:

📌 Журналы командной строки и создания процессов: Журналы безопасности (идентификатор события 4688) и журналы Sysmon (идентификатор события 1) полезны для отслеживания выполнения PSExec.exe и связанных с ними команд. В этих журналах подробно описывается использованная командная строка, определяющая природу и «намерения» процесса.

📌 Журналы использования привилегий и явных учётных данных: журналы безопасности Идентификатор события 4672) документируют случаи, когда новым входам в систему назначаются особые привилегии, что крайне важно, когда PsExec выполняется с переключателем -s для системных привилегий. Идентификатор события 4648 фиксирует явное использование учётных данных, указывая, когда PsExec запускается с определёнными учётными данными пользователя.

📌 Sysmon регистрирует сетевые подключения и изменения реестра: идентификатор события 3 Sysmon регистрирует сетевые подключения, что является центральным элементом функции удалённого выполнения PsExec. Идентификаторы событий 12, 13 и 14 отслеживают изменения реестра, включая удаления (Идентификатор события 14) разделов реестра, связанных с выполненной командой Netsh, предоставляя доказательства изменений конфигурации системы.

📌 Журналы аудита реестра Windows: в журналы записываются изменения разделов реестра, содержащие информацию, такую как временная метка изменений, учётная запись, под которой были внесены изменения (часто системная учётная запись из-за переключателя PsExec -s), и конкретные изменённые или удалённые значения реестра.

📌 Журналы сети и брандмауэра: анализ сетевого трафика, особенно трафика SMB, характерного для использования PsExec, и журналов брандмауэра в целевой системе может выявить подключения к общим ресурсам администрирования и изменения конфигурации сети системы. Журналы коррелируют со временем выполнения команды, предоставляя дополнительный контекст для действия.