GROUP-IB.RU Целенаправленные атаки без специальных вредоносных программ
GROUP-IB.RU
Целенаправленные атаки без специальных вредоносных программ
Страх – двигатель торговли
GROUP-IB.RU 2
Как выглядит управление этим ПО
GROUP-IB.RU 3
GROUP-IB.RU 4
Как выглядит управление этим ПО
Специальные программы? Для чего?
GROUP-IB.RU 5
МИНУСЫ
• Малозаметны до первого публичного разбора инцидента
• Удобны и просты в использовании• Можно передавать малоопытным
атакующим
Специальные трояны
ПЛЮСЫ
• Инвестиции в разработку• Высокая себестоимость• Быстро становится известным• Зависимость от разработчиков• «Легко» детектить с помощью спец. средств
защиты• Привлекает повышенное внимание• Простая атрибуция инцидентов• Упрощает процесс расследования
————————————————————
МИНУСЫ
• Нельзя отслеживать атаки• Сложно связывать инциденты• Меньше следов для расследования• Сложно задетектировать в локальной
сети
Без специальных троянов
ПЛЮСЫ
• Нужна высокая квалификация• Много ручной работы• Сложно атаковать несколько целей
одновременно
————————————————————
Атак без специальных троянов станет больше. Инструменты уже доступны, они эффективны.
4 шага к успеху
GROUP-IB.RU 6
ПроникновениеГлавное получить доступ к любом узлу во внутренней сети. Метод получения доступа и тип доступа не имеет большого значения. В подавляющем большинстве случае используют Phishing.
—————Получение привилегийПолучение максимально возможного уровня доступа в сети. Как правило это доступ на уровне администратора домена.
—————
Поиск целейПоиск систем и данных ради которых проводится атака. Поиск людей с легальным доступом, к интересующим системам.
—————Работа с даннымиРабота с системами и данными так же как и легальный пользователь: с их рабочих мест, с их привилегиями, в их рабочее время и т.д.
—————
Для успешного проведения атаки надо сделать 4 шага
Проникновение
GROUP-IB.RU 7
Фишинг: Архивы с исполняемыми файлами (.SCR, .EXE, .CPL)
ШОС2015.rar• Архив «ШОС2015.scr» с иконкой документа MS Word• «ШОС2015.scr» - самораспаковывающийся SFX
архив• В архиве троян RAT PlugX
Проникновение
GROUP-IB.RU 8
Фишинг: Документы с эксплойтом
2015.12.11_сроки СГГ 2015 в Уфе.doc.doc • doc – на самом деле веб архив MHT• Расширение «.doc», чтобы документ открывался MS
Word• Эксплуатация уязвимости CVE-2012-0158• Эксплойт создаст пустой файл «%TEMP%\~$.doc»• и «%TEMP%\DWexe» - самораспаковывающийся SFX
архив• В архиве троян RAT PlugX
Проникновение
GROUP-IB.RU 9
Фишинг: Документы с макросами
Проникновение
GROUP-IB.RU 10
Фишинг: Документы с макросами
Must know! Must have!
GROUP-IB.RU 11
Mimikatzmimikatz позволяет извлекать учётные данные Windows из LSA в открытом виде, из памяти работающей ОС. Локальный пользователь может прочитать пароли пользователей, авторизованных на системе. Для успешной эксплуатации уязвимости злоумышленник должен иметь возможность присоединить библиотеку к процессу lsass.exe.Существует с 2012 года.
Кейс #1
GROUP-IB.RU 12
Атакуемая инфраструктура:‒ Множество удаленных офисов‒ Сеть объединена по MPLS‒ Для удаленных сотрудников VPN‒ Единый доступ в Internet‒ SIEM‒ DLP‒ AV‒ Firewall‒ IPS‒ Контроль целостности‒ Microsoft System Center Configuration
Manager
Цель: руководство одного из крупнейших холдингов в России.На протяжении нескольких месяцев атакующих имел полный доступ к корпоративной сети, к каждом пользователю и каждому компьютеру.
Не использовалось ни одной специальной вредоносной программы!————————————————————
Кейс #1
GROUP-IB.RU 13
Доступ в корпоративную сеть
Что использовал:‒ Для удаленных сотрудников VPN‒ Single Sign-On‒ RDP servers‒ Разные корпоративные учетные записи
————————————————————
Как использовал:‒ Для доступа по VPN одну группу учетных
записей‒ C VPN подключался на RDP с другой
учетной записью‒ C RDP подключался на другой RDP или WS с
еще одной учетной записью‒ Внутренние RDP серверы постоянно
меняютсяПроблема:‒ Отследить источник и момент подключений
Кейс #1
GROUP-IB.RU 14
Получение привилегий
Доступ по RDP к серверу для дальнейшей работыС помощью psexec подключался к другим серверамНа эти серверы копировал исполняемый файлИсполняемый файл создавал временные каталоги и bat-файл
bat-файл копировал procdump.exe на заранее подготовленный список внутренних серверовСоздавался Scheduled Task на создание дампа lsass.exe с помощью procdump.exe и локальным сохранениемДампы процессов собирались отдельным таскомС помощью Mimikatz из дампов lsass.exe восстанавливались пароли от доменных учетных записей
Кейс #1
GROUP-IB.RU 15
Поиск целей
Определение рабочих мест руководителей:‒ Рабочих станций‒ Рабочих и личных ноутбуков‒ Систем с которыми они работают
Определение всех учетных записей руководителей:‒ Доменные учетные записи‒ Локальные учетные записи‒ Учетные записи систем с отдельно авторизацией
Кейс #1
GROUP-IB.RU 16
Работа с данными
Нашел DLP сервер
На интересующие WS поставил DLP-агент
Служба ИБ обнаружила установку агентов, на компьютерах руководителейИспользуя полученный дистрибутив поднял свой DLP сервер прямо в локальной сети
Кейс #1
GROUP-IB.RU 17
Работа с данными
На ноутбуки руководителей поставил MicSpy++При старте ОС звук писался каждый 10 минут
Записанные аудио файлы сохранялись локально
Периодически записи забирались и каталог очищался
Кейс #1
GROUP-IB.RU 18
Работа с данными
Все руководители использовали OWA
Используя доменные учетные читал переписку интересующих его людей без сложно схемы подключения описанной ранее
Кейс #1
GROUP-IB.RU 19
Противостояние
Действия службы ИБ——————————————
Противодействие атакующего————————————————————
Развертывание своего сервера DLP в сетиЗакрытие доступа к серверу DLP
Смена паролей от доменных учетных записей
Создание дампов lsass.exe на почтовом сервер, куда подключались все пользователи
Идентификация его IP (VPN) и блокировка с них доступа к OWA и установление логинов для которых надо сменить пароль
Переход на новые VPN+TOR, потом +SOCKS проски
Переход с OWA на OMA
Когда понял что его отслеживают с помощью анализа логов внутреннего прокси, начал просто удалять логи прокси
Вы не можете:• требовать у руководства постоянно менять
пароль • отключить удаленный доступ тоже не можетеИначе: Вас уволят!
GROUP-IB.RU 20
Инструментарий:‒ Cisco VPN клиент‒ RDP клиент‒ Корпоративная DLP‒ Outlook Web Access‒ Outlook Mobile Access‒ procdump‒ Psexec‒ Mimikatz‒ bat scripts‒ MicSpy++
Цель: руководство одного из крупнейших холдингов в России.На протяжении нескольких месяцев атакующих имел полный доступ к корпоративной сети, к каждом пользователю и каждому компьютеру.
Не использовалось ни одной специальной вредоносной программы!
Кейс #1
Затраты:‒ Аренда VPN серверов‒ Аренда SOCK прокси‒ Все остальное бесплатно!
GROUP-IB.RU 21
Кейс #2
Компрометация домена с помощью групповых политикРаботает только начиная с серверов Windows Server 2008 если в групповых политиках в Preferences была настройка монтирования шар, принтеров или других схожих задач.
Получение доступа на любой доменный компьютерПоиск контроллера домена с открытым каталогом SysvolПроверка наличия файла групповых политик\\[server_name]\sysvol\[domain_name]\Policies\[group_policy_name]\Machine\Preferences\Groups\Groups.xmlИзвлечение логина и зашифрованного AES-256 пароляРасшифровка пароляДекодируем Base64Расшифровываем пароль используя ключ: 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b
GROUP-IB.RU 22
Кейс #3
Распространение по локальной сетиЧем больше в сети заражено компьютеров, тем быстрее будет происходить заражение остальных станций.
Заражаем любой хост
По аналогии с Mimikatz извлекаем логины и паролиСканируем сеть на наличие объекта mailslotЕсли объект есть, то компьютер уже зараженЕсли объекта нет, то продолжаем работуЗаливаем на соседний компьютер файл подключаясь к шарам «\ADMIN$», «\ipc$», «\C$» с использование извлеченных логинов/паролейСоздается службаКоторая запускает залитый файл и удаляетсяЗапускается основной модульКоторый помещается в память, удаляет все следы с диска и запускает всю процедуру заново
Электронная почта
GROUP-IB.RU
Телефон
+7 495 984-33-64
Сайт
www.group-ib.ruFacebook
facebook.com/group-ibTwitter
twitter.com/groupib