Trusted Relationship Attack: доверяй, но проверяй

Российский рынок IT-аутсорсинга, как и мировой, продолжает демонстрировать уверенный рост — сервисные услуги пользуются все большей популярностью. Но вместе с преимуществами, такими как экономия времени и ресурсов, делегирование непрофильных задач создает новые вызовы в сфере информационной безопасности. Так, предоставляя доступ сторонним компаниям (поставщикам услуг или подрядчикам) в свою инфраструктуру, бизнес увеличивает риски возникновения атак через доверительные отношения (Trusted Relationship Attack, по классификации MITRE ATT&CK — T1199).

В 2023 году кибератаки через доверительные отношения вошли в тройку наиболее часто используемых векторов. В ходе таких атак злоумышленники сперва получают доступ к сети поставщика услуг, а затем, если удается скомпрометировать действующие учетные данные для подключения к сети целевой организации, проникают в ее инфраструктуру. В большинстве случаев подрядчики — это представители малого и среднего бизнеса, которые менее защищены, чем крупные предприятия. В том числе поэтому поставщики IT-услуг привлекают внимание атакующих.

Для злоумышленников этот вектор интересен тем, что позволяет провести масштабную атаку со значительно меньшими усилиями, чем в других случаях. Атакующим достаточно получить доступ к сети поставщика услуг, чтобы подвергнуть киберриску всех его клиентов, вне зависимости от размера и сферы деятельности. При этом злоумышленники, используя легитимное подключение, зачастую остаются незамеченными, так как для пострадавшей организации их действия в собственной инфраструктуре выглядят как действия сотрудников поставщика услуг. По статистике за 2023 год, только каждая четвертая пострадавшая организация выявила инцидент в результате обнаружения подозрительной активности (запуска хакерских утилит, вредоносного программного обеспечения, сканеров сети и так далее) у себя в инфраструктуре, остальные же обнаружили факт проникновения третьих лиц уже после утечки или шифрования данных.

Как организован доступ между целевой организацией и поставщиком услуг

Любой, даже самый безопасный способ подключения подрядчика к системам целевой организации — потенциальная точка проникновения злоумышленников. При этом зачастую компания-заказчик предоставляет поставщику услуг довольно много доступов в свои системы, в том числе:

• выделяет ряд систем для проведения работ;
• выдает доступы для подключения к инфраструктуре;
• создает доменные учетные записи.

Чаще всего канал связи между поставщиком услуг и клиентом обеспечивают с помощью VPN-соединений и службы удаленного рабочего стола (RDP). Доступ организуется с использованием сертификата или пары логин/пароль, в редких случаях к этому набору добавляется многофакторная аутентификация. Злоумышленники, скомпрометировав инфраструктуру поставщика услуг, могут получить выданные ему учетные записи или сертификаты пользователей и подключиться к системам целевой организации.

Многие компании прибегают к использованию утилит удаленного управления, таких как AnyDesk или Ammyy Admin. Большинство таких утилит дают возможность настроить автоматический доступ по логину/паролю, однако они уязвимы к атакам полным перебором (brute-force). В дополнение к этому при неправильной конфигурации утилиты позволяют подключаться с любых IP-адресов/систем при наличии валидных учетных данных.

Также доступ к внутренней инфраструктуре может быть организован по протоколам SSH или RDP с «белым» IP-адресом. При таком способе пропадает необходимость подключения к VPN, но значительно увеличиваются риски безопасности (например, появляется возможность реализации атак полным перебором).

В то же время организациям сложно контролировать соблюдение политик безопасности поставщиками услуг. Например, подрядчики могут хранить учетные данные для подключения к сети целевой организации в общедоступных директориях или на корпоративных ресурсах, таких как Jira или Confluence, в открытом виде, о чем служба безопасности клиента может не знать.

Как злоумышленники получают доступ в сеть поставщика услуг

В ходе расследования инцидентов мы продолжаем отмечать использование различных начальных векторов атак, позволяющих получить доступ к инфраструктуре IT-аутсорсинговой компании. Рассмотрим три самых популярных вектора, наблюдаемых более чем в 80% случаев.

Наиболее распространенный метод начальной компрометации — эксплуатация уязвимостей в доступных из интернета приложениях. Так, для проникновения в инфраструктуру злоумышленники чаще всего пользовались уязвимостями в Microsoft Exchange, Atlassian Confluence, CMS Bitrix, Citrix VDI.

Вторым по популярности является использование скомпрометированных учетных данных. При этом в каждом третьем инциденте, где использовался этот вектор, злоумышленники подбирали пароли к сервисам, доступным из внешней сети: RDP, SSH и FTP. В остальных случаях использовали данные, которые были скомпрометированы еще до начала инцидента.

Тройку лидеров замыкает целевой фишинг. Злоумышленники продолжают совершенствовать многоступенчатые схемы и методы социальной инженерии, зачастую используя для проникновения в сеть вложенные документы и архивы с вредоносным ПО.

Развитие атаки

По результатам расследования инцидентов, связанных с атаками через доверительные отношения, мы выделили наиболее интересные тактики и техники злоумышленников и представили их в хронологическом порядке. Стоит отметить, что в инцидентах, с которыми мы работали, атакующих можно разделить на две группы с точки зрения используемых тактик и техник: обозначим их «А» и «B».

Злоумышленники прибегают к использованию утилит для туннелирования (Command and Control, Protocol Tunneling, T1572) или удаленного подключения (Command and Control, Remote Access Software, T1219) по нескольким причинам.

Во-первых, это позволяет обойтись без VPN, к которому необходимо подключиться, чтобы войти в систему в целевой инфраструктуре по протоколу RDP, как это делают сотрудники подрядчика. При этом зачастую атакующие активны в нерабочее время. При корректно настроенном мониторинге подключение по VPN в неурочные часы с подозрительных IP-адресов (например, принадлежащих публичным сервисам анонимизации) может стать сигналом тревоги для сотрудников службы безопасности. Если такая активность была зафиксирована, то, скорее всего, последует блокировка соответствующих учетных записей, и, как следствие, злоумышленники потеряют доступ к инфраструктуре.

С помощью утилит туннелирования и удаленного доступа злоумышленники могут надежно закрепиться в целевой системе. Штатные средства AnyDesk позволяют регистрировать это программное обеспечение в качестве сервиса. Вариантов закрепления через утилиту Ngrok мы видели несколько:

Во-вторых, использование таких утилит удобно злоумышленникам. Наличие бэкдора в сети обеспечивает им беспрепятственный доступ во внутреннюю инфраструктуру, однако взаимодействовать со скомпрометированной системой через него не всегда комфортно, утилитам. «Пробросив» RDP-порт через Ngrok или подключившись через AnyDesk, атакующий получает возможность более удобного взаимодействия со скомпрометированной системой.

В-третьих, такие программы довольно сложно отследить. Ngrok и AnyDesk — это легитимные утилиты, они не детектируются антивирусными средствами как вредоносное программное обеспечение и зачастую используются в легитимных целях. Кроме того, они позволяют скрыть в скомпрометированной системе IP-адрес источника подключения.

Так, например, при обычном подключении по протоколу RDP в журнале Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx мы увидим события подключения (ID 21) или переподключения (ID 25), где в поле источника подключения будет указан IP-адрес злоумышленника (внешний IP-адрес, если система доступна из интернета, или внутренний IP-адрес другой скомпрометированной системы). Если подключение по RDP выполнено через утилиту для туннелирования, в журнале в качестве источника подключения будет указано значение ::%16777216 — оно не несет никакой информации о подключившейся системе. В большинстве случаев такой артефакт будет лишь признаком подключения через утилиту туннелирования.

AnyDesk создает свои собственные журналы. Из них для расследования инцидента наиболее полезны connection_trace.txt и ad.trace/ad_svc.trace, как они называются в Windows. Журнал connection_trace.txt позволяет быстро определить факт подключения к анализируемой системе и его тип (User, Token, Password). Если AnyDesk использовали злоумышленники и в журнале указан тип подключения Token и Password, можно сделать вывод, что атакующие настроили автоматическое подключение по паролю, и при запущенном AnyDesk они смогут снова подключиться к системе в любой момент. Журнал ad.trace/ad_svc.trace содержит отладочную информацию, что позволяет определить IP-адрес, с которого производилось подключение. Однако стоит отметить, что зачастую злоумышленники удаляют журналы AnyDesk, и обнаружить следы их подключения оказывается практически невозможно.

Выполнение целей атаки

Конечные цели атак на поставщиков услуг и на целевые организации могли быть разными, в частности:

• Закрепиться в инфраструктуре подрядчика и оставаться незамеченными как можно дольше, чтобы получить доступ к инфраструктуре его клиентов;
• Находиться незамеченными как можно дольше, чтобы завладеть конфиденциальной информацией (промышленный шпионаж).
• Вывести как можно больше данных и запустить в инфраструктуре организации шифровальщик или вайпер, чтобы парализовать ее деятельность. Этот сценарий мы наблюдали в большинстве атак на целевые организации.

Выводы и рекомендации

Практика показывает, что злоумышленники, оставаясь необнаруженными, обычно находились в инфраструктуре целевой организации до трех месяцев и успевали получить контроль над критически важными серверами и узлами в разных сегментах сети. Только после этого они приступали к шифрованию данных. Для отдела информационной безопасности этого времени достаточно, чтобы выявить инцидент и отреагировать на действия злоумышленников.

По результатам расследований инцидентов мы отметили, что в подавляющем большинстве случаев антивирусные решения детектировали вредоносную деятельность, связанную со злоумышленниками, но вердикты антивирусов не получали должного внимания. Поэтому, если у вас есть штатная команда по реагированию на инциденты, мы рекомендуем поддерживать ее готовность с помощью тренингов и киберучений. Если же такой команды нет — оформите подписку на сервис реагирования на инциденты у поставщика, гарантирующего необходимый уровень предоставления услуг (SLA).

Атаки через доверительные отношения довольно непросто обнаружить, потому что:

• подключения к VPN целевой организации из сети поставщика услуг на ранних стадиях инициируются с легитимных IP-адресов;
• злоумышленники используют легитимные учетные данные, в том числе для подключения к системам внутри инфраструктуры целевой организации;
• злоумышленники все чаще используют легитимные инструменты в своих атаках.

Тем не менее обнаружить эти атаки возможно — достаточно придерживаться некоторых правил. Мы собрали рекомендации для поставщиков услуг и их клиентов, которые помогут обнаружить атаку через доверительные отношения на раннем этапе или вовсе избежать ее.

Если вы поставщик IT-услуг:

• Обеспечьте надлежащее хранение учетных данных, выданных для подключения к инфраструктуре ваших клиентов.
• Организуйте логирование подключений из вашей инфраструктуры к клиентской.
• Своевременно устанавливайте обновления ПО или используйте дополнительные меры защиты для сервисов на периметре сети.
• Внедрите надежную парольную политику и многофакторную аутентификацию.
• Обеспечьте мониторинг использования легитимных инструментов, которые могут применяться злоумышленниками.

Если ваша организация пользуется услугами аутсорсинговых IT-компаний:

• Выдавайте доступы поставщикам услуг на фиксированное время и с ограничением доступности узлов в инфраструктуре.
• Следите за подключениями к VPN: какая учетная запись, в какое время и с какого IP-адреса была авторизована.
• Внедрите надежную парольную политику и многофакторную аутентификацию для подключения к VPN.
• Ограничьте привилегии учетных записей, выдаваемых поставщикам услуг, руководствуясь принципом наименьших привилегий.
• Предъявляйте третьим лицам при подключении к внутренней инфраструктуре те же требования информационной безопасности, что и к узлам во внутренней сети.
• Выявляйте ситуации, когда для доступа к системам внутри инфраструктуры используются цепочки из различных учетных записей. Например, сотрудники поставщика услуг подключаются к VPN от имени одной учетной записи, а затем авторизуются по RDP от имени другой.
• Обеспечьте мониторинг использования утилит для удаленного доступа и туннелирования или иных легитимных инструментов, которые могут быть использованы атакующими.
• Обеспечьте детектирование внутри периметра сети следующих событий: сканирование портов, перебор паролей к доменным учетным записям, перебор имен доменных и локальных учетных записей.
• Уделяйте особое внимание активности в вашей инфраструктуре в нерабочее время.
• Выполняйте резервное копирование данных, причем резервные копии должны быть защищены так же строго, как основные активы.

Основные тактики и техники MITRE ATT&CK, используемые в атаках через доверительные отношения