Посты о SOC, TI и IR

Trusted Relationship Attack: доверяй, но проверяй

Российский рынок IT-аутсорсинга, как и мировой, продолжает демонстрировать уверенный рост — сервисные услуги пользуются все большей популярностью. Но вместе с преимуществами, такими как экономия времени и ресурсов, делегирование непрофильных задач создает новые вызовы в сфере информационной безопасности. Так, предоставляя доступ сторонним компаниям (поставщикам услуг или подрядчикам) в свою инфраструктуру, бизнес увеличивает риски возникновения атак через доверительные отношения (Trusted Relationship Attack, по классификации MITRE ATT&CK — T1199).

В 2023 году кибератаки через доверительные отношения вошли в тройку наиболее часто используемых векторов. В ходе таких атак злоумышленники сперва получают доступ к сети поставщика услуг, а затем, если удается скомпрометировать действующие учетные данные для подключения к сети целевой организации, проникают в ее инфраструктуру. В большинстве случаев подрядчики — это представители малого и среднего бизнеса, которые менее защищены, чем крупные предприятия. В том числе поэтому поставщики IT-услуг привлекают внимание атакующих.

Для злоумышленников этот вектор интересен тем, что позволяет провести масштабную атаку со значительно меньшими усилиями, чем в других случаях. Атакующим достаточно получить доступ к сети поставщика услуг, чтобы подвергнуть киберриску всех его клиентов, вне зависимости от размера и сферы деятельности. При этом злоумышленники, используя легитимное подключение, зачастую остаются незамеченными, так как для пострадавшей организации их действия в собственной инфраструктуре выглядят как действия сотрудников поставщика услуг. По статистике за 2023 год, только каждая четвертая пострадавшая организация выявила инцидент в результате обнаружения подозрительной активности (запуска хакерских утилит, вредоносного программного обеспечения, сканеров сети и так далее) у себя в инфраструктуре, остальные же обнаружили факт проникновения третьих лиц уже после утечки или шифрования данных.

Как организован доступ между целевой организацией и поставщиком услуг

Любой, даже самый безопасный способ подключения подрядчика к системам целевой организации — потенциальная точка проникновения злоумышленников. При этом зачастую компания-заказчик предоставляет поставщику услуг довольно много доступов в свои системы, в том числе:

  • выделяет ряд систем для проведения работ;
  • выдает доступы для подключения к инфраструктуре;
  • создает доменные учетные записи.

Чаще всего канал связи между поставщиком услуг и клиентом обеспечивают с помощью VPN-соединений и службы удаленного рабочего стола (RDP). Доступ организуется с использованием сертификата или пары логин/пароль, в редких случаях к этому набору добавляется многофакторная аутентификация. Злоумышленники, скомпрометировав инфраструктуру поставщика услуг, могут получить выданные ему учетные записи или сертификаты пользователей и подключиться к системам целевой организации.

Многие компании прибегают к использованию утилит удаленного управления, таких как AnyDesk или Ammyy Admin. Большинство таких утилит дают возможность настроить автоматический доступ по логину/паролю, однако они уязвимы к атакам полным перебором (brute-force). В дополнение к этому при неправильной конфигурации утилиты позволяют подключаться с любых IP-адресов/систем при наличии валидных учетных данных.

Также доступ к внутренней инфраструктуре может быть организован по протоколам SSH или RDP с «белым» IP-адресом. При таком способе пропадает необходимость подключения к VPN, но значительно увеличиваются риски безопасности (например, появляется возможность реализации атак полным перебором).

В то же время организациям сложно контролировать соблюдение политик безопасности поставщиками услуг. Например, подрядчики могут хранить учетные данные для подключения к сети целевой организации в общедоступных директориях или на корпоративных ресурсах, таких как Jira или Confluence, в открытом виде, о чем служба безопасности клиента может не знать.

Как злоумышленники получают доступ в сеть поставщика услуг

В ходе расследования инцидентов мы продолжаем отмечать использование различных начальных векторов атак, позволяющих получить доступ к инфраструктуре IT-аутсорсинговой компании. Рассмотрим три самых популярных вектора, наблюдаемых более чем в 80% случаев.

Наиболее распространенный метод начальной компрометации — эксплуатация уязвимостей в доступных из интернета приложениях. Так, для проникновения в инфраструктуру злоумышленники чаще всего пользовались уязвимостями в Microsoft Exchange, Atlassian Confluence, CMS Bitrix, Citrix VDI.

Вторым по популярности является использование скомпрометированных учетных данных. При этом в каждом третьем инциденте, где использовался этот вектор, злоумышленники подбирали пароли к сервисам, доступным из внешней сети: RDP, SSH и FTP. В остальных случаях использовали данные, которые были скомпрометированы еще до начала инцидента.

Тройку лидеров замыкает целевой фишинг. Злоумышленники продолжают совершенствовать многоступенчатые схемы и методы социальной инженерии, зачастую используя для проникновения в сеть вложенные документы и архивы с вредоносным ПО.

Развитие атаки

По результатам расследования инцидентов, связанных с атаками через доверительные отношения, мы выделили наиболее интересные тактики и техники злоумышленников и представили их в хронологическом порядке. Стоит отметить, что в инцидентах, с которыми мы работали, атакующих можно разделить на две группы с точки зрения используемых тактик и техник: обозначим их «А» и «B».

Событие Описание
1 Получение доступа к поставщикам услуг В большинстве случаев взлом происходил путем эксплуатации уязвимостей в программном обеспечении, доступном из интернета (Initial Access, Exploit Public-Facing Application, T1190).
2 Закрепление в инфраструктуре поставщика услуг Злоумышленники группы «A» на этой стадии использовали исключительно утилиту для туннелирования Ngrok. Они закрепляли ее в инфраструктуре поставщика услуг в качестве сервиса. Скомпрометирован был только Windows-сегмент (Persistence, техника Create or Modify System Process: Windows Service, T1543.003).
Злоумышленники группы «B» изначально для закрепления использовали бэкдоры, которые впоследствии были нужны для загрузки и запуска Ngrok или утилиты для удаленного управления AnyDesk. Таким образом был скомпрометирован как Windows-, так и Linux-сегмент. Злоумышленники использовали следующие бэкдоры:

В некоторых инцидентах было отмечено закрепление Ngrok через планировщик задач.

3 Действия после компрометации учетных данных для подключения к целевым организациям Группа «A», обнаружив учетные данные для подключения к VPN-туннелю клиентов поставщика услуг, в тот же день проникала в их инфраструктуру: злоумышленники подключались к доступным подрядчику системам по протоколу RDP с выделенными для их сотрудников учетными данными (Initial Access, Valid Accounts: Domain Accounts, T1078.002), закреплялись с помощью утилиты Ngrok (вероятно, на случай утери доступа к VPN) и возвращались в инфраструктуру новых жертв спустя несколько месяцев. При этом с момента компрометации целевой организации до обнаружения атаки могло пройти до трех месяцев.
Группа «B» закреплялась в инфраструктуре поставщика услуг и возвращалась через несколько месяцев для проведения атак на их клиентов. При этом с момента компрометации поставщика услуг до обнаружения атаки могло пройти до трех месяцев.
4 Действия злоумышленников на выделенных поставщику услуг системах в целевой организации Выделенные поставщику услуг системы в целевой организации становились точкой проникновения злоумышленников. В ходе расследования инцидентов на них обнаруживались следы запуска многочисленных утилит:

5 Горизонтальное перемещение в сети целевой организации Для горизонтального перемещения внутри сети целевой организации злоумышленники использовали протокол RDP (Lateral Movement, Remote Services: Remote Desktop Protocol, T1021.001).
6 Сбор данных с рабочих станций и серверов целевой организации В некоторых инцидентах злоумышленники из обеих групп собирали данные с рабочих станций и серверов (Collection, Data from Local System, T1005), упаковывали их в архивы (Collection, Archive Collected Data: Archive via Utility, T1560.001) и выгружали на внешние ресурсы для обмена файлами (Exfiltration, Exfiltration Over Web Service, T1567).
7 Выполнение целей атаки В большинстве случаев злоумышленники запускали в инфраструктуре целевой организации шифровальщик (Impact Data, Encrypted for Impact, T1486). При этом стоит отметить, что зачастую файлы шифровальщиков распространялись в инфраструктуре при помощи групповых политик или удаленного создания служб Windows. Реже распространение и запуск производились вручную.

Злоумышленники прибегают к использованию утилит для туннелирования (Command and Control, Protocol Tunneling, T1572) или удаленного подключения (Command and Control, Remote Access Software, T1219) по нескольким причинам.

Во-первых, это позволяет обойтись без VPN, к которому необходимо подключиться, чтобы войти в систему в целевой инфраструктуре по протоколу RDP, как это делают сотрудники подрядчика. При этом зачастую атакующие активны в нерабочее время. При корректно настроенном мониторинге подключение по VPN в неурочные часы с подозрительных IP-адресов (например, принадлежащих публичным сервисам анонимизации) может стать сигналом тревоги для сотрудников службы безопасности. Если такая активность была зафиксирована, то, скорее всего, последует блокировка соответствующих учетных записей, и, как следствие, злоумышленники потеряют доступ к инфраструктуре.

С помощью утилит туннелирования и удаленного доступа злоумышленники могут надежно закрепиться в целевой системе. Штатные средства AnyDesk позволяют регистрировать это программное обеспечение в качестве сервиса. Вариантов закрепления через утилиту Ngrok мы видели несколько:

Тип запуска Команды
Как сервис ngrok.exe service run —config ngrok.yml
Вручную ngrok.exe config add-authtoken <TOKEN>
ngrok.exe tcp 3389
Как задача ngrok.exe tcp 3389 (аутентификационные данные перед закреплением задавались вручную через исполнение команды: ngrok.exe config add-authtoken <TOKEN>)

Во-вторых, использование таких утилит удобно злоумышленникам. Наличие бэкдора в сети обеспечивает им беспрепятственный доступ во внутреннюю инфраструктуру, однако взаимодействовать со скомпрометированной системой через него не всегда комфортно, утилитам. «Пробросив» RDP-порт через Ngrok или подключившись через AnyDesk, атакующий получает возможность более удобного взаимодействия со скомпрометированной системой.

В-третьих, такие программы довольно сложно отследить. Ngrok и AnyDesk — это легитимные утилиты, они не детектируются антивирусными средствами как вредоносное программное обеспечение и зачастую используются в легитимных целях. Кроме того, они позволяют скрыть в скомпрометированной системе IP-адрес источника подключения.

Так, например, при обычном подключении по протоколу RDP в журнале Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx мы увидим события подключения (ID 21) или переподключения (ID 25), где в поле источника подключения будет указан IP-адрес злоумышленника (внешний IP-адрес, если система доступна из интернета, или внутренний IP-адрес другой скомпрометированной системы). Если подключение по RDP выполнено через утилиту для туннелирования, в журнале в качестве источника подключения будет указано значение ::%16777216 — оно не несет никакой информации о подключившейся системе. В большинстве случаев такой артефакт будет лишь признаком подключения через утилиту туннелирования.

AnyDesk создает свои собственные журналы. Из них для расследования инцидента наиболее полезны connection_trace.txt и ad.trace/ad_svc.trace, как они называются в Windows. Журнал connection_trace.txt позволяет быстро определить факт подключения к анализируемой системе и его тип (User, Token, Password). Если AnyDesk использовали злоумышленники и в журнале указан тип подключения Token и Password, можно сделать вывод, что атакующие настроили автоматическое подключение по паролю, и при запущенном AnyDesk они смогут снова подключиться к системе в любой момент. Журнал ad.trace/ad_svc.trace содержит отладочную информацию, что позволяет определить IP-адрес, с которого производилось подключение. Однако стоит отметить, что зачастую злоумышленники удаляют журналы AnyDesk, и обнаружить следы их подключения оказывается практически невозможно.

Выполнение целей атаки

Конечные цели атак на поставщиков услуг и на целевые организации могли быть разными, в частности:

  • Закрепиться в инфраструктуре подрядчика и оставаться незамеченными как можно дольше, чтобы получить доступ к инфраструктуре его клиентов;
  • Находиться незамеченными как можно дольше, чтобы завладеть конфиденциальной информацией (промышленный шпионаж).
  • Вывести как можно больше данных и запустить в инфраструктуре организации шифровальщик или вайпер, чтобы парализовать ее деятельность. Этот сценарий мы наблюдали в большинстве атак на целевые организации.

Выводы и рекомендации

Практика показывает, что злоумышленники, оставаясь необнаруженными, обычно находились в инфраструктуре целевой организации до трех месяцев и успевали получить контроль над критически важными серверами и узлами в разных сегментах сети. Только после этого они приступали к шифрованию данных. Для отдела информационной безопасности этого времени достаточно, чтобы выявить инцидент и отреагировать на действия злоумышленников.

По результатам расследований инцидентов мы отметили, что в подавляющем большинстве случаев антивирусные решения детектировали вредоносную деятельность, связанную со злоумышленниками, но вердикты антивирусов не получали должного внимания. Поэтому, если у вас есть штатная команда по реагированию на инциденты, мы рекомендуем поддерживать ее готовность с помощью тренингов и киберучений. Если же такой команды нет — оформите подписку на сервис реагирования на инциденты у поставщика, гарантирующего необходимый уровень предоставления услуг (SLA).

Атаки через доверительные отношения довольно непросто обнаружить, потому что:

  • подключения к VPN целевой организации из сети поставщика услуг на ранних стадиях инициируются с легитимных IP-адресов;
  • злоумышленники используют легитимные учетные данные, в том числе для подключения к системам внутри инфраструктуры целевой организации;
  • злоумышленники все чаще используют легитимные инструменты в своих атаках.

Тем не менее обнаружить эти атаки возможно — достаточно придерживаться некоторых правил. Мы собрали рекомендации для поставщиков услуг и их клиентов, которые помогут обнаружить атаку через доверительные отношения на раннем этапе или вовсе избежать ее.

Если вы поставщик IT-услуг:

  • Обеспечьте надлежащее хранение учетных данных, выданных для подключения к инфраструктуре ваших клиентов.
  • Организуйте логирование подключений из вашей инфраструктуры к клиентской.
  • Своевременно устанавливайте обновления ПО или используйте дополнительные меры защиты для сервисов на периметре сети.
  • Внедрите надежную парольную политику и многофакторную аутентификацию.
  • Обеспечьте мониторинг использования легитимных инструментов, которые могут применяться злоумышленниками.

Если ваша организация пользуется услугами аутсорсинговых IT-компаний:

  • Выдавайте доступы поставщикам услуг на фиксированное время и с ограничением доступности узлов в инфраструктуре.
  • Следите за подключениями к VPN: какая учетная запись, в какое время и с какого IP-адреса была авторизована.
  • Внедрите надежную парольную политику и многофакторную аутентификацию для подключения к VPN.
  • Ограничьте привилегии учетных записей, выдаваемых поставщикам услуг, руководствуясь принципом наименьших привилегий.
  • Предъявляйте третьим лицам при подключении к внутренней инфраструктуре те же требования информационной безопасности, что и к узлам во внутренней сети.
  • Выявляйте ситуации, когда для доступа к системам внутри инфраструктуры используются цепочки из различных учетных записей. Например, сотрудники поставщика услуг подключаются к VPN от имени одной учетной записи, а затем авторизуются по RDP от имени другой.
  • Обеспечьте мониторинг использования утилит для удаленного доступа и туннелирования или иных легитимных инструментов, которые могут быть использованы атакующими.
  • Обеспечьте детектирование внутри периметра сети следующих событий: сканирование портов, перебор паролей к доменным учетным записям, перебор имен доменных и локальных учетных записей.
  • Уделяйте особое внимание активности в вашей инфраструктуре в нерабочее время.
  • Выполняйте резервное копирование данных, причем резервные копии должны быть защищены так же строго, как основные активы.

Основные тактики и техники MITRE ATT&CK, используемые в атаках через доверительные отношения

Тактика Техника ID техники
Initial Access Exploit Public-Facing Application T1190
Initial Access Trusted Relationship T1199
Initial Access Valid Accounts: Domain Accounts T1078.002
Persistence Create or Modify System Process: Windows Service T1543.003
Persistence Hijack Execution Flow: Dynamic Linker Hijacking T1574.006
Persistence Scheduled Task/Job: Scheduled Task T1053.005
Credential Access OS Credential Dumping T1003
Discovery Network Service Discovery T1046
Discovery Account Discovery: Domain Account T1087.002
Discovery Remote System Discovery T1018
Lateral Movement Remote Services: Remote Desktop Protocol T1021.001
Collection Data from Local System T1005
Collection Archive Collected Data: Archive via Utility T1560.001
Command and Control Protocol Tunneling T1572
Command and Control Remote Access Software T1219
Exfiltration Exfiltration Over Web Service T1567
Impact Data Encrypted for Impact T1486

Trusted Relationship Attack: доверяй, но проверяй

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Aleksei

    А на английском вы не дублируете такие материалы?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике