GROUP-IB.RU

Целенаправленные атаки без специальных вредоносных программ

Страх – двигатель торговли

GROUP-IB.RU 2

Как выглядит управление этим ПО

GROUP-IB.RU 3

GROUP-IB.RU 4

Как выглядит управление этим ПО

Специальные программы? Для чего?

GROUP-IB.RU 5

МИНУСЫ

• Малозаметны до первого публичного разбора инцидента

• Удобны и просты в использовании• Можно передавать малоопытным

атакующим

Специальные трояны

ПЛЮСЫ

• Инвестиции в разработку• Высокая себестоимость• Быстро становится известным• Зависимость от разработчиков• «Легко» детектить с помощью спец. средств

защиты• Привлекает повышенное внимание• Простая атрибуция инцидентов• Упрощает процесс расследования

————————————————————

МИНУСЫ

• Нельзя отслеживать атаки• Сложно связывать инциденты• Меньше следов для расследования• Сложно задетектировать в локальной

сети

Без специальных троянов

ПЛЮСЫ

• Нужна высокая квалификация• Много ручной работы• Сложно атаковать несколько целей

одновременно

————————————————————

Атак без специальных троянов станет больше. Инструменты уже доступны, они эффективны.

4 шага к успеху

GROUP-IB.RU 6

ПроникновениеГлавное получить доступ к любом узлу во внутренней сети. Метод получения доступа и тип доступа не имеет большого значения. В подавляющем большинстве случае используют Phishing.

—————Получение привилегийПолучение максимально возможного уровня доступа в сети. Как правило это доступ на уровне администратора домена.

—————

Поиск целейПоиск систем и данных ради которых проводится атака. Поиск людей с легальным доступом, к интересующим системам.

—————Работа с даннымиРабота с системами и данными так же как и легальный пользователь: с их рабочих мест, с их привилегиями, в их рабочее время и т.д.

—————

Для успешного проведения атаки надо сделать 4 шага

Проникновение

GROUP-IB.RU 7

Фишинг: Архивы с исполняемыми файлами (.SCR, .EXE, .CPL)

ШОС2015.rar• Архив «ШОС2015.scr» с иконкой документа MS Word• «ШОС2015.scr» - самораспаковывающийся SFX

архив• В архиве троян RAT PlugX

Проникновение

GROUP-IB.RU 8

Фишинг: Документы с эксплойтом

2015.12.11_сроки СГГ 2015 в Уфе.doc.doc • doc – на самом деле веб архив MHT• Расширение «.doc», чтобы документ открывался MS

Word• Эксплуатация уязвимости CVE-2012-0158• Эксплойт создаст пустой файл «%TEMP%\~$.doc»• и «%TEMP%\DWexe» - самораспаковывающийся SFX

архив• В архиве троян RAT PlugX

Проникновение

GROUP-IB.RU 9

Фишинг: Документы с макросами

Проникновение

GROUP-IB.RU 10

Фишинг: Документы с макросами

Must know! Must have!

GROUP-IB.RU 11

Mimikatzmimikatz позволяет извлекать учётные данные Windows из LSA в открытом виде, из памяти работающей ОС. Локальный пользователь может прочитать пароли пользователей, авторизованных на системе. Для успешной эксплуатации уязвимости злоумышленник должен иметь возможность присоединить библиотеку к процессу lsass.exe.Существует с 2012 года.

Кейс #1

GROUP-IB.RU 12

Атакуемая инфраструктура:‒ Множество удаленных офисов‒ Сеть объединена по MPLS‒ Для удаленных сотрудников VPN‒ Единый доступ в Internet‒ SIEM‒ DLP‒ AV‒ Firewall‒ IPS‒ Контроль целостности‒ Microsoft System Center Configuration

Manager

Цель: руководство одного из крупнейших холдингов в России.На протяжении нескольких месяцев атакующих имел полный доступ к корпоративной сети, к каждом пользователю и каждому компьютеру.

Не использовалось ни одной специальной вредоносной программы!————————————————————

Кейс #1

GROUP-IB.RU 13

Доступ в корпоративную сеть

Что использовал:‒ Для удаленных сотрудников VPN‒ Single Sign-On‒ RDP servers‒ Разные корпоративные учетные записи

————————————————————

Как использовал:‒ Для доступа по VPN одну группу учетных

записей‒ C VPN подключался на RDP с другой

учетной записью‒ C RDP подключался на другой RDP или WS с

еще одной учетной записью‒ Внутренние RDP серверы постоянно

меняютсяПроблема:‒ Отследить источник и момент подключений

Кейс #1

GROUP-IB.RU 14

Получение привилегий

Доступ по RDP к серверу для дальнейшей работыС помощью psexec подключался к другим серверамНа эти серверы копировал исполняемый файлИсполняемый файл создавал временные каталоги и bat-файл

bat-файл копировал procdump.exe на заранее подготовленный список внутренних серверовСоздавался Scheduled Task на создание дампа lsass.exe с помощью procdump.exe и локальным сохранениемДампы процессов собирались отдельным таскомС помощью Mimikatz из дампов lsass.exe восстанавливались пароли от доменных учетных записей

Кейс #1

GROUP-IB.RU 15

Поиск целей

Определение рабочих мест руководителей:‒ Рабочих станций‒ Рабочих и личных ноутбуков‒ Систем с которыми они работают

Определение всех учетных записей руководителей:‒ Доменные учетные записи‒ Локальные учетные записи‒ Учетные записи систем с отдельно авторизацией

Кейс #1

GROUP-IB.RU 16

Работа с данными

Нашел DLP сервер

На интересующие WS поставил DLP-агент

Служба ИБ обнаружила установку агентов, на компьютерах руководителейИспользуя полученный дистрибутив поднял свой DLP сервер прямо в локальной сети

Кейс #1

GROUP-IB.RU 17

Работа с данными

На ноутбуки руководителей поставил MicSpy++При старте ОС звук писался каждый 10 минут

Записанные аудио файлы сохранялись локально

Периодически записи забирались и каталог очищался

Кейс #1

GROUP-IB.RU 18

Работа с данными

Все руководители использовали OWA

Используя доменные учетные читал переписку интересующих его людей без сложно схемы подключения описанной ранее

Кейс #1

GROUP-IB.RU 19

Противостояние

Действия службы ИБ——————————————

Противодействие атакующего————————————————————

Развертывание своего сервера DLP в сетиЗакрытие доступа к серверу DLP

Смена паролей от доменных учетных записей

Создание дампов lsass.exe на почтовом сервер, куда подключались все пользователи

Идентификация его IP (VPN) и блокировка с них доступа к OWA и установление логинов для которых надо сменить пароль

Переход на новые VPN+TOR, потом +SOCKS проски

Переход с OWA на OMA

Когда понял что его отслеживают с помощью анализа логов внутреннего прокси, начал просто удалять логи прокси

Вы не можете:• требовать у руководства постоянно менять

пароль • отключить удаленный доступ тоже не можетеИначе: Вас уволят!

GROUP-IB.RU 20

Инструментарий:‒ Cisco VPN клиент‒ RDP клиент‒ Корпоративная DLP‒ Outlook Web Access‒ Outlook Mobile Access‒ procdump‒ Psexec‒ Mimikatz‒ bat scripts‒ MicSpy++

Цель: руководство одного из крупнейших холдингов в России.На протяжении нескольких месяцев атакующих имел полный доступ к корпоративной сети, к каждом пользователю и каждому компьютеру.

Не использовалось ни одной специальной вредоносной программы!

Кейс #1

Затраты:‒ Аренда VPN серверов‒ Аренда SOCK прокси‒ Все остальное бесплатно!

GROUP-IB.RU 21

Кейс #2

Компрометация домена с помощью групповых политикРаботает только начиная с серверов Windows Server 2008 если в групповых политиках в Preferences была настройка монтирования шар, принтеров или других схожих задач.

Получение доступа на любой доменный компьютерПоиск контроллера домена с открытым каталогом SysvolПроверка наличия файла групповых политик\\[server_name]\sysvol\[domain_name]\Policies\[group_policy_name]\Machine\Preferences\Groups\Groups.xmlИзвлечение логина и зашифрованного AES-256 пароляРасшифровка пароляДекодируем Base64Расшифровываем пароль используя ключ: 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b

GROUP-IB.RU 22

Кейс #3

Распространение по локальной сетиЧем больше в сети заражено компьютеров, тем быстрее будет происходить заражение остальных станций.

Заражаем любой хост

По аналогии с Mimikatz извлекаем логины и паролиСканируем сеть на наличие объекта mailslotЕсли объект есть, то компьютер уже зараженЕсли объекта нет, то продолжаем работуЗаливаем на соседний компьютер файл подключаясь к шарам «\ADMIN$», «\ipc$», «\C$» с использование извлеченных логинов/паролейСоздается службаКоторая запускает залитый файл и удаляетсяЗапускается основной модульКоторый помещается в память, удаляет все следы с диска и запускает всю процедуру заново

Электронная почта

info@group-ib.ru

GROUP-IB.RU

Телефон

+7 495 984-33-64

Сайт

www.group-ib.ruFacebook

facebook.com/group-ibTwitter

twitter.com/groupib