Як розпізнати крадіжку облікових даних та запобігти інциденту
У світі майже всі дані мігрували в онлайн-формат. Люди зберігають файли у хмарних сховищах, обмінюються повідомленнями, прикріплюють документи у робочих листах. Тому забезпечити належний рівень збереження цих даних — головне завдання кібербезпеки.
У всьому цьому різноманітті, головною метою хакерів є облікові дані. Саме з їх допомогою зловмисники отримують доступ до корпоративної мережі та починають своє просування в інфраструктурі. Так, маючи на руках облікові дані адміністратора домену, хакери одержують карт-бланш і можуть викрасти більше цінних даних.
Втім, кібербезпека також не відстає, знижуючи шанси злочинця на успіх.
Які бувають способи крадіжки даних автентифікації Windows, як ефективно їм протистояти та що являє собою вразливість в Outlook (CVE-2023-23397) — розповідаємо нижче.
Mimikatz — улюблений інструмент хакерів
Mimikatz є одним із відомих інструментів для крадіжки паролів, який став популярним серед хакерів з моменту його розробки у 2011 році. Станом на сьогодні, Mimikatz має багато варіацій. Він не втрачає своєї актуальності, тому що основний механізм крадіжки, закладений у цей інструмент, все ще у робочому стані.
Хакери використовують Mimikatz з однією метою — отримати доступ до облікових даних аутентифікації, що зберігаються в lsass.exe.
lsass.exe — це процес, який зберігає різні дані, щоб користувачі могли отримувати доступ до різноманітних ресурсів без постійної аутентифікації. Таким чином, користувачі можуть зручно скористатися системою. Водночас процес створює певні ризики для безпеки, оскільки дані зберігаються в постійно запущеному процесі в операційній системі Windows.
Якщо хакеру вдасться прочитати вміст оперативної пам’яті lsass.exe, він може отримати доступ до облікових даних, що зберігаються там, а це, своєю чергою, може призвести до компрометації системи. Отже, Mimikatz та інші інструменти з крадіжки паролів становлять загрозу для безпеки інформації та вимагають відповідних заходів захисту.
Крадіжка паролів у системі з відсутнім захистом
Після запуску Mimikatz, наступний важливий крок — надання інструменту привілею SeDebugPrivilege, який дозволить читати вміст пам’яті lsass.exe. Без цього вкрасти паролі неможливо.
mimikatz (comandline) # privilege::debug
Як тільки хакер отримав позитивну відповідь (Privilege ‘20’ OK), він може починати вивантажувати облікові дані, які будь-коли вводилися у цій системі:
mimikatz (comandline) # sekurlsa::logonpasswords
Зловмисника цікавлять три елементи з отриманого списку викрадених даних: ім’я користувача, домен та рядок NTML. Останній є хешованим паролем користувача.
Після цього хакер може зайнятися підбором пароля до цього хешу або застосувати Mimikatz, щоб використовувати хеш в атаці pass-the-hash. Підібрати хеш нескладно — за допомогою онлайн-ресурсів або спеціальних утиліт (таких як hashcat).
Нижче ми навели приклад підбору на першому-ліпшому сайті.
Зауважимо, що в нашому прикладі скомпрометований користувач — адміністратор домену mvcloud.com, а це ставить під загрозу всю компанію. Після успішного підбору пароля до хешу зловмисник досяг своєї мети: акаунт адміністратора зламаний, контроль над корпоративною мережею отримано, а організація ризикує зазнати репутаційних та фінансових збитків.
Як протистояти. Рішення Trellix Endpoint Security (ENS) забезпечує захист серверів, комп’ютерних систем та ноутбуків від відомих та невідомих загроз: шкідливих програм, підозрілих мережевих з’єднань, вебсайтів та завантажених файлів.
Trellix ENS блокує загрози на початковому етапі. Отже, максимум, що зможе зробити хакер — отримати потрібний привілей, оскільки командний рядок запущено від імені адміністратора. Однак, спроба прочитати облікові дані з lsass.exe буде заблокована, а користувач і адміністратор отримають відповідне повідомлення.
Злом Windows за допомогою утиліт Microsoft
Ще один спосіб викрасти облікові дані — через інструменти Microsoft.
Зловмисник може піти простим шляхом і спробувати зробити дамп lsass.exe через Диспетчер завдань. Відбувається все так: запуск диспетчера завдань від імені адміністратора -> Details -> клік правою кнопкою миші по lsass.exe -> Create dump file
Спроба була заблокована не дивлячись на те, що Диспетчер завдань — довірена програма від Microsoft.
Звичайним користувачам ніколи не потрібно отримувати доступ до пам’яті процесу lsass.exe. Якщо це потрібно зробити адміністраторам, краще створити окрему політику доступу до lsass.exe конкретно для систем адміністраторів. Будь-яке відхилення від цієї норми можна сприймати як явну ознаку атаки зловмисників.
Ще одна утиліта від Microsoft — Procdump. Ця програма націлена на створення аварійних дампів пам’яті під час пікових навантажень. Втім, щоб вкрасти облікові дані, необов’язково чекати на якісь піки — достатньо виконати таку команду:
procdump.exe -accepteula −64 lsass.exe шлях:\вивантаження\дампа.dmp
Арсенал хакерів поповнився вже наявними утилітами в системах жертв, що робить атаки непомітнішими. Усього таких утиліт подвійного призначення близько 200 — cmd.exe, wmic.exe, cetrutil.exe і багато інших. Такий підхід називається Living-off-the-Land і його можна прослідкувати ледь не в кожній хакерській атаці.
Як протистояти. Trellix ENS блокує подібні спроби злому через Диспетчер завдань або командний рядок. Рішення використовує підхід Zero Trust, тобто необхідність перевіряти всіх без винятку.
Що стосується використання утиліти Procdump, то Trellix Endpoint Security виявляє та запобігає спробі несанкціонованого доступу до облікових даних, навіть якщо вона була ініційована довіреним процесом.
Mimikatz та безфайловий підхід
Варіація використання Mimikatz: не у вигляді файлу .exe, а через набір команд Powershell. Цей підхід дозволяє краще приховати шкідливі дії, адже на систему жертви не завантажуються файли, що виконуються, а значить, антивірус не може виявити загрозу.
Щоб скомпрометувати користувача, хакер прописує Powershell таке:
Як протистояти. Trellix Endpoint Security виявляє підозрілу активність, і при введенні цієї команди консоль Powershell моментально закривається, а користувач бачить попередження про виявлений шкідливий скрипт.
Деталі про кожен інцидент можна переглянути докладніше на робочій станції та в консолі управління.
Приклад того, як виглядає частина інформації про інцидент на робочій станції:
У консолі управління:
Рішення створює граф виконаних дій (Story Graph) для процесів, проаналізованих технологіями поведінкового аналізу. Ця інформація використовується для прискорення процесу розслідування інцидентів.
Обфускація команд для обходу систем виявлення
Виявити явну підозрілу активність просто, тому хакери всіляко намагаються заплутати (обфускувати) рішення кібербезпеки.
Якщо ми говоримо мовою чисел, то обфускацію можна зобразити так:
Початковий рядок: 1+1=2
Обфускований рядок також = 2:
Як бачимо, результат однаковий, проте, щоб проаналізувати обфускований рядок, потрібно більше часу та ресурсів. Заплутати дію можна нескінченною кількістю способів, а ось створити сигнатуру для кожного варіанта неможливо. Тому хакери часто використовують цю техніку для того, щоб обійти системи виявлення та викрасти цінну інформацію.
Як протистояти. Для виявлення таких загроз нам знадобиться інший підхід. Trellix Endpoint Security вміє проводити поведінковий аналіз за допомогою штучного інтелекту. Крім того, рішення передбачає глибоку інтеграцію в Windows для перехоплення виконання всіх команд, включно з CMD і Powershell.
Від слів — до справи. На практиці це має такий вигляд.
Візьмемо початковий рядок із попереднього прикладу. Підсумковий «заплутаний» рядок виглядає так:
Після виконання цієї команди він передається на Trellix ENS, який проводить поведінковий аналіз та відзначає кожну підозрілу дію. В результаті Endpoint Security робить висновок, що був виконаний той самий безфайловий mimikatz. Після цього рішення блокує шкідливу дію, консоль Powershell закривається, а користувач отримує спливаюче повідомлення:
Попри те, що загрозу виявили на одній робочій станції, екосистема Trellix на цьому не зупиняється. Після запобігання інциденту всі компоненти Trellix обмінюються інформацією про загрози. Таким чином, інші робочі станції, мережеві пристрої та хмарні сканери відразу блокують виявлене шкідливе ПЗ без додаткових перевірок.
Нова вразливість Outlook — CVE-2023-23397
Про нову вразливість у поштовому клієнті Outlook стало відомо нещодавно. На заході Patch Tuesday представники Microsoft розповіли більше про вразливість, познайомивши аудиторію із принципом її роботи та наслідками, які вона несе.
Ця вразливість має надзвичайно критичний характер: вона легко експлуатується, а сам Outlook є одним із найпоширеніших поштових клієнтів серед корпоративних систем, що працюють на операційній системі Windows. Якщо зловмисник скористається цією вразливістю, він отримає доступ до облікових даних поточного користувача.
Сам злом відбувається так. Зловмисник використовує Powershell для надсилання шкідливого листа-запрошення, який не викликає підозр у користувача.
Зовні лист непомітний, проте головна небезпека полягає у звуку повідомлення про початок зустрічі. Хакер вказує розташування звукового файлу (file.wav) на своєму SMB-сервері. І коли Outlook висвічує нагадування про початок зустрічі, він звертається до файлового сервера зловмисника, намагається авторизуватися в ньому за допомогою облікових даних поточного користувача та відтворює file.wav із хакерського сервера. Як результат, користувач бачить звичайне повідомлення від Outlook,
а хакер — скомпрометовані облікові дані, а саме NTLMv2-SSP Hash,
до якого потім зможе підібрати пароль та використовувати його для подальшого розповсюдження в корпоративній мережі:
Як протистояти. Додайте критичних користувачів, таких як адміністратори домену, до групи «Protected Users». Користувачам цієї групи недоступна автентифікація по NTLM, що виправляє цю проблему. Однак деякі програми, які потребують такого типу аутентифікації, можуть перестати працювати, і в такому випадку необхідно шукати баланс між безпекою та бізнес-процесами.
Інший варіант — заблокувати вихідні мережеві з’єднання протоколу SMB за допомогою хостового файрвола або файрвола на периметрі. Trellix Endpoint Security дозволяє гнучко вирішити це завдання. Одним із модулів ENS є Брандмауер, який дозволяє гранулярно блокувати мережеві з’єднання, створені певними програмами. Використовуйте цей підхід, щоб створити такі правила:
- Дозволити вихідний мережевий доступ за протоколом SMB на порт 445 до внутрішніх корпоративних серверів, щоб не переривати бізнес-процеси.
- Заборонити вихідний мережевий доступ за протоколом SMB на порт 445 на решту хостів, щоб не допустити відправлення облікових даних на сторонні сервери.
Таким чином, спроба експлуатації CVE-2023-23397 провалиться, а користувач отримає повідомлення про можливе вторгнення:
Більше про Trellix Endpoint Security
Рішення Trellix Endpoint Security передбачає декілька технологій безпеки, які обмінюються даними в режимі реального часу, аналізують загрози й захищають від них. Технології поділені на такі модулі:
Запобігання загрозам. Автоматична перевірка файлів під час доступу та цільові перевірки на наявність шкідливих програм у клієнтських системах.
Брандмауер. Контролює передачу даних між комп’ютером, мережевими ресурсами та Інтернетом. Аналіз мережевого трафіку на основі правил, додатків та репутацій.
Контроль Інтернету. Аналіз пошукових запитів та перегляду сторінок в Інтернеті, блокування вебсайтів та завантажень на основі репутацій, категорій та чорних/білих списків.
Адаптивний захист від загроз. Перевірка вмісту з використанням поведінкового аналізу та штучного інтелекту. Виконує необхідні дії на основі репутацій файлів та їх дій.
Всі перераховані вище модулі інтегруються в єдиний інтерфейс Trellix ENS в клієнтській системі. Вони можуть бути встановлені разом або автономно, щоб забезпечити багаторівневий захист і не перевантажувати систему.
Gartner зарахували Trellix Endpoint Security до п’ятірки найкращих засобів для захисту робочих станцій, а платформа безпеки Trellix XDR є безпрецедентним лідером на думку багатьох аналітичних агентств.
Підсумуємо
Сучасну кібербезпеку неможливо уявити без захисту облікових даних. Зловмисники винаходять нові методи крадіжки, тому важливо стежити за тим, щоб засоби безпеки адаптувалися до нових умов. Крадіжка облікових даних може здійснюватися сторонніми та довіреними засобами, як ми побачили на прикладі Outlook. Тому рішення має блокувати всі підозрілі спроби доступу до lsass.exe, не порушуючи роботу системи.
Trellix ENS дозволяє впоратися з усіма викликами кібербезпеки. Рішення визнано багатьма аналітичними агентствами одним із найкращих на ринку. У статті ми показали частину його можливостей на прикладі різних атак, включно з експлуатацією нової вразливості Outlook.
З Trellix ви можете розраховувати на розширене виявлення та оперативне реагування на загрози. Вендор фокусується на прискоренні технологічних інновацій шляхом машинного навчання та автоматизації. BAKOTECH — офіційний дистриб’ютор Trellix в Азербайджані, Україні та країнах Центральної Азії.
Якщо у вас є питання щодо рішень Trellix, напишіть нам: [email protected]
Дійсним автори цієї статті повідомляють про наступне:
(1) Цю статтю створено виключно з роз’яснювальною метою і поширення цієї статті не є діяльністю, за яку статтею 3611 Кримінального кодексу України встановлено кримінальну відповідальність.
(2) Програмні коди та засоби, що згадуються в цій статті, не створено авторами, отримано авторами з відкритих джерел та тестовано авторами на власний ризик на власному обладнанні.
(3) Всі приведенні в цій статті шкідливі програмні коди, засоби, зразки, приклади, формули тощо жодним чином не пропонуються та не рекомендуються для використання читачами та/або іншими третіми особами (щодо третіх осіб).
2 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів