Самый SOC: история одной стажировки в Positive Technologies. Часть вторая

Привет, Хабр! А вот и обещанный пост с продолжением истории о стажировке начинающих ибэшников в команде SOC экспертного центра безопасности Positive Technologies (PT ESC). Как мы писали в предыдущей статье, ребятам еще не приходилось сталкиваться с реальной хакерской активностью, поэтому финальным аккордом их стажировки мы решили сделать участие в кибербитве The Standoff. Ниже мы расскажем, какой план и формат работы мы предложили подопечным на битве, разберем парочку кейсов из их отчетов и поделимся отзывами самих ребят. А еще попробуем ответить на главный вопрос: насколько реально для начинающих специалистов без практического опыта обнаружить и расследовать действия настоящих злоумышленников? 

Welcome под кат!

Участие в The Standoff

The Standoff — одна из самых масштабных открытых кибербитв в мире, где сильнейшие белые хакеры сражаются за ресурсы виртуальной страны — копии цифровой реальности современной России, а команды специалистов по информационной безопасности учатся противостоять целевым атакам на ключевые объекты собственного бизнеса.

Со временем виртуальный город, который назывался City F, вырос на макете до размеров целого государства (теперь это Государство F), демонстрируя технологические цепочки таких отраслей, как электроэнергетика, нефтяная промышленность, черная металлургия, а также банковского сектора, объектов транспорта, логистики, производства и ЖКХ. Сценарии катастроф смоделированы по мотивам реальных инцидентов — зрители и участники могут наблюдать на макете последствия самых разных атак: разлива нефти, крушения поезда или взрыва на газораспределительной станции.

На последнем The Standoff было построено Государство F с тремя отраслями — черная металлургия, электроэнергетика и нефтяная промышленность. Каждая из них имеет внутри взаимосвязанные объекты — от добычи до поставки ресурсов конечным потребителям. Также в Государстве F функционирует развитая банковская система. За водоснабжение, уличное освещение, систему видеонаблюдения и парк аттракционов отвечает управляющая компания City, а морские, железнодорожные и авиаперевозки осуществляет транспортная компания Heavy Logistics.

В целом привлечение стажеров к кибербитве в качестве blue team (команды защитников) рассматривалось нами как возможность развития следующих навыков и компетенций:

• командная работа и взаимодействие с четким разделением ролей;

• углубленное понимание устройства инфраструктур реальных компаний; 

• выявление, анализ и расследование инцидентов информационной безопасности;

• знание векторов, методов и техник атакующих.

Нашим же личным интересом было взглянуть критически на программу стажировки в контексте результатов ребят на The Standoff: оценить темы и наполнение обучающих занятий, результативность наших методов работы с подопечными. 

С учетом этих целей для нас выглядел оптимальным следующий формат:

1. Формируем небольшие команды по 4–6 стажеров. За каждой закрепляется определенный сегмент Государства F.

2. К каждой команде добавляем по 1–2 наставника (в их роли — новые, недавно присоединившиеся к SOC сотрудники; для них The Standoff — отличная площадка для быстрого погружения в работу).

3. Выдаем доступы к тем же продуктам, которыми пользуются настоящие команды защитников.

4. Определяем для команд общий пул задач, состоящий из выявления атак, формирования по ним отчетов с рекомендациями, расследования реализаций недопустимых событий (в качестве задачи со звездочкой).

5. Создаем жюри из опытных сотрудников SOC для проверки и оценки отчетов.

Таков был наш план. Далее мы постараемся подробно рассказать о ходе всего мероприятия: проанализируем показательные кейсы из отчетов стажеров, расскажем, за что можно было зацепиться при выявлении атак, и поделимся отзывами самих ребят.

Старт киберучений

Доступы к средствам мониторинга проверены, напутствия и инструкции от наставников получены, ребята готовы с минуты на минуту включиться в происходящее на площадке. Вплоть до самого старта мы беспокоились о том, как пройдет наш эксперимент с участием стажеров в The Standoff: не растеряются ли новички под шквалом разнообразных атак красных команд, не запутаются ли в многочисленных сработках наших продуктов.

Уже в первые часы противостояния наши опасения были развеяны: стажеры уверенно фиксировали атаки красных команд на начальных этапах проникновения. В топе выявленных техник были попытки сканирования сетевых ресурсов и эксплуатации уязвимостей, детектированные PT Application Firewall, а также попытки подбора учетных данных, выявленные MaxPatrol SIEM. Кроме того, опираясь на вердикты песочницы PT Sandbox, ребята смогли в режиме реального времени зафиксировать успешные фишинговые атаки и корректно проанализировать вредоносную активность, инициируемую фишинговыми вложениями. Последовавшие после проникновения в офисы действия злоумышленников стажеры также не пропустили: в их отчетах фигурировали такие техники атакующих, как использование ПО BloodHound для внутренней разведки, выполнение обфусцированных PS-скриптов и извлечение учетных данных из памяти LSASS. Впечатляющие результаты!

Первоначальный доступ: целевой фишинг с вложением

Максим

Стажер

Подробный разбор атак на занятиях очень пригодился на The Standoff, так как я уже был знаком с цепочками проведения типовых атак на инфраструктуру. При расследовании атак мне удавалось обнаружить такие индикаторы компрометации, как применение скриптов PowerShell и загрузка подозрительных текстовых документов.

По нашим наблюдениям, даже у опытных специалистов не всегда получается оперативно выявить в сети компании фишинговую атаку и отреагировать на нее. При этом данный вектор, несомненно, остается одним из самых распространенных способов проникновения в инфраструктуру. Мы учли это при подготовке занятий в течение стажировки и в рамках практических заданий достаточно времени уделили разбору видов фишинговой активности, особенностям ВПО, обнаружению в средствах мониторинга и т. д. Вооруженные полученными знаниями, ребята зафиксировали успешную атаку в сегменте банковской системы:

Первоначальной зацепкой послужил вердикт PT Sandbox о вредоносном офисном документе cv.doc, обнаруженном в сетевом трафике: благодаря интеграции PT Sandbox и PT NAD файл был автоматически извлечен и отправлен на анализ. Стажеры установили, что обнаруженный документ был разослан в почтовых вложениях с адреса LNolan@services.stf на адрес hr@bankoff.stf.

После открытия доверчивым пользователем файла cv.doc содержащаяся в нем полезная нагрузка инициирует выполнение закодированного PowerShell-скрипта и запуск утилиты certutil. Скрипт, являющийся стейджером Metasploit, предназначен для открытия сокета и установки обратного соединения с С2 злоумышленников.

"C:\\WINDOWS\\system32\\cmd.exe\"  "/b" "/c" "start" "/b" "/min" "powershell.exe" "-nop" "-w" "hidden" "-e" "aQBA7AC..ADsA""

В свою очередь, с помощью lolbin-утилиты certutil происходит обращение к С2 для скачивания вредоносного файла, который сохраняется под именем 7zip.exe.

Так команда атакующих оказалась в доменной инфраструктуре. С одной стороны, классический и не самый изысканный пример получения первоначального доступа с помощью социальной инженерии, с другой — это отличный кейс нашим ребятам для проработки и совершенствования навыков. Нас радует, что стажерам удалось зафиксировать компрометацию, идентифицировать фишинговую рассылку и отследить техники красной команды. 

Дмитрий

Стажер

Знания, полученные на занятиях, которые для нас проводили на стажировке, были полезны при мониторинге и помогали быстрее ориентироваться при поиске следов компрометации, особенно практика по Initial Access.

Разведка с BloodHound

Разумеется, после проникновения в систему перед любым злоумышленником встает вопрос о том, как развить атаку вглубь инфраструктуры. Почти всегда он начинает с разведки — со сбора информации о домене, доменных компьютерах, пользователях и т. д. Важно, чтобы аналитики SOC умели детектировать и анализировать подобную активность: поняв, когда и к каким именно данным получил доступ атакующий, можно сделать выводы о его дальнейшем продвижении и целях. Но насколько оперативно получится у начинающих специалистов среагировать на проведение разведки?

ПО BloodHound позволяет проводить расширенную разведку внутри сети компании, собирая информацию о домене c помощью коллектора SharpHound. Работа инструмента базируется на LDAP и SMB-протоколах. В пакете экспертизы MaxPatrol SIEM есть правила для выявления использования BloodHound или SharpHound, основанные на специфичной активности, связанной с подключениями к определенным именованным каналам.

Николай

Стажер

При поиске цепочек я отталкивался от автоматически зарегистрированных инцидентов в SIEM для формирования списка узлов, на которые происходит атака. После этого просматривал события для каждого узла и при обнаружении подозрительных действий на этом узле отображал их на таймлайне инцидентов.

Зацепившись за сработки этих правил на скомпрометированном узле, наши ребята в течение часа сумели верифицировать активность и даже предложить пусть не исчерпывающие, но вполне разумные рекомендации по реагированию на инцидент.

За пределами киберполигона подобное оперативное обнаружение активной разведки могло бы помочь предотвратить дальнейшее продвижение атакующих и остановить атаку на ранней стадии.

Следующий раунд

В начале второго дня мы, воодушевленные предыдущими успехами стажеров, тем не менее понимали, что большинство зафиксированных атак были лишь начальными стадиями и активное развитие еще впереди. Хватит ли у ребят скилов и энтузиазма на разбор более сложных и продвинутых техник атакующих? 

Кроме того, к этому моменту мы уже располагали информацией о фактах реализации недопустимых событий, которую через наставников довели и до стажеров. Первоначальный план был решительный: как можно дольше не выдавать никаких подсказок, мотивируя ребят самостоятельно раскрутить всю цепочку работы атакующих, приведшую к недопустимому событию. Такой настрой оказался слишком оптимистичным... но не будем торопить события и оставим масштабное расследование на потом, а пока рассмотрим другой интересный кейс, зафиксированный нашими стажерами.

Недостатки в общедоступном приложении

Анастасия

Стажер

Наиболее сложным мне показалось нахождение точки первичного проникновения в систему. Здесь немаловажную роль сыграл PT Application Firewall, с помощью которого производился поиск проникновений через веб-приложения офиса. С помощью PT NAD мы искали цепочки компрометации узлов (с какого узла происходил взлом других узлов компании) и отображали их на топологии.

Другой способ проникновения в систему, который нельзя оставить без внимания, — эксплуатация известной уязвимости, которая по каким-то причинам не была своевременно закрыта. Достаточно открыть пару свежих APT^[1]-репортов, чтобы убедиться в том, насколько часто прибегают к данному вектору злоумышленники. Поскольку инфраструктура Государства F максимально приближена к реальной жизни, данная техника пользовалась большой популярностью и у красных команд на The Standoff.

Во время стажировки мы познакомили подопечных с веб-атаками, сделав акцент на способах их детектирования в PT NAD и PT Application Firewall. Давайте посмотрим, насколько успешно у них получилось верифицировать такую активность:

Основными признаками компрометации при помощи уязвимости чаще всего служат активности вроде загрузки веб-шелла, выполнения команд через него, запуска необычных процессов пользователями вроде www-data и др. Именно за них и удалось зацепиться нашим стажерам при расследовании взлома веб-сервиса iTop в сегменте УК «Сити»: в сетевом трафике узла itop.city.stf (10.156.12[.]34) PT NAD обнаружил признаки шелла . Начав разбираться, ребята выяснили, что злоумышленники залили туда веб-шелл и начали с ним взаимодействие:

После подробного исследования нелегитимной активности в том же PT NAD и MaxPatrol SIEM удалось установить, что команда атакующих проэксплуатировала уязвимость типа Remote Code Execution в iTop, которая позволила им изменить пароль администратора iTop и получить шелл от имени пользователя www-data.

Забегая вперед, сообщим, что этот взлом iTop был частью одной из запутанных и многоступенчатых цепочек реализаций недопустимых событий, рассмотренных стажерами на The Standoff. На данном этапе злоумышленники еще не успели продвинуться вглубь инфраструктуры и добраться до SCADA-сегмента, поэтому грамотная локализация и реагирование на такую атаку позволили бы своевременно остановить атакующих, избежав наступления недопустимых событий (и в The Standoff, и в реальной жизни!).

Расследование недопустимых событий

Приведенные выше примеры убедительно доказывают: стажеры держали марку, достойно справляясь с детектированием отдельных атак красных команд. Безусловно, им не всегда удавалось верно верифицировать и проанализировать наблюдаемую активность без наводок наставников. Но не будем забывать, что ребята только начинают свой путь в ИБ и не ошибается тот, кто ничего не делает