Выявляем атаки с кражей учетных данных с помощью приманок

Вводная

Концепция обмана хакеров давно вышла за пределы только ханипотов (honeypots) или ловушек. Чтобы эффективно выявлять нелегитимные действия в сети компании, необходимо создать грамотно распределенную сеть ложных данных и активов в инфраструктуре. Именно поэтому сегодня системы киберобмана (Distributed Deception Platform) представляет собой и ловушки, и приманки. О последних и поговорим в этой статье.

Приманки

Приманки (в англоязычном сообществе употребляют разные названия этого компонента — «breadcrumbs», «lures», «bait») — это наиболее привлекательные данные для злоумышленника. Их основная задача — увести хакера от реальных информационных активов на ложные (ловушки). Они распространяются на конечные устройства реальных пользователей или серверы компании. В некоторых решениях и инструментах для распространения используется агент, но этот подход несет в себе риски — дополнительной нагрузки на инфраструктуру, обнаружения агента злоумышленником и его отключением. Поэтому при выборе, в первую очередь, ориентируйтесь на безагентные системы.

Примеры приманок:

• файлы разного формата (doc, pdf) с ложной информацией (логинами и паролям от систем);
• учетные данные, сохраненные в браузерах, сеансах RDP, диспетчере хранения УЗ, LDAP-каталогах и других местах на конечных устройствах;
• история командной строки;
• специальные «некорректно» произведенные настройки в различных системах, которые тщательно отслеживаются;
• другие данные, которые вводят автоматизированные средства злоумышленника в ступор.

Приманки — это важная составляющая систем киберобмана, потому что большинство кибератак начинаются именно с конечных устройств пользователей. Например, согласно исследованию Positive Technologies, три четверти рассмотренных APT-группировок в Юго-Восточной Азии начинают кибератаки с фишинговых рассылок.

Когда злоумышленник получает первоначальный доступ к сети компании, то в первую очередь он пытается найти данные или артефакты, которые помогут ему закрепиться на скомпрометированном хосте и повысить свои привилегии. Такими данными являются логины и пароли, учетные записи пользователей с разным уровнем прав. Есть два пути их использования:

• Горизонтальное повышение привилегий (привилегии расширяются путем захвата другой учетной записи с более привилегированными правами).
• Вертикальное повышение привилегий (используется существующая учетная запись обычного пользователя, с помощью которой злоумышленник пытается получить административные права или root-доступ).

Способы исследования и получения учетных данных на скомпрометированном хосте:

• дамп учетных данных из памяти процесса lsass.exe (управляет и хранит учетные данные всех пользователей с активными сеансами Windows);
• извлечение валидных учетных данных из памяти в виде NTLM-хешей, билетов Kerberos, паролей при помощи различных инструментов (известные утилиты типа Mimikatz могут обнаружить обычные антивирусы или EDR-решения, поэтому злоумышленники используют перекомпилированных клонов с минимальной функциональностью, чтобы избежать шума);
• поиск логинов и паролей в различных файлах и сервисах (например, зачастую пользователи сохраняют логины и пароли в мессенджерах, почтовых переписках, файловых документах на хосте);
• кража учетных данных (NTLM-хешей паролей) из базы данных Security Accounts Manager (SAM) (это файл на локальном жестком диске, в котором хранятся учетные данные всех локальных учетных записей на компьютере под управлением Windows) из диспетчера учетных данных Windows Credential Manager,
• кража учетных данных с помощью Kerberoasting (протокол Kerberos играет важную роль в аутентификации и запросе доступа к службам и приложениям, обеспечивая функцию Single-Sign-On для доступа к нескольким общим ресурсам в корпоративной сети).
• поиск VPN-профилей и сертификатов для подключения как на Linux-хостах, так и на Windows;
• поиск «полезной» информации в bash history, планировщике cron или systemd.

Смысл использования обмана при детектировании кибератак — поставить злоумышленников в тупик и предотвратить их следующий шаг. Злоумышленники находят и пытаются использовать «обманки», не понимая, что они наступили на мину. Их ключевое преимущество заключается в том, что они разнообразны по типу, широко распространены и невидимы для легитимных пользователей, но при этом находятся на виду у злоумышленников.

Доступные инструменты и методы создания приманок

Самый простой способ — создать фейковые учетки, например, в Active Directory (AD), которые будут предназначена только для целей защиты AD. И отслеживать попытки аутентификации, настроив аудит.

Также существуют различные бесплатные проекты для создания обмана внутри корпоративной сети компании. Ниже вы найдете инструменты для создания приманок.

CanaryTokens

Один из популярных Open Source-проектов для создания различных приманок внутри инфраструктуры. Поддерживается компаний Thinkst. Сервис позволяет через веб-консоль создать ложный триггер, который в дальнейшем станет приманкой для обнаружения атаки внутри инфраструктуры. Типы приманок:

• документы формата .doc и .pdf;
• URL-ссылки;
• DNS-резолверы;
• QR-коды устанавливаются как в сетевой инфраструктуре, так и физической (например, в серверной или ЦОДе);
• почтовые адреса;
• базы MySQL;
• приложения (возможность создания ложного приложения и его установки на мобильные телефоны операционных систем IOS и Android);
• команды на операционных системах.

Вы можете разместить их у себя в инфраструктуре: на рабочих хостах пользователей, базах данных, репозиториях кода, конвейерах CI/CD, системах управления проектами и других информационных активах. Когда пользователь или злоумышленник попытается получить доступ к какому-либо «канареечному» ресурсу, то вы получите уведомление на почту (которая была указана при настройке триггера). В уведомлении будет IP-адрес, имя токена и временная метка доступа.

Ограничения сервиса:

• отсутствие системы управления всеми приманками;
• отсутствие встроенного инструмента для сбора телеметрии.
• Ссылка: https://canarytokens.org/nest/

DEJAVU

Это один из первых представителей deception-фреймворков с открытым исходным кодом. Этот фреймворк позволяет разворачивать приманки, которые устанавливаются на реальные хосты пользователей и серверы организации (но из коробки поддерживает только небольшое их количество). Одним из преимуществ DejaVu является применение единой платформы для создания различных VLAN-ов, к которым подключаются выбранные протоколы и докер-контейнеры с ханипотами.

Ссылка: https://github.com/bhdresh/Dejavu

Выводы

Киберобман — эффективный подход для выявления кибератак внутри периметра и удорожания атаки для злоумышленника. Это подтверждено научными независимыми исследованиями («Examining the Efficacy of Decoy-based and Psychological Cyber Deception», «Game Theoretic Deception and Threat Screening for Cyber Security»).

Для знакомства с концепцией и повышения защищенности каких-то небольших сегментов сети могут подойти Open Source-решения. Но они не способны обеспечить эффективный подход выявления нелегитимных действий в сети компании. Основной их недостаток — отсутствие связанности приманок и ловушек, а также централизованного управления ими. Ни один из Open Source-проектов не является полноценным решением класса Distributed Deception Platform (DDP).

Реклама, ООО "КСЕЛЛО", ИНН 7708344509, erid: 2SDnjdn2qNB