Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса мониторинга и реагирования (MDR) и сервиса реагирования на инциденты (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях. Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
Эксплуатация публично доступных приложений
Техника ATT&CK: T1190, тактика ТА0001 (первоначальный доступ)
Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
Как защититься: отдавайте приоритет обновлению ПО на периметре сети, а также используйте дополнительные меры защиты для сервисов на периметре. Закрывайте порты управления от доступа извне. Регулярно сканируйте внешний периметр в поисках уязвимостей и просто приложений, внешний доступ к которым предоставлен случайно и должен быть отозван. Устанавливайте агенты EDR и средства защиты, в том числе на серверы приложений.
Фишинг
Техника ATT&CK: T1566, тактика ТА0001 (первоначальный доступ)
Что это: массовая или таргетированная рассылка сообщений по e-mail, SMS и через мессенджеры, призванная выманить учетные данные у одного из сотрудников компании или побудить кого-то к загрузке вредоносного контента по ссылке.
Как защититься: повышать осведомленность всех сотрудников компании, проводить учения, использовать современные защитные решения для почтовых серверов, применять решения класса EMM/UEM для защиты мобильных устройств сотрудников, включая личные.
Действительные учетные записи, скомпрометированные атакующими
Техника ATT&CK: T1078, тактика ТА0001, TA0003, TA0004, TA0005 (первоначальный доступ, закрепление, повышение привилегий, обход защиты)
Что это: одна из самых результативных техник атакующих. При начальном проникновении в сеть используются учетные данные сотрудников, полученные из купленных утечек или с помощью фишинга. В дальнейшем для развития атаки используются доменные и локальные учетные записи, обнаруженные на скомпрометированном компьютере.
Как защититься: применяйте устойчивые к фишингу методы многофакторной аутентификации (MFA), в первую очередь на привилегированных аккаунтах. Внедряйте принцип наименьших привилегий. Деактивируйте стандартные учетные записи («гость» и тому подобные), а для локальных аккаунтов администратора установите уникальный пароль для каждого компьютера. Используйте SIEM и XDR для обнаружения аномальных действий пользователей.
Подбор пароля
Техника ATT&CK: T1110, тактика TA0006 (доступ к учетным данным)
Что это: атакующие могут находить пароли к интересующим их аккаунтам с помощью полного перебора (bruteforcing) или подбора пароля по известному хешу. Разновидностью атаки является password spraying, когда одни и те же популярные пароли применяются к различным учетным записям в надежде найти пользователя, который выбрал такой слабый пароль.
Как защититься: установить парольные политики, исключающие полный перебор, применять более жесткие политики к учетным записям, для которых невозможно включить MFA. Ограничить число попыток ввода во всех системах и блокировать учетную запись при превышении числа попыток. Настроить правила мониторинга в SIEM, чтобы обнаруживать общий рост неуспешных попыток аутентификации.
Доверительные отношения
Техника ATT&CK: T1199, тактика ТА0001 (первоначальный доступ)
Что это: компрометация организации через ее партнеров и подрядчиков. Если взломать партнера, то дальше можно проникнуть в организацию, пользуясь обнаруженными доступами и инструментами. На практике часто взламывают субподрядчиков по IT (MSP, поставщиков аутентификации, специалистов техподдержки), которые имеют административный доступ к системам организации.
Как защититься: регулярно аудировать внешние доступы, отзывать неактуальные, применять к ним принцип наименьших привилегий, обязательно внедрять жесткие парольные политики и MFA для таких учетных записей. Использовать сегментацию сети, чтобы ограничивать доступ внешних подрядчиков только к нужным им группам ресурсов.
Скриптовые языки и командные оболочки
Техника ATT&CK: T1059, тактика ТА0002 (выполнение)
Что это: в подавляющем большинстве атак злоумышленникам необходимо выполнять собственный код на пораженных компьютерах. Чтобы не привлекать внимания и избежать применения специализированного вредоносного ПО, они часто используют легитимные инструменты выполнения сценариев, которые уже установлены на большинстве корпоративных систем. Среди них явным лидером является PowerShell от Microsoft, но встречаются атаки, использующие скрипты на Visual Basic, Python и AutoIT, а также базовые оболочки Windows и Unix (cmd и sh/bash/zsh).
Как защититься: используйте allowlisting, чтобы ограничить запуск приложений, не требующихся на конкретном компьютере. Отслеживайте запуск скриптовых интерпретаторов при помощи XDR и EDR, но учтите, что потребуется постоянная адаптация детектирующей логики под особенности IT-инфраструктуры организации.
Манипуляции с учетной записью
Техника ATT&CK: T1098, тактика ТА0003, ТА0004 (закрепление, повышение привилегий)
Что это: широкий спектр изменений, которые атакующие вносят в доступные им учетные записи. Это могут быть: добавление аккаунта в привилегированные группы, включение деактивированных аккаунтов, смена пароля, изменение разрешений аккаунтам и группам.
Как защититься: применять принцип наименьших привилегий, регулярно инвентаризировать учетные записи, отзывать неактуальные разрешения и блокировать или удалять ненужные учетные записи.
Использование уязвимостей удаленных служб
Техника ATT&CK: T1210, тактика TA0008 (горизонтальное перемещение)
Что это: скомпрометировав один из компьютеров в сети, атакующие сканируют ее в поисках уязвимых приложений, чтобы поразить дополнительные компьютеры или получить на них повышенные привилегии. В 2023 году были весьма популярны старые уязвимости в SMB v1 и Exchange Server, что подтверждает недостаточное внимание IT-служб к устранению уязвимостей.
Как защититься: своевременно обновлять клиентские и серверные приложения, отключать ненужные сервисы на всех компьютерах, использовать сегментацию сети и принцип наименьших привилегий, чтобы ограничить возможности злоумышленников даже после успешной эксплуатации. Использовать защитные решения, способные обнаруживать и предотвращать попытки эксплуатации уязвимостей.
Запуск системных служб
Техника ATT&CK: T1569, тактика ТА0002 (выполнение)
Что это: наряду с использованием командных оболочек злоумышленники часто применяют запуск системных служб для выполнения вредоносных задач и закрепления в системе. Несомненным лидером здесь является PsExec, позволяющий запустить нужную задачу на удаленном Windows-компьютере.
Как защититься: используйте XDR или EDR-системы, способные отследить аномальное поведение системных служб, настройте политики таким образом, чтобы низкопривилегированные пользователи были ограничены в возможности запуска привилегированных служб, а также не могли устанавливать системное ПО.
Bonus track: LOLBins
При атаке на большинстве этапах атакующие стараются применять легитимные инструменты IT-администрирования, чтобы слиться с обычной активностью в сети и себя не выдать. Некоторые случаи уже описаны выше (PowerShell, PsExec), но в значительном числе атак злоумышленники также применяют AnyDesk для управления и контроля, Advanced IP Scanner и Softperfect Network Scanner для сканирования сети, а также пользуются инструментами для тестирования ИБ: Mimikatz для повышения привилегий, Cobalt Strike и Metasploit для перемещения по сети. О защите от применения LOLBins хакерами можно почитать в отдельном посте.
Бизнес — Блог Касперского