Выявляем атаки с кражей учетных данных с помощью приманок
Содержание
ToggleРассказываем, как снизить риск компрометации реальных учетных данных пользователей с помощью приманок.
Фото: открытые Internet-источники
Вводная
Концепция обмана хакеров давно вышла за пределы только ханипотов (honeypots) или ловушек. Чтобы эффективно выявлять нелегитимные действия в сети компании, необходимо создать грамотно распределенную сеть ложных данных и активов в инфраструктуре. Именно поэтому сегодня системы киберобмана (Distributed Deception Platform) представляет собой и ловушки, и приманки. О последних и поговорим в этой статье.
Приманки
Приманки (в англоязычном сообществе употребляют разные названия этого компонента — «breadcrumbs», «lures», «bait») — это наиболее привлекательные данные для злоумышленника. Их основная задача — увести хакера от реальных информационных активов на ложные (ловушки). Они распространяются на конечные устройства реальных пользователей или серверы компании. В некоторых решениях и инструментах для распространения используется агент, но этот подход несет в себе риски — дополнительной нагрузки на инфраструктуру, обнаружения агента злоумышленником и его отключением. Поэтому при выборе, в первую очередь, ориентируйтесь на безагентные системы.
Примеры приманок:
- файлы разного формата (doc, pdf) с ложной информацией (логинами и паролям от систем);
- учетные данные, сохраненные в браузерах, сеансах RDP, диспетчере хранения УЗ, LDAP-каталогах и других местах на конечных устройствах;
- история командной строки;
- специальные «некорректно» произведенные настройки в различных системах, которые тщательно отслеживаются;
- другие данные, которые вводят автоматизированные средства злоумышленника в ступор.
Приманки — это важная составляющая систем киберобмана, потому что большинство кибератак начинаются именно с конечных устройств пользователей. Например, согласно исследованию Positive Technologies, три четверти рассмотренных APT-группировок в Юго-Восточной Азии начинают кибератаки с фишинговых рассылок.
Когда злоумышленник получает первоначальный доступ к сети компании, то в первую очередь он пытается найти данные или артефакты, которые помогут ему закрепиться на скомпрометированном хосте и повысить свои привилегии. Такими данными являются логины и пароли, учетные записи пользователей с разным уровнем прав. Есть два пути их использования:
- Горизонтальное повышение привилегий (привилегии расширяются путем захвата другой учетной записи с более привилегированными правами).
- Вертикальное повышение привилегий (используется существующая учетная запись обычного пользователя, с помощью которой злоумышленник пытается получить административные права или root-доступ).
Способы исследования и получения учетных данных на скомпрометированном хосте:
- дамп учетных данных из памяти процесса lsass.exe (управляет и хранит учетные данные всех пользователей с активными сеансами Windows);
- извлечение валидных учетных данных из памяти в виде NTLM-хешей, билетов Kerberos, паролей при помощи различных инструментов (известные утилиты типа Mimikatz могут обнаружить обычные антивирусы или EDR-решения, поэтому злоумышленники используют перекомпилированных клонов с минимальной функциональностью, чтобы избежать шума);
- поиск логинов и паролей в различных файлах и сервисах (например, зачастую пользователи сохраняют логины и пароли в мессенджерах, почтовых переписках, файловых документах на хосте);
- кража учетных данных (NTLM-хешей паролей) из базы данных Security Accounts Manager (SAM) (это файл на локальном жестком диске, в котором хранятся учетные данные всех локальных учетных записей на компьютере под управлением Windows) из диспетчера учетных данных Windows Credential Manager,
- кража учетных данных с помощью Kerberoasting (протокол Kerberos играет важную роль в аутентификации и запросе доступа к службам и приложениям, обеспечивая функцию Single-Sign-On для доступа к нескольким общим ресурсам в корпоративной сети).
- поиск VPN-профилей и сертификатов для подключения как на Linux-хостах, так и на Windows;
- поиск «полезной» информации в bash history, планировщике cron или systemd.
Смысл использования обмана при детектировании кибератак — поставить злоумышленников в тупик и предотвратить их следующий шаг. Злоумышленники находят и пытаются использовать «обманки», не понимая, что они наступили на мину. Их ключевое преимущество заключается в том, что они разнообразны по типу, широко распространены и невидимы для легитимных пользователей, но при этом находятся на виду у злоумышленников.
Доступные инструменты и методы создания приманок
Самый простой способ — создать фейковые учетки, например, в Active Directory (AD), которые будут предназначена только для целей защиты AD. И отслеживать попытки аутентификации, настроив аудит. Также существуют различные бесплатные проекты для создания обмана внутри корпоративной сети компании. Ниже вы найдете инструменты для создания приманок.
CanaryTokens
Один из популярных Open Source-проектов для создания различных приманок внутри инфраструктуры. Поддерживается компаний Thinkst. Сервис позволяет через веб-консоль создать ложный триггер, который в дальнейшем станет приманкой для обнаружения атаки внутри инфраструктуры. Типы приманок:
- документы формата .doc и .pdf;
- URL-ссылки;
- DNS-резолверы;
- QR-коды устанавливаются как в сетевой инфраструктуре, так и физической (например, в серверной или ЦОДе);
- почтовые адреса;
- базы MySQL;
- приложения (возможность создания ложного приложения и его установки на мобильные телефоны операционных систем IOS и Android);
- команды на операционных системах.
Вы можете разместить их у себя в инфраструктуре: на рабочих хостах пользователей, базах данных, репозиториях кода, конвейерах CI/CD, системах управления проектами и других информационных активах. Когда пользователь или злоумышленник попытается получить доступ к какому-либо «канареечному» ресурсу, то вы получите уведомление на почту (которая была указана при настройке триггера). В уведомлении будет IP-адрес, имя токена и временная метка доступа.
Ограничения сервиса:
- отсутствие системы управления всеми приманками;
- отсутствие встроенного инструмента для сбора телеметрии.
- Ссылка: https://canarytokens.org/nest/
DEJAVU
Это один из первых представителей deception-фреймворков с открытым исходным кодом. Этот фреймворк позволяет разворачивать приманки, которые устанавливаются на реальные хосты пользователей и серверы организации (но из коробки поддерживает только небольшое их количество). Одним из преимуществ DejaVu является применение единой платформы для создания различных VLAN-ов, к которым подключаются выбранные протоколы и докер-контейнеры с ханипотами.
Ссылка: https://github.com/bhdresh/Dejavu
Выводы
Киберобман — эффективный подход для выявления кибератак внутри периметра и удорожания атаки для злоумышленника. Это подтверждено научными независимыми исследованиями («Examining the Efficacy of Decoy-based and Psychological Cyber Deception», «Game Theoretic Deception and Threat Screening for Cyber Security»).
Для знакомства с концепцией и повышения защищенности каких-то небольших сегментов сети могут подойти Open Source-решения. Но они не способны обеспечить эффективный подход выявления нелегитимных действий в сети компании. Основной их недостаток — отсутствие связанности приманок и ловушек, а также централизованного управления ими. Ни один из Open Source-проектов не является полноценным решением класса Distributed Deception Platform (DDP).
Источник: