Кражба на идентификационни данни и компрометирани уеб сървъри. Познатият модел зад дългосрочни кибершпионски операции
Наскоро разкрита кампания показва добре познат, но изключително ефективен модел на проникване, използван при дългосрочни операции за кибершпионаж.
Вместо да разчитат на сложен зловреден софтуер, нападателите комбинират компрометирани уеб сървъри, кражба на идентификационни данни и легитимни административни инструменти, за да разширяват постепенно достъпа си в атакуваните мрежи.
Сред засегнатите организации са компании и институции от секторите:
• авиация
• енергетика
• телекомуникации
• държавна администрация
• правоохранителни органи
• фармацевтична индустрия
• технологии
Изследователите проследяват активността на група, насочена към дългосрочно присъствие в инфраструктурата на организациите и събиране на чувствителна информация.
Уеб сървърите като първа точка на достъп
В много случаи атаката започва чрез компрометиране на публично достъпни уеб сървъри.
След като получат достъп, нападателите инсталират web shell инструменти, които им позволяват да изпълняват команди дистанционно и да запазят контрол върху системата.
Компрометираният уеб сървър често се превръща в отправна точка за проникване към други системи в мрежата.
Уеб сървърите са особено ценна цел, защото:
• са достъпни от интернет
• често съдържат конфигурации и идентификационни данни
• имат връзка с бази данни и вътрешни услуги
Основна цел. кражба на идентификационни данни
След първоначалния достъп нападателите насочват усилията си към извличане на пароли и повишаване на привилегиите.
Инструменти за извличане на идентификационни данни от паметта позволяват на атакуващите да се представят за легитимни потребители или администратори.
Един от най-често използваните инструменти е Mimikatz, който може да извлича пароли, хешове и Kerberos билети директно от системната памет.
Това позволява на нападателите постепенно да разширяват достъпа си и да се придвижват между различни системи в мрежата.
Използване на легитимни инструменти
Съвременните атакуващи често използват open-source инструменти и стандартни системни компоненти, вместо специално разработен зловреден код.
Този подход им позволява да се прикриват в нормалната системна активност.
Често използваните техники включват:
• DLL side-loading чрез легитимни приложения
• инструменти за повишаване на привилегии
• тунелиране за дистанционен достъп
• скриптове за събиране на информация от системата
Тъй като тези инструменти са легитимни, откриването на злонамерената им употреба е значително по-трудно.
Тихо събиране на информация
След като получат достъп и идентификационни данни, нападателите започват да събират чувствителна информация.
Сред целите са:
• конфигурационни файлове на приложения
• резервни копия на бази данни
• таблици и експортирани файлове със служебна информация
• компоненти на уеб приложения
Тази информация може да разкрие вътрешната архитектура на системите и да позволи още по-дълбоко проникване в инфраструктурата.
Позицията на DIAMATIX
Тази кампания показва една все по-често срещана тенденция в кибератаките.
Вместо сложен зловреден софтуер, много нападатели използват комбинация от уязвимости, легитимни инструменти и техники за кражба на идентификационни данни, които им позволяват да останат незабелязани за дълъг период.
Затова организациите трябва да обръщат внимание на няколко ключови области:
• мониторинг на уеб сървъри за web shell активност
• откриване на credential dumping техники
• ограничаване на административните права
• наблюдение на странично придвижване в мрежата
Ефективната защита вече изисква не само откриване на зловреден код, но и разбиране как легитимни инструменти могат да бъдат използвани като част от атака.
Trusted · Innovative · Vigilant
Източници
Статията е базирана на публично достъпни анализи и изследвания в областта на киберразузнаването, свързани с последни кампании срещу критична инфраструктура.
Основните източници включват:
• анализи на Palo Alto Networks Unit 42 за групата CL-UNK-1068
• публични доклади за използване на web shell инструменти при компрометиране на уеб сървъри
• техническа документация и анализи на инструменти като Mimikatz, FRP и ANTSWORD
• изследвания върху техники тип living-off-the-land и кражба на идентификационни данни в корпоративни среди
Допълнителна информация е извлечена от публични доклади и анализи в областта на киберсигурността.
Получавайте актуални новини и експертни анализи за киберсигурност
