Как защититься от продвинутых кибератак

Хакеры из группировки Hellhounds используют разнообразные векторы нападения, но чаще всего проникают в инфраструктуру жертвы через уязвимые веб-сервисы или атаки на цепочку поставок (supply chain). Злоумышленники маскируют активность под работу легитимного ПО и могут годами оставаться незамеченными в системе. Их основные жертвы — российские компании, чьи устройства работают под управлением Windows и Linux. Конечные цели атакующих неизвестны, хотя в одном из случаев их нападение закончилось уничтожением ИТ-инфраструктуры организации и остановкой ее деятельности.

Обнаружение Правила MaxPatrol EDR на основе сведений из матрицы MITRE ATT&CK способны обнаружить попытки получения первичного доступа, закрепления, получения учетных данных и разведки в системе. В частности, правило Suspicious_Create_Process_Ssh_ Connection позволяет обнаружить попытки подключиться к скомпрометированному узлу с помощью протокола SSH. YARA-правило PTESC_apt_linux_ZZ_ DecoyDog__Trojan__FirstStage помогает выявить закрепление бэкдора Decoy Dog. Другое YARA-правило PTESC_tool_multi_ ZZ_3snake__HackTool служит для обнаружения перехвата учетных записей модифицированной утилитой 3snake.

Реагирование При выявлении попыток получить первичный доступ используем блокировку по IP-адресу. Остановить закрепление бэкдора Decoy Dog поможет удаление вредоносного файла в директории /usr/bin/dcrond с помощью модуля «Удаление файлов». Для того, чтобы предотвратить кражу учетных данных утилитой 3snake, используйте аутентификацию по ключу в ssh. А при обнаружении в инфраструктуре данной утилиты, обновите скомпрометированные пароли.

Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies

Бэкдор Decoy Dog закрепляется в системе через утилиты, маскируясь под dcrond. service и atd. service в Linux или системных сервисах Windows и позволяет киберпреступникам красть данные. Хотя бэкдор вошел в арсенал злоумышленников совсем недавно, мы уже добавили в MaxPatrol EDR правила его обнаружения и рекомендации для его нейтрализации на конечных устройствах

Как считают эксперты Positive Technologies, ExCobalt является преемницей известной APT-группировки Cobalt. Такой вывод можно сделать, исходя из арсенала киберпреступников: в своих атаках они применяют известный модуль CobInt. Наряду с ним в инструментарий злоумышленников входит руткит Facefish и свежий бэкдор GoRed. Для распространения утилиты CobInt атакующие используют фишинговые письма с вложенными в них вредоносными архивами. Деятельность хакеров ранее была направлена на кражу денежных средств, но впоследствии они начали заниматься кибершпионажем. Среди целей ExCobalt — предприятия металлургии, горной промышленности, государственные учреждения, телекоммуникационные и ИТ-компании, а также разработчики ПО.

Обнаружение Заметить фишинговую рассылку помогут модули «Обнаружение подозрительных файлов», «Проверка файлов по хеш-сумме», «Отправка файлов в PT Sandbox» или «YARA-сканер». Правило CVE_2023_38831_WinRar выявляет запуск вредоносных компонентов WinRar. Правило Execute_Malicious_Command срабатывает при попытке запустить вредоносные скрипты PowerShell, Visual Basic и другие инструменты, в том числе троян Spark RAT. Попытку внедрения бэкдора GoRed обнаруживают правила Unix_At_Job_Modify и Suspicious_Create_File_Scheduler_Cron. Помимо этого, MaxPatrol EDR способен выявить попытки повышения привилегий, преодоления защиты, компрометации учетных данных и другие техники киберпреступников ExCobalt.

Реагирование Запуск вредоносных компонентов WinRar и скриптов PowerShell можно предотвратить с помощью модулей «Завершение процессов», «Удаление файлов» и «Карантин». Чтобы остановить внедрение бэкдора GoRed, нужно удалить задачу командой crontab -e или at -r.

Злоумышленники из APT-группировки Dark River применяют в атаках продвинутый бэкдор MataDoor, который позволяет им долго скрываться в инфраструктуре компании, поскольку они заинтересованы в кибершпионаже. Целью атакующие выбирают российские оборонные предприятия.

Обнаружение Киберпреступники распространяют бэкдор с помощью фишинговой рассылки. Здесь на помощь снова приходит отправка файлов в PT Sandbox — действенный метод для всесторонней проверки вредоносных файлов. При отсутствии песочницы стоит использовать YARA-сканер, «Обнаружение подозрительных файлов» и модуль «Проверка файлов по хеш-сумме». Правило Execute_Malicious_Command поможет выявить нелегитимное ПО по характерным аргументам командной строки. Продукт также содержит множество правил для обнаружения активности бэкдора MataDoor: например, для обхода ограничения Regsvr32, подозрительной сетевой активности и сбора информации о системе.

Реагирование Обнаружить закрепление бэкдора MataDoor поможет корреляционное правило Service_Created_or_Modified. В случае срабатывания этого правила следует проверить файл YARA-сканером и при получении вредоносного вердикта удалить созданный сервис командами sc stop и sc delete с помощью модуля «Запуск командной оболочки» из веб-интерфейса MaxPatrol EDR.

Валерий Слезкинцев, руководитель направления реагирования на конечных устройствах PT Expert Security Center (PT ESC)

Чтобы не допустить проникновения MataDoor в инфраструктуру компании, необходимо обучать сотрудников борьбе с фишингом и принимать меры проактивной защиты. Прежде всего, нужно обращать внимание на необычные для рабочей переписки вложения, ошибки в подписи отправителя и нетипичные для его должности просьбы. Если бэкдор уже оказался внутри корпоративной сети, обнаружить его помогут песочницы и системы мониторинга трафика и защиты на конечных устройствах от сложных атак, выявляющие присутствие вредоносного ПО с помощью поведенческого анализа и индикаторов компрометации

Эта группировка применяет в атаках нестандартные инструменты и техники. Например, бэкдор Voidoor и вредоносную утилиту Deed RAT. Для разведки инфраструктуры хакеры используют легитимные инструменты продвижения по сети, такие как Acunetix. У злоумышленников широкий спектр целей, в числе которых госучреждения, авиационные предприятия и компании информационной безопасности в России и Сербии. Результатом их атак обычно становится кража конфиденциальных данных.

Обнаружение Вероятнее всего, Space Pirates распространяют вредоносное ПО с помощью фишинга или эксплуатации уязвимостей сетевого периметра. За обнаружение вредоносной рассылки отвечают модули проверки файлов. Так, если у вас есть песочница РТ Sandbox, нужно использовать в MaxPatrol EDR модуль «Отправка файлов в PT Sandbox». Если нет, то проанализировать файлы можно статическими проверками YARA, модулями «Проверка файлов по хеш-сумме» и «Обнаружение подозрительных файлов». О попытках закрепления злоумышленников на узле могут сигнализировать сразу несколько правил, например Suspicious_Create_Process_ Schtasks_Persistence, Scheduled_Task_Execution, Scheduled_task_Manipulation и Scheduled_Task_Was_Created_ Or_Updated_Via_Schtasks.

Реагирование При выявлении атаки стоит использовать модули «Завершение процессов», «Удаление файлов» и «Карантин». «YARA-сканер» поможет просканировать память системных процессов. Если атакующие пытаются разместить ярлык в папке автозапуска и закрепиться на узле через ключи реестра Run и RunOnce, нужно удалить в реестре соответствующий ключ — (SOFTWARE\Microsoft\Windows\CurrentVersion\Run\letsintellsvc).