Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире
В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика.
Изначально, системы класса Priviliged Access Management (PAM) создавались для контроля за действиями пользователей с расширенными правами. Со временем стало ясно, помогают расследовать атаки типа Trusted Relationship (доверительные отношения) и инциденты, вызванные действиями сотрудников и инсайдеров. Например, в 2024 году «точкой входа» для 8% успешных кибератак стали именно подрядчики.
Поэтому аудиторы, сотрудники провайдеров, подрядчиков, обслуживающих IT-системы, требуют такого же внимания, как и привилегированные пользователи. Для соблюдения требований безопасности им нельзя предоставлять такие же права, как обычным сотрудникам, но PAM-система помогает держать их в поле зрения. В этом материале подробно расскажем о кейсе и роли PAM-системы в противоборстве с хакерами.
Что известно о злоумышленниках
Obstinate Mogwai («упрямый демон») — это высокопрофессиональная, предположительно, прогосударственная хакерская группировка из восточной Азии. Эти злоумышленники занимаются кибершпионажем и геополитической разведкой в России и прилегающих регионах. Свое название злоумышленники получили за настойчивость, с которой они пытаются повторно войти в системы даже после обнаружения и блокировки.
Активность группы прослеживается с 2023 года. Obstinate Mogwai атакует государственные учреждения, ИТ-компании и их контрагентов, часто использует уязвимости в общедоступных системах, серверах Exchange и скомпрометированных учетных данных подрядчиков. Чтобы закрепиться, группа часто применяет такие методы, как атаки десериализации .NET. Ее инструментарий включает известные вредоносные программы, такие как KingOfHearts и TrochilusRAT, а также специальные бэкдоры, например, Donnect и DimanoRAT.
Obstinate Mogwai использует легитимные учетные записи и сертификаты, привилегированные аккаунты и данные подрядчиков. Одна из их целей — проникновение в системы электронного документооборота. Характерная особенность — ручная работа с конфиденциальными документами во время вторжений.
Как мы обнаружили атаку
Следы злоумышленников специалисты «Солара» увидели в событиях IIS, поступающих
в SIEM. В них фиксировались различные GET- и POST-запросы к ресурсам owa /owa/auth/logon.aspx. Запросы шли c адреса, который уже был известен как подтвержденный индикатор компрометации. Запросы шли под сертификатом одного пользователя к данным учетной записи другого. Детектирование этих событий автоматически запустило расследование.
Атакующие стремились завладеть Exchange. Предположительно, они хотели закрепиться
в инфраструктуре и развивать атаку с помощью десериализации .Net. Как отметили выше, это характерное поведение «упрямого демона».
Другими целями были различные системы сотрудников, с которых атакующие пытались получить конфиденциальные документы и прочую ценную информацию. Также группировку интересовали терминальные серверы для доступа к электронному документообороту.
Incident response XXII века — так можно назвать ту часть расследования, которая установила факт доступа злоумышленников к чувствительным данным. Это случилось благодаря PAM-системе Solar SafeInspect, установленной в инфраструктуре заказчика. Эта система автоматически ведет запись сессий привилегированных пользователей, позволяя администраторам клиента отслеживать их активность. Именно поэтому все действия (которые, к слову, выполнялись в ночное время) были записаны. Просмотр этого блокбастера позволил установить, что злоумышленники очень хорошо владеют интерфейсом не самой простой системы электронного документооборота. Их интересовали различные документы, связанные с несколькими странами Азиатского региона. Любопытно, что атакующие постранично просматривали открываемые документы, задерживаясь на каждой странице по несколько секунд. Скорее всего во время этих пауз они делали скриншоты или вели запись экрана.
Как PAM-система помогает отражать кибератаки
У Solar SafeInspect есть целый набор функций, которые помогают разобраться в подобных сценариях. Так, система позволяет обнаруживать запуск команд и приложений из черного списка. В этом случае система может прервать сессию или оповестить администратора. В случае SSH-соединения отслеживается отправка команды: запуск shell-команд, копирование файлов и проч. При подключении по RDP, как это было в атаке, которую мы рассматриваем, — по заголовку окна внутри RDP-сессии. Настройка идет через политики, которые прямо разрешают или запрещают определенные действия.
Например, мы знаем, что этот пользователь никогда не запускает Word, потому что его работа не связана с текстами, или обращается только к ограниченному списку серверов. Если на его машине кто-то пытается открыть Word, действие будет заблокировано, а администратор получит уведомление.
Есть возможность интегрироваться по syslog с SIEM, по ICAP — DLP, антивирусами и прочими элементами инфраструктуры безопасности. Таким образом PAM-решение становится источником данных о событиях на пользовательской рабочей станции, способно обнаружить загрузку вредоносного ПО или выгрузку конфиденциальной информации и контролировать буфер обмена.
Компания может отслеживать цепочки событий, например, нетипичный логин на рабочей станции, за которым последовала авторизация на определенном сервере, и попытка загрузить информацию. Это значительно упрощает работу специалистов по расследованию инцидентов, которые могут подготовить правила корреляции для самых разных случаев.
Чтобы не рисковать компрометацией паролей к корпоративным системам, PAM-система может вести маппинг учетных записей, позволяя сотрудникам авторизоваться в сервисах по доменной учетной записи. Выглядит это так: пользователь авторизуется по данным доменного аккаунта с базовыми привилегиями, а PAM-система за кулисами подменяет на привилегированную учетную запись, зная ее логин и пароль.
Преимущество в том, что пользователю не приходится запоминать и вводить дополнительные пароли, а значит, они не будут скомпрометированы. Чтобы обнаружить сам факт подмены, нужно специально проверить, какая запись реально используется для работы в системе. Это не так сложно, однако не все злоумышленники будут об этом задумываться. В любом случае, он не может скомпрометировать выданный аккаунт, попробовать обойти защиту PAM — у него не будет ни понимания своих действительных возможностей, ни способа узнать корпоративный пароль или иные данные.
Если Solar SafeInspect работает в режиме Маршрутизатора, пользователь не проходит дополнительную явную авторизацию и не знает, что его действия контролируются и фиксируются PAM-системой. Благодаря этому хакер не предпринимает попыток обойти средство защиты или изменить свои действия на допустимые, действуя открыто. Когда мы работаем в режиме маршрутизатора, хакер не видит и не знает, что проходит явную авторизацию
Последняя важная функция PAM-системы в списке в этом кейсе не использовалась, иначе атака в принципе бы не состоялась. Но не сказать по нее нельзя, как раз потому что это действительно мощная опция. Речь про режим «Четыре глаза», который позволяет защитить критически важные сервера. При включении этой функции сотрудники безопасности получают запросы на ручную авторизацию доступа к корпоративным системам. Администратор должен проверить запрос и его легитимность, подтвердить доступ или отказать в нем.
Таков обзор технических функций PAM для обнаружения и блокирования кибератак. Подробнее разбор кейса опубликован в материале «Reign of king: тактики и инструментарий группировки Obstinate Mogwai»
