Как работают киберкриминалисты: расследование инцидента в «красной» компании
Команда киберкриминалистов Angara SOC подготовила материал с реконструкцией хакерской атаки, которая длилась несколько дней и серьезно угрожала бизнесу заказчика.
Отметим сразу, что точкой входа стала учетная запись сотрудника, который не имел никакого отношения к IT — и ИБ-инфраструктуре, поэтому этот кейс еще раз подтверждает, как важна киберграмотность не только сотрудников компании, но и подрядчиков и даже субподрядчиков.
Атака. Первые улики
Изначально и далее преступники подключались напрямую через Citrix ADC/NetScaler под доменной учетной записью сотрудника отдела продаж. Citrix часто используется для организации удаленного доступа к корпоративной сети, в том числе для доступа к сети через веб-интерфейс. Ниже приводим выявленные VPN-сессии первично скомпрометированного пользователя.
Установленные VPN-сессии первично скомпрометированного пользователя
На протяжении всего периода атаки, при помощи корреляции установленных сессий и событий соединений сетевого оборудования Palo Alto, установлено, что в качестве источника подключения выступали IP-адреса, принадлежащие одному VPN-провайдеру ‒ ProtonVPN:
149.102.244.66,
146.70.161.198,
146.70.161.171
Атака. День первый
В первый же день расследования мы получили доступ к промежуточному серверу и в рамках установленной сессии приступили к изучению доступных локальных и удаленных файлов. Для этого использовали графический интерфейс и веб-ресурсы, которые были отмечены в закладках браузера у скомпрометированного пользователя.
Ниже приводим часть истории посещений веб-страниц в браузере Internet Explorer. Как видно из этих скриншотов, злоумышленников в первую очередь интересовали внутренние ресурсы организации, такие как Confluence, Jira и другие доступные приложения.
Часть истории посещений веб-страниц в браузере Internet Explorer скомпрометированного пользователя
Более того, опираясь на журналы доступа Confluence, можно заключить, что при доступе со скомпрометированного сервера преступники также попытались получить доступ с других учетных записей, но без последующих переходов на какие-либо страницы в рамках поиска информации.
Обращения к пространству Confluence со скомпрометированного сервера (10.97.0.83)
Атака. День второй
Подключившись с использованием VPN на следующий день в 07:10, хакеры продолжили изучение хоста, чтобы найти чувствительную информацию. Об этом свидетельствуют большое количество имеющихся LNK-файлов, которые автоматически создаются операционной системой при открытии локальных или удаленных файлов, а также история Internet Explorer, содержащая сведения о доступе как к веб-, так и локальным ресурсам.
На протяжении всего период атаки злоумышленники получили доступ ко множеству файлов, исходным кодам отдельных приложений, приватным ключам, файлам конфигураций, а также файлам .bash_history, содержащим чувствительную информацию.
Спустя непродолжительное время после подключения и просмотра отдельных файлов, мы мы загрузили архивом один из первых инструментов — EmEditor (emed64_22.3.0_portable.zip). Это гибкий текстовый редактор с широким функционалом, в том числе с возможностью просмотра файлов очень большого размера и манипуляции с ними через графический интерфейс. Архив был распакован в директорию C:/Users/
В продолжение исследования сетевых каталогов мы в тот же день аналогичным образом загрузили еще три инструмента:
HeidiSQL, инструмент администрирования с открытым исходным кодом для сразу нескольких баз данных, таких как MariaDB, MySQL, а также Microsoft SQL Server, PostgreSQL и SQLite
WinSCP, клиент протоколов FTP, FTPS, SCP, SFTP, предназначенный для Windows
dbeaver, инструмент администрирования базы данных с возможностью взаимодействия с базами данных через драйвер JDBC
И хотя все используемое хакерами программное обеспечение относится к portable-версиям, то есть не требует полноценной установки, в системе частично остаются следы их работы. Так, сразу после загрузки dbeaver на целевую систему, программа была запущена и с ее помощью были предприняты попытки подключения к отдельным серверам баз данных. Часть структурированных логов приводим далее. Внимание, очень длинная таблица :)
Время | Адрес подключения в соответствующем формате | Тип ответа |
08:27:23.612 | jdbc: oracle: thin:@// | ORA-17002: Ошибка ввода-вывода |
08:27:34.487 | jdbc: oracle: thin:@//:1521/LFDWH | ORA-17002: Ошибка ввода-вывода |
08:28:00.130 | jdbc: oracle: thin:@// | ORA-17002: Ошибка ввода-вывода |
08:28:06.974 | jdbc: oracle: thin:@// | ORA-17002: Ошибка ввода-вывода |
09:06:03.836 | jdbc: oracle: thin:@// | ORA-12514: Невозможно подключиться к базе данных. Сервис %s |
09:06:14.166 | jdbc: oracle: thin:@// | ORA-01017: invalid username/password; logon denied |
09:06:29.526 | jdbc: oracle: thin:@// | ORA-01017: invalid username/password; logon denied |
09:53:46.006 | jdbc: oracle: thin:@// | ORA-01017: invalid username/password; logon denied |
10:07:30.714 | jdbc: oracle: thin:@// | ORA-01017: invalid username/password; logon denied |
10:11:15.990 | jdbc: oracle: thin:@// | Connected |
10:38:29.002 | jdbc: oracle: thin:@// | Connected |
10:53:31.832 | jdbc: oracle: thin:@// | ORA-01013: пользователем запрошена отмена текущей операции |
15:47:46.670 | jdbc: oracle: thin:@// | ORA-12514: Невозможно подключиться |
15:47:57.842 | jdbc: oracle: thin:@ | ORA-12505: Невозможно подключиться |
15:50:10.292 | jdbc: oracle: thin:@// | ORA-12514: Невозможно подключиться |
15:50:17.792 | jdbc: oracle: thin:@//p260unc4:1566/UCN | ORA-12514: Невозможно подключиться |
15:53:38.925 | jdbc: oracle: thin:@// | ORA-12514: |
15:53:57.396 | jdbc: oracle: thin:@// | ORA-12514: |
15:54:13.164 | jdbc: oracle: thin:@// | ORA-12514: |
15:54:30.044 | jdbc: oracle: thin:@// | ORA-01017: |
15:54:45.310 | jdbc: oracle: thin:@// | ORA-01017: |
15:59:09.384 | jdbc: oracle: thin:@// | ORA-01017: |
15:59:13.056 | jdbc: oracle: thin:@// | ORA-01017: |
15:59:31.075 | jdbc: oracle: thin:@// | ORA-01017: |
16:00:12.404 | jdbc: oracle: thin:@// | ORA-01017: |
16:01:21.081 | jdbc: oracle: thin:@// | ORA-01017: |
16:01:26.223 | jdbc: oracle: thin:@// | ORA-12514: |
… | ||
19:22:35.898 | jdbc: oracle: thin:@ | Connected |
12:54:16.305 (следующий день) | jdbc: oracle: thin:@// | Connection reset. |
13:05:57.551 | jdbc: sqlserver://; serverName= | Не удалось установить соединение TCP/IP |
17:12:48.986 | jdbc: sqlserver://; serverName= | Connection failed. |
17:27:59.297 | jdbc: sqlserver://; serverName= | Connection failed. |
17:55:07.860 | jdbc: oracle: thin:@// | ORA-12541: |
17:55:37.572 | jdbc: oracle: thin:@// | Connected |
17:59:55.532 | jdbc: oracle: thin:@// | ORA-01017: |
18:00:03.970 | jdbc: oracle: thin:@// | Connected |
Как видно из приведенной выше таблицы, несмотря на множественные неудачные попытки подключения, в выделенных случаях подключение было успешно установлено. Более того, дополнительно лог-файл приложения содержит ошибки на уровне базы данных, то есть при выполнении запросов, что подтверждает возможность манипуляций с данными атакующими на указанных серверах. Так как журналов выполненных запросов не ведется, достоверно восстановить содержание запросов не представляется возможным.
Стоит отметить, что параллельно событиям этого же дня, в 10:15:20 в файловой системе скомпрометированного ранее хоста появились первые файлы, именования которых схожи стандартному формату при выгрузке базы данных. При это восстановить эти файлы невозможно из-за технических особенностей логического пространства виртуального диска.
Следы открытия файлов (история Internet Explorer)
Кроме того, мы зафиксировали значительный рост исходящего трафика, общий объемом около 850 МБ, что может свидетельствовать об первом этапе эксфильтрации данных.
Рост исходящего трафика
В рамках фазы пост-эксплуатации злоумышленники использовали исключительно системные инструменты и легитимное ПО, предназначенное для администрирования. Так, в 18:37:45 была загружена, распакована и запущена утилита LDAP Admin (LdapAdminExe-w64–1.8.3.zip), расположенная в том же каталоге C:\Users\
В ряде случаев, к отдельным серверам пробовали подключиться через WinSCP или через RDP-подключение (на основании событий системного журнала TerminalServices RDPClient\Operational).
Дополнительно, по ходу атаки атакующие загрузили веб-браузеры qtweb, opera и PortableGit. Последнее решение используется для работы с системой управления версиями Git для просмотра найденных git-файлов репозиториев.
На основании лог-файлов системы управления репозиториями программного кода GitLab, доступного по адресу https://gitlab.
При детальном анализе запрашиваемых URI выявлено, что выполнялся поиск по отдельным ключевым словам, в том числе: «bitrix», «password», «mysql», «postgres», «ms-auth», «sftp», «ssh», «oracle», «jdbc», «postgresql», «password prod», «bitrix», «sk2239», «sftp-prod.autoins.ru», «ftp», «password admin», «password basic», «basic auth admin», «aws secret backup», «password username jdbc», «password mysql», «storage.yandexcloud.net», «CLO_STORAGE_YANDEX», «BEGIN RSA PRIVATE KEY», «ssh private rsa»,»10.255.1», несколько других внутренних и внешних адресов, и последующий перебор найденных веток.
Позднее, в 18:10:35 и 18:53:59 того же дня был зафиксирован первый вход из-под этой же привилегированной учетной записи с промежуточного сервера на веб-интерфейсы пространств Confluence и Jira.
Выдержка из истории браузера пользователя
Часть запросов к пространству Jira из-под иной учетной записи
В 20:04:50, в журнале auth.log зафиксировано подключение при помощи протокола ssh
к другому серверу (уже на операционной системе GNU/Linux) с использованием учетных данных привилегированной локальной учетной записи, состоящей в группе sudo, и имеющей аналогичный логину пароль. Многократных ошибок при входе на сервер не наблюдалось, вероятнее всего, аутентификационный материал был получен ранее в открытом виде из ранее изученных файлов.
Так как история вводимых команд пользователем .bash_history ведется без указания временных меток, достоверно определить команды, введенные злоумышленниками на серверах, не представляется возможным, явных признаков вредоносной активности не обнаружено. Так, вероятно, хакеры установили файловый менеджер Midnight Commander для более удобного взаимодействия с файловой системой:
sudo apt install mc
mc
Тем не менее, в 22:03:58 с данного сервера был выполнен первый запрос к базе данных MySQL от имени сервисной учетной записи, вероятно, также полученной аналогичным способом на этапе изучения.
SELECT * FROM
Предположительно, в целях выгрузки был построен туннель с использованием клиентов Putty и WinSCP для создания SFTP (FTP over SSH) /SCP сессии. Тогда же были выгружены на изначально скомпрометированный сервер файлы-ответы, полученные после выполнения первого запроса — user.sql и user2023.sql, после чего файл был разбит на RAR-архивы. Примечательно, что ряд команд злоумышленником выполнялся напрямую через WinSCP, а именно проверка сетевого доступа на сервер:
nc -zv -w1 10.255.1.6 3306
nc -zv -w1 10.255.1.6 22
ping -c 1 10.255.1.6
Конфигурационный файл WinSCP.ini, содержащий историю команд, вводимых пользователем, а также информацию о подключениях
Атака. День третий
На третий и финальный день, в 09:53:06 (создание пользовательской сессии — в 08:49:37), был осуществлен второй запрос:
SELECT ID, TIMESTAMP_X, LOGIN, «PASSWORD», NAME, LAST_NAME, EMAIL, LAST_LOGIN, PERSONAL_PHONE, PERSONAL_BIRTHDAY, SECOND_NAME FROM
При выгрузке результатов отработанных запросов во внешнюю сеть, аналогично отслеживается рост исходящего трафика (итого за предыдущий день ≈ 2517 МБ, текущий ≈ 1078 МБ). Выгрузив результаты, после удаления части следов и созданных в процессе файлов, сессия была завершена. В дальнейшем, недопустимых событий реализовано не было.
Выводы? Рекомендации
Злоумышленник далеко не всегда используют сложные техники или вредоносный код. Иногда они достигают своей цели, используя исключительно легитимные инструменты, а нужную информацию находят, просто внимательно изучая доступные ресурсы.
Такое поведение хакеров довольно сложно отличить от действий обычного пользователя или прикладного администратора. Как раз этим и пользуются Leak Wolf. Возможно, этих ребят знают больше по Telegram-каналу NLB, куда они размещают данные некоторых из своих жертв.
Поэтому приводим наши практические рекомендации, чтобы на дальних подступах пресекать такие кибератаки «на грани»:
Поставьте на контроль обращения адресам, которые относятся к VPN-провайдерам, прокси, анонимайзерам
Внедрите многофакторную аутентификацию на всех публично доступных, а также критических ресурсах для обеспечения дополнительного уровня верификации внутренних пользователей и повышения их безопасности с целью защиты от взлома
Контролируйте и проводите регулярную инвентаризацию ваших IT-активов, в том числе внешних, чтобы исключить создание теневой инфраструктуры
Строгая парольная политика: не менее 14 символов для пользовательских учетных записей, использование букв разных регистров, а также спецсимволов. Всегда ведите журнал паролей (количество старых паролей, которые хранятся в Active Directory, запрещая пользователю повторно использовать старый пароль, который настраивается аналогично через политику паролей
Исключите возможность использовать одинаковые пароли от локальных привилегированных учетных записей как для Windows-, так и для Linux-систем
Киберграмотность и цифровая гигиена сотрудников — ваше все
Следите за тем, чтобы пароли не хранились в легкодоступных файлах в открытом виде, а при использовании терминала не вводились явно для недопущения их сохранения в истории команд
Используйте для защиты конечных устройств решения класса EDR. Важно обеспечить максимальную полноту покрытия сети для предотвращения появления «слепых» зон
При разграничении доступа применяйте принцип минимальных привилегий в системе, уделяя особое внимание учетным записям, использующимся для автоматизированных процессов и удаленного доступа
Подключите журнал запросов баз данных для контроля запросов с ответами, содержащими большое количество строк.
Бонус: индикаторы компрометации
IP-адреса:
IP-адрес | AS*, диапазон | Геолокация | Краткое описание |
149.102.244.66 | 212238, 149.102.244.0/24 | Варшава, Польша | ProtonVPN |
146.70.161.198 | 9009, 146.70.161.0/24 | Варшава, Польша | ProtonVPN |
146.70.161.171 | 9009, 146.70.161.0/24 | Варшава, Польша | ProtonVPN |
*autonomous system, AS — система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с Интернетом |
Мы всегда на связи, Angara SOC!
