Документ обсуждает уязвимости бизнес-логики и методы их обнаружения с использованием легальных инструментов в кибербезопасности. Отмечается, что для предотвращения и выявления атак необходимо глубокое понимание бизнес-процессов и инфраструктуры. Также приводятся примеры нестандартного использования программного обеспечения, что делает защиту более сложной и требует оптимизации подходов к обнаружению угроз.

1. Сергей Солдатов
Практика обнаружения атак,
использующих легальные
инструменты
АО «Лаборатория Касперского»

2. О чем речь?
• Уязвимость (возможность эксплуатации) – неизбежное следствие
функционала (бизнес-логики)
• Уязвимости бизнес-логики существуют на всех уровнях абстракции
(модели OSI)
• Для обнаружения таких атак требуется экспертиза в бизнес-процессе
• Защита от эксплуатации бизнес-логики плохо аутсорсится

3. Инфраструктура – первый эшелон
Бизнес-логика
Приложение
Обеспечение функционирования
Инфраструктура
Аутентификация
Авторизация
Атакующий

4. Анатомия современной таки
Активность
атакующих
П о р о г с р а б а т ы в а н и я С З И
Недели-Месяцы Минуты-Дни Недели-Годы
«Классические»
возможности по детекту
Время
Подготовка
Взлом, закрепление
Постэксплуатация, достижение целей
Пассивно
Возможно
использование ВПО
Инфраструктура
Использование легальных
инструментов
Приложение
Возрастание сложности чистки
Если инструменты и
нужны, то только здесь

5. Инфраструктура

6. Мотивация
• Остаться незамеченным 
Использовать каккогдакто
используют
• Не тащить инструменты 
Использовать что используют
легитимно
https://www.youtube.com/watch?v=j-r6UonEkUw

7. Некоторые примеры нестандартного использования
Проксирование
запуска
Скачивание из
Интернет
regsvr32
[T1117]
mshta
[T1170]
Выход из
песочницы
rundll32
[T1085]
certutil
[T1105, T1140]
Смена
формата
bits
[T1197,T1048]
Закрепление в
системе
Эксфильтрация
данных
nslookup
[T1048]

8. Некоторые примеры стандартного использования
Установка
новых
shim-ов
sdbinst
[T1138]
certutil
[T1130]
Установка
корневого
сертификата
netsh
[T1040,T1089,
T1090]
Сбор
сетевого
трафика
Изменение
настроек
прокси
Проброс
сетевых
соединений
Изменение
правил
брандмауэра
Снимки
экрана
psr
[T1113]
Звук с
микрофона
soundrecorder
[T1123]
bits
[T1105]
Докачка
модулей
WMI
[T1047]
Удаленный
запуск
schtasks,
at
[T1053]
Задачи по
расписанию
sc
[T1031]
Удаленное
управление
службами
reg
[T1214]
Сохранение веток
реестра

9. За что зацепиться  Детекты/Ханты, Алерты
• Просто
• Отношение родитель-потомок
• Командная строка
• События ОС, автозапуски
• Требует оптимизации
• Загрузки библиотек
• Операции с реестром и файлами
• Сложно
• Инъекции кода*, посмотреть «внутрь» файлов,
процессов, перехват недокументированных функций ОС
• Содержимое билетов Kerberos, маркеров доступа**
* Например, это https://www.endgame.com/blog/technical-blog/ten-process-
injection-techniques-technical-survey-common-and-trending-process
** Access token
Оптимизация
собираемых
данных
Исследования
Разработка
Полнота
покрытия
Сенсор
Инфраструктура

10. Конверсия детектов/хантов = NTP/(NTP + NFP)%
• Приоритет взятия в работу
• Порядок использования
• Эффективность ханта
А л е р т ы , Х а н т ы
Конверсия
На первую линию
Алертами
Отчетность для второй
линии
Обогащение
(дополнительный контекст)
>50% <10%
где,
NTP – количество корректных
срабатываний для данного детекта
NFP – количество ложных
срабатываний для данного детекта

11. Приложения и Бизнес-процессы

12. Использование легальных возможностей приложений
Single Sign-On
Контроль
доступа
Хранение
аутентификаци
онных данных
(в памяти)
Повышение
привилегий
Управление
правами доступа
Полномочия на
изменение прав
доступа
Неавторизованный
доступ
• Пароли
• Хеши
• Билеты Kerberos
• Маркеры доступа
• Админ приложения
• Админ ОС
• АдминСУБД
• Агент регистрации УЦ
Обработка
обфусциро-
ванных
данных
Анализ
данных
Деобфускация
Например, это
https://www.schneier.co
m/blog/archives/2018/07
/identifying_peo_8.html
Доступ к
данным
Масса
способов их
скопировать
Компрометация
данных
• Переписать
• Фото
• Запомнить
• Не считая
технических
атак на DLP
Анонимный
доступ к
сайту
Изменение
параметров
системы
Накручивание
• Онлайн-
голосование
• И т.п.

13. Атаки на бизнес-процессы («лайф-хаки» с оттенками грязи)
Провоз ручной
клади до 10 кг
Для семьи из
6 человек…
Провоз до 60кг ~
три чемодана
Билет до 5-ой
зоны и обратно
Нет единой связи
турникетов
Использование
одного билета
на две поездки
• Путешествие
налегке
• Из Фрязино до
Раменского и
обратно
Работник тоже
может быть
клиентом
Распродажи,
программы
лояльности
Мошенничество
• Кассир со своей
бонусной картой
или с картами
всех своих друзей
Компенсация
расходов на
топливо
Нет лимитов
Или решение
принимается
самостоятельно
• Оплата по чекам всех
друзей и подруг

14. Что делать?
Исследовать
схемы атак
Изучать свои
бизнес-процессы и
автоматизирующих
их приложения
Придумывать, как в
(Приложении +
Инфраструктуре)
(Предотвратить
 Обнаружить 
Найти) следы
атаки
Разработанные подходы к
(Предотвращению/Обнаружению/Поиску) –
в Operations (SOC)
Начать
отсюда

15. Эпилог 1(2). Безопасность – это компромисс
Высокие бизнес-
требования
Широкая
функциональность
приложений
Выше
вероятность
ошибки
Выше вероятность
альтернативного
использования
Народный
креатив
Удобство

16. Эпилог 2(2). Комбинируй эшелоны
• Атакующий может работать
[практически] без аномалий
• Инфраструктуру лучше сделаем
мы*, бизнес-процессы – вы https://www.youtube.com/watch?v=5-CoJNjtAmY
• Для обнаружения атак на бизнес-процессы надо ооочень хорошо
понимать их  ИБ сервис Бизнеса  бегом в бизнес-подразделения!
* https://media.kaspersky.com/ru/enterprise-security/Kaspersky_Managed_Protection_RU_WEB.pdf

17. Солдатов Сергей Владимирович
www.linkedin.com/in/sergeysoldatov
@SVSoldatov
reply-to-all.blogspot.com/
АО «Лаборатория Касперского»