SlideShare a Scribd company logo
1 of 48
Download to read offline
От мониторинга к
реагированию и обратно
Сергей Солдатов
Руководитель SOC
Операционка и Проекты
Проект Операционка
Как понять
Влияние внешних
факторов
Низкая Высокая
Детерминированность
задач
Низкое Высокое
Особенности
Начало Запрос Дата начала подписки
Окончание Достижение целей Дата окончания подписки
Сроки План проекта Длительность подписки
Качество результата Выполнение ТЗ*, срок, бюджет Метрики SLA
* Уникальный результат
Типовой цикл* операционной ИБ
Начало
Анализ событий
Активный поиск
угроз
Расследование по
телеметрии MDR
Обнаружена подозрительная активность
Детект в продуктах Конец
Постоянный контроль эффективности реагирования
Возможно автоматическое реагирование
Команда
исследования
угроз
Команда
расследования
и
реагирования
Команда
анализа
событий
и
поиска
угроз
Мониторинг Расследование Реагирование
Сервис
Kaspersky
Managed
Detection
and
Response
Продукты
Сервисы
Incident
response
Digital
forensics
Malware
analysis
Реагирование
в MDR
Обнаружены
дополнительные
индикаторы
(IoC/IoA)
* Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY
Типовой цикл* операционной ИБ
* Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY
Начало
Анализ событий
Активный поиск
угроз
Расследование по
телеметрии MDR
Обнаружена подозрительная активность
Форенсика
Анализ ВПО
Реагирование
на инцидент
Детект в продуктах Конец
Анализ
извлеченных
уроков
Требуется более
глубокое
исследование
Обнаружены дополнительные индикаторы (IoC/IoA)
Постоянный контроль эффективности реагирования
Постоянное совершенствование
Требуется
ручное
реагирование
Возможно автоматическое реагирование
Возможно автоматическое реагирование
Команда
исследования
угроз
Команда
расследования
и
реагирования
Команда
анализа
событий
и
поиска
угроз
Мониторинг Расследование Реагирование
Сервис
Kaspersky
Managed
Detection
and
Response
Продукты
Сервисы
Incident
response
Digital
forensics
Malware
analysis
Реагирование
в MDR
Обнаружены
дополнительные
индикаторы
(IoC/IoA)
Сценарии
• «Из мониторинга в реагирование»
• SOC à DFIR
• Собираемой телеметрии недостаточно
• Инструментальное реагирование неэффективно
• «Поддержка с воздуха»
• DFIR à SOC
• Быстрый IoC pivoting и hunting*
• Контроль эффективности реагирования
* https://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
6
Из мониторинга в
реагирование
Классификация по критичности
• С участием человека
• Большой ущерб –
потенциальный или реальный
• Без участия человека
• Средний уровень воздействия на
бизнес
• Низкий уровень влияния на бизнес
2021, %, Мир
Видимость инцидента
Возможности
телеметрии
Активность в рамках инцидента
Видимость инцидента
Возможности
телеметрии
Инцидент
1
Активность в рамках инцидента
Инцидент
2
Инцидент
3
Инцидент
4
Видимость инцидента
Возможности
телеметрии
Инцидент
1
Активность в рамках инцидента
Инцидент
2
Инцидент
3
Инцидент
4
Эффективность реагирования
Алерт 1 Алерт 2 Алерт 3 Алерт N
…
Инцидент
Публикация
Эффективность SOC
Эффективность реагирования
Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3
…
Инцидент
Публикация
Эффективность SOC Эффективность DFIR
Эффективность реагирования
Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3
…
Инцидент
Публикация
Эффективность SOC Эффективность DFIR
№1. Закрепление в планировщике
Persistence
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
• Машинка (M1)
• Учетка (У1)
№1. М1, У1: Выполнение
Persistence
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
Execution
T1059:
Command
and
Scripting
Interpreter
• Другая Машинка (М2)
• Другая Учетка (У2)
• Такие же задачи планировщика
№1. M2, У2: Выполнение ВПО
Persistence
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
Execution
T1059:
Command
and
Scripting
Interpreter
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
Эскалация в DFIR:
• M1, У1, М2, У2
• Закрепление, запуск
№2. «Подозрительная активность» (1/4)
Initial
Access
Execution
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1566.001:
Phishing:
Spearphishing
Attachment
T1566.003:
Phishing:
Spearphishing
via
Service
Discovery
T1087:
Account
Discovery
№2. «Подозрительная активность» (2/4)
Initial
Access
Execution
Persistence
Discovery
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1566.003:
Phishing:
Spearphishing
via
Service
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
№2. «Подозрительная активность» (3/4)
Initial
Access
Execution
Persistence Defense
Evasion
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1566.003:
Phishing:
Spearphishing
via
Service
Discovery
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
№2. «Подозрительная активность» (4/4)
Initial
Access
Execution
Persistence Defense
Evasion
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1566.003:
Phishing:
Spearphishing
via
Service
Discovery
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
T1518.001:
Software
Discovery:
Security
Software
Discovery
Command
and Control
Exfiltration
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
Эскалация в DFIR:
• Закрепление, запуск
• DNS C&C
• Рекогносцировка
Discovery
21
Результаты расследований
№1. SOC
Execution
Persistence
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
№1. DFIR
Execution
Persistence
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
• Направленный фишинг (Gmail)
• Вредоносные вложения
• Персональные для каждого получателя
• Подготовленная социалка (заметна подготовка)
• Вредоносный XLSM документ (Excel с VBA макросом) выбрасывает на
диск «контент»:
• C:Users<USERNAME>AppDataLocalMicrosoft OneDriveversion.DLL
• Стартер, запускает UnistoreDB.exe
• C:Users<USERNAME>AppDataLocalCommsUnistoreDB.exe
• Закрепление (задачи планировщика), запускают ActiveSyncHost.exe, ActiveSync.exe
• C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSync.exe
• Замечены разные версии такого файла (в т.ч. без функционала)
• C&C по HTTP и DNS
• Удаленное управление: запуск команд, скачиваниезакачивание файлов, удаление
файлов, остановка процессов и т.п.
• C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSyncHost.exe
• Замечены разные версии такого файла (в т.ч. без функционала)
• Килоггер
• Удаленное управление: запуск команд
• Это было ~полгода назад
№1. DFIR: Функционал «контента»
Initial
Access
Execution
Persistence Defense
Evasion
Discovery
Lateral
Movement
Command
and Control
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
T1547.001:
Boot
or
Logon
Autostart
Execution:
Registry
Run
Keys
/
Startup
Folder
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
Credential
Access
T1110:
Brute
Force
T1056:
Input
Capture
T1018:
Remote
System
Discovery
T1021.004:
Remote
Services:
SSH
Collection Exfiltration
T1560.001:
Archive
Collected
Data:
Archive
via
Utility
T1005:
Data
from
Local
System
T1115:
Clipboard
Data
T1056.001:
Input
Capture:
Keylogging
T1113:
Screen
Capture
T1114.001:
Email
Collection:
Local
Email
Collection
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
№2. SOC
Initial
Access
Execution
Persistence Defense
Evasion
Discovery
Command
and Control
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
T1547.001:
Boot
or
Logon
Autostart
Execution:
Registry
Run
Keys
/
Startup
Folder
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1566.003:
Phishing:
Spearphishing
via
Service
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
T1518.001:
Software
Discovery:
Security
Software
Discovery
Collection Exfiltration
T1560.001:
Archive
Collected
Data:
Archive
via
Utility
T1005:
Data
from
Local
System
T1115:
Clipboard
Data
T1056.001:
Input
Capture:
Keylogging
T1113:
Screen
Capture
T1114.001:
Email
Collection:
Local
Email
Collection
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
№2. DFIR
Initial
Access
Execution
Persistence Defense
Evasion
Discovery
Command
and Control
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
T1547.001:
Boot
or
Logon
Autostart
Execution:
Registry
Run
Keys
/
Startup
Folder
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1566.003:
Phishing:
Spearphishing
via
Service
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
T1518.001:
Software
Discovery:
Security
Software
Discovery
Collection Exfiltration
T1560.001:
Archive
Collected
Data:
Archive
via
Utility
T1005:
Data
from
Local
System
T1115:
Clipboard
Data
T1056.001:
Input
Capture:
Keylogging
T1113:
Screen
Capture
T1114.001:
Email
Collection:
Local
Email
Collection
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
• Направленный фишинг («рекрутер» на LinkedIn)
• Атакующий интерактивно общался с жертвой J
• «Job Offer.xlsb», «Job Offer.xlsm» - выбрасывает файлы:
• C:Users<USERNAME>AppDataRoamingMicrosoftVaultLocalServiceNetworkFirewall
• Реализует WCF-сервер* (удобно для распределенного сбора информации)
• Общается с C&C по HTTPS
• C:Users<USERNAME>AppDataLocalMicrosoftOneDriveuserenv.dll
• DLL order hijacking OneDrive.exe
• Создает задачи планировщика
• C:<USERNAME>johnAppDataRoamingMicrosoftVaultMicrosoftEdgeApp
• Общение с C&C через DNS
• Реализует WCF- клиент
• Выполняет команды с помощью cmd.exe, msbuild.exe
• Все попытки успешно предотвращены АВЗ
* https://learn.microsoft.com/ru-ru/dotnet/framework/wcf/whats-wcf
№2. DFIR (2/2)
Initial
Access
Execution
Persistence Defense
Evasion
Discovery
Command
and Control
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
T1547.001:
Boot
or
Logon
Autostart
Execution:
Registry
Run
Keys
/
Startup
Folder
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1566.003:
Phishing:
Spearphishing
via
Service
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
T1518.001:
Software
Discovery:
Security
Software
Discovery
Collection Exfiltration
T1560.001:
Archive
Collected
Data:
Archive
via
Utility
T1005:
Data
from
Local
System
T1115:
Clipboard
Data
T1056.001:
Input
Capture:
Keylogging
T1113:
Screen
Capture
T1114.001:
Email
Collection:
Local
Email
Collection
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
• ZIP-архив с «Job Offer.exe»:
• Выбрасывает файлы, отмеченные ниже
• Задача каждые 5 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftOfficeProdcutChecker.exe
• Расшифровывает конфиг, находит и удаляет процессы в соответствии с конфигом
• Задача каждые 10 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftWindows
LocalServiceNetworkFirewall.exe
• Известный нам уже WCF-сервер и клиент HTTPS-C&C
• Задача каждые 2 мин запускает
C:Users<USERNAME>AppDataLocalMicrosoftWindowsAppsMicrosoftEdgeApp.exe
• Известный нам уже WCF-клиент и клиент DNS-C&C
• Собирает данные о ПК и сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows
RTX<RANDOM>.dll
• Собирает данные из AD по LDAP, сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows
RTX<RANDOM>.dll, отправляет по HTTPS
• После окончания каждой стадии, общается с C&C по DNS
• Инциденты №1 и №2 – действия одной группировки!
SOC1-2 DFIR1 DFIR2
Initial
Access
Execution
Persistence Defense
Evasion
Discovery
Lateral
Movement
Command
and Control
T1566.001:
Phishing:
Spearphishing
Attachment
T1204.002:
User
Execution:
Malicious
File
T1059:
Command
and
Scripting
Interpreter
T1053.005:
Scheduled
Task/Job:
Scheduled
Task
T1574.001:
Hijack
Execution
Flow:
DLL
Search
Order
Hijacking
T1547.001:
Boot
or
Logon
Autostart
Execution:
Registry
Run
Keys
/
Startup
Folder
T1027.002:
Obfuscated
Files
or
Information:
Software
Packing
T1622:
Debugger
Evasion
T1566.003:
Phishing:
Spearphishing
via
Service
Credential
Access
T1110:
Brute
Force
T1056:
Input
Capture
T1018:
Remote
System
Discovery
T1087:
Account
Discovery
T1518.001:
Software
Discovery:
Security
Software
Discovery
T1021.004:
Remote
Services:
SSH
Collection Exfiltration
T1560.001:
Archive
Collected
Data:
Archive
via
Utility
T1005:
Data
from
Local
System
T1115:
Clipboard
Data
T1056.001:
Input
Capture:
Keylogging
T1113:
Screen
Capture
T1114.001:
Email
Collection:
Local
Email
Collection
T1071:
Application
Layer
Protocol
T1102.003:
Web
Service:
One-Way
Communication
T1041:
Exfiltration
Over
C2
Channel
T1567:
Exfiltration
Over
Web
Service
T1030:
Data
Transfer
Size
Limits
Выводы
• SOC видит только о чем есть телеметрия
• Атаки до подключения
• Связи, не отраженные в телеметрии
• SOC замечает только при наличии гипотезы или аномалии
• Нет Алерта или Гипотезы для проверки
• DFIR дополнит общую картину
Выводы
• SOC видит только о чем есть телеметрия
• Атаки до подключения
• Связи, не отраженные в телеметрии
• SOC замечает только при наличии гипотезы или аномалии
• Нет Алерта или Гипотезы для проверки
• DFIR дополнит общую картину
Выводы
• SOC видит только о чем есть телеметрия
• Атаки до подключения
• Связи, не отраженные в телеметрии
• SOC замечает только при наличии гипотезы или аномалии
• Нет Алерта или Гипотезы для проверки
• DFIR дополнит общую картину
32
Поддержка с воздуха*
* https://reply-to-all.blogspot.com/2017/05/blog-post.html
Инструментарий
CobaltStrike
Mimikatz SoftPerfect
Network Scanner
Remote Monitoring
& Management
Reverse proxy
История
Initial
Access
T1190:
Exploit
Public-Facing
Application
• ProxyLogon (CVE-2021-26855, CVE-2021-27065)
• Принесли и запустил ngrok
• Принесли и поставил Atera
• Принесли SoftPerfect Network Scanner
• Принесли procdump64, psexec
• Неудачные попытки принести mimk, CS beacon, cryptor, анти-руткиты…
История
Initial
Access
Execution
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution • Прошел ~день
• Часть инструментов запускали через PsExec
История
Initial
Access
Execution Persistence
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
• Прошел еще ~один день
• Создали себе локального админа
• Существующего админа активировали и поменял ему
пароль
• Закрепились в реестре через Windows Print Spooler
Port Monitor (ключик тоже назывался «Slayer» J ) *
* https://posts.slayerlabs.com/monitor-persistence/
История
Initial
Access
Execution Persistence Defense Evasion
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
• В тот же день
• Принесли инструменты для
отключения АВЗ
• Утилиты для обнаружения и
нейтрализации руткитов
• Отключение через уязвимый драйвер
• Отключили АВЗ
• Сдампили lsass (procdump)
• Нашли доменного админа (!)
• Принесли CobaltStrike beacon
(HEUR:Trojan.Win64.Cobalt.gen,
Trojan.Win64.Crypt.*,
HEUR:Backdoor.Win64.Agent.gen,
прописал его как Port Monitor)
• Ненужные файлики удаляли (они
нашлись в Корзине J )
История
Initial
Access
Execution Persistence Defense Evasion Discovery
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
• Прошел еще ~один день
• Сканировали сеть
(результаты сохраняли в
фаликах)
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
• Внутри сети ходили по RDP
• Иногда пробрасывались через ngrok
• На пациенте «0» развернули Atera
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
Impact
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
T1486:
Data
Encrypted
for
Impact
T1485:
Data
Destruction
• Принесли шифровальщика (Trojan-
Ransom.Win64.Freeud.a, HEUR:Trojan-
Ransom.Win32.Generic )
• Принесли Wiper*
• Принесли KillDisk
* https://github.com/r3nt0n/wiper
41
Сколько дней прошло?
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
Impact
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
T1486:
Data
Encrypted
for
Impact
T1485:
Data
Destruction
1 1
1
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
Impact
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
T1486:
Data
Encrypted
for
Impact
T1485:
Data
Destruction
Меньше 3х дней
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
Impact
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
T1486:
Data
Encrypted
for
Impact
T1485:
Data
Destruction
Меньше 3х дней
История
Initial
Access
Execution Persistence Defense Evasion Discovery Lateral
Movement
Command
and Control
Impact
T1190:
Exploit
Public-Facing
Application
T1569.002:
System
Services:
Service
Execution
T1136.001:
Create
Account:
Local
Account
T1547.010:
Boot
or
Logon
Autostart
Execution:
Port
Monitors
T1098:
Account
Manipulation
T1078.002:
Valid
Accounts:
Domain
Accounts
T1070.004:
Indicator
Removal
on
Host:
File
Deletion
T1036.005:
Masquerading:
Match
Legitimate
Name
or
Location
T1562.001:
Impair
Defenses:
Disable
or
Modify
Tools
T1046:
Network
Service
Scanning
T1021.001:
Remote
Services:
Remote
Desktop
Protocol
T1572:
Protocol
Tunneling
T1219:
Remote
Access
Software
T1486:
Data
Encrypted
for
Impact
T1485:
Data
Destruction
Меньше 3х дней
Расследование
• Причина: «Подозрительная активность на нескольких системах в сети»
• Повезло: среди «подозрительных» был «Пациент 0»
• Включили мониторинг
• Цели подключения Мониторинга:
• Быстрая проверка выявленных в рамках форесики артефактов на всей сети
• Контроль успешности лечения
• Защита пролеченных
Особенность «Плюс» «Минус»
Поставка телеметрии
встроена в АВЗ
Активация не заметна
для атакующего
Атакующий отключает
вместе с АВЗ
Выводы
• Мониторинг
• Подтверждает эффективность DFIR
• Ускоряет его
• Если работают люди, то лучше скрываться*, минимизировав
• Запуск релевантных инструментов
• Изменение конфигураций
* https://reply-to-all.blogspot.com/2017/07/blog-post_28.html
Спасибо
за внимание!

More Related Content

Similar to От мониторинга к форенсике и обратно

Gnevshev мониторинг
Gnevshev   мониторингGnevshev   мониторинг
Gnevshev мониторинг
kuchinskaya
 
Телеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успехаТелеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успеха
Alexander Kulakov
 
Слайдкаст. Stratoplan Kharkov. Методологический паззл.
Слайдкаст. Stratoplan Kharkov. Методологический паззл.Слайдкаст. Stratoplan Kharkov. Методологический паззл.
Слайдкаст. Stratoplan Kharkov. Методологический паззл.
Sergiy Povolyashko
 
Слайдкаст. Измерения в ИТ и ПО. Часть II
Слайдкаст. Измерения в ИТ и ПО. Часть IIСлайдкаст. Измерения в ИТ и ПО. Часть II
Слайдкаст. Измерения в ИТ и ПО. Часть II
Sergiy Povolyashko
 

Similar to От мониторинга к форенсике и обратно (20)

Gnevshev мониторинг
Gnevshev   мониторингGnevshev   мониторинг
Gnevshev мониторинг
 
Надежность ПО и Runtime Verification
Надежность ПО и Runtime VerificationНадежность ПО и Runtime Verification
Надежность ПО и Runtime Verification
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Телеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успехаТелеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успеха
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Слайдкаст. Stratoplan Kharkov. Методологический паззл.
Слайдкаст. Stratoplan Kharkov. Методологический паззл.Слайдкаст. Stratoplan Kharkov. Методологический паззл.
Слайдкаст. Stratoplan Kharkov. Методологический паззл.
 
Основы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точекОсновы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точек
 
Основы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точекОсновы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точек
 
Введение в performance management
Введение в performance managementВведение в performance management
Введение в performance management
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Введение в performance management
Введение в performance managementВведение в performance management
Введение в performance management
 
COSMIC быстрая оценка ит проекта
COSMIC быстрая оценка ит проектаCOSMIC быстрая оценка ит проекта
COSMIC быстрая оценка ит проекта
 
Sep reqm-lec1
Sep reqm-lec1Sep reqm-lec1
Sep reqm-lec1
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
Слайдкаст. Измерения в ИТ и ПО. Часть II
Слайдкаст. Измерения в ИТ и ПО. Часть IIСлайдкаст. Измерения в ИТ и ПО. Часть II
Слайдкаст. Измерения в ИТ и ПО. Часть II
 

More from Sergey Soldatov

модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
Sergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
Sergey Soldatov
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
Sergey Soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
Sergey Soldatov
 

More from Sergey Soldatov (20)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей  православной криптографииНекриптографическое исследование носителей  православной криптографии
Некриптографическое исследование носителей православной криптографии
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14   Cracking java pseudo random sequences by egorov & soldatovPHDays '14   Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 

От мониторинга к форенсике и обратно

  • 1. От мониторинга к реагированию и обратно Сергей Солдатов Руководитель SOC
  • 2. Операционка и Проекты Проект Операционка Как понять Влияние внешних факторов Низкая Высокая Детерминированность задач Низкое Высокое Особенности Начало Запрос Дата начала подписки Окончание Достижение целей Дата окончания подписки Сроки План проекта Длительность подписки Качество результата Выполнение ТЗ*, срок, бюджет Метрики SLA * Уникальный результат
  • 3. Типовой цикл* операционной ИБ Начало Анализ событий Активный поиск угроз Расследование по телеметрии MDR Обнаружена подозрительная активность Детект в продуктах Конец Постоянный контроль эффективности реагирования Возможно автоматическое реагирование Команда исследования угроз Команда расследования и реагирования Команда анализа событий и поиска угроз Мониторинг Расследование Реагирование Сервис Kaspersky Managed Detection and Response Продукты Сервисы Incident response Digital forensics Malware analysis Реагирование в MDR Обнаружены дополнительные индикаторы (IoC/IoA) * Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY
  • 4. Типовой цикл* операционной ИБ * Подробнее про циклы: https://www.youtube.com/watch?v=5-CoJNjtAmY Начало Анализ событий Активный поиск угроз Расследование по телеметрии MDR Обнаружена подозрительная активность Форенсика Анализ ВПО Реагирование на инцидент Детект в продуктах Конец Анализ извлеченных уроков Требуется более глубокое исследование Обнаружены дополнительные индикаторы (IoC/IoA) Постоянный контроль эффективности реагирования Постоянное совершенствование Требуется ручное реагирование Возможно автоматическое реагирование Возможно автоматическое реагирование Команда исследования угроз Команда расследования и реагирования Команда анализа событий и поиска угроз Мониторинг Расследование Реагирование Сервис Kaspersky Managed Detection and Response Продукты Сервисы Incident response Digital forensics Malware analysis Реагирование в MDR Обнаружены дополнительные индикаторы (IoC/IoA)
  • 5. Сценарии • «Из мониторинга в реагирование» • SOC à DFIR • Собираемой телеметрии недостаточно • Инструментальное реагирование неэффективно • «Поддержка с воздуха» • DFIR à SOC • Быстрый IoC pivoting и hunting* • Контроль эффективности реагирования * https://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
  • 7. Классификация по критичности • С участием человека • Большой ущерб – потенциальный или реальный • Без участия человека • Средний уровень воздействия на бизнес • Низкий уровень влияния на бизнес 2021, %, Мир
  • 9. Видимость инцидента Возможности телеметрии Инцидент 1 Активность в рамках инцидента Инцидент 2 Инцидент 3 Инцидент 4
  • 10. Видимость инцидента Возможности телеметрии Инцидент 1 Активность в рамках инцидента Инцидент 2 Инцидент 3 Инцидент 4
  • 11. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N … Инцидент Публикация Эффективность SOC
  • 12. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3 … Инцидент Публикация Эффективность SOC Эффективность DFIR
  • 13. Эффективность реагирования Алерт 1 Алерт 2 Алерт 3 Алерт N Алерт N+1 Алерт N+2 Алерт N+3 … Инцидент Публикация Эффективность SOC Эффективность DFIR
  • 14. №1. Закрепление в планировщике Persistence T1053.005: Scheduled Task/Job: Scheduled Task • Машинка (M1) • Учетка (У1)
  • 15. №1. М1, У1: Выполнение Persistence T1053.005: Scheduled Task/Job: Scheduled Task Execution T1059: Command and Scripting Interpreter • Другая Машинка (М2) • Другая Учетка (У2) • Такие же задачи планировщика
  • 16. №1. M2, У2: Выполнение ВПО Persistence T1053.005: Scheduled Task/Job: Scheduled Task Execution T1059: Command and Scripting Interpreter T1574.001: Hijack Execution Flow: DLL Search Order Hijacking Эскалация в DFIR: • M1, У1, М2, У2 • Закрепление, запуск
  • 17. №2. «Подозрительная активность» (1/4) Initial Access Execution T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1566.001: Phishing: Spearphishing Attachment T1566.003: Phishing: Spearphishing via Service Discovery T1087: Account Discovery
  • 18. №2. «Подозрительная активность» (2/4) Initial Access Execution Persistence Discovery T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery
  • 19. №2. «Подозрительная активность» (3/4) Initial Access Execution Persistence Defense Evasion T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service Discovery T1018: Remote System Discovery T1087: Account Discovery
  • 20. №2. «Подозрительная активность» (4/4) Initial Access Execution Persistence Defense Evasion T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service Discovery T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Command and Control Exfiltration T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits Эскалация в DFIR: • Закрепление, запуск • DNS C&C • Рекогносцировка Discovery
  • 23. №1. DFIR Execution Persistence T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking • Направленный фишинг (Gmail) • Вредоносные вложения • Персональные для каждого получателя • Подготовленная социалка (заметна подготовка) • Вредоносный XLSM документ (Excel с VBA макросом) выбрасывает на диск «контент»: • C:Users<USERNAME>AppDataLocalMicrosoft OneDriveversion.DLL • Стартер, запускает UnistoreDB.exe • C:Users<USERNAME>AppDataLocalCommsUnistoreDB.exe • Закрепление (задачи планировщика), запускают ActiveSyncHost.exe, ActiveSync.exe • C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSync.exe • Замечены разные версии такого файла (в т.ч. без функционала) • C&C по HTTP и DNS • Удаленное управление: запуск команд, скачиваниезакачивание файлов, удаление файлов, остановка процессов и т.п. • C:Users<USERNAME>AppDataLocalPackagesActiveSyncActiveSyncHost.exe • Замечены разные версии такого файла (в т.ч. без функционала) • Килоггер • Удаленное управление: запуск команд • Это было ~полгода назад
  • 24. №1. DFIR: Функционал «контента» Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing Credential Access T1110: Brute Force T1056: Input Capture T1018: Remote System Discovery T1021.004: Remote Services: SSH Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  • 25. №2. SOC Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  • 26. №2. DFIR Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits • Направленный фишинг («рекрутер» на LinkedIn) • Атакующий интерактивно общался с жертвой J • «Job Offer.xlsb», «Job Offer.xlsm» - выбрасывает файлы: • C:Users<USERNAME>AppDataRoamingMicrosoftVaultLocalServiceNetworkFirewall • Реализует WCF-сервер* (удобно для распределенного сбора информации) • Общается с C&C по HTTPS • C:Users<USERNAME>AppDataLocalMicrosoftOneDriveuserenv.dll • DLL order hijacking OneDrive.exe • Создает задачи планировщика • C:<USERNAME>johnAppDataRoamingMicrosoftVaultMicrosoftEdgeApp • Общение с C&C через DNS • Реализует WCF- клиент • Выполняет команды с помощью cmd.exe, msbuild.exe • Все попытки успешно предотвращены АВЗ * https://learn.microsoft.com/ru-ru/dotnet/framework/wcf/whats-wcf
  • 27. №2. DFIR (2/2) Initial Access Execution Persistence Defense Evasion Discovery Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1566.003: Phishing: Spearphishing via Service T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits • ZIP-архив с «Job Offer.exe»: • Выбрасывает файлы, отмеченные ниже • Задача каждые 5 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftOfficeProdcutChecker.exe • Расшифровывает конфиг, находит и удаляет процессы в соответствии с конфигом • Задача каждые 10 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftWindows LocalServiceNetworkFirewall.exe • Известный нам уже WCF-сервер и клиент HTTPS-C&C • Задача каждые 2 мин запускает C:Users<USERNAME>AppDataLocalMicrosoftWindowsAppsMicrosoftEdgeApp.exe • Известный нам уже WCF-клиент и клиент DNS-C&C • Собирает данные о ПК и сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows RTX<RANDOM>.dll • Собирает данные из AD по LDAP, сохраняет в C:Users<USERNAME>AppDataLocalMicrosoftWindows RTX<RANDOM>.dll, отправляет по HTTPS • После окончания каждой стадии, общается с C&C по DNS • Инциденты №1 и №2 – действия одной группировки!
  • 28. SOC1-2 DFIR1 DFIR2 Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1566.001: Phishing: Spearphishing Attachment T1204.002: User Execution: Malicious File T1059: Command and Scripting Interpreter T1053.005: Scheduled Task/Job: Scheduled Task T1574.001: Hijack Execution Flow: DLL Search Order Hijacking T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1027.002: Obfuscated Files or Information: Software Packing T1622: Debugger Evasion T1566.003: Phishing: Spearphishing via Service Credential Access T1110: Brute Force T1056: Input Capture T1018: Remote System Discovery T1087: Account Discovery T1518.001: Software Discovery: Security Software Discovery T1021.004: Remote Services: SSH Collection Exfiltration T1560.001: Archive Collected Data: Archive via Utility T1005: Data from Local System T1115: Clipboard Data T1056.001: Input Capture: Keylogging T1113: Screen Capture T1114.001: Email Collection: Local Email Collection T1071: Application Layer Protocol T1102.003: Web Service: One-Way Communication T1041: Exfiltration Over C2 Channel T1567: Exfiltration Over Web Service T1030: Data Transfer Size Limits
  • 29. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  • 30. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  • 31. Выводы • SOC видит только о чем есть телеметрия • Атаки до подключения • Связи, не отраженные в телеметрии • SOC замечает только при наличии гипотезы или аномалии • Нет Алерта или Гипотезы для проверки • DFIR дополнит общую картину
  • 32. 32 Поддержка с воздуха* * https://reply-to-all.blogspot.com/2017/05/blog-post.html
  • 34. История Initial Access T1190: Exploit Public-Facing Application • ProxyLogon (CVE-2021-26855, CVE-2021-27065) • Принесли и запустил ngrok • Принесли и поставил Atera • Принесли SoftPerfect Network Scanner • Принесли procdump64, psexec • Неудачные попытки принести mimk, CS beacon, cryptor, анти-руткиты…
  • 36. История Initial Access Execution Persistence T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation • Прошел еще ~один день • Создали себе локального админа • Существующего админа активировали и поменял ему пароль • Закрепились в реестре через Windows Print Spooler Port Monitor (ключик тоже назывался «Slayer» J ) * * https://posts.slayerlabs.com/monitor-persistence/
  • 37. История Initial Access Execution Persistence Defense Evasion T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools • В тот же день • Принесли инструменты для отключения АВЗ • Утилиты для обнаружения и нейтрализации руткитов • Отключение через уязвимый драйвер • Отключили АВЗ • Сдампили lsass (procdump) • Нашли доменного админа (!) • Принесли CobaltStrike beacon (HEUR:Trojan.Win64.Cobalt.gen, Trojan.Win64.Crypt.*, HEUR:Backdoor.Win64.Agent.gen, прописал его как Port Monitor) • Ненужные файлики удаляли (они нашлись в Корзине J )
  • 38. История Initial Access Execution Persistence Defense Evasion Discovery T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning • Прошел еще ~один день • Сканировали сеть (результаты сохраняли в фаликах)
  • 39. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software • Внутри сети ходили по RDP • Иногда пробрасывались через ngrok • На пациенте «0» развернули Atera
  • 40. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction • Принесли шифровальщика (Trojan- Ransom.Win64.Freeud.a, HEUR:Trojan- Ransom.Win32.Generic ) • Принесли Wiper* • Принесли KillDisk * https://github.com/r3nt0n/wiper
  • 42. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction 1 1 1
  • 43. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  • 44. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  • 45. История Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement Command and Control Impact T1190: Exploit Public-Facing Application T1569.002: System Services: Service Execution T1136.001: Create Account: Local Account T1547.010: Boot or Logon Autostart Execution: Port Monitors T1098: Account Manipulation T1078.002: Valid Accounts: Domain Accounts T1070.004: Indicator Removal on Host: File Deletion T1036.005: Masquerading: Match Legitimate Name or Location T1562.001: Impair Defenses: Disable or Modify Tools T1046: Network Service Scanning T1021.001: Remote Services: Remote Desktop Protocol T1572: Protocol Tunneling T1219: Remote Access Software T1486: Data Encrypted for Impact T1485: Data Destruction Меньше 3х дней
  • 46. Расследование • Причина: «Подозрительная активность на нескольких системах в сети» • Повезло: среди «подозрительных» был «Пациент 0» • Включили мониторинг • Цели подключения Мониторинга: • Быстрая проверка выявленных в рамках форесики артефактов на всей сети • Контроль успешности лечения • Защита пролеченных Особенность «Плюс» «Минус» Поставка телеметрии встроена в АВЗ Активация не заметна для атакующего Атакующий отключает вместе с АВЗ
  • 47. Выводы • Мониторинг • Подтверждает эффективность DFIR • Ускоряет его • Если работают люди, то лучше скрываться*, минимизировав • Запуск релевантных инструментов • Изменение конфигураций * https://reply-to-all.blogspot.com/2017/07/blog-post_28.html