Positive Technologies
Новости

Positive Technologies: действия хакеров сложно отличить от действий обычных пользователей

3 июня 2020

Эксперты Positive Technologies представили результаты работ по внутреннему тестированию на проникновение 1. Анализ показал, что почти половина всех действий преступников может не отличаться от обычной деятельности пользователей и администраторов, а в большинстве компаний контроль над инфраструктурой может получить даже низкоквалифицированный хакер.

По данным отчета, в 2019 году во всех протестированных компаниях удалось получить полный контроль над инфраструктурой от лица внутреннего нарушителя 2. Как правило, на это уходило около трех дней, а в одной сети потребовалось всего 10 минут. В 61% компаний был выявлен хотя бы один простой способ получить контроль над инфраструктурой, который под силу даже низкоквалифицированному хакеру. 

Как отмечают эксперты, легитимные действия, которые позволяют развить вектор атаки, составили 47% от всех действий пентестеров. К ним относятся, например, создание новых привилегированных пользователей на узлах сети, создание дампа памяти процесса lsass.exe, выгрузка ветвей реестра или отправка запросов к контроллеру домена. Все эти действия позволяют получить учетные данные пользователей корпоративных сетей или информацию, необходимую для развития атаки. Опасность состоит в том, что такие действия сложно отличить от обычной деятельности пользователей или администраторов, а значит, атака остается незамеченной. Детектировать перечисленные инциденты можно с помощью систем для выявления инцидентов информационной безопасности.

«В ходе атак во внутренних сетях для сбора учетных данных и перемещения между компьютерами, как правило, используются архитектурные особенности ОС и механизмов аутентификации Kerberos и NTLM. Например, учетные данные злоумышленник может извлечь из памяти ОС с помощью специальных утилит, таких как mimikatz, secretsdump, procdump, или встроенных средств ОС, к примеру taskmgr для создания дампа памяти процесса lsass.exe, — отмечает директор по анализу защищенности Positive Technologies Дмитрий Серебрянников. — Мы рекомендуем использовать актуальные версии Windows (выше 8.1 на рабочих станциях или Windows Server 2012 R2 на серверах). Привилегированных пользователей домена следует включить в группу Protected Users. В современных версиях Windows 10 и Windows Server 2016 реализована технология Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Для дополнительной защиты привилегированных учетных записей, в частности администраторов домена, стоит использовать двухфакторную аутентификацию».

«В рамках внутреннего пентеста специалисты могут продемонстрировать возможность реализации бизнес-рисков или доступа к бизнес-системам, — отмечает руководитель исследовательской группы отдела аналитикиPositive Technologies Екатерина Килюшева. — Для каждой компании перечень рисков будет отличаться, хотя есть и общие пункты, например компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов нашим экспертам удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты».

Тестирование также показало, что злоумышленник может эксплуатировать известные уязвимости, которые содержатся в устаревших версиях ПО и позволяют удаленно выполнить произвольный код на рабочей станции, повысить привилегии или узнать важную информацию. Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров Positive Technologies, в 30% компаний до сих пор можно обнаружить уязвимости ОС Windows, описанные в бюллетене безопасности 2017 года MS17-010, а в некоторых даже MS08-067 (октябрь 2008 года).

 

  1. Для подготовки исследования были выбраны 23 проекта по внутреннему тестированию на проникновение за 2019 год из числа тех компаний, которые разрешили использовать обезличенные данные
  2. При проведении внутреннего пентеста моделируются атаки со стороны нарушителя, который находится внутри компании (например, с типовым набором привилегий сотрудника или от лица случайного посетителя).