Positive Technologies

Исследование и профилирование киберугроз в сетевом трафике российских компаний

Исследование и профилирование киберугроз в сетевом трафике российских компаний

Введение

С развитием средств защиты информации совершенствуются и методы кибератак. Злоумышленники пытаются скрыться от SIEM-систем, используя теневые IT-ресурсы, неподконтрольные службам ИТ и ИБ; вредоносное ПО (ВПО) умеет определять виртуальные среды (например, sandbox и EDR (Endpoint Detection and Response)-решения) и менять свое поведение, чтобы избежать обнаружения. Но несмотря на это в сетевом трафике все равно остаются следы, по которым можно вычислить присутствие злоумышленников и расследовать атаку, определив все ее этапы. Для глубокого анализа сетевого трафика и расследования инцидентов на его основе используются NTA (Network Traffic Analysis)- и NDR (Network Detection and Response)-системы. К ним относится система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), который анализирует сетевые связи, обнаруживает аномалии и признаки проведения атак, а также следы присутствия ВПО и появление новых устройств в сети организации.

Об исследовании

Мы изучили данные пилотных проектов, проведенных за 2023 год и первое полугодие 2024 года в 38 компаниях, и определили угрозы ИБ, наиболее часто встречающиеся в корпоративных сетях. При анализе использовались отчеты по «пилотам» PT NAD и комплекса защиты от целенаправленных атак PT Anti-APT , в состав которого входит PT NAD.

В выборку вошли данные из проектов клиентов, которые дали свое согласие на анализ результатов мониторинга сетевой активности в их инфраструктуре. Все данные в исследовании обезличены.

Рисунок 1. Портрет участников исследования (доля компаний)

В этой статье мы расскажем, какие инциденты ИБ часто встречаются в пилотных проектах PT NAD, какие виды и семейства ВПО наиболее распространены, и рассмотрим регламенты ИБ, которые нарушаются чаще всего. На основании полученных результатов мы составили тепловую карту MITRE ATT&CK, на которой отобразили популярные среди злоумышленников техники и подтехники атак, выявленные при проведении пилотных проектов.

MITRE ATT&CK — это база знаний о тактиках и методах злоумышленников, основанная на реальных наблюдениях. MITRE ATT&CK является проектом с открытым исходным кодом и представляет общую таксономию тактик и техник кибератак.

Обнаруженные инциденты

Рисунок 2. Категории выявленных инцидентов (доля компаний)

Изучив данные пилотных проектов за 20212022 годы и сравнив их с рассматриваемым в исследовании периодом, мы пришли к следующим выводам:

  • Третий год мы наблюдаем тенденцию к потенциальным нарушениями регламентов ИБ: Использование небезопасных протоколов передачи данных, слабые пароли учетных записей, а также использование ПО для удаленного управления были обнаружены в 100% организаций.
  • Подозрительная сетевая активность была замечена в 97% компаний, что превышает показатели прошлых лет (90% в 2021 году, 93% в 2022 году). Примеры такой активности: сканирование сетевого периметра, попытки эксплуатации уязвимостей или попытки подбора паролей.
  • Доля организаций, в сети которых были обнаружены признаки присутствия вредоносного или нежелательного ПО, выросла до 76%. В 2021 году доля таких компаний составляла 68%, в 2022 году — 70%. Однако стоит учесть, что в этот список попадает и рекламное ПО (Adware).
  • В 42% компаний было замечено использование средств для горизонтального перемещения в инфраструктуре, повышения привилегий или получения несанкционированного доступа к данным, причем речь идет именно о тех инструментах, которые используются как администраторами для управления инфраструктурой, так и злоумышленниками для развития атак вглубь. В рамках данной активности также были замечены попытки эксплуатации уязвимостей — на основании полученных данных мы выявили топ-10 уязвимостей, которые пытаются эксплуатировать наиболее часто. 
Рисунок 3. Признаки проведения атак на повышение привилегий через AD CS

Рисунок 3. Признаки проведения атак на повышение привилегий через AD CS

Active Directory Certificate Services (AD CS) — это роль сервера Windows, которая позволяет создавать и управлять цифровыми сертификатами. Если AD CS настроена неправильно, она может стать уязвимым звеном в инфраструктуре. На данный момент, повышение привилегий через AD CS — один из популярных методов атак в сетях Active Directory. Злоумышленники могут использовать уязвимости в конфигурации, чтобы получить доступ к сертификатам. Получив их, они могут выдать себя за доверенного пользователя или сервис, получая более высокие права в системе и доступ к защищённым ресурсам.

Далее подробно рассмотрим основные категории выявленных инцидентов: подозрительную сетевую активность, потенциальные нарушения регламентов ИБ, попытки эксплуатации уязвимостей и активность вредоносного ПО.

Важно учитывать, что сканируется 100% компаний, имеющих доступ в Интернет. Данная статистика обусловлена тем, что не во всех пилотных проектах трафик с периметра сети заводился в PT NAD.

Тепловая карта MITRE ATT&CK

Мы проанализировали результаты мониторинга сетевого трафика и сопоставили выявленные события с матрицей MITRE ATT&CK. В результате определили техники и подтехники атакующих, наиболее распространенные в сетевом трафике. Бо́льшую часть составили тактики Command and Control (Организация управления), Discovery (Изучение) и Initial Access (Первоначальный доступ), поскольку такая активность чаще всего выявляется именно при анализе сетевого трафика. В 55% компаний было зафиксировано сканирование внутренних сетевых ресурсов — такие техники часто используются злоумышленниками на этапе разведки. За 2023 год и первое полугодие 2024 года увеличилась доля проектов, в которых были выявлены попытки эксплуатации уязвимостей веб-приложений для проникновения во внутреннюю сеть. Такая активность наблюдалась в 39% компаний против 25% в 2022 году.

Рисунок 4. Топ-10 выявленных техник MITRE ATT&CK (доля компаний)

Рисунок 5. Тепловая карта MITRE ATT&CK

Рисунок 5. Тепловая карта MITRE ATT&CK

Подозрительная сетевая активность

Любое устройство оставляет свой след в сети. Активность может выглядеть безопасной (посещение общеизвестных сайтов, отправка писем, загрузка обновлений ПО, синхронизация данных) или быть подозрительной (подключения по нестандартным портам, выгрузка большого объема данных, попытки несанкционированного доступа, подозрительные запросы к серверам). В случае подозрительной активности необходимо провести расследование, выяснить источник и причины ее возникновения — это могут быть как действия злоумышленника, так и ошибки в сетевой конфигурации или особенности поведения ПО. Важно своевременно выявлять и анализировать подозрительную активность, чтобы предотвратить возможные угрозы безопасности.

Рисунок 6. Виды подозрительной сетевой активности (доля компаний)

Как мы уже говорили, вредоносная и другие подозрительные активности были замечены в подавляющем большинстве компаний (97%). Наиболее часто встречались попытки эксплуатации уязвимостей на периметровых системах, подбор паролей, сканирование внутренних сетей организации, сокрытие сетевого трафика и запуск инструментов для удаленного запуска команд.

Кроме того, в 55% пилотных проектов мы обнаруживали активность, связанную со сканированием внутренней сети организации. В рамках данной активности использовались такие утилиты, как Nmap — специализированное ПО для определения активных узлов в сети и выявления установленного на них ПО путем анализа ответов на посылаемые запросы. Эту активность можно интерпретировать по-разному:

  • как часть атаки на сеть организации, во время которой злоумышленники производят сетевую разведку и пытаются определить, в каком сегменте сети они находятся (тактика Discovery), чтобы спланировать свои дальнейшие шаги;
  • как активность команды red team, которая занимается анализом защищенности организации.
  • как активность администраторов сети, которые могут использовать данные средства в своих целях;
  • как часть работы сканера уязвимостей.
Рисунок 7. Сканирование сети с использованием ZGrab

Рисунок 7. Сканирование сети с использованием ZGrab

Почти в половине случаев (47%) было выявлено сокрытие сетевого трафика. Кроме случаев легитимного использования, эта техника также популярна и у злоумышленников, как для создания бэкдоров и получения постоянного доступа к скомпрометированным узлам инфраструктуры, так и для эксфильтрации данных. Среди выявленных средств можно было заметить обращения к сервисам VPN, трафик Tor и SSH-туннели.

Бэкдор (от англ. «backdoor», что буквально переводится как «задняя дверь») — это техническое средство, позволяющее обойти стандартные процедуры аутентификации или другие защитные механизмы в системе, программе или устройстве.

Рисунок 8. Инструменты сокрытия сетевого трафика

Помимо этого, были выявлены случаи отправки на 53-й порт (стандартный порт протокола DNS) пакетов, не являющихся DNS-запросами. Такая активность также может быть признаком сокрытия трафика, а большой объем DNS-трафика может указывать на использование техники DNS-туннелирования. В таких подходах передаваемая информация дополнительно «упаковывается» в протокол прикрытия. Например, в случае с ICMP-туннелем передаваемые данные помещаются в полезную нагрузку эхо-запросов и эхо-ответов, реализованных в протоколе ICMP для проверки сетевого соединения. Использование такой техники позволяет дополнительно скрыть присутствие злоумышленника и помогает незаметно передавать данные на командный сервер. В отличие от VPN и Tor, трафик которых успешно обнаруживается сигнатурным методом и репутационными списками, обнаружение ICMP- и DNS-туннелей требует более сложных механизмов обнаружения.

Рисунок 9. Сокрытие трафика с помощью SSH-туннеля

Рисунок 9. Сокрытие трафика с помощью SSH-туннеля

По результатам пилотных проектов за рассматриваемый период также был выявлен рост числа случаев запуска инструментов администрирования и проведения атак. Эта активность была замечена почти в трети организаций (32%), тогда как в 2022 году доля таких компаний составляла 15%. Подобные действия всегда стоит расследовать особо тщательно. Наличие следов использования легитимных инструментов (например, PsExec) может свидетельствовать как об активности администраторов сети или сотрудников службы ИБ, так и о действиях злоумышленников.

Средство PsExec является частью пакета утилит PsTools от компании Sysinternals и представляет собой бесплатную портативную программу, предназначенную для удаленного запуска и управления процессами с использованием учетных данных любых пользователей. Она популярна у сетевых администраторов, поскольку позволяет управлять устройствами сети из одной консоли, в частности устанавливать на них ПО, передавать файлы с управляющего узла, а также выполнять на удаленном устройстве команды CLI. Однако эту утилиту используют и злоумышленники — для получения удаленного доступа к устройствам сети, распространения вредоносного ПО, повышения привилегий и сокрытия следов своего присутствия.

Рисунок 10. Активность, связанная с использованием PsExec

Рисунок 10. Активность, связанная с использованием PsExec

В 2023 году и первом полугодии 2024 года заметно выросло количество случаев обнаружения множественных неуспешных попыток аутентификации (26%, в 2022 — 17%). Эта активность может свидетельствовать об атаке методом перебора (техника Brute Force). Получение учетных данных от различных активов позволяет злоумышленникам проникать внутрь сети организации (тактика Initial Access), перемещаться между узлами сети (тактика Lateral Movement) или даже повысить привилегии (тактика Privilege Escalation). Иногда срабатывания по данной активности могут быть следствием нескольких неудачных попыток входа легитимного пользователя, поэтому каждый такой случай необходимо рассматривать детально. Кроме того, рекомендуется определить максимально допустимое число попыток ввода пары «логин — пароль» в политиках безопасности компании.

Рисунок 11. Множественные неуспешные попытки аутентификации

Рисунок 11. Множественные неуспешные попытки аутентификации

Потенциальные нарушения регламентов ИБ

Политики ИБ — ключевой элемент защиты информационных систем современных организаций. Они представляют собой свод правил и ограничений, направленных на снижение рисков, связанных с несанкционированным доступом, утечкой данных и внедрением вредоносного ПО. Основные аспекты политик включают регламентацию использования сетевых ресурсов и протоколов передачи данных, требования к средствам аутентификации, а также порядок реагирования на инциденты ИБ. Соблюдение этих мер гарантирует непрерывность бизнес-процессов и сохранность критически важной информации. Несоблюдение политик ИБ расширяет спектр рисков кибербезопасности и возможность их реализации.

Рисунок 12. Потенциальные нарушения регламентов ИБ (доля компаний)

В четырех из пяти исследуемых отчетов по пилотным проектам был выявлен факт использования незащищенных протоколов передачи данных. Это чревато тем, что при проникновении в сеть организации злоумышленники смогут перехватить и прочитать информацию, передаваемую с помощью незащищенных протоколов. При этом содержание перехваченных пакетов может быть разным: от безобидной информации до данных ограниченного доступа или учетных записей пользователей, перехват которых значительно облегчит развитие атаки.

Рисунок 13. Использование незащищенных протоколов передачи данных (доля компаний)

В 74% компаний учетные данные для аутентификации передавались в открытом виде по небезопасному протоколу HTTP, в 53% компаний — по протоколу LDAP. Оба протокола не используют шифрование данных. Протокол LDAP используется для аутентификации пользователей и доступа к различным сервисам. Перехватив такие данные, злоумышленник сможет использовать их для получения доступа к ресурсам компании. Не менее серьезная проблема — использование протоколов SMTP, POP3 и IMAP, по которым осуществляется доставка электронных писем и в которых отсутствуют авторизация и шифрование данных. В таких письмах может содержаться конфиденциальная информация, которую нарушитель сможет прочитать, прослушивая трафик организации.

Рисунок 14. Темы электронных писем в открытом виде

Рисунок 14. Темы электронных писем в открытом виде

Кроме того, в каждой третьей организации было замечено использование словарных паролей, которое сильно упрощает задачу злоумышленнику при проведении атаки методом перебора. Такие пароли очень легко подобрать, используя общедоступные словари. Кроме того, слабые пароли часто используются в атаке под названием «Распыление пароля» (Password Spraying).

Рисунок 15. Использование словарных паролей

Рисунок 15. Использование словарных паролей

Для повышения уровня защищенности рекомендуется использовать безопасные версии протоколов, использующие шифрование данных, такие как HTTPS, SLDAP, SFTP, SMTPS.

 

Рекомендуется ввести парольную политику и определить необходимые параметры паролей, отвечающие требованиям надежности, а также запретить использование словарных паролей и паролей по умолчанию.

По результатам пилотных проектов виден рост использования ПО для удаленного доступа — сетевая активность таких программ, как TeamViewer, AnyDesk, Radmin, Ammyy, МойАссистент, RMS и многих других выявлена в 82% организаций (в 2021 году было 67%, в 2022-м — 72%), причем в некоторых организациях обнаружены следы работы сразу нескольких решений для удаленного доступа. Этот тип ПО зачастую используется сетевыми администраторами и даже обычными пользователями для легитимного удаленного подключения к узлам сети и работы с ними. Злоумышленники могут использовать средства удаленного доступа для незаметного проникновения в корпоративные сети и получения несанкционированного доступа к системам и конфиденциальным данным.

Для минимизации рисков мы рекомендуем отказаться от средств удаленного доступа. Если такой возможности нет, следует использовать только один такой инструмент; обеспечить использование только актуальных версий ПО с последними обновлениями безопасности; строго ограничить круг пользователей, имеющих право на удаленный доступ; использовать двухфакторную аутентификацию для входящих подключений, а также установить строгий контроль и мониторинг использования таких средств; вести журналы действий пользователей и оперативно реагировать на подозрительную активность. 

Снизилась доля использования протоколов LLMNR и NetBios — с 90% в 2022 году до 63% в период с начала 2023 года по первое полугодие 2024 года. Эти протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS-сервера, а также автоматически используются при недоступности DNS-сервера. В случае проникновения во внутреннюю сеть компании злоумышленник сможет провести атаку типа man in the middle (MITM) — ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный сервер. Такая атака позволяет перехватить аутентификационные данные.

Рисунок 16. Использование протоколов LLMNR и NetBios

Рисунок 16. Использование протоколов LLMNR и NetBios

Рекомендация: отключите использование этих протоколов на клиентах, а также произведите настройку DNS.

Попытки эксплуатации уязвимостей

Согласно нашей выборке, больше всего случаев эксплуатации связано с уязвимостью CVE-2021-44228 (Log4Shell) в Apache Log4j, обнаруженной 24 ноября 2021 года и публично раскрытой в декабре того же года. Несмотря на то, что Apache выпустила обновления безопасности уже 6 декабря, за три дня до публикации, в сети по сей день могут находиться устройства, на которые до сих пор не были установлены обновления безопасности, и злоумышленники продолжают активно эксплуатировать эту уязвимость.

На основании анализа отчетов по пилотным проектам мы составили список из топ 10 уязвимостей, которые пытаются эксплуатировать наиболее часто.

Рекомендации: для защиты каждой организации необходимо грамотно выстроить процесс управления уязвимостями (для этого существует специальный класс систем, например MaxPatrol VM) и активами (решения для asset management). Устранить все недостатки, скорее всего, сразу не получится, поэтому важно грамотно определять приоритет каждой уязвимости. На приоритет влияют:

     -  значимость актива, на котором обнаружена уязвимость;

     -  доступность актива для злоумышленника;

     -  опасность уязвимости;

     -  популярность уязвимости среди злоумышленников;

     -  наличие готового эксплойта.

Кроме того, необходимо регулярно проводить сканирование сети и систем на наличие уязвимостей. Как только новые уязвимости обнаруживаются, оперативно устраняйте их, применяя соответствующие обновления и патчи.

Вредоносное ПО

Активность вредоносного ПО в сетевом трафике была выявлена в 76% организаций, в основном, за счет криптомайнеров Monero и рекламного ПО. В 2021 году доля проектов с использованием ВПО составляла 68%, в 2022 году — 70%.

Рисунок 17. Виды вредоносного ПО (доля компаний)

Наиболее часто обнаруживались следы присутствия ПО для майнинга криптовалюты — в 39% проектов были обнаружены индикаторы, сигнализирующие о наличии майнеров.

Рисунок 18. Разрешение доменного имени известного майнинг-пула

Рисунок 18. Разрешение доменного имени известного майнинг-пула

Рекламное ПО, также известное как adware, стало вторым по популярности видом вредоносного программного обеспечения и присутствовало в каждом третьем проекте. Это значительное увеличение по сравнению с 2022 годом, когда доля рекламного ПО составляла всего 12%. Отчасти это связано с увеличением количества детектирующих правил самых разных вредоносных программ. Такое ВПО обычно устанавливается скрытно и отображает нежелательную или вредоносную рекламу на экране зараженного устройства. Кроме того, рекламное ПО зачастую имеет возможность перенаправлять результаты поиска на рекламные сайты и собирать данные пользователей без их согласия для последующей отправки рекламодателям.

Рисунок 19. Сетевая активность рекламного ПО DealPly

Рисунок 19. Сетевая активность рекламного ПО DealPly

В 26% проектов было обнаружено использование ВПО для удаленного управления устройствами — оно позволяет злоумышленникам красть, изменять или удалять информацию, а также использовать устройство как точку входа в сеть для дальнейшего развития атаки. Важно отметить, что большинство троянов удаленного доступа имеют функции шпионского ПО — могут скрытно записывать экран пользователя, определять его местоположение и регистрировать ввод данных с клавиатуры, что представляет серьезную угрозу для безопасности информации и конфиденциальности пользователей.

Рисунок 20. Использование вредоносного ПО Babylon

Рисунок 20. Использование вредоносного ПО Babylon

Отдельно стоит отметить такую категорию ВПО, как шифровальщики. Активность этого вида была замечена в 18% проектов, причем во всех этих организациях было обнаружено семейство WannaCry. Для распространения этого шифровальщика используется уязвимость CVE-2017-0144 в реализации протокола SMBv1, также известная, как EternalBlue, которая была устранена еще в 2017 году, — на этот же год пришелся пик распространения зловреда. Несмотря на то, что с момента выпуска патча прошло почти семь лет, в сетях многих компаний до сих пор находятся хосты, зараженные WannaCry - вреда они уже нанести практически не могут, но говорят о плохой организации ИБ в компании.

Рисунок 21. Сетевая активность шифровальщика WannaCry

Рисунок 21. Сетевая активность шифровальщика WannaCry

Рекомендации: для того, чтобы обезопасить инфраструктуру компании от вредоносного ПО, необходимо использовать комплекс организационных и технических мер. В первую очередь необходимо обеспечить соблюдение сотрудниками базовых требования кибербезопасности — не переходить по подозрительным ссылкам, не скачивать и не открывать неизвестные вложения электронных писем, использовать сложные пароли и двухфакторную аутентификацию. Кроме того, важно разработать политику ИБ организации, в которой будут описаны меры по предупреждению заражения рабочих станций, план реагирования на инциденты ИБ, действия по восстановлению IT-инфраструктуры.

С точки зрения технических мер, организациям следует внедрить продукты информационной безопасности для комплексной защиты компании от вредоносного ПО (песочницы) – такие решения способны проверять не только загруженные вручную объекты, но и в автоматическом режиме проводить проверку файлов из различных источников – например, вложения электронной почты, файлы, передающиеся в сетевом трафике. Для проверки эффективности существующей системы защиты можно воспользоваться специальными сервисами эмуляции атак на инфраструктуру. Так, например, сервис PT Knockin способен имитировать атаки, отправляя письма с обезвреженным ВПО на указанный почтовый адрес. После отправки файлов пользователь может отметить в интерфейсе продукта, какие из образцов были доставлены на указанный почтовый ящик. На основании результатов проверки получается оценка защищенности почты и предоставляются рекомендации по устранению выявленных недостатков. 

Выводы

Несмотря на то, что средства защиты периметра, такие как IDS, IPS и NGFW, постоянно совершенствуются, злоумышленники тоже не стоят на месте и модернизируют инструментарий.Опираясь на картину происходящего в продукте, оператор SOC может вовремя остановить кибератаку.  злоумышленникам все чаще удается проникать во внутреннюю сеть организации. В этих условиях периметровых средств защиты становится недостаточно и возникает необходимость в дополнительном мониторинге и анализе сетевого трафика внутри инфраструктуры.  При этом, если правильно выстроить мониторинг трафика в компании, то злоумышленники в сети будут как на ладони. Получить полную картину происходящего в трафике и обнаружить даже сложные киберугрозы, такие как использование инструментов для туннелирования, шифрование через SSH, перемещение внутри периметра, атаки типа NTLM Relay могут продукты класса NTA (Network Traffic Analysis), к которым относится система поведенческого анализа трафика PT NAD. 

Из результатов пилотных проектов PT NAD, проведенных в период с начала 2023года по конец первого полугодия 2024 года, можно сделать следующие выводы:

  • В 100% компаний обнаруживаются потенциальные нарушения регламентов ИБ.
  • Практически в каждой компании обнаружена подозрительная сетевая активность.
  • Второй год подряд наблюдается рост доли компаний, в сети которых обнаруживается активность вредоносного ПО.

Внедрение системы глубокого анализа трафика PT NAD позволит организациям получить наиболее полное представление о состоянии сетевой инфраструктуры, выявить слабые места и уязвимости, а также оперативно реагировать на инциденты безопасности. Использование таких решений способствует сокращению времени обнаружения и устранения угроз, повышению эффективности работы служб ИБ и снижению общих затрат на обеспечение кибербезопасности.