Больше материалов: Boosty | Sponsr | TG

Королевства и Новой Зеландии и посвящено

распространённым методам LOTL и пробелам в
возможностях киберзащиты.
• LOTL применяется для компрометации и
поддержания доступа к критически важной
инфраструктуре, путём использования легитимных
системных инструментов и процессов, чтобы
«вписаться в обычную активность» и избежать
обнаружения.
• Многим организациям трудно обнаружить
вредоносную активность LOTL из-за неадекватных
методов обеспечения безопасности и управления
сетью, отсутствия общепринятых индикаторов
компрометации и сложности отличить вредоносную
активность от легитимного поведения.
• Рекомендации включают использование
детализированного журнала событий, установление
базовых показателей активности, использование
автоматизации для непрерывного анализа,
снижение количества оповещений и использование
аналитики поведения пользователей и объектов
Аннотация – В документе представлен анализ рекомендаций (UEBA).
Агентства национальной безопасности (АНБ) по борьбе с
• Усиление безопасности включают применение
LOTL-атаками. Анализ включает в себя изучение подхода к
тактике LOTL, подразумевающей использование легитимных рекомендаций поставщика по усилению
инструментов в различных целях. безопасности, внедрение списка разрешённых
приложений, улучшение сегментации сети и
Анализ предлагает качественное изложение рекомендаций мониторинга, а также усиление контроля
АНБ и служит ценным ресурсом для специалистов по аутентификации и авторизации.
безопасности, ИТ-персонала, политиков и заинтересованных
сторон в различных отраслях, предоставляя им знания для
• Производителям программного обеспечения
защиты от сложных LOTL-угроз. рекомендуется применять принципы secure-by-
design, чтобы уменьшить количество уязвимостей,
I. ВВЕДЕНИЕ которые позволяют использовать методы LOTL, что
включает в себя отключение ненужных протоколов,
Документ, озаглавленный "Joint Guidance: Identifying ограничение доступности сети, ограничение
and Mitigating LOTL Techniques", содержит рекомендации о повышенных привилегий, включение по умолчанию
том, как организации могут лучше защитить себя от защищённого от фишинга MFA, обеспечение
методов известных как Living Off The Land (LOTL). Эти защищённости журнала событий, устранение
методы предполагают, что атакующие используют паролей по умолчанию и ограничение
легитимные инструменты и программное обеспечение, динамического выполнения кода.
присутствующие в среде объекта, для осуществления
вредоносных действий, что усложняет обнаружение. Этот B. Вторичные моменты
подход направлен на сокращение таких легитимных • Направленность на смягчение последствий
инструментов операционной системы и приложений для использования LOTL-методов, когда нецелевым
нецелевого применения. образом применяются легитимные инструменты.
Руководство основано на практических результатах, • Поставщики должны нести ответственность за
оценках red team, отраслевых практиках и практиках по настройки своего программного обеспечения по
реагированию на инциденты. Также подчёркивается умолчанию и соблюдение принципа наименьших
важность создания и поддержания инфраструктуры, привилегий.
которая собирает и систематизирует данные, помогающие
правозащитникам выявлять методы LOTL, адаптированные • Производителям ПО рекомендуется сокращать
к ландшафту рисков каждой организации и её ресурсным количество уязвимостей, которыми можно
возможностям. воспользоваться, и брать на себя ответственность за
обеспечение безопасности своих клиентов.
A. Ключевые моменты
• Руководство составлено крупнейшими агентствами • Стратегии сетевой защиты включают мониторинг
кибербезопасности и национальной безопасности необычных системных взаимодействий, повышения
США, Австралии, Канады, Соединённого привилегий и отклонений от обычных
административных действий.
 Больше материалов: Boosty | Sponsr | TG
• Организациям следует создать и поддерживать помогает сдерживать угрозы и сводит к минимуму
инфраструктуру для сбора и систематизации потенциальный ущерб.
данных для обнаружения методов LOTL,
B. Недостатки/Ограничения
адаптированную к их конкретному ландшафту
рисков и ресурсным возможностям • Ресурсоёмкость: реализация рекомендуемых мер
по обнаружению и усилению защиты может
II. ПРЕИМУЩЕСТВА И НЕДОСТАТКИ требовать значительных инвестиций в технологии и
В анализируемом документе излагается комплексный обучение персонала. Небольшим организациям
подход к усилению защиты кибербезопасности от тактики будет сложно выделить необходимые ресурсы.
LOTL. Этот подход включает рекомендации по • Сложность реализации: создание и поддержание
обнаружению, централизованному протоколированию, инфраструктуры для детальной регистрации
поведенческому анализу, обнаружению аномалий и событий и анализа является сложной задачей.
упреждающему поиску. Организации могут столкнуться с трудностями при
Несмотря на то, что предлагаемые решения обладают эффективной настройке этих систем и управлении
значительными преимуществами, организации также ими, особенно в разнообразных и динамичных ИТ-
должны учитывать потенциальные недостатки и средах.
ограничения. Эффективное внедрение требует тщательного • Снижение эффективности от систем
планирования, распределения ресурсов и постоянной оповещения: хотя целью предлагаемых решений
корректировки с учётом меняющегося ландшафта угроз. является снижение избытка оповещений, их
A. Преимущества огромный объем, генерируемых комплексными
системами регистрации и обнаружения аномалий,
• Расширенные возможности обнаружения:
может привести к переутомлению сотрудников
внедрение комплексной и детализированной
службы безопасности и пропуску важных
системы регистрации событий наряду с
оповещений.
централизованным управлением событиями
значительно повышает способность организации • Ложноположительные и отрицательные
обнаруживать вредоносные действия. Такой подход результаты: системы анализа поведения и
позволяет анализировать поведение, обнаруживать обнаружения аномалий могут формировать
аномалии и осуществлять упреждающий поиск, ложноположительные и отрицательные результаты,
обеспечивая надёжную защиту от методов LOTL. что приводит к ненужным расследованиям
инцидентов или пропущенным угрозам. Точная
• Улучшенная система безопасности:
настройка этих систем для сведения к минимуму
рекомендуются различные меры, предоставляемые
неточностей требует постоянных усилий и опыта.
поставщиком или отраслевыми стандартами,
сведение к минимуму запущенных служб и защита • Зависимость от поддержки поставщиков:
сетевых коммуникаций с целью сокращения эффективность мер по усилению защиты и
векторов атаки. безопасных конфигураций часто зависит от
поддержки и рекомендаций, предоставляемых
• Повышенная прозрачность: централизованное
поставщиками программного обеспечения.
управление событиями позволяет выявлять
Организации могут столкнуться с ограничениями,
закономерности и аномалии с течением времени.
если поставщики не уделяют приоритетного
Такой подход в отношении сетевых и системных
внимания безопасности или не предоставляют
действий способствует упреждающему
адекватных рекомендаций по усилению защиты.
обнаружению потенциальных угроз.
• Эффективное использование ресурсов: III. LIVING OFF THE LAND
автоматизация анализа журналов и поиска Методы LOTL представляют собой стратегию
информации повышает эффективность этих киберугроз, при которой злоумышленники используют
процессов, позволяя организациям лучше нативные инструменты и процессы, уже присутствующие в
использовать свои ресурсы. Автоматизированные среде атакуемой цели. Такой подход позволяет органично
системы могут сравнивать текущие действия с сочетаться с обычной деятельностью системы, значительно
установленными показателями поведения, с учётом снижая вероятность обнаружения. Эффективность LOTL
особого внимания привилегированным учётным заключается в её способности использовать инструменты,
записям и критически важным активам. которые не только уже развёрнуты, но и пользуются
доверием в среде, тем самым обходя традиционные меры
• Стратегическая сегментация сети: улучшение безопасности, которые могут блокировать или помечать
сегментации сети и мониторинга ограничивает незнакомое или вредоносное программное обеспечение.
возможности распространения угрозы, уменьшая
"радиус поражения" доступных систем в случае Методы LOTL не ограничены каким-либо одним типом
компрометации. Такой стратегический подход среды; они эффективно используются в локальных,
облачных, гибридных средах Windows, Linux и macOS.
 Больше материалов: Boosty | Sponsr | TG
Такая универсальность отчасти объясняется тем, что автоматизированными системами, выполняющими
злоумышленники предпочитают избегать затрат и усилий, действия с высокими привилегиями, которые могут
связанных с разработкой и развёртыванием завалить аналитиков событиями журнала, если их не
пользовательских инструментов. Вместо этого упор классифицировать должным образом.
делается на повсеместное применение и доверие к типовым,
популярным и нативным инструментам. A. Проблемы с распознаванием вредоносной активности
Даже организациям со зрелыми передовыми
A. Среды Windows практиками бывает трудно отличить вредоносную
В корпоративных Windows-средах, методы LOTL активность LOTL от легитимного поведения:
особенно распространены из-за широкого использования
нативных инструментов, служб и функций операционной • LOLBins обычно используются ИТ-
системы и доверия к ним. администраторами и поэтому являются
доверительными, что может приводить к
B. macOS и гибридные среды заблуждению безопасности для всех
В этом случае злоумышленники используют нативные пользователей.
скрипт-среды, встроенные инструменты, системные • Существует ошибочное представление о том, что
конфигурации и бинарные файлы. Стратегия аналогична легитимные инструменты ИТ-администрирования
стратегии в средах Windows, но адаптирована к безопасны априори, что приводит к политикам
уникальным аспектам macOS. В гибридных средах, "разрешения", которые расширяют возможности
сочетающих физические и облачные системы, атаки.
злоумышленники все чаще применяют сложные методы
LOTL для использования преимуществ систем обоих типов. • Исключения для таких инструментов, как PsExec,
из-за их регулярного использования
C. Известные Эксплойты администраторами могут быть использованы
Применение эксплоитов хорошо представлено на злоумышленниками для скрытого
ресурсах: распространения.
• Репозиторий проекта LOLBAS на GitHub B. Разрозненные операции и ненастроенные системы
предлагает информацию о том, как жить за счёт EDR
обычных бинарных файлов, скриптов и библиотек. Информация складывается из опыта redteam и групп
• Такие веб-сайты, как [Link], [Link] и реагирования на инциденты в отношении специалистов по
[Link], предоставляют списки бинарных сетевой безопасности:
файлов Unix, macOS и Windows соответственно, • Обособленная работа от других ИТ-команд
которые используются в методах LOTL. препятствует формированию поведенческих
D. ПО удалённого доступа сторонних производителей пользовательских признаков, устранению
уязвимостей и расследования аномального
Помимо нативных инструментов, атакующие также
поведения.
используют ПО удалённого доступа сторонних
производителей в следующих категориях: удалённый • Использование ненастроенных систем
мониторинг и управление, управление конфигурацией обнаружения и EDR и индикаторов
конечных устройств, EDR, управление исправлениями, компрометации (IOCs), которые могут приводить к
системы управления мобильными устройствами и отсутствию оповещений о действиях
инструменты управления базами данных. Эти злоумышленников для предотвращения
инструменты, предназначенные для администрирования и обнаружения.
защиты доменов, обладают встроенной
функциональностью, которая может выполнять команды на C. Конфигурации системы регистрации событий и
всех клиентских узлах в сети, включая такие важные, как политики внесения в разрешенные списки
контроллеры домена. Также стоит обратить внимание на Недостатки в конфигурациях систем регистрации
наборы привилегий, которые требуются этим событий и политиках управления списками разрешений
инструментам для системного администрирования. ещё больше усложняют обнаружение действий LOTL:
IV. ПАРАМЕТРЫ БЕЗОПАСНОСТИ И ИЗБЫТОК • Конфигурации систем регистрации событий по
УВЕДОМЛЕНИЙ СИСТЕМ ОПОВЕЩЕНИЯ умолчанию часто не позволяют фиксировать все
соответствующие действия, и журналы из многих
Одной из основных выявленных проблем является
приложений требуют дополнительной обработки.
отсутствие базовых параметров безопасности в
организациях, что приводит к выполнению LOLBin без • Политика списков разрешений для диапазонов IP-
обнаружения аномальной активности. Кроме того, адресов, принадлежащих хостинг-провайдерам и
организациям часто не удаётся корректно настроить облачным провайдерам, может непреднамеренно
инструменты обнаружения, что приводит к огромному обеспечить «прикрытие для злоумышленников».
количеству оповещений, которыми трудно управлять и на
которые трудно реагировать. Это усугубляется
 Больше материалов: Boosty | Sponsr | TG
D. Защита устройств macOS и сравнения текущих действий с установленными
Несмотря на то, что устройства macOS изначально параметрами поведения повышает эффективность
считаются безопасности, они также требуют настройки: поиска, особенно с акцентом на привилегированные
учётные записи и критически важные активы.
• В macOS отсутствуют стандартизированные
рекомендации по повышению надёжности D. Снижения «шума» от системы оповещения
системы, что приводит к развёртываниям с • Совершенствование инструментов мониторинга:
настройками по умолчанию, которые могут быть важно совершенствовать инструменты мониторинга
небезопасными. и механизмы оповещения, чтобы проводить
различие между типичными административными
• Презумпция безопасности macOS может привести действиями и поведением, связанным с угрозой,
к отмене приоритетов стандартных мер сосредоточив внимание на предупреждениях,
безопасности и внесение приложений в списки которые с наибольшей вероятностью указывают на
разрешённых. подозрительные действия.
• В средах со смешанными операционными E. Использование UEBA
системами низкая представленность устройств
macOS может привести к недостаточному • Аналитика поведения пользователей и
вниманию к их безопасности, что делает их более организаций (UEBA): использование UEBA для
уязвимыми для вторжений. анализа и сопоставления действий в нескольких
источниках данных помогает выявлять
V. ВОЗМОЖНОСТИ ДЛЯ ДЕТЕКТИРОВАНИЯ потенциальные инциденты безопасности, которые
могут быть пропущены традиционными
A. Детализированные журналы событий инструментами, и профилировать поведение
• Внедрение комплексной системы регистрации пользователей для обнаружения внутренних угроз
событий: решающее значение имеет создание или скомпрометированных учётных записей.
механизмов регистрации всех ИБ-событий на
разных платформах и обеспечение агрегирования F. Особенности облачных технологий
журналов в централизованном хранилище для • Проектирование облачной среды:
предотвращения. проектирование облачной среды для обеспечения
надлежащего разделения основных и
• Ведение журнала в облачной среде: для облачных дополнительных журналов позволяет лучше
сред важно регистрировать различные события отслеживать потенциальные действия LOTL.
ввиду их большего количества и настроить
политики управления журналами событий для всех VI. HARDENING-СТРАТЕГИИ
облачных служб, особенно редко используемых с
Hardening-стратегии направлены на сокращение
целью обнаружения действий злоумышленников.
количества возможных атак и повышение уровня
• Детализация событий безопасности: включение безопасности критически важной инфраструктуры.
детализации событий, таких как командные строки, A. Рекомендации
действия PowerShell и отслеживание событий WMI,
обеспечивает более глубокое представление об Рекомендации по усилению защиты от вендоров и
использовании инструмента в среде, помогая отраслей: организациям следует усиливать конфигурации
обнаруживать вредоносные действия LOTL. программного обеспечения и систем на основе
рекомендаций по защите от поставщиков или от отрасли,
B. Установление поведенческих ориентиров сектора или правительства, например, от NIST, чтобы
• Отслеживание отклонений в параметрах: уменьшить количество векторов атаки.
отслеживание параметров установленных 1) Для конкретной платформы:
инструментов, программного обеспечения,
• Windows: применение обновления и исправления
поведения учётной записи и сетевого трафика
для системы безопасности от Microsoft,
позволяет защитникам выявлять отклонения,
руководства по базовым показателям безопасности
которые могут указывать на вредоносную
Windows или тестам CIS, ужесточение часто
активность.
используемых служб, такие как SMB и RDP, и
• Мониторинг сети и поиск угроз: улучшение отключение ненужных служб и функций.
мониторинга сети, расширение хранилища
• Linux: контроль за разрешениями для работы с
журналов и углубление тактики поиска угроз
бинарными файлами и использование стандартов
жизненно важны для выявления длительного
Red Hat Enterprise Linux.
присутствия атакующих.
• macOS: регулярные обновления и применение
C. Автоматизация и эффективность
исправлений системы, а также встроенных
• Использование автоматизации: использование функций безопасности, такие как Gatekeeper,
автоматизации для постоянного изучения журналов
 Больше материалов: Boosty | Sponsr | TG
XProtect и FileVault, и рекомендаций macOS D. Элементы управления аутентификацией
Security Compliance Project. • Защита от фишинга: использование MFA во всех
2) Повышение надежности облачной системах, особенно для привилегированных
инфраструктуры: учётных записей.
• Microsoft Cloud: применение руководств CISA по • Управление привилегированным доступом
настройкам безопасности Microsoft 365 в (PAM): развёртывание надёжных PAM-решений с
различных облачных службах Microsoft. доступом и элементами управления на основе
• Google Cloud: применение руководств по временного фактора, дополненных ролевым
настройке безопасности Google Workspace Security управлением доступа (RBAC).
от CISA для настройки облачных сервисов Google. • Облачное управление идентификацией и
• Универсальные меры защиты: сведение к доступом к учётным данным (ICAM): применение
минимуму количество запущенных служб, строгих политик ICAM, аудит конфигураций и
применение принципа наименьших привилегий и смена ключей доступа.
защитите сетевые коммуникации. • Проверка файла Sudoers File Review: для macOS и
• Защита критически важных активов: Unix регулярная проверка файла sudoers на наличие
применение мер по усилению защиты критически некорректных настроек в рамках принципа
важных активов, таких как ADFS и ADCS, и наименьших привилегий.
ограничение приложений и служб, которые могут E. Архитектура нулевого доверия
использоваться или к которым они могут получить В качестве долгосрочной стратегии внедряется
доступ. архитектура с нулевым доверием, чтобы гарантировать, что
• Средства администрирования: применение бинарные файлы и учётные записи не являются
предотвращающих повторное использование доверенными и привилегированными по умолчанию.
скомпрометированных учётных данных средств. F. Дополнительные рекомендации
B. Список разрешенных приложений • Комплексная проверка при выборе поставщика:
Ограничение выполнения: внедрение списка выбор поставщиков с надёжными принципами
разрешений приложений как для пользователей, так и проектирования и привлечение их к
администраторов с целью улучшения мониторинга и ответственности за конфигурации их программного
уменьшения объёма оповещений. обеспечения по умолчанию.
1) Список разрешений для конкретной платформы: • Аудит ПО удалённого доступа: аудирование ПО
• macOS: использование параметров Gatekeeper для удалённого доступа и применение лучших практик
предотвращения выполнения неподписанных или для обеспечения безопасности удалённого доступа.
неавторизованных приложений. • Ограничение исходящего подключения к
• Windows: использование AppLocker и Windows Интернету: ограничение доступа к Интернету для
Defender Application Control для управления внутренних серверов и контроля исходящих
исполняемыми файлами, скриптами, MSI-файлами, подключений для основных служб.
библиотеками DLL и другими упакованными
приложениями. VII. РЕКОМЕНДАЦИИ ПО ОБНАРУЖЕНИЮ УГРОЗ
В рамках рекомендаций предлагаются регулярные
C. Сегментация сети и мониторинг проверки инвентаризации системы для выявления
• Ограничение распространения: реализация поведения злоумышленников, которое может быть
сегментации сети для ограничения доступа пропущено журналами событий из-за некорректных
пользователей минимально необходимыми конфигураций. Организациям рекомендуется включить
приложениям и службам, в т.ч. снижения влияния регистрацию всех событий, связанных с безопасностью,
скомпрометированных учётных данных. включая действия командной строки, системные вызовы и
журналы аудита на всех платформах, чтобы улучшить
• Анализ сетевого трафика: применение обнаружение вредоносной активности LOTL.
инструментов для мониторинга трафика между
сегментами и размещение сетевые датчики в A. Сетевые журналы
критических точках для всестороннего анализа Обнаружение LOTL-методов с помощью сетевых
трафика. журналов представляет собой проблемы из-за преходящего
• Анализ метаданных сетевого трафика: характера сетевых артефактов и сложности распознавания
применение анализаторов трафика, например Zeek, вредоносной активности от легитимного поведения. В
и интеграция с NID-решениями, например Snort или отличие от артефактов хоста, которые часто можно
Suricata. обнаружить, если только атакующий намеренно не удалит
их, сетевые артефакты являются производными от сетевого
 Больше материалов: Boosty | Sponsr | TG
трафика, временными и требуют надлежащей настройки Amazon Web Services CloudTrail, Azure Activity Log и
систем управления событиями для их отслеживания. Без Google Cloud Audit Logs. Эти журналы могут предоставить
соответствующих датчиков для регистрации сетевого ценную информацию о потенциальных действиях LOTL,
трафика невозможно наблюдать за активностью LOTL. выявляя необычные схемы доступа или попытки
использования механизмов аутентификации.
B. Показатели активности LOTL
Обнаружение активности LOTL включает в себя поиск Надёжная стратегия разграничения привилегий
набора возможных индикаторов для формирования необходима для идентификации методов LOTL по
связанных поведенческих сетевых признаков в трафике. журналам аутентификации. Такие практики, как
ограничение доступа учётных записей администраторов
• Просмотр журналов брандмауэра: домена только к контроллерам домена и использование
Заблокированные попытки доступа в журналах рабочих станций привилегированного доступа (PAWs) и
брандмауэра могут сигнализировать о наличие MFA могут свести к минимуму доступ к учётным
компрометации, особенно в должным образом данным и усилить сегментацию сети.
сегментированной сети. Попытки обнаружения сети
и сопоставления внутри неё также могут указывать E. Регистрация событий на хосте
на активность LOTL. Важно различать обычное Sysmon и другие инструменты регистрации хостовых
поведение инструмента управления сетью и событий обеспечивают детальную визуализацию
аномальное. системных действий о создании процессов, сетевых
подключениях и изменениях файловой системы, эти
• Исследование аномальных признаков в трафике: инструменты с целью обнаружения и расследования
изучение определённых типов трафика, такие как подозрительных активностей и поведенческих признаков.
запросы LDAP от хостов Linux, не присоединённых
к домену, запросы SMB из разных сегментов сети 1) Установление исходных условий и обеспечение
или запросы доступа к базе данных с рабочих защиты журнала
станций пользователей, которые должны Основополагающим шагом в обнаружении аномального
выполняться только внешними серверами, с или потенциально вредоносного поведения является
конечной целью отличить легитимное приложения установление условий запуска инструментов и событий.
от вредоносных запросов. Это включает в себя понимание механизмов безопасности
операционных систем для выявления отклонений, которые
• Изучение журналов сетевых служб на хост- могут указывать на угрозу безопасности. Также важно
машинах: журналы таких служб, как Sysmon и IIS, полагаться на защищённые журналы, которые менее
на хост-машинах могут предоставить информацию подвержены подделке злоумышленниками. Например, в то
о взаимодействиях веб-сервера, транзакциях FTP и время как файлы Linux .bash_history могут быть изменены
других сетевых действиях. Эти журналы содержат непривилегированными пользователями, журналы аудита
ценный контекст и детали, которые могут быть системного уровня более безопасны и обеспечивают
недоступны традиционным сетевым устройствам. надёжную запись действий.
• Объединение журналов сетевого трафика с 2) Использование Sysmon в средах Windows
журналами на базе хоста: этот подход позволяет
Sysmon, инструмент мониторинга системы Windows,
включать дополнительную информацию, такую как
предоставляет детальную информацию о таких действиях,
учётная запись пользователя и сведения о процессе.
как создание процессов, сетевые подключения и
Расхождения между артефактами назначения и
модификации реестра. Подробное протоколирование имеет
внутри сети могут указывать на вредоносный
неоценимое значение для служб безопасности при поиске и
трафик.
выявлении случаев неправильного использования
C. Журналы событий приложений, безопасности и легитимных инструментов. Ключевые стратегии включают:
системных событий • Использование свойства OriginalFileName для
Системы регистрации событий по умолчанию часто не идентификации переименованных файлов, которые
позволяют фиксировать все необходимые события, могут указывать на вредоносную активность (для
потенциально оставляя пробелы в видимости вредоносных большинства утилит Microsoft исходные имена
действий. Определение приоритета журналов и источников файлов хранятся в заголовке PE).
данных, которые с большей вероятностью выявят
вредоносную активность LOTL, имеет решающее значение • Внедрение методов обнаружения для выявления
для эффективного обнаружения и реагирования. использования утилит командной строки и
скриптов, особенно использующих альтернативные
D. Журналы аутентификации потоки данных (ADS) - мониторинг определённых
Журналы аутентификации играют важную роль в аргументов командной строки или синтаксиса,
выявлении попыток несанкционированного доступа и используемых для взаимодействия с ADS.
отслеживании действий пользователей по сети.
3) Стратегии обнаружения
Регистрация всех операций, включая вызовы API и входы
конечных пользователей, с помощью таких сервисов, как Усовершенствование конфигураций Sysmon для анализа
с упором на шаблоны, указывающие на обфускацию, может
 Больше материалов: Boosty | Sponsr | TG
помочь выявить попытки обойти средства мониторинга • Системные инвентаризационные аудиты:
безопасности, например использование управляющих проведение регулярных системных
символов, объединение команд и использование кодировки инвентаризационных аудитов является
Base64. упреждающей мерой для выявления поведения
злоумышленников, которое могло быть пропущено
4) Мониторинг подозрительных цепочек процессов журналами событий по различным причинам, а
Мониторинг подозрительных цепочек процессов, также гарантирует, что любые изменения в системе
например связанных с Microsoft Office и процессами санкционированы и учтены.
создания скриптов, является ключевым показателем
активности LOTL, т.к. приложения Office редко запускают G. Поведенческий анализ
процессы ([Link], PowerShell, [Link] или [Link]). Сравнение активности с обычным поведением
5) Интеграция журналов с SIEM-системами пользователя позволяет говорить об обнаружении
Интеграция журналов Sysmon с SIEM-системами с аномалий. Необычное поведение, на которое следует
целью применения правил корреляции может значительно обратить внимание, например включает нетиповое время
улучшить обнаружение атак путём автоматизации процесса входа в систему, доступ вне ожидаемого рабочего графика
обнаружения и применения аналитики для выявления или праздничных перерывов, быструю последовательность
сложных поведенческих моделей вредоносной активности. или большое количество попыток доступа, необычные пути
доступа, одновременные входы в систему из нескольких
6) Рекомендации по работе с Linux и macOS мест.
На компьютерах с Linux использование Auditd или
Sysmon и интеграция этих журналов с платформой SIEM H. [Link] и [Link]
могут значительно улучшить обнаружение аномальных Особое внимание уделяется выявлению неправомерного
действий. Для macOS использование таких инструментов, использования [Link] и [Link] инструментов,
как Santa, система авторизации с открытым исходным которые, хотя и являются легитимными, часто
кодом, может помочь отслеживать выполнение процессов и используются злоумышленниками в злонамеренных целях,
обнаруживать аномальное поведение производительных например попытки сбросить учётные данные или
приложений распространяться по сети в направлении. Сосредоточив
внимание на поведенческом контексте использования этих
F. Просмотр Конфигураций инструментов, организации могут более эффективно
Регулярный анализ и обновление системных проводить различие между легитимными и вредоносными
конфигураций необходимы для обеспечения того, чтобы действиями.
меры безопасности оставались эффективными против
возникающих угроз. Это включает проверку того, что 1) Процесс эксплуатации
параметры систем регистрации событий надлежащим Обычная тактика заключается в создании теневой копии
образом настроены для сбора соответствующих данных и системного диска на томе, обычно с помощью [Link]
что средства контроля безопасности соответствуют с помощью таких команд, как Create Shadow /for=C:. Это
современным передовым практикам. Организациям также действие создает моментальный снимок текущего
следует оценить использование списков разрешений и состояния системы, включая базу данных Active Directory.
других механизмов контроля доступа для предотвращения После этого [Link] используется для взаимодействия с
злоупотребление легитимными инструментами этой копией с помощью определённой последовательности
злоумышленниками. команд (ntdsutil snapshot “activate instance ntds” create quit
quit). Затем злоумышленники получают доступ к теневой
Регулярные проверки конфигураций хостов на копии, чтобы извлечь файл [Link] из указанного каталога.
соответствие установленным базовым показателям Эта последовательность предназначена для извлечения
необходимы для выявления признаков компрометации, и конфиденциальных учётных данных, таких как
включают изменения в установленном программном хэшированные пароли, из Active Directory, что позволяет
обеспечении, конфигурации брандмауэра и обновления полностью скомпрометировать домен.
основных файлов, таких как файл Hosts, который
используется для разрешения DNS. Проверки могут 2) Обнаружение и реагирование
выявить несоответствия, которые сигнализируют о Для обнаружения такого использования и реагирования
несанкционированных модификациях или присутствии на него крайне важно понимать контекст [Link]
вредоносного программного обеспечения. действий и проводить различие между легитимным
административным использованием и потенциальным
• Обход стандартных журналов событий: известно, злонамеренным использованием. Основные источники
что атакующие обходят стандартные журналы журналов и стратегии мониторинга включают:
событий, напрямую внося изменения в реестр для
регистрации служб и запланированных задач. Такой • Журналы командной строки и создания
подход не регистрируется в стандартных системных процессов: журналы безопасности
событиях, что делает его способом сокрытия (идентификатор события 4688) и журналы Sysmon
активностей. (идентификатор события 1) предоставляют
информацию о выполнении [Link] команд.
Необычное или нечастое использование [Link]
 Больше материалов: Boosty | Sponsr | TG
для создания моментальных снимков может с ними команд. В этих журналах подробно
указывать на подозрительную активность. описывается использованная командная строка,
определяющая природу и «намерения» процесса.
• Журналы создания файлов и доступа к ним:
мониторинг событий создания файлов • Журналы использования привилегий и явных
(идентификатор события Sysmon'а 11) и попыток учётных данных: журналы безопасности
доступа к конфиденциальным файлам, таким как Идентификатор события 4672) документируют
[Link] (идентификатор события 4663), могут случаи, когда новым входам в систему назначаются
предоставить дополнительный контекст для особые привилегии, что крайне важно, когда PsExec
процесса создания моментальных снимков и выполняется с переключателем -s для системных
доступа. привилегий. Идентификатор события 4648
фиксирует явное использование учётных данных,
• Журналы использования привилегий: указывая, когда PsExec запускается с
идентификатор события 4673 в журналах, определёнными учётными данными пользователя.
указывающий на использование
привилегированных служб, может говорить о • Sysmon регистрирует сетевые подключения и
потенциальном злоупотреблении, когда оно связано изменения реестра: идентификатор события 3
с выполнением [Link] команд. Sysmon регистрирует сетевые подключения, что
является центральным элементом функции
• Журналы сетевой активности и удалённого выполнения PsExec. Идентификаторы
аутентификации: журналы могут содержать событий 12, 13 и 14 отслеживают изменения
информацию о одновременных удалённых реестра, включая удаления (Идентификатор
подключениях или передачах данных, события 14) разделов реестра, связанных с
потенциально указывая на попытки эксфильтрации выполненной командой Netsh, предоставляя
данных. Журналы аутентификации также важны для доказательства изменений конфигурации системы.
идентификации исполнителя команды [Link] и
оценки того, соответствует ли использование • Журналы аудита реестра Windows: в журналы
типичному поведению администратора. записываются изменения разделов реестра,
содержащие информацию, такую как временная
3) Комплексный анализ [Link] метка изменений, учётная запись, под которой были
[Link], компонент пакета Microsoft PsTools, внесены изменения (часто системная учётная запись
представляет собой мощную утилиту для системных из-за переключателя PsExec -s), и конкретные
администраторов, предлагающую возможность удалённого изменённые или удалённые значения реестра.
выполнения команд в сетевых системах, часто с
повышенными привилегиями. Однако его универсальность • Журналы сети и брандмауэра: анализ сетевого
также делает его излюбленным инструментом у APT-групп. трафика, особенно трафика SMB, характерного для
использования PsExec, и журналов брандмауэра в
4) Роль [Link] в киберугрозах целевой системе может выявить подключения к
[Link] обычно используется для удалённого общим ресурсам администрирования и изменения
администрирования и выполнения процессов в разных конфигурации сети системы. Журналы
системах. Его способность работать с системными коррелируют со временем выполнения команды,
привилегиями делает его особенно привлекательным для предоставляя дополнительный контекст для
вредоносного использования, например для выполнения действия.
одноразовых команд, направленных на изменение
системных конфигураций, таких как удаление VIII. СТРАТЕГИИ ДЛЯ СКОМПРОМЕТИРОВАННЫХ СЕТЕЙ
конфигураций прокси-порта на удалённом хосте с
В случае обнаружения факта компрометации
помощью команд типа:
необходимо применение защитных контрмер.
"C:\pstools\[Link]" {REDACTED} -s cmd /c "[Link]
A. Действия немедленного реагирования
/c netsh interface portproxy delete v4tov4 listenaddress=[Link]
listenport=9999" • Сброс учётных данных для привилегированных и
непривилегированных учётных записей в пределах
5) Стратегии обнаружения границ доверия каждой скомпрометированной
Для эффективного противодействия злонамеренному учётной записи.
использованию [Link] сетевые защитники должны
использовать различные журналы, которые дают • Принудительный сброс пароля, отзыв и выдача
представление о выполнении команд и более широком новых сертификатов для всех учётных записей и
контексте операции: устройств.
• Журналы командной строки и создания B. Действия, относящиеся к среде Windows:
процессов: Журналы безопасности • При подозрении на доступ к Контроллеру домена
(идентификатор события 4688) и журналы Sysmon (DC) или Active Directory (AD) сброс паролей всех
(идентификатор события 1) полезны для локальных учётных записей, включая Guest,
отслеживания выполнения [Link] и связанных
 Больше материалов: Boosty | Sponsr | TG
HelpAssistant, DefaultAccount, System, Administrator разработки программного обеспечения (SDLC). Такая
и krbtgt. Учётную запись krbtgt, которая упреждающая интеграция гарантирует, что соображения
обрабатывает запросы на регистрацию Kerberos, безопасности станут не второстепенной задачей, а
следует дважды сбросить для обеспечения фундаментальным компонентом продукта от начала
безопасности из-за истории с двумя паролями. разработки до развертывания.
• Если есть подозрение, что файл [Link] подвергался C. Обязательная многофакторная аутентификация
эксфильтрации, требуется сброс пароля всех (MFA)
пользователей домена. Производителям следует установить MFA, в идеале
• Просмотр и коррекция политики доступа для защищенный от фишинга, для привилегированных
временного отзыва или уменьшения права доступа пользователей и сделать его функцией по умолчанию, а не
для затронутых учётных записей и устройств. необязательной. Этот шаг значительно повышает
безопасность учётных записей пользователей, особенно
• Сброс учётных данных учётной записи без тех, которые имеют повышенный доступ.
повышенных прав доступа: если доступ атакующего
ограничен правами, сброс соответствующих D. Уменьшение hardening-действий
учётным данным ключа доступа и отслеживание Объём действий, прилагаемых к объектам защиты,
дальнейших признаков несанкционированного следует отслеживать и уменьшать. По мере выпуска новых
доступа, особенно к учётным записям версий программного обеспечения целью должно быть
администраторов. уменьшение размера этих руководств с течением времени
путем интеграции их компонентов в качестве
C. Аудит конфигурации сети и устройств конфигурации продукта по умолчанию.
• Аудит сетевых устройств и пограничных
устройств: проверка наличия признаков E. Учёт пользовательского опыта
несанкционированных или вредоносных изменений Необходимо учитывать влияние настроек безопасности
конфигурации. Если изменения обнаружены: на работу пользователя. В идеале наиболее безопасная
настройка должна быть интегрирована в продукт по
o Требуется изменения всех учётных данных, умолчанию, а при необходимости настройки опция должна
используемых для управления сетевыми быть защищена от распространённых угроз. Такой подход
устройствами, включая ключи и строки, снижает когнитивную нагрузку на конечных пользователей
обеспечивающие функции сетевого устройства. и обеспечивает широкую защиту.
o Обновление всех прошивок и программного F. Удаление паролей по умолчанию
обеспечения до последних версий.
Пароли по умолчанию следует полностью исключить,
D. Использование инструмента удалённого доступа или сформировать, или установить при первой установке, а
Минимизация удалённого доступа и контроль: затем периодически менять. Такая практика предотвращает
следование рекомендациям по обеспечению безопасности использование паролей по умолчанию в качестве удобной
средств и протоколов удалённого доступа, включая точки входа для злоумышленников.
рекомендации по безопасности программного обеспечения G. Ограничение динамического выполнения кода
удалённого доступа и безопасному использованию
PowerShell. Динамическое выполнение кода, хотя и обеспечивает
универсальность, представляет собой уязвимое место для
IX. РЕКОМЕНДАЦИИ ДЛЯ ПРОИЗВОДИТЕЛЕЙ ПО атаки. Производителям следует ограничить или удалить
возможность динамического выполнения кода из-за
A. Минимизация векторов атаки высокого риска и сложности обнаружения связанных с ним
Производителям ПО настоятельно рекомендуется индикаторов компрометации (IoC).
минимизировать возможности атаки путём выполнения
различных действий: отключение ненужных протоколов по H. Удаление фиксированных учётных данных
умолчанию, ограничение количества процессов и Приложения и скрипты, содержащие информацию об
программ, запущенных с повышенными привилегиями, и учётных данных в виде открытого текста (hardcode),
принятие упреждающих мер по ограничению представляют значительный риск для безопасности.
возможностей участников использовать нативные Удаление таких учётных данных важно для
функциональные возможности для вторжений. предотвращения использования их злоумышленниками для
доступа к ресурсам и расширения своего присутствия в
B. Внедрение системы безопасности в SDLC сети.
Безопасность должна быть встроена в архитектуру
продукта на протяжении всего жизненного цикла