FBI, NSA и CISA дают рекомендации для критической инфраструктуры по противодействию атакам хак-группировок

26 января 2022

Федеральное бюро расследований (FBI), Агенство национальной безопасности (NSA) и Агенство безопасности критической инфраструктуры (CISA) США опубликовали отчет-биллютень в котором призывают организации, в первую очередь критической инфраструктуры, следовать советам по настройке и обнаружению следов взлома.

В отчете приводятся тактики, техники и процедуры взлома, а также механизмы его детектирования, расследования и предотвращения.

В технические детали включены известные CVE:
CVE-2018-13379 FortiGate VPNs
CVE-2019-1653 Cisco router
CVE-2019-2725 Oracle WebLogic Server
CVE-2019-7609 Kibana
CVE-2019-9670 Zimbra software
CVE-2019-10149 Exim Simple Mail Transfer Protocol
CVE-2019-11510 Pulse Secure
CVE-2019-19781 Citrix
CVE-2020-0688 Microsoft Exchange
CVE-2020-4006 VMWare (note: this was a zero-day at time.)
CVE-2020-5902 F5 Big-IP
CVE-2020-14882 Oracle WebLogic
CVE-2021-26855 Microsoft Exchange (Note: this vulnerability is frequently observed used in conjunction with CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065)

В таблице представлены техники, тактики и процедуры, используемые злоумышленниками.

Разведку [TA0043] link=https://attack.mitre.org/versions/v10/tactics/TA0043/;Активное сканирование:Сканирование на наличие уязвимостей [T1595.002] Фишинг для получения информации [T1598] link=https://attack.mitre.org/versions/v10/techniques/T1598/ ;Злоумышленники производят сканирование серверов в поисках уязвимостей. Злоумышленники производят таргетированную рассылку писем с целью получения сведений о сети. Разработка вредоносного ПО [TA0042] link=https://attack.mitre.org/versions/v10/tactics/TA0042/; Разработка вредоносного ПО [T1587.001] link=https://attack.mitre.org/versions/v10/techniques/T1587/001/; Производится разработка и развертывание вредоносного ПО. Попытка доступа [TA0001] link=https://attack.mitre.org/versions/v10/tactics/TA0001/; Эксплойты в «public-facing»приложения [T1190] Получение данных через компрометацию легитимного ПО (Supply Chain Compromise) [T1195.002] link=https://attack.mitre.org/versions/v10/techniques/T1195/002/ ; Злоумышленники эксплуатируют известный, а также уязвимости нулевого дня, в «public-facing» приложения, например (smb, SSH, etc.) Проникновение в инфраструктуру организации происходит через компрометацию легитимного ПО: обновление затрояненного SolarWinds Orion и др. Получение кредов (логина/пароля) для осуществления доступа [TA0006]; Подбор пароля через перебор [T1110.001] и точечно [T1110.003] Дамп учетных данных из операционной системы: NTDS [T1003.003] link=https://attack.mitre.org/versions/v10/techniques/T1003/003/; Злоумышленники производят попытки подбора паролей по большим словарям и с минимальным скоупом. Злоумышленники получают доступ к копии базы данных AD. Закрепление в инрфаструктуре [TA0003]; Использование скомпрометированных аккаунтов жертв [T1078] link=https://attack.mitre.org/versions/v10/techniques/T1078/; Злоумышленники используют похищенные учетные данные для долгого пребывания в инфраструктуре, а также чтобы оставаться незамеченными. Исполнение команд [TA0002] link=https://attack.mitre.org/versions/v10/tactics/TA0002/; Использование команд и скриптов поддерживаемых операционной системой (Powershell/cmd, bash) [T1059.003] link=https://attack.mitre.org/versions/v10/techniques/T1059/003/; Злоумышленники используют нативные команды и оболочки ОС для проведения атак. Контроль трафика/команд [TA0011] link=https://attack.mitre.org/versions/v10/tactics/TA0011/; Прокси [T1090.003] link=https://attack.mitre.org/versions/v10/techniques/T1090/003/; Злоумышленники часто используют пользователей, пропуская через них трафик и тем самым маскируя его под легитимный. Также злоумышленники используют виртуальные частные сервера.

Советы по дектированию такого трафика довольно интересные. Предлагается развернуть в инфраструктуре организации централизованный сбор логов и использовать утилиты:
1. Из коробки — M365’s Sentinel.
2. Сторонние — Sparrow, Hawk или CrowdStrike’s Azure Reporting Tool (CRT), для детектирования необычной активности, в том числе приложений, в облачной инфраструктуре.

Также советуют следить за «поведением» пользователей в инфраструктуре:

Отслеживать логины с различными именами, комбинации IP адресов с различной геолокацией.
Попытки входа с одного IP для разных аккаунтов.
Отслеживать процессы и сервисы в системах.

Отчет получился полезным и полон ссылок на сторонние ресурсы, с которыми хорошо ознакомиться, для расширения кругозора и понимания текущей ситуации в сфере информационной безопасности.