Если вы по-прежнему мечтаете разложить потенциальные угрозы для вашей организации по матрице MITRE ATT&CK, оценить покрытие и приоритизировать задачи, но при этом вы пропустили наш вебинар по этой теме – не отчаивайтесь!

Теперь полную инструкцию можно прочитать в статье Андрея Тамойкина и Романа Назарова:
https://securelist.ru/detection-engineering-backlog-prioritization/109883/

securelist.ru

Какие техники MITRE ATT&CK детектировать в первую очередь?

Как центру мониторинга эффективно расставить приоритеты при написании детектирующих логик для различных техник MITRE ATT&CK и какие инструменты в этом помогут.

Повысить привилегии через Active Directory Certificate Services (ADCS) можно с помощью многих разных техник. Сегодня разбираем, как детектировать атаку ADCS ESC13.

Вкратце: класс Issuance Policy в Active Directory содержит атрибут msDS-OIDToGroupLink, и этот атрибут можно использовать для линковки Issuance Policy с группой AD. Таким образом, системы будут авторизовать пользователей, как будто они включены в группу. Работать это будет в случае, если пользователь предоставит сертификат с необходимой Issuance Policy.

Из-за схожести таких билетов с золотыми, для их выявления можно воспользоваться утилитой FindGT Александра Родченко. Либо использовать скрипт Check-ADCSESC13 для аудита небезопасных конфигураций в AD, который предлагают сами авторы техники ESC13.

А чтобы детектировать атаку во время эксплуатации, нужно наблюдать за изменениями соответствующих объектов AD и ADCS. В частности, можно получить событие добавления Issuance Policy в Certificate Template – и посмотреть, есть ли у него линк с какой-то группой. Также необходимо следить за изменением атрибута msDS-OIDToGroupLink. И ещё полезно проверять опубликованные Certificate Templates с потенциально эксплуатируемой конфигурацией, содержащие Issuance Policy – и следить, какие пользователи их запрашивают.

Подробнее об этой атаке и методах детектирования – в статье Дмитрия Щетинина.

Иногда наши эксперты разговаривают не только кодами, но и голосом. В подкасте «Смени пароль» – серьёзный разговор про становление героя, который более 20 лет занимается оффенсивом (конечно же, только этические пентесты и «красные команды»). Как всё начиналось, как устроена эта профессия сейчас и с какими проблемами сталкиваются пентестеры в своей работе – рассказывает Александр Зайцев:

«В школе тебе дарят 286 компьютер, работающий на частоте 12,5 МГц, его потенциально можно подключить к Интернету по диалапу на скорости 9600 бод. Правда, диалап очень платный, надо искать демо-доступы, обзвонить кучу систем, найти гейты в сеть X.25, оттуда искать возможность зацепиться по PPP и вообще понять, где ты находишься и куда тебя выпустит… Тогда это был необходимый клубок вещей, которые нужно знать, если ты хотел получать доступ к растущим объёмам недоступной ранее информации. Сама среда задавала высокий порог входа.»

Слушать тут: https://podcast.ru/e/7Y9dddSWOjk

А другой выпуск того же подкаста посвящён тяжёлой доле специалистов по AppSec, которые анализируют защищённость веб-приложений:

«Печально, когда заказчик не верит в уязвимость и не может понять, как воспроизвести атаку. Ему уже и скрипт скинули, а он всё говорит, что у него есть защита от такого брутфорса. Приходится очень долго объяснять, даже записывать видео с атакой».

Слушать тут: https://podcast.ru/e/9dn8sQEP7wP

Podcast.ru

Взлом для защиты: как стать белым хакером – Смени пароль! – Podcast.ru

Чтобы проверить защищённость системы, нужно посмотреть на неё глазами атакующего и показать возможные способы взлома. Как проводится тест на проникновение? Нужен ли для такой работы особый хакерский склад ума? Почему в «умном городе» так много уязвимостей?…

Уязвимость CVE-2024-21378 позволяет выполнить произвольный код в системе, где установлен MS Outlook. А всё потому, что Exchange и Outlook, общаясь по протоколу MAPI, могут пересылать друг другу всякое разное и вообще немыслимое.

Например, можно создать собственный тип сообщения и указать клиенту Outlook, что для отрисовки этого сообщения следует использовать некую особую форму. И эту форму тоже можно передать адресату: такому сообщению соответствует класс IPM.Microsoft.FolderDesign.FormsDescription. А сама форма представляет собой DLL-библиотеку, которая хранится как вложение в сообщении.

Чтобы эксплуатировать уязвимость, злоумышленник отправляет жертве форму, которая открывает определённый класс сообщений. А затем отправляет письмо-триггер, принадлежащее к этому классу сообщений. В результате Outlook загружает вредоносную форму (см. скриншот).

Наш эксперт Александр Родченко проанализировал процесс эксплуатации этой уязвимости и написал утилиту, которая сканирует скрытые сообщения и выявляет попытки атаки. Подробности – в статье по ссылке.

Архитектура Windows позволяет неплохо противодействовать установке и использованию неизвестных, неподписанных, а стало быть, потенциально опасных драйверов. Но наличие уязвимостей даже в легитимных драйверах перечеркивает все изобретенные митигации и дарует нам атаку Bring Your Own Vulnerable Driver (BYOVD).

Множество софта, написанного за долгую историю доминирования Windows на пользовательском рынке, создаёт колоссальную поверхность атаки с минимальными возможностями предсказания, где и как будут проведены такие атаки. Жирным бонусом от эксплуатации уязвимостей в kernel-драйверах является получение привилегий уровня ядра ОС. А это даёт возможность отключить (либо изящно обойти) практически любой механизм защиты и мониторинга, установить руткит, бэкдор, или даже поиграться с заражением BIOS/UEFI.

Пример подобной атаки через уязвимый драйвер описали наши эксперты в детальном разборе TTP группировки вымогателей CUBA. Вот показательный кусочек кода из bat-скрипта, используемого этой группировкой:

sc.exe create aswSP\_ArPot2 binPath= C: \windows\temp\aswArPot.sys type= kernel sc.exe start aswSP\_ArPot2

Здесь aswArPot.sys – это легальный антируткит-драйвер Avast, содержащий две уязвимости: CVE-2022-26522 и CVE-2022-26523. Они позволяют создать и запустить службу уровня ядра от имени пользователя с ограниченными правами. Цель – завершить процессы EDR-агентов (в конфиге ВПО был целый список с наиболее «любимыми» ею EDR-процессами) и совершенно незаметно приступить к следующей стадии деплоя рансомвары.

Что делать защите? Вот парочка полезных опенсорсных проектов-репозиториев, где собирается инфа про уязвимые драйвера: LOLDrivers (www.loldrivers.io) и Kernel Driver Utility (github.com/hfiref0x/KDU). Настраиваем фиды к себе в SIEM – и простым правилом помечаем любой чих со стороны тех сомнительных драйверов, с которыми приходится уживаться в силу невозможности обновления.

Если ваша красная команда ищет неординарные способы сбора информации о целевых системах, или прикидывает, откуда начать поиск следующего preauth-зиродея в Windows-инфраструктуре, можно обратиться к знаниям предков и вспомнить про MSRPC и Null-session.

Хотя пик популярности атак с использованием нулевой сессии миновал более 20 лет назад, недра удалённого вызова процедур все ещё скрывают в себе множество интересных интерфейсов взаимодействия. А значит, есть и соответствующая поверхность атаки. Пример на скриншоте – информация о домене, собранная без авторизации с использованием MSRPC-интерфейсов.

А теперь представьте, что с использованием таких интерфейсов возможно проводить перебор доменных пользователей – и делается это гораздо менее заметно, чем при той же преаутентификации в Kerberos.

В мае мы планируем подробно рассказать о том, как анализировать MSRPC-интерфейсы, какие атаки можно осуществлять с их помощью, и как их детектировать. А пока проверьте, на всех ли ваших хостах отключена нулевая сессия!

Готовим аналитический отчёт про атаки, которые наш SOC отбивал весь 2023 год.

Атакующие продолжают активно применять легитимные утилиты (LOLbins): их использование мы наблюдали в каждом десятом инциденте прошлого года. А если брать инциденты высокой критичности – почти в каждом третьем. Самые популярные LOLbins – это powershell.exe и rundll32.exe: они замечены в 12% критичных инцидентов. Поэтому адаптация детектирующей логики под выявление нецелевого использования этих утилит в ваших сетях должна стать приоритетной задачей команды мониторинга.

Плохая новость в том, что обнаружение LOLbins связано с большим количеством ложных срабатываний. И всё же ряд хрестоматийных активностей атакующих можно вылавливать по таким командам:

`rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <...>`

В случае powershell задача посложней. Плохие запуски хорошо видны аналитическому взору, но их много:

`powershell.exe" \-NonInteractive \-Enc "...OQA5ACIA...KQA=` `powershell.exe \-NoP \-NoL \-sta \-NonI \-W Hidden \-Exec Bypass \-Enc ...AZg...AbwA=` `powershell.exe clear\-eventlog security,application,system` `powershell.exe \-nop \-w hidden \-noni \-c "if([IntPtr]::Size \-eq 4)<...>$s=New\-Object System.Diagnostics.ProcessStartInfo;<...>')\-f''k'',''p'',''B''); <...> 7}m{''''9''''}i{5}''''t''''i''''{''''6}''+''{9}'')\-f''y'',''S'',''M'',''g'',''u'',''U'',''l'',''A'',''o'',''s'')); if <...> `powershell.exe \-command "&{reg.exe save hklm\sam C:\programdata\Microsoft\drm\sam.save; reg.exe save hklm\system C:\programdata\Microsoft\drm\system.save; reg.exe save hklm\security C:\programdata\Microsoft\drm\security.save}"`

Как научить аналитиков SOC ловить такие запуски? Пусть ваша offensive-команда соберёт варианты использования powershell в вашей организации – и запускает тестовые атаки в похожей форме, чтоб выглядело как легитимная активность.

Осенью 2016 года хакеры группы Lazarus, проникшие в сеть одного из банков Индонезии, готовились вывести оттуда 10 миллионов долларов. Точкой входа для атаки стал сайт банка, заражённый вредоносным скриптом. Но как вы думаете, кого первым заподозрили? Пентестера, который делал анализ защищённости банковского веб-приложения! К счастью, парень сумел доказать, что его деятельность была именно тестом, и что он сразу же предоставил банку всю информацию об уязвимостях. Просто банк не закрыл свои дыры до того, как на сайт пролезли грабители.

Чтобы у вас не было такого – проводите анализ защищённости своих веб-приложений вовремя! Ведь даже сейчас самый популярный вид веб-уязвимостей – недостатки контроля доступа. Этим страдает 74% всех сайтов, которые мы исследовали в 2021-2023 годах. И больше трети таких уязвимостей – высокого риска.

Как выглядит вся «горячая десятка» модных веб-уязвимостей, и как предотвратить их эксплуатацию – читайте в отчёте:
https://securelist.ru/top-10-web-app-vulnerabilities/109215/

Как реагировать на утечку? Мониторьте Дарквеб. Анализируйте упоминания вашей компании. Проверяйте фейки. Вычисляйте источник и составляйте профиль злоумышленника. Ищите место утечки и закрывайте брешь. Не платите выкуп. И скачайте наш плейбук по реагированию на утечку:
https://content.kaspersky-labs.com/se/media/ru/dark-web-playbook-ru.pdf