Segundo a Positive Technologies, 42% dos ciberataques contra empresas são realizados com o objetivo de obter benefícios financeiros diretos. Um ataque pode ser detectado em seus vários estágios - desde a penetração na rede até o momento em que os hackers começam a retirar dinheiro. Analisamos como reconhecer intrusos em cada etapa e minimizar os riscos.
Penetração na rede da empresa
Boletim informativo de phishing
Na maioria das vezes, os cibercriminosos penetram na rede local enviando e-mails de phishing com anexos maliciosos. De acordo com nossos dados , é assim que 9 em cada 10 grupos APT iniciam seu ataque.
Na maioria dos casos, os e-mails de phishing usam um documento .doc, .docx, .xls, .xlsx com um dos tipos de carga: uma macro VBA ou Excel 4.0 ou um exploit para uma vulnerabilidade em um componente do Microsoft Office, por exemplo CVE -2017-0199, CVE- 2017-11882, CVE-2018-0802.
Antes de iniciar um documento, você deve primeiro conduzir uma análise estática, que pode já mostrar que o arquivo é malicioso. O mais confiável será a análise de seções do código, durante a qual é possível identificar uma sequência característica de operações, recursos de criptografia e outros padrões.
— , . , , . , CreateProcessA CreateProcessW, NtCreateUserProcess NtCreateProcessEx.
-
Windows ID 4688 Sysmon ID 1. , cmd.exe, w3wp.exe ( OWA). , , .
- , .asmx, .jsp, .php, .aspx .
(, Path Traversal) .
, . , , .
(Password Spraying)
— . , , — . Password Spraying — , .
Password Spraying . :
4625 « » , , , , OWA;
4771 « Kerberos» 06 « » 018 « »;
4776 « » NTLM-, C0000064 « » C000006A « , ».
. . .
, , . , Password Spraying:
( ) , ;
( 5—10 ), .
, , . — .
Sysmon 12 « » 13 « » , .
Sysmon 11 « » C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .lnk, .vbs, .js, .cmd, .com, .bat, .exe.
, . . , WINREG (Windows Remote Registry Protocol), HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
, SMB. , BAT- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .
, , . , , . : , , ; , , , .
System Information Discovery PowerShell Windows, Sysmon. :
:
net.exe net1.exe config,
wmic.exe os, qfe, win32_quickfixengineering, win32_operatingsystem;
systeminfo.exe,
ipconfig.exe,
netstat.exe,
arp.exe,
reg.exe;
\Software\Microsoft\ Windows\CurrentVersion;
PowerShell, WMI-, .
Permission Groups Discovery net.exe net1.exe localgroup, group /domain group /dom. 4688, Sysmon — 1.
. LDAP, SAMR. LDAP searchRequest filter.
( ) , Kerberos.
Kerberoasting
Kerberoasting , . Kerberos- , . , , .
TGS- ( 4769 « Kerberos»): IP-, , , IP- TGS- .
: RC4 — Kerberoasting.
Active Directory, . , , TGS- . , , LDAP servicePrincipalName .
SMB/Windows
, C$, ADMIN$, IPC$ . , .
, :
4624 « »;
5140 5145 – ;
7045 « »;
4688 « », — services.exe. smbexec , services.exe.
. SVCCTL .
, . , , KRBTGT. Kerberos- .
DS-Replication-Get-Changes, DS-Replication-Get-Changes-All, DS-Replication-Get-Changes-In-Filtered-Set.
4662 « » , 4624 « », .
-just-dc-user secretsdump DCSync . , .
Directory Replication Service (DRS) Remote Protocol, RPC-, — DRSUAPI RPC interface. DRSGetNCChanges, . , , DCSync.
KRBTGT, Kerberos , , . Golden Ticket.
DOMAIN ACCOUNT ID:
4624 « »;
4634 « »;
4672 « , ».
Golden Ticket : . : RC4, . , Golden Ticket TGT (Event ID 4769) .
Kerberos TGT . AS-REQ , AS-REP TGT. Golden Ticket TGT , AS-REQ/AS-REP, , . , .
, . RTM. , , . .
, VNC: TightVNC, UltraVNC, RealVNC, VNC Connect. , .
, .
|
|
|
(SetWindowsHookEx) (CreateCompatibleDC, CreateDIBSection, BitBlt, GetDIBits) |
|
(SetWindowsHookEx) , (GetKeyboardState, SetKeyboardState, GetAsyncKeyState) |
|
(GetCursorPos) (SetCursorPos) , (SetWindowsHookEx) |
|
(GetClipboardData) (SetClipboardData) , SetClipboardViewer |
|
RFB. , (5900-5906), |
— . , , , . :
. , «» , .
«1c_to_kl.txt». , , RTM. CreateFileW WriteFile, 0x40 PAGE_EXECUTE_READWRITE VirtualProtect, .
, VirtualProtect PAGE_EXECUTE_READWRITE , CreateFileW WriteFile. SetWindowsHookExA.
. BlueNoroff, SWIFT Alliance, .
. VirtualProtectEx PAGE_EXECUTE_READWRITE , WriteProcessMemory .
: , Buhtrap ClipBanker Electrum Bitcoin. %appdata%\eLectrUm*\wAllEts\ %appdata%\BiTcOin\wAllEts\walLet.dAt.
. FindFirstFile FindNextFile. , CreateFileA, . , .
. , , , - . , , .