Selon Positive Technologies, 42% des cyberattaques contre les entreprises sont menées dans le but d'obtenir des avantages financiers directs. Une attaque peut être détectée à ses différentes étapes - de la pénétration dans le réseau au moment où les pirates commencent à retirer de l'argent. Nous analysons comment reconnaître les intrus à chaque étape et minimiser les risques.
Pénétration dans le réseau de l'entreprise
Bulletin de phishing
Le plus souvent, les cybercriminels pénètrent le réseau local en envoyant des e-mails de phishing contenant des pièces jointes malveillantes. Selon nos données , c'est ainsi que 9 groupes APT sur 10 lancent leur attaque.
Dans la plupart des cas, les e-mails de phishing utilisent un document .doc, .docx, .xls, .xlsx avec l'un des types de charge utile: une macro VBA ou Excel 4.0, ou un exploit pour une vulnérabilité dans un composant Microsoft Office, par exemple CVE -2017-0199, CVE-2017-11882, CVE-2018-0802.
Avant de lancer un document, vous devez d'abord effectuer une analyse statique, qui peut déjà montrer que le fichier est malveillant. Le plus fiable sera l'analyse des sections du code, au cours de laquelle il est possible d'identifier une séquence caractéristique d'opérations, des fonctions de chiffrement et d'autres modèles.
— , . , , . , CreateProcessA CreateProcessW, NtCreateUserProcess NtCreateProcessEx.
-
Windows ID 4688 Sysmon ID 1. , cmd.exe, w3wp.exe ( OWA). , , .
- , .asmx, .jsp, .php, .aspx .
(, Path Traversal) .
, . , , .
(Password Spraying)
— . , , — . Password Spraying — , .
Password Spraying . :
4625 « » , , , , OWA;
4771 « Kerberos» 06 « » 018 « »;
4776 « » NTLM-, C0000064 « » C000006A « , ».
. . .
, , . , Password Spraying:
( ) , ;
( 5—10 ), .
, , . — .
Sysmon 12 « » 13 « » , .
Sysmon 11 « » C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .lnk, .vbs, .js, .cmd, .com, .bat, .exe.
, . . , WINREG (Windows Remote Registry Protocol), HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
, SMB. , BAT- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .
, , . , , . : , , ; , , , .
System Information Discovery PowerShell Windows, Sysmon. :
:
net.exe net1.exe config,
wmic.exe os, qfe, win32_quickfixengineering, win32_operatingsystem;
systeminfo.exe,
ipconfig.exe,
netstat.exe,
arp.exe,
reg.exe;
\Software\Microsoft\ Windows\CurrentVersion;
PowerShell, WMI-, .
Permission Groups Discovery net.exe net1.exe localgroup, group /domain group /dom. 4688, Sysmon — 1.
. LDAP, SAMR. LDAP searchRequest filter.
( ) , Kerberos.
Kerberoasting
Kerberoasting , . Kerberos- , . , , .
TGS- ( 4769 « Kerberos»): IP-, , , IP- TGS- .
: RC4 — Kerberoasting.
Active Directory, . , , TGS- . , , LDAP servicePrincipalName .
SMB/Windows
, C$, ADMIN$, IPC$ . , .
, :
4624 « »;
5140 5145 – ;
7045 « »;
4688 « », — services.exe. smbexec , services.exe.
. SVCCTL .
, . , , KRBTGT. Kerberos- .
DS-Replication-Get-Changes, DS-Replication-Get-Changes-All, DS-Replication-Get-Changes-In-Filtered-Set.
4662 « » , 4624 « », .
-just-dc-user secretsdump DCSync . , .
Directory Replication Service (DRS) Remote Protocol, RPC-, — DRSUAPI RPC interface. DRSGetNCChanges, . , , DCSync.
KRBTGT, Kerberos , , . Golden Ticket.
DOMAIN ACCOUNT ID:
4624 « »;
4634 « »;
4672 « , ».
Golden Ticket : . : RC4, . , Golden Ticket TGT (Event ID 4769) .
Kerberos TGT . AS-REQ , AS-REP TGT. Golden Ticket TGT , AS-REQ/AS-REP, , . , .
, . RTM. , , . .
, VNC: TightVNC, UltraVNC, RealVNC, VNC Connect. , .
, .
|
|
|
(SetWindowsHookEx) (CreateCompatibleDC, CreateDIBSection, BitBlt, GetDIBits) |
|
(SetWindowsHookEx) , (GetKeyboardState, SetKeyboardState, GetAsyncKeyState) |
|
(GetCursorPos) (SetCursorPos) , (SetWindowsHookEx) |
|
(GetClipboardData) (SetClipboardData) , SetClipboardViewer |
|
RFB. , (5900-5906), |
— . , , , . :
. , «» , .
«1c_to_kl.txt». , , RTM. CreateFileW WriteFile, 0x40 PAGE_EXECUTE_READWRITE VirtualProtect, .
, VirtualProtect PAGE_EXECUTE_READWRITE , CreateFileW WriteFile. SetWindowsHookExA.
. BlueNoroff, SWIFT Alliance, .
. VirtualProtectEx PAGE_EXECUTE_READWRITE , WriteProcessMemory .
: , Buhtrap ClipBanker Electrum Bitcoin. %appdata%\eLectrUm*\wAllEts\ %appdata%\BiTcOin\wAllEts\walLet.dAt.
. FindFirstFile FindNextFile. , CreateFileA, . , .
. , , , - . , , .