Компрометирането на услугите за отдалечен достъп – най-големият индикатор за предстояща рансъмуер атака
Нов отчет на звеното за сигурност към Cisco – Talos Security – показва най-големия знак за идна рансъмуер офанзива. Това са компрометирането на услугите и софтуера за отдалечена администрация.
Криптовирусите и рансъмуера в днешно време може да са опасност на над 30 години, само че избавление против тях няма. Проблемът, с изключение на математиката в лицето на високите равнища на криптиране, е че те нападат най-слабата точка – човешкият детайл. Но постоянно има метод бизнесите да са крачка пред киберпрестъпниците. Това е знанието. Това е и задачата на отчета на Talos – да осведоми.
Освен, че вземат на свое въоръжение принадлежности, като RDP, PsExec и PowerShell, киберпрестъпниците експлоатират също законен програмен продукт, като AnyDesk, Atera и Microsoft Quick Assist. Използваните сходни тактики, техники и процедури (tactics, techniques and procedures, TTP) са елементарно обясними. Посредством експлоатирането им, мошениците съумяват да получат привилегии на равнище админ на домейн във въпросните системи. Talos припомнят, че преди да употребяват в своя изгода някоя от тези услуги, те реализират повишение на привилегиите си, събиране на записи за вход и разполагането този вид програмен продукт. След което следва процеса на криптиране. Какво може да създадат виновните фактори, с цел да избегнат рисковете в тази ситуация?
Talos предлагат три съществени неща. На първо място е конфигурирането на защитните контроли, тъй че да позволяват единствено доверени приложения. Само те да могат да се започват и да се заобикаля инсталирането на „ непредвиден “ програмен продукт. Освен това потреблението на мултифакторна идентификация би трябвало да е наложително условие за сериозно значимите системи. Това включва услугите за далечен достъп, IAM услугите и наблюдаване за съмнително прилагане на MFA отбраната. Що се отнася до крайните точки, които биват обезопасявани, Cisco предлага инсталирането на програмен продукт за систематичен мониторинг в Windows.
Друг белег за идна рансъмуер офанзива се явява събирането и организацията на записи за регистриране. Тук се визират напъните за добиване на акаунт информация от компрометираните системи. Тези записи спомагат за последващото напредване на атакуващата страна в мрежовия периметър. Най-честите цели и техники в тази ситуация се явяват регистъра на домейн контролера, регистровия SAM пул, AD Explorer, LSASS и NTDS.DIT. Администриращите системите би трябвало да знаят, че инструмент, като Mimikatz е постоянно употребявано оръжие в тази ситуация. Що се отнася до най-използваните услуги и принадлежности за откриването на мрежовите услуги, това са netscan, nltest и netview.
Бързата реакция в тези предварителни стадии се явява основна за предотвратяването на рансъмуер офанзива. От Talos пишат, че когато екипът им се е намесвал в първите два дни на сходна подозрителна интензивност, осъществяването на рансъмуер се е предотвратявало в една трета от случаите (32%). Адекватните защитни контроли оказват помощ също, несъмнено.
Предварително наложените ограничавания са били основни в осуетяването на офанзиви в 9% от случаите. Така да вземем за пример, в един от тях, нарушителите съумели да компрометират сервизен акаунт в една от фирмите. Но наложените авансово ограничавания за привилегиите на акаунта предотвратили достигането на основни елементи от мрежовата конструкция.
Пълният текст на отчета на Talos може да намерите тук.
