Positive Technologiesによると、企業に対するサイバー攻撃の42%は、直接的な金銭的利益を得ることを目的として実行されています。攻撃は、ネットワークへの侵入からハッカーがお金を引き出し始める瞬間まで、さまざまな段階で検出できます。各段階で侵入者を認識し、リスクを最小限に抑える方法を分析します。
会社のネットワークへの浸透
フィッシングニュースレター
ほとんどの場合、サイバー犯罪者は悪意のある添付ファイルを含むフィッシングメールを送信することでローカルネットワークに侵入します。私たちのデータによると、これは10のAPTグループのうち9つが攻撃を開始する方法です。
ほとんどの場合、フィッシングメールは、ペイロードのタイプの1つである.doc、.docx、.xls、.xlsxドキュメントを使用します:VBAまたはExcel 4.0マクロ、またはMicrosoft Officeコンポーネント(CVEなど)の脆弱性のエクスプロイト-2017-0199、CVE- 2017-11882、CVE-2018-0802。
ドキュメントを起動する前に、まず静的分析を実行する必要があります。これにより、ファイルが悪意のあるものであることがすでに示されている可能性があります。最も信頼できるのは、コードのセクションの分析であり、その間に、操作の特徴的なシーケンス、暗号化機能、およびその他のパターンを識別することができます。
— , . , , . , CreateProcessA CreateProcessW, NtCreateUserProcess NtCreateProcessEx.
-
Windows ID 4688 Sysmon ID 1. , cmd.exe, w3wp.exe ( OWA). , , .
- , .asmx, .jsp, .php, .aspx .
(, Path Traversal) .
, . , , .
(Password Spraying)
— . , , — . Password Spraying — , .
Password Spraying . :
4625 « » , , , , OWA;
4771 « Kerberos» 06 « » 018 « »;
4776 « » NTLM-, C0000064 « » C000006A « , ».
. . .
, , . , Password Spraying:
( ) , ;
( 5—10 ), .
, , . — .
Sysmon 12 « » 13 « » , .
Sysmon 11 « » C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .lnk, .vbs, .js, .cmd, .com, .bat, .exe.
, . . , WINREG (Windows Remote Registry Protocol), HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
, SMB. , BAT- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .
, , . , , . : , , ; , , , .
System Information Discovery PowerShell Windows, Sysmon. :
:
net.exe net1.exe config,
wmic.exe os, qfe, win32_quickfixengineering, win32_operatingsystem;
systeminfo.exe,
ipconfig.exe,
netstat.exe,
arp.exe,
reg.exe;
\Software\Microsoft\ Windows\CurrentVersion;
PowerShell, WMI-, .
Permission Groups Discovery net.exe net1.exe localgroup, group /domain group /dom. 4688, Sysmon — 1.
. LDAP, SAMR. LDAP searchRequest filter.
( ) , Kerberos.
Kerberoasting
Kerberoasting , . Kerberos- , . , , .
TGS- ( 4769 « Kerberos»): IP-, , , IP- TGS- .
: RC4 — Kerberoasting.
Active Directory, . , , TGS- . , , LDAP servicePrincipalName .
SMB/Windows
, C$, ADMIN$, IPC$ . , .
, :
4624 « »;
5140 5145 – ;
7045 « »;
4688 « », — services.exe. smbexec , services.exe.
. SVCCTL .
, . , , KRBTGT. Kerberos- .
DS-Replication-Get-Changes, DS-Replication-Get-Changes-All, DS-Replication-Get-Changes-In-Filtered-Set.
4662 « » , 4624 « », .
-just-dc-user secretsdump DCSync . , .
Directory Replication Service (DRS) Remote Protocol, RPC-, — DRSUAPI RPC interface. DRSGetNCChanges, . , , DCSync.
KRBTGT, Kerberos , , . Golden Ticket.
DOMAIN ACCOUNT ID:
4624 « »;
4634 « »;
4672 « , ».
Golden Ticket : . : RC4, . , Golden Ticket TGT (Event ID 4769) .
Kerberos TGT . AS-REQ , AS-REP TGT. Golden Ticket TGT , AS-REQ/AS-REP, , . , .
, . RTM. , , . .
, VNC: TightVNC, UltraVNC, RealVNC, VNC Connect. , .
, .
|
|
|
(SetWindowsHookEx) (CreateCompatibleDC, CreateDIBSection, BitBlt, GetDIBits) |
|
(SetWindowsHookEx) , (GetKeyboardState, SetKeyboardState, GetAsyncKeyState) |
|
(GetCursorPos) (SetCursorPos) , (SetWindowsHookEx) |
|
(GetClipboardData) (SetClipboardData) , SetClipboardViewer |
|
RFB. , (5900-5906), |
— . , , , . :
. , «» , .
«1c_to_kl.txt». , , RTM. CreateFileW WriteFile, 0x40 PAGE_EXECUTE_READWRITE VirtualProtect, .
, VirtualProtect PAGE_EXECUTE_READWRITE , CreateFileW WriteFile. SetWindowsHookExA.
. BlueNoroff, SWIFT Alliance, .
. VirtualProtectEx PAGE_EXECUTE_READWRITE , WriteProcessMemory .
: , Buhtrap ClipBanker Electrum Bitcoin. %appdata%\eLectrUm*\wAllEts\ %appdata%\BiTcOin\wAllEts\walLet.dAt.
. FindFirstFile FindNextFile. , CreateFileA, . , .
. , , , - . , , .