26.09.2020
Злоумышленник получил доступ к системе неназванного агентства и украл данные. В отчете представлена информация о методах, используемых для получения доступа к сети. Взлом был обнаружен с помощью EINSTEIN, системы обнаружения вторжений CISA. Злоумышленник смог получить постоянный доступ к сети через обратные прокси-серверы Socket Secure.Короткое описание проникновения в государственное учреждение, которое привело к потери данных Старт проникновения через уязвимость ибер-злоумышленник получил учетные данные с незащищенного VPN-сервера агентства, используя известную уязвимость - CVE-2019-11510 - в Pulse Secure ( Использование для доступа к учетным данным [ T1212 ]). В апреле 2019 года Pulse Secure выпустила исправления для нескольких критических уязвимостей, включая CVE-2019-11510, которая позволяет удаленное извлечение файлов без проверки подлинности, включая пароли. [ 1 ] CISA наблюдала широкое использование CVE-2019-11510 в федеральных правительство.
Кибер преступник создал локальную учетную запись, которую они использовали для данных
Вредоносное ПО
Постоянный туннель SSH / обратный прокси-сервер SOCKS
Войдя в систему как «Администратор», злоумышленник создал две запланированные задачи, которые работали согласованно для создания постоянного туннеля SSH и обратного прокси-сервера SOCKS. Прокси-сервер разрешал соединения между удаленным сервером, управляемым злоумышленником, и одним из файловых серверов организации-жертвы ( запланированное задание / задание [ T1053 ], прокси [ T1090 ]). Обратный прокси - сервер SOCKS обменивается данными через порт 8100 ( нестандартный порт [ T1571 ]). Этот порт обычно закрыт, но злоумышленник открыл его
Злоумышленник киберугроз смог преодолеть защиту агентства от вредоносного ПО и покинуть карантин. Аналитики определили, что злоумышленник получил доступ к лицензионному ключу программного обеспечения и руководству по установке антивирусного продукта, а затем зашел в каталог, используемый продуктом для анализа временных файлов. Получив доступ к этому каталогу, злоумышленник смог запустить inetinfo.exe( ослабить защиту: отключить или изменить инструменты [ T1562.001 ])..
Рекоммендации
Отслеживайте сетевой трафик на предмет необычной активности на предмет следующих необычных действий.
Необычные открытые порты (например, порт 8100)
Большие исходящие файлыНеожиданные и неутвержденные протоколы, особенно исходящие в Интернет (например, SSH, SMB, RDP)
Если защитники сети замечают любую из вышеперечисленных действий, они должны расследовать это.
ПрофилактикаРекомендация организациям выполнять следующие рекомендации для защиты от действий, указанных в этом отчете.
Разверните корпоративный брандмауэр
Организациям следует развернуть корпоративный брандмауэр, чтобы контролировать, что разрешено входить и выходить из их сети.Если организация решает не развертывать корпоративный брандмауэр, они должны сотрудничать со своим интернет-провайдером, чтобы убедиться, что брандмауэр настроен правильно.
Заблокировать неиспользуемые порты
Организации должны провести исследование входящего и исходящего трафика на своем предприятии, чтобы определить порты, необходимые для выполнения функций организации. Затем они должны настроить свой брандмауэр на блокировку ненужных портов. Организация должна разработать процесс контроля изменений, чтобы вносить контрольные изменения в эти правила. Особо следует отметить, что неиспользуемые порты SMB, SSH и FTP должны быть заблокированы.
Дополнительные рекомендации
Рекомендация организациям применять следующие передовые практики.
Реализуйте многофакторную аутентификацию, особенно для привилегированных учетных записей.
Используйте отдельные административные учетные записи на отдельных административных рабочих станциях.Реализуйте принцип наименьших привилегий при доступе к данным.
Защищайте RDP и другие решения удаленного доступа с помощью многофакторной аутентификации и «переходных блоков» для доступа.Развертывайте и поддерживайте инструменты защиты конечных точек на всех конечных точках.
Обновляйте программное обеспечение.