Защита от Operation Harvest с помощью McAfee Security Platform
Как и в других целевых кампаниях, в Operation Harvest используется несколько техник для доступа к сети и сбора учетных данных перед их захватом. По этой причине у специалистов по защите сетей будет больше возможностей для предупреждения, обнаружения и предотвращения вредоносной деятельности. Своевременная профилактика, выявление и реагирование на такую деятельность очень важны для устойчивости бизнеса. Ниже представлена обзорная информация о том, как защититься от атак типа Operation Harvest с помощью решения McAfee MVISION Security Architecture. В этой публикации мы приведем несколько примеров того, как MVISION Security Platform эффективно противостоит таким атакам.
Подготовка благодаря актуальным данным о киберугрозах (Threat Intelligence)
Цель любого специалиста по защите сетей — предупредить, обнаружить и предотвратить угрозу как можно раньше. На первом этапе для этого используются данные о киберугрозах, полученные из блогов или решений наподобие MVISION Insights. Кроме того, специальные инструменты, например, MITRE ATT&CK® Navigator, помогут оценить защищенность системы. В блоге команды ATR подробно описаны техники, индикаторы и инструменты, используемые хакерами. Многие из инструментов кампании Operation Harvest широко используются другими киберпреступниками, поэтому сведения об угрозах из PlugX и Winnti уже задокументированы в MVISION INSIGHTS.
В последней версии решения MVISION Insights уже доступны новейшие технические данные об атаке Operation Harvest, включая краткое описание, уровень распространенности, индикаторы компрометации и рекомендуемые меры противодействия.
Защита против первоначального доступа
В рамках указанной атаки для первоначального доступа используется скомпрометированный веб-сервер. За последний год киберпреступники активно применяли иные способы получения такого доступа (кроме целевого фишинга), например, взлом систем удаленного доступа или атаки на цепочки поставок. Эксплуатация общедоступных уязвимостей — техника первоначального доступа, которая характерна для Operation Harvest и других APT-кампаний. Обнаружение и блокировка этих действий позволит серьезно ограничить возможность реализации стратегий кибератаки. В дополнение к контролю текущих операций, очень важно вовремя устанавливать патчи критических уязвимостей и проверять конфигурации на соответствие передовым практикам в области безопасности. MVISION UCE обеспечивает защиту от подозрительных активностей благодаря видимости угроз и уязвимостей, а также аудитов системных настроек, отвечающих концепции MITRE ATT&CK.
Многие приложения и веб-серверы заказчиков работают на облачной инфраструктуре. Специалисту по защите сетей крайне важно видеть и исправлять ошибки конфигурации этих сред, так как они часто становятся точкой доступа для хакеров. Платформа защиты нативных облачных приложений MVISION Cloud Native Application Protection Platform (CNAPP) обеспечивает непрерывный мониторинг нескольких облачных инфраструктур с единой консоли, позволяя быстро устранить некорректные системные настройки и повысить эффективность защиты AWS, AZURE и Google Cloud. Защита сервера или конечного устройства от вредоносных инструментов
Киберпреступники загружали во взломанные системы известные вредоносные или потенциально вредоносные инструменты. Модули ENS Threat Prevention и Adaptative Threat Prevention (ATP) обнаруживали многие такие программы при установке или выполнении. ePolicy Orchestrator (ePO) обеспечивает простой поиск событий с возможностью просмотра систем с обнаруженными уязвимостями.
Для наилучшей защиты будет полезно включить функцию сбора глобальных данных о киберугрозах (Global Threat Intelligence, GTI) в модулях Threat Prevention и Adaptive Threat Protection. В модуле ATP должны быть активированы Правила 4 (проверка репутации файла GTI) и 5 (проверка репутации URL). Последняя версия глобальных данных о киберугрозах уже содержит новые индикаторы для атаки Operation Harvest.
Кроме того, на основе наших наблюдений мы установили ряд других правил адаптивного предотвращения угроз (Adaptive Threat Prevention, ATP), которые помогут остановить или выявить потенциально вредоносные действия на конечном устройстве или сервере. В журналах событий угроз ePO обращайте особое внимание на следующие события ATP:
Правило 269. Обнаружение потенциально вредоносного использования сервиса WMI для обеспечения сохраняемости Правило 329. Выявление подозрительного использования «запланированных задач» Правило 336. Обнаружение подозрительных нагрузок, нацеленных на сетевые службы или приложения, с помощью инструментов двойного назначения Правило 500. Блокируйте боковое перемещение с помощью утилит типа Psexec с зараженного клиента на другие машины сети Правило 511. Обнаружение попыток передачи конфиденциальной информации, связанной с данными доступа, по lsaas
В ходе дальнейшего анализа мы сформулируем дополнительные правила ATP, актуальные для данной атаки, которые будут включены в руководство по борьбе с ней в MVISION Insights.
ENS с Expert Rules
Expert Rules (экспертные правила) — многофункциональный настраиваемый язык сигнатур, который используется в модуле ENS Threat Prevention Module. Чтобы предотвратить атаку Operation Harvest, необходимо задать правила для выявления возможного неправильного использования Psexec или блокировки выполнения или создания файлов определенного типа, например, RAR.
Дополнительные инструкции по созданию собственных Expert Rules, а также ссылка на наш репозиторий: Как использовать Expert Rules в ENS для борьбы с вредоносными эксплойтами Репозиторий ATR Expert Rule
Перед применением для блокировки мы рекомендуем заказчикам протестировать новое правило в режиме отчета.
Предотвращение и обнаружение удаленного контроля типа Command and Control (С2)
Как и при эксплуатации критических уязвимостей, хакеры могут установить контроль над взломанной системой и использовать ее для внедрения и распространения, а также выполнения других операций. Решение MVISION EDR успешно обнаруживает признаки действий этого типа, включая «маяки» Cobalt Strike. В случае с Operation Harvest, MVISION EDR регистрирует запросы к DNS и на подключение к HTTP-соединению подозрительных доменов. Аналитики SOC могут использовать поиск в реальном времени и хронологию для упреждающего поиска скомпрометированных устройств.
Кроме того, решение Unified Cloud Edge (UCE–SWG) может блокировать доступ к небезопасным сайтам на основе данных о киберугрозах, репутации URL, результатов поведенческого анализа и переносе в изолированную среду. Внедрите эффективные политики безопасности и проверяйте журналы событий — это позволит выявить потенциально вредоносные операции C2.
Контроль повышения привилегий (Privilege Escalation)
Киберпреступники использовали несколько техник и инструментов для повышения привилегий доступа и запускали Mimikatz для кражи данных. В ходе нашего тестирования решение MVISION EDR своевременно обнаружило попытку скачать и запустить в PowerShell сценарий Mimikatz. Мы смоделировали вредоносную попытку злоумышленника, который с помощью простых инструментов получает повышенный уровень привилегий. Последовательность операций по замене обычного имени пользователя на «SYSTEM» отображалась в дереве процессов мониторинга EDR.
Затем мы провели в скомпрометированной системе пошаговое расследование. Анализ данных выявил аномалии в поведении пользователя. Пошаговые расследования облегчают визуализацию сложных наборов данных и взаимосвязей между артефактами и системами.
Обнаружение часто используемых инструментов горизонтального перемещения (Lateral Movement)
Для горизонтального перемещения киберпреступники использовали популярную утилиту двойного назначения — Psexec.exe. Во многих случаях обнаружение на основе сигнатур не позволяет выявить вредоносное использование системных инструментов. В MVISION EDR используется сочетание поведенческого анализа и данных об угрозах. С его помощью запуск Psexec для бокового перемещения был своевременно выявлен, этому действию был присвоен статус угрозы высокой степени серьезности.
Регистрация аномалий в поведении пользователей и данных для выявления взлома
Группа хакеров, осуществлявших атаку Operation Harvest, использовала различные инструменты для повышения привилегий и кражи данных из скомпрометированных систем. Визуализация аномального поведения пользователей и перемещения данных позволяет выявить возможные вредоносные действия в вашей среде. MVISION UCE осуществляет мониторинг пользовательского поведения и уведомляет специалистов по безопасности обо всех аномалиях, которые могут указывать на внутренние или внешние угрозы.
Платформа MVISION Security Platform обеспечивает всестороннюю защиту и позволяет предупредить, обнаружить или блокировать многие техники атак, используемые в кампании Operation Harvest. Для максимальной защиты организации от кибератак специалисты по безопасности должны сосредоточить усилия на предупреждении или обнаружении этих техник.
Ярославский электровозоремонтный завод им. Б. П. Бещева (ЯЭРЗ, входит в АО «Желдорреммаш») завершил весенний этап Всероссийской акции «Неделя без турникета».
Компания C3 Solutions выступит генеральным партнером международной конференции для профессионалов в области инженерной инфраструктуры и эксплуатации ЦОД DCDE.
«Выберу.ру подготовил рейтинг банков с самыми выгодными потребителям условиями автокредитов без обязательного первого взноса при покупке любых машин — с пробегом или новых.
Компания «на_полке» стала первым B2B-маркетплейсом на рынке оптовых продовольственных закупок, сделавшим ставку на маркетинговые инструменты, свойственные рынку B2C. Начиная с конца 2023 года отдельным направлением в маркетинг-плане компании стали промоактивности, которые показали большую отдачу и открыли «на_полке» новые идеи коммуникации с целевой аудиторией.
Компания Axenix выводит на рынок новый продукт – систему поддержки принятия решений SmartAx. Решение обеспечивает нативную интеграцию с технологиями машинного обучения, бизнес-правилами, внешними и внутренними источниками данных.
ИТ-провайдер полного цикла Konica Minolta Business Solutions Russia и Facemetric, российский разработчик решений для бизнеса, основанных на технологии компьютерного зрения, подписали соглашение о партнерстве
«Национальная компьютерная корпорации» (НКК) в рамках участия в конференции «Цифровая индустрия промышленной России» (ЦИПР 2024) представит комплекс цифровых решений для обеспечения технологической независимости российских промышленных предприятий.
Оператор связи и разработчик программных решений MCN Telecom представляет новый продукт — Контакт-центр ИИ, с помощью которого можно управлять всеми каналами коммуникаций с клиентами в едином интерфейсе и улучшать качество обслуживания действующих клиентов, привлекать новых.
Совокупный объем затрат российских корпоративных и частных пользователей на аппаратное, программное обеспечение с учетом параллельного импорта, а также ИТ-услуги в 2023 году по оценкам компании «СТРИМ Консалтинг» вырос на 23% и составил 2 466 600 млн рублей.
БФТ-Холдинг совместно с компанией BSS внедрили виртуального ассистента для контакт-центра Государственного областного автономного учреждения здравоохранения «Мурманский областной Центр специализированных видов медицинской помощи» (ГОАУЗ «МОЦСВМП»).
16 мая в Москве пройдет одно из ключевых событий в авиа и трэвел-индустрии – 19-й ежегодный форум Digital Aviation & Travel, посвященный вопросам цифровой трансформации трэвел-рынка и перспективам развития отечественных IT-решений.
23 апреля состоялось масштабное отраслевое мероприятие Foresight Day. Максим Атаманов, архитектор направления аналитических решений RAMAX Group, и руководитель практики по аналитике и визуализации данных «ГМК «Норильский никель» Александр Рожков совместно представили доклад «Смена курса: опыт миграции с Tableau на “Форсайт. Аналитическая платформа“».
В рамках реализации проекта "Крылья Победы. Карелия" региональный руководитель КРО ВОД "Волонтёры Победы" Лисицин А.С. встретился со школьниками Шуйской средней общеобразовательной школы Прионежского района.
Компания C3 Solutions, российский производитель и поставщик инженерных, телекоммуникационных и промышленных решений для ЦОД, промышленной и ИТ-инфраструктуры, поставила инженерные решения для проекта «Школа 21».
Компания DатаРу, российский вендор технологических решений и сервисов, успешно прошла сертификации ведущей линейки серверов БСХ для высокоскоростной аналитической платформы SAP HANA.
