Защита от Operation Harvest с помощью McAfee Security Platform
Как и в других целевых кампаниях, в Operation Harvest используется несколько техник для доступа к сети и сбора учетных данных перед их захватом. По этой причине у специалистов по защите сетей будет больше возможностей для предупреждения, обнаружения и предотвращения вредоносной деятельности. Своевременная профилактика, выявление и реагирование на такую деятельность очень важны для устойчивости бизнеса. Ниже представлена обзорная информация о том, как защититься от атак типа Operation Harvest с помощью решения McAfee MVISION Security Architecture. В этой публикации мы приведем несколько примеров того, как MVISION Security Platform эффективно противостоит таким атакам.
Подготовка благодаря актуальным данным о киберугрозах (Threat Intelligence)
Цель любого специалиста по защите сетей — предупредить, обнаружить и предотвратить угрозу как можно раньше. На первом этапе для этого используются данные о киберугрозах, полученные из блогов или решений наподобие MVISION Insights. Кроме того, специальные инструменты, например, MITRE ATT&CK® Navigator, помогут оценить защищенность системы. В блоге команды ATR подробно описаны техники, индикаторы и инструменты, используемые хакерами. Многие из инструментов кампании Operation Harvest широко используются другими киберпреступниками, поэтому сведения об угрозах из PlugX и Winnti уже задокументированы в MVISION INSIGHTS.
В последней версии решения MVISION Insights уже доступны новейшие технические данные об атаке Operation Harvest, включая краткое описание, уровень распространенности, индикаторы компрометации и рекомендуемые меры противодействия.
Защита против первоначального доступа
В рамках указанной атаки для первоначального доступа используется скомпрометированный веб-сервер. За последний год киберпреступники активно применяли иные способы получения такого доступа (кроме целевого фишинга), например, взлом систем удаленного доступа или атаки на цепочки поставок. Эксплуатация общедоступных уязвимостей — техника первоначального доступа, которая характерна для Operation Harvest и других APT-кампаний. Обнаружение и блокировка этих действий позволит серьезно ограничить возможность реализации стратегий кибератаки. В дополнение к контролю текущих операций, очень важно вовремя устанавливать патчи критических уязвимостей и проверять конфигурации на соответствие передовым практикам в области безопасности. MVISION UCE обеспечивает защиту от подозрительных активностей благодаря видимости угроз и уязвимостей, а также аудитов системных настроек, отвечающих концепции MITRE ATT&CK.
Многие приложения и веб-серверы заказчиков работают на облачной инфраструктуре. Специалисту по защите сетей крайне важно видеть и исправлять ошибки конфигурации этих сред, так как они часто становятся точкой доступа для хакеров. Платформа защиты нативных облачных приложений MVISION Cloud Native Application Protection Platform (CNAPP) обеспечивает непрерывный мониторинг нескольких облачных инфраструктур с единой консоли, позволяя быстро устранить некорректные системные настройки и повысить эффективность защиты AWS, AZURE и Google Cloud. Защита сервера или конечного устройства от вредоносных инструментов
Киберпреступники загружали во взломанные системы известные вредоносные или потенциально вредоносные инструменты. Модули ENS Threat Prevention и Adaptative Threat Prevention (ATP) обнаруживали многие такие программы при установке или выполнении. ePolicy Orchestrator (ePO) обеспечивает простой поиск событий с возможностью просмотра систем с обнаруженными уязвимостями.
Для наилучшей защиты будет полезно включить функцию сбора глобальных данных о киберугрозах (Global Threat Intelligence, GTI) в модулях Threat Prevention и Adaptive Threat Protection. В модуле ATP должны быть активированы Правила 4 (проверка репутации файла GTI) и 5 (проверка репутации URL). Последняя версия глобальных данных о киберугрозах уже содержит новые индикаторы для атаки Operation Harvest.
Кроме того, на основе наших наблюдений мы установили ряд других правил адаптивного предотвращения угроз (Adaptive Threat Prevention, ATP), которые помогут остановить или выявить потенциально вредоносные действия на конечном устройстве или сервере. В журналах событий угроз ePO обращайте особое внимание на следующие события ATP:
Правило 269. Обнаружение потенциально вредоносного использования сервиса WMI для обеспечения сохраняемости Правило 329. Выявление подозрительного использования «запланированных задач» Правило 336. Обнаружение подозрительных нагрузок, нацеленных на сетевые службы или приложения, с помощью инструментов двойного назначения Правило 500. Блокируйте боковое перемещение с помощью утилит типа Psexec с зараженного клиента на другие машины сети Правило 511. Обнаружение попыток передачи конфиденциальной информации, связанной с данными доступа, по lsaas
В ходе дальнейшего анализа мы сформулируем дополнительные правила ATP, актуальные для данной атаки, которые будут включены в руководство по борьбе с ней в MVISION Insights.
ENS с Expert Rules
Expert Rules (экспертные правила) — многофункциональный настраиваемый язык сигнатур, который используется в модуле ENS Threat Prevention Module. Чтобы предотвратить атаку Operation Harvest, необходимо задать правила для выявления возможного неправильного использования Psexec или блокировки выполнения или создания файлов определенного типа, например, RAR.
Дополнительные инструкции по созданию собственных Expert Rules, а также ссылка на наш репозиторий: Как использовать Expert Rules в ENS для борьбы с вредоносными эксплойтами Репозиторий ATR Expert Rule
Перед применением для блокировки мы рекомендуем заказчикам протестировать новое правило в режиме отчета.
Предотвращение и обнаружение удаленного контроля типа Command and Control (С2)
Как и при эксплуатации критических уязвимостей, хакеры могут установить контроль над взломанной системой и использовать ее для внедрения и распространения, а также выполнения других операций. Решение MVISION EDR успешно обнаруживает признаки действий этого типа, включая «маяки» Cobalt Strike. В случае с Operation Harvest, MVISION EDR регистрирует запросы к DNS и на подключение к HTTP-соединению подозрительных доменов. Аналитики SOC могут использовать поиск в реальном времени и хронологию для упреждающего поиска скомпрометированных устройств.
Кроме того, решение Unified Cloud Edge (UCE–SWG) может блокировать доступ к небезопасным сайтам на основе данных о киберугрозах, репутации URL, результатов поведенческого анализа и переносе в изолированную среду. Внедрите эффективные политики безопасности и проверяйте журналы событий — это позволит выявить потенциально вредоносные операции C2.
Контроль повышения привилегий (Privilege Escalation)
Киберпреступники использовали несколько техник и инструментов для повышения привилегий доступа и запускали Mimikatz для кражи данных. В ходе нашего тестирования решение MVISION EDR своевременно обнаружило попытку скачать и запустить в PowerShell сценарий Mimikatz. Мы смоделировали вредоносную попытку злоумышленника, который с помощью простых инструментов получает повышенный уровень привилегий. Последовательность операций по замене обычного имени пользователя на «SYSTEM» отображалась в дереве процессов мониторинга EDR.
Затем мы провели в скомпрометированной системе пошаговое расследование. Анализ данных выявил аномалии в поведении пользователя. Пошаговые расследования облегчают визуализацию сложных наборов данных и взаимосвязей между артефактами и системами.
Обнаружение часто используемых инструментов горизонтального перемещения (Lateral Movement)
Для горизонтального перемещения киберпреступники использовали популярную утилиту двойного назначения — Psexec.exe. Во многих случаях обнаружение на основе сигнатур не позволяет выявить вредоносное использование системных инструментов. В MVISION EDR используется сочетание поведенческого анализа и данных об угрозах. С его помощью запуск Psexec для бокового перемещения был своевременно выявлен, этому действию был присвоен статус угрозы высокой степени серьезности.
Регистрация аномалий в поведении пользователей и данных для выявления взлома
Группа хакеров, осуществлявших атаку Operation Harvest, использовала различные инструменты для повышения привилегий и кражи данных из скомпрометированных систем. Визуализация аномального поведения пользователей и перемещения данных позволяет выявить возможные вредоносные действия в вашей среде. MVISION UCE осуществляет мониторинг пользовательского поведения и уведомляет специалистов по безопасности обо всех аномалиях, которые могут указывать на внутренние или внешние угрозы.
Платформа MVISION Security Platform обеспечивает всестороннюю защиту и позволяет предупредить, обнаружить или блокировать многие техники атак, используемые в кампании Operation Harvest. Для максимальной защиты организации от кибератак специалисты по безопасности должны сосредоточить усилия на предупреждении или обнаружении этих техник.
В преддверии 82-й годовщины со дня образования Главного управления контрразведки «Смерш» НКО СССР, проведены показные занятия для подшефных школьников.
«Выберу.ру подготовил рейтинг банков с самыми выгодными потребителям условиями автокредитов без обязательного первого взноса при покупке любых машин — с пробегом или новых.
На заводах АО «Желдорреммаш» стартовал весенний этап профориентационной «Недели без турникетов». Производственные площадки компании посетит несколько тысяч человек. Масштабная всероссийская акция, проводимая под эгидой Союза машиностроителей России, продлится до конца апреля
Компания CorpSoft24 завершила проект по внедрению информационной системы управления финансово-хозяйственной деятельностью производителя химической продукции ГК «ГалоПолимер» на базе «1С:ERP. Управление холдингом».
Системный интегратор «Кит-системс» подтвердил партнерскую авторизацию российского производителя телекоммуникационного и серверного оборудования – компании QTECH на 2025 год.
Екатеринбург, пр. Ленина 50 «Б» – Ежедневно с 15:00 до 18:00 ресторан‑бар «Оптимист» приглашает гостей насладиться эксклюзивным предложением: полная скидка 50 % на все позиции винной карты основного меню – тихие и игристые вина (кроме шампанского).
Московская Пивоваренная Компания (МПК) в несколько раз сократила временные и трудозатраты в процессе найма новых сотрудников с помощью модуля для удаленного приема на работу Start Link (входит в экосистему кадрового ЭДО HRlink).
Компания Tom Tailor построила систему дистанционного обучения сотрудников с помощью LMS платформы iSpring Learn, что позволило ускорить адаптацию новичков, повысить их продуктивность с первых дней работы и влиять на товарооборот
На конференции VB-Trend 2025 компания VolgaBlob представила новую версию своего флагманского продукта Smart Monitor. В релизе 5.0 усовершенствована технология поиска Search Anywhere, появился инструмент для заметок Smart Notebooks
Санкт-Петербургский политехнический университет Петра Великого и Группа «Борлас» (входит в ГК Softlinе) подписали соглашение о стратегическом партнёрстве с целью обучения студентов и специалистов промышленных предприятий технологическим инновациям, а также для создания инженерно-производственных центров аддитивных лазерных технологий совместно с ведущими российскими промышленными предприятиями.
ИТ-компания вошла в число победителей ежегодного исследования делового издания РБК Петербург - «IT проекты и технологии развития» и получила награду Digital Awards в номинации «Транспорт и Логистика».
Школа программирования CODDY удостоена престижной награды «100 лучших компаний Тюмени» и вошла в ТОП-10 образовательных центров по результатам голосования жителей города в рамках проекта «Народная премия72».
