Защита от Operation Harvest с помощью McAfee Security Platform
Как и в других целевых кампаниях, в Operation Harvest используется несколько техник для доступа к сети и сбора учетных данных перед их захватом. По этой причине у специалистов по защите сетей будет больше возможностей для предупреждения, обнаружения и предотвращения вредоносной деятельности. Своевременная профилактика, выявление и реагирование на такую деятельность очень важны для устойчивости бизнеса. Ниже представлена обзорная информация о том, как защититься от атак типа Operation Harvest с помощью решения McAfee MVISION Security Architecture. В этой публикации мы приведем несколько примеров того, как MVISION Security Platform эффективно противостоит таким атакам.
Подготовка благодаря актуальным данным о киберугрозах (Threat Intelligence)
Цель любого специалиста по защите сетей — предупредить, обнаружить и предотвратить угрозу как можно раньше. На первом этапе для этого используются данные о киберугрозах, полученные из блогов или решений наподобие MVISION Insights. Кроме того, специальные инструменты, например, MITRE ATT&CK® Navigator, помогут оценить защищенность системы. В блоге команды ATR подробно описаны техники, индикаторы и инструменты, используемые хакерами. Многие из инструментов кампании Operation Harvest широко используются другими киберпреступниками, поэтому сведения об угрозах из PlugX и Winnti уже задокументированы в MVISION INSIGHTS.
В последней версии решения MVISION Insights уже доступны новейшие технические данные об атаке Operation Harvest, включая краткое описание, уровень распространенности, индикаторы компрометации и рекомендуемые меры противодействия.
Защита против первоначального доступа
В рамках указанной атаки для первоначального доступа используется скомпрометированный веб-сервер. За последний год киберпреступники активно применяли иные способы получения такого доступа (кроме целевого фишинга), например, взлом систем удаленного доступа или атаки на цепочки поставок. Эксплуатация общедоступных уязвимостей — техника первоначального доступа, которая характерна для Operation Harvest и других APT-кампаний. Обнаружение и блокировка этих действий позволит серьезно ограничить возможность реализации стратегий кибератаки. В дополнение к контролю текущих операций, очень важно вовремя устанавливать патчи критических уязвимостей и проверять конфигурации на соответствие передовым практикам в области безопасности. MVISION UCE обеспечивает защиту от подозрительных активностей благодаря видимости угроз и уязвимостей, а также аудитов системных настроек, отвечающих концепции MITRE ATT&CK.
Многие приложения и веб-серверы заказчиков работают на облачной инфраструктуре. Специалисту по защите сетей крайне важно видеть и исправлять ошибки конфигурации этих сред, так как они часто становятся точкой доступа для хакеров. Платформа защиты нативных облачных приложений MVISION Cloud Native Application Protection Platform (CNAPP) обеспечивает непрерывный мониторинг нескольких облачных инфраструктур с единой консоли, позволяя быстро устранить некорректные системные настройки и повысить эффективность защиты AWS, AZURE и Google Cloud. Защита сервера или конечного устройства от вредоносных инструментов
Киберпреступники загружали во взломанные системы известные вредоносные или потенциально вредоносные инструменты. Модули ENS Threat Prevention и Adaptative Threat Prevention (ATP) обнаруживали многие такие программы при установке или выполнении. ePolicy Orchestrator (ePO) обеспечивает простой поиск событий с возможностью просмотра систем с обнаруженными уязвимостями.
Для наилучшей защиты будет полезно включить функцию сбора глобальных данных о киберугрозах (Global Threat Intelligence, GTI) в модулях Threat Prevention и Adaptive Threat Protection. В модуле ATP должны быть активированы Правила 4 (проверка репутации файла GTI) и 5 (проверка репутации URL). Последняя версия глобальных данных о киберугрозах уже содержит новые индикаторы для атаки Operation Harvest.
Кроме того, на основе наших наблюдений мы установили ряд других правил адаптивного предотвращения угроз (Adaptive Threat Prevention, ATP), которые помогут остановить или выявить потенциально вредоносные действия на конечном устройстве или сервере. В журналах событий угроз ePO обращайте особое внимание на следующие события ATP:
Правило 269. Обнаружение потенциально вредоносного использования сервиса WMI для обеспечения сохраняемости Правило 329. Выявление подозрительного использования «запланированных задач» Правило 336. Обнаружение подозрительных нагрузок, нацеленных на сетевые службы или приложения, с помощью инструментов двойного назначения Правило 500. Блокируйте боковое перемещение с помощью утилит типа Psexec с зараженного клиента на другие машины сети Правило 511. Обнаружение попыток передачи конфиденциальной информации, связанной с данными доступа, по lsaas
В ходе дальнейшего анализа мы сформулируем дополнительные правила ATP, актуальные для данной атаки, которые будут включены в руководство по борьбе с ней в MVISION Insights.
ENS с Expert Rules
Expert Rules (экспертные правила) — многофункциональный настраиваемый язык сигнатур, который используется в модуле ENS Threat Prevention Module. Чтобы предотвратить атаку Operation Harvest, необходимо задать правила для выявления возможного неправильного использования Psexec или блокировки выполнения или создания файлов определенного типа, например, RAR.
Дополнительные инструкции по созданию собственных Expert Rules, а также ссылка на наш репозиторий: Как использовать Expert Rules в ENS для борьбы с вредоносными эксплойтами Репозиторий ATR Expert Rule
Перед применением для блокировки мы рекомендуем заказчикам протестировать новое правило в режиме отчета.
Предотвращение и обнаружение удаленного контроля типа Command and Control (С2)
Как и при эксплуатации критических уязвимостей, хакеры могут установить контроль над взломанной системой и использовать ее для внедрения и распространения, а также выполнения других операций. Решение MVISION EDR успешно обнаруживает признаки действий этого типа, включая «маяки» Cobalt Strike. В случае с Operation Harvest, MVISION EDR регистрирует запросы к DNS и на подключение к HTTP-соединению подозрительных доменов. Аналитики SOC могут использовать поиск в реальном времени и хронологию для упреждающего поиска скомпрометированных устройств.
Кроме того, решение Unified Cloud Edge (UCE–SWG) может блокировать доступ к небезопасным сайтам на основе данных о киберугрозах, репутации URL, результатов поведенческого анализа и переносе в изолированную среду. Внедрите эффективные политики безопасности и проверяйте журналы событий — это позволит выявить потенциально вредоносные операции C2.
Контроль повышения привилегий (Privilege Escalation)
Киберпреступники использовали несколько техник и инструментов для повышения привилегий доступа и запускали Mimikatz для кражи данных. В ходе нашего тестирования решение MVISION EDR своевременно обнаружило попытку скачать и запустить в PowerShell сценарий Mimikatz. Мы смоделировали вредоносную попытку злоумышленника, который с помощью простых инструментов получает повышенный уровень привилегий. Последовательность операций по замене обычного имени пользователя на «SYSTEM» отображалась в дереве процессов мониторинга EDR.
Затем мы провели в скомпрометированной системе пошаговое расследование. Анализ данных выявил аномалии в поведении пользователя. Пошаговые расследования облегчают визуализацию сложных наборов данных и взаимосвязей между артефактами и системами.
Обнаружение часто используемых инструментов горизонтального перемещения (Lateral Movement)
Для горизонтального перемещения киберпреступники использовали популярную утилиту двойного назначения — Psexec.exe. Во многих случаях обнаружение на основе сигнатур не позволяет выявить вредоносное использование системных инструментов. В MVISION EDR используется сочетание поведенческого анализа и данных об угрозах. С его помощью запуск Psexec для бокового перемещения был своевременно выявлен, этому действию был присвоен статус угрозы высокой степени серьезности.
Регистрация аномалий в поведении пользователей и данных для выявления взлома
Группа хакеров, осуществлявших атаку Operation Harvest, использовала различные инструменты для повышения привилегий и кражи данных из скомпрометированных систем. Визуализация аномального поведения пользователей и перемещения данных позволяет выявить возможные вредоносные действия в вашей среде. MVISION UCE осуществляет мониторинг пользовательского поведения и уведомляет специалистов по безопасности обо всех аномалиях, которые могут указывать на внутренние или внешние угрозы.
Платформа MVISION Security Platform обеспечивает всестороннюю защиту и позволяет предупредить, обнаружить или блокировать многие техники атак, используемые в кампании Operation Harvest. Для максимальной защиты организации от кибератак специалисты по безопасности должны сосредоточить усилия на предупреждении или обнаружении этих техник.
Как ожидается, самые большие в мире телевизоры Mini-LED с подсветкой RGB и потрясающей цветопередачей будут доступны в российских магазинах осенью 2025 года
Все большая цифровизация услуг, внедрение искусственного интеллекта, а также новые регуляторные государственные инициативы обуславливают взрывной рост данных в финансовом секторе в ближайшие пять лет.
Российские разработчики успешно провели испытание работоспособности систем хранения данных, произведенных Аэродиском, под управлением операционной системы СберТеха.
Компания Axenix внедрила ИИ-ассистентов в платформу интегрированного бизнес-планирования In.Plan. Это позволит сделать работу пользователей с данными более точной, быстрой и удобной.
Интернет-провайдер внедрил несколько продуктов вендора, включая сервис для приема на работу Start Link, и достиг качественной оптимизации в кадровом делопроизводстве — экономия по итогам реализации проекта составила более 50 млн рублей.
Российский разработчик общесистемного и прикладного программного обеспечения «АЛМИ Партнер» и разработчик платформы для унифицированных коммуникаций «СБК» подтвердили совместимость почтового клиента «АМэйл» с платформой CommuniGate Pro.
В Екатеринбурге подвели итоги первого в России Дронотона – бесплатной практикоориентированной образовательной программы «Университета 2035» и компании «Лаборатория будущего». Участники Дронотона представили визуальный стиль для беспилотников «Лаборатории будущего», которые будут доставлять грузы, участвовать в спасательных операциях и не только.
16 июля прошло заседание НСКВ, посвященное обсуждению эффективных подходов к поддержанию и развитию мотивации сотрудников, участвующих в волонтерских инициативах.
В заседании НСКВ приняли участие представители компаний Юнирест, РУСАЛ, Система ПБО, Газпром – медиа холдинг, Металлоинвест, Сбер, МТС, BIOCAD, Мобиус Технологии, Сервье, Татэнерго, Банк ПСБ и другие.
Российский рынок аналитических решений продолжает устойчиво расти. В 2023 году совокупная выручка пятидесяти крупнейших поставщиков в этой сфере достигла 72 миллиардов рублей, что на 27% превышает показатель предыдущего года.
К экватору дачного сезона «Выберу.ру» составил рейтинг банков с самыми выгодными потребительскими кредитами для пенсионеров. Топ-подборка от финансового маркетплейса поможет людям найти подходящее решение и в условиях высоких кредитных ставок не переплачивать лишние проценты благодаря скидкам.
Компания diHouse, дистрибьютор продукции потребительской электроники и «умных» устройств Xiaomi, объявляет о старте продаж смартфона POCO F7 на российском рынке.
Компания «Аэродиск», ведущий российский разработчик систем хранения данных и виртуализации, совместно с учебным центром «Микротест» обновили курс «Сертифицированный системный инженер СХД АЭРОДИСК ВОСТОК/ENGINE AQ».
Компания «АЛМИ Партнер» представила обновление офисного пакета «АльтерОфис» и почтового клиента «АМэйл», включающее значительные улучшения в производительности, безопасности и удобстве работы.
