Как распознавать сложные угрозы: практические кейсы с Logpoint

Совместное предупреждение о кибербезопасности (CSA) AA25-141A раскрывает информацию о продолжительной и многогранной кампании кибершпионажа, приписываемой российской ГРУ подразделению 26165, также известному как APT28, Fancy Bear, Forest Blizzard и множеству других псевдонимов. С начала 2022 года эта группа безжалостно атакует западные логистические и технологические компании, участвующие в поддержке Украины, используя как старые, так и новые уязвимости для получения доступа и кражи конфиденциальных данных. Их деятельность включает сбор учетных данных, целевой фишинг, использование общедоступных сервисов и даже взлом систем наблюдения, используемых для отслеживания поставок гуманитарной помощи.

В этом блоге представлены основные выводы консультанта и показано, как платформа Logpoint предоставляет службам безопасности необходимую информацию и инструменты для обнаружения, расследования и нейтрализации таких угроз на всех этапах жизненного цикла атаки.

Введение

Российская ГРУ-26165, также известная под несколькими псевдонимами, включая APT28, является синонимом кибершпионажа, который более двух десятилетий бросает тень на геополитический ландшафт. Ее целевые секторы – правительственные учреждения, вооруженные силы и организации безопасности – ясно отражают ее мотивы, которые заключаются в краже конфиденциальной информации для политической и военной выгоды.

В этом обновлении эксперты Logpoint сосредоточились на недавних кампаниях ГРУ, направленных против западных логистических компаний и технологических предприятий, как подробно описано в рекомендациях CISA. Эти атаки являются частью более широкой эскалации действий подразделения ГРУ «26165» после вторжения и отражают стратегические усилия по подрыву цепочек поставок, поддерживающих Украину. С момента начала конфликта в Украине кибероперации стали стратегическим продолжением геополитической агрессии. Эти операции демонстрируют тщательно продуманные и настойчивые попытки проникнуть в организации, которые поддерживают Украину и ее оборонную логистику.

Этот блог посвящен конкретно тактикам, методам и процедурам (TTP) после взлома, а не обсуждению первоначальных векторов заражения. ГРУ не всегда полагается на яркое вредоносное ПО; вместо этого они действуют незаметно, используя встроенные инструменты, такие как PowerShell, PsExec или RDP, для исследования сети, сбора учетных данных и более глубокого проникновения в системы, представляющие высокую ценность.

То, что делает эти действия опасными, также делает их обнаруживаемыми: они оставляют после себя следы. Будь то подозрительные изменения прав доступа к почтовым ящикам, сжатые файлы, подготовленные для вывода из системы, или внезапное удаление журналов, эти действия генерируют сигналы, которые защитники могут уловить при наличии надлежащей видимости. Цель блога – выделить поведение после взлома, которое не только часто встречается, но и легко обнаруживается – действия, которые защитники могут зафиксировать в реальных условиях с помощью эффективного ведения журналов, умных правил и глубокого понимания того, что является нормой. Для ясности в дальнейшем в этом блоге мы будем называть подразделение ГРУ 26165 просто «ГРУ».

Обнаружение

Необходимые источники журналов:

Для отслеживания угроз и обнаружения угроз, описанных ниже, необходимо настроить следующие источники журналов.

1.Windows

• Должна быть включена функция аудита создания процессов с помощью командной строки.
• Аудит реестра

2. Windows Sysmon

• Для начала вы можете использовать нашу базовую конфигурацию sysmon.

3. NDR

4. Office365

Обнаружение TTP для первоначального доступа

Уязвимость Outlook NTLM (CVE-2023-23397)

ГРУ злоупотребила уязвимостью Outlook NTLM, известной как CVE-2023-23397, отправляя специально созданные приглашения в календарь, которые незаметно собирали хэши NTLM и учетные данные пользователей.

Уязвимости Roundcube

Злоумышленники использовали несколько уязвимостей Roundcube, а именно CVE-2020-12641, CVE-2020-35730 и CVE-2021-44026, для запуска произвольных команд оболочки с помощью скриптов Visual Basic. Чтобы обнаружить такое поведение в вашей среде, используйте предупреждение «Подозрительное выполнение файлов с помощью Wscript или Cscript», которое отмечает любое непредвиденное использование этих хостов скриптов.

1. label=«Process» label=Create
2. «process» IN [«*\wscript.exe», «*\cscript.exe»]
3. command IN [«*.jse*», «*.vbe*», «*.js*», «*.vba*», «*.vbs*»]
4. -path IN [«C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\*»]
5. -command IN [«*.json*», «*C:\Windows\system32\slmgr.vbs*-rearm*»]

Использование уязвимости WinRAR (CVE-2023-38831)

GRU использовала уязвимость WinRAR (CVE-2023-38831) для получения первоначального доступа. Чтобы обнаружить это в своей среде, обратите внимание на WinRAR, запускающий неожиданные дочерние процессы, например:

1. label=«Process» label=Create parent_process=«*\winRAR.exe»
2. «process» IN [«*\cmd.exe», «*\cscript.exe», «*\mshta.exe», «*\powershell.exe»,
3. «*\pwsh.exe», «*\regsvr32.exe», «*\rundll32.exe», «*\wscript.exe»]

Это предупреждение будет сигнализировать о любых необычных скриптах или хостах оболочки, запущенных WinRAR.

Обнаружение TTP после компрометации

Методы первоначального доступа бесчисленны и постоянно развиваются: поймать каждый из них в момент появления – все равно что гоняться за тенью. На самом деле важно то, что происходит после проникновения злоумышленника. Сосредоточив внимание на поведении после компрометации – повышении привилегий, сборе учетных данных, перемещении по сети, выносе данных – вы сможете поймать противников в момент их максимальной уязвимости и остановить атаку до того, как будет нанесен реальный ущерб.

Обнаружение Impacket и Psexec

Злоумышленники часто используют встроенные инструменты Windows и популярные открытые фреймворки, такие как Impacket и PsExec, для перемещения по сети. По умолчанию PsExec создает 8-символьный исполняемый файл и запускает его как службу с 4-символьным именем. Эту активность можно обнаружить с помощью следующего правила

1. norm_id=WinServer label=Service label=Install label=Successful
2. | process regex(«(?P<new_file_name>[A-Za-z]{8}\.exe)», file)
3. | process regex(«(?P<new_service>[A-Za-z]{4})», service)
4. |filter new_file_name=*
5. |filter new_service=*
6. |chart count() by host, new_file_name, new_service, image_file

PsExec настраивает именованный канал (обычно с префиксом RemCom_) для передачи команд и их результатов между хостами. Вы можете обнаружить это в журналах Sysmon, обратив внимание на события создания каналов. Это позволит обнаружить любые каналы типа RemCom или обычные каналы stdin/stdout/stderr, которые использует PsExec.

1. norm_id=WindowsSysmon event_id IN [17, 18]
2. pipe IN [«*RemCom*», «*-stdin», «*-stderr», «*-stdout»]

Большинство инструментов Impacket в конечном итоге вызывают командную строку для выполнения полезной нагрузки. Они часто запускаются службами или процессами администратора. Для обнаружения таких событий можно использовать приведенный ниже запрос.

1. label=«Process» label=Create
2. command=«*cmd.exe*» command=«*/c*» command=«*&1*»
3. (parent_process In [«*\wmiprvse.exe», «*\mmc.exe», «*\explorer.exe», «*\services.exe»]
4. command=«*/Q*» )
5. OR (parent_command IN [«*svchost.exe -k netsvcs*», «*taskeng.exe*»]
6. command=«*Windows\Temp\*»)

Дамп базы данных Active Directory с помощью NTDSUTIL

После перемещения в боковом направлении (часто через RDP) на контроллер домена операторы GRU используют встроенную в Windows утилиту ntdsutil.exe для извлечения базы данных NTDS.dit. CISA описывает точные шаги, которые они предпринимают:

1. C:\Windows\System32\ntdsutil.exe «activate instance ntds» ifm «create full C:\temp\<3-letter-folder>» quit quit

Для обнаружения вы можете воспользоваться встроенным оповещением «Попытка дампа базы данных Active Directory», которое специально настроено для обнаружения попыток дампа файла NTDS.dit.

1. label=«Process» label=Create
2. ((«process» IN [«*\NTDSDump.exe», «*\NTDSDumpEx.exe»,«*\ntdsutil.exe»]) OR (command=«*ntds.dit*» command=«*system.hiv*») OR (command=«*NTDSgrab.ps1*»))
3. OR (command=«*ac i ntds*» command=«*create full*»)
4. OR (command=«*/c copy *» command=«*\windows\ntds\ntds.dit*»)
5. OR (command=«*activate instance ntds*» command=«*create full*»)
6. OR (command=«*powershell*» command=«*ntds.dit*»)
7. OR (command=«*ntds.dit*» «process» IN [«*\apache*», «*\tomcat*», «*\AppData\*», «*\Temp\*», «*\Public\*», «*\PerfLogs\*»] OR «parent_process» IN [«*\apache*», «*\tomcat*», «*\AppData\*», «*\Temp\*», «*\Public\*», «*\PerfLogs\*»])

Действия после дампа базы данных AD

После дампа файла NTDS.dit операторы GRU использовали два ключевых инструмента, ADExplorer и Certipy, для сбора и вывода данных каталога. Они также установили Python на скомпрометированные хосты для запуска Certipy.

ADExplorer (утилита Sysinternals) может создавать «снимки» иерархии AD. Вы можете обнаружить его использование с помощью оповещения ADExplorer Snapshot Detection.

1. label=«Process» label=Create
2. («process»=«*\adexplorer.exe» OR «file»=«AdExp»)
3. command=«*snapshot*»

Обнаружение выполнения Certipy

Набор команд Certipy (например, auth, find, relay, shadow) в сочетании с флагами экспорта BloodHound делает его использование уникальным. Обнаружение можно выполнить с помощью оповещения Certipy Tool Execution for AD CS Abuse.

1. label=«Process» label=Create
2. («process»=«*\Certipy.exe» OR file=«Certipy.exe» OR description=«*Certipy*»)
3. OR
4. (command IN [«* auth *», «* find *», «* forge *», «* relay *», «* req *», «* shadow *»]
5. command IN [«* -bloodhound*», «* -ca-pfx *», «* -dc-ip *», «* -kirbi*», «* -old-bloodhound*», «* -pfx *», «* -target*», «* -username *», «* -vulnerable*», «*auth -pfx*», «*shadow auto*», «*shadow list*»])

Или для отслеживания действий Certipy можно использовать следующий запрос.

1. label=»Process» label=Create
2. («process»=«*\Certipy.exe» OR file=«Certipy.exe» OR description=«*Certipy*»)
3. OR
4. (command IN [«* auth *», «* find *», «* forge *», «* relay *», «* req *», «* shadow *»]
5. command IN [«* -bloodhound*», «* -ca-pfx *», «* -dc-ip *», «* -kirbi*», «* -old-bloodhound*», «* -pfx *», «* -target*», «* -username *», «* -vulnerable*», «*auth -pfx*», «*shadow auto*», «*shadow list*»])

Поиск установки Python

Поскольку Certipy работает под Python, обнаружение неожиданных установок или запусков Python может предотвратить его использование. Например, обнаружьте установки на основе MSI или прямые исполняемые файлы Python:

1. label=Install label=Application label=Successful rule_description=«*python*»
2. | chart count() by user,host,rule_description

Изменение разрешений на папки почтовых ящиков и доступ к нескольким почтовым ящикам

Согласно блогу Polish Cybercommand, злоумышленник изменил разрешения на папки в почтовых ящиках, чтобы получить неограниченный доступ к почте всех пользователей. В Exchange Online это поведение можно обнаружить с помощью следующих предупреждений:

Настройка делегирования папок почтовых ящиков Exchange

1. norm_id=Office365
2. ((action IN [«Add-MailBoxFolderPermission», «Set-MailBoxFolderPermission»] -identity IN [«*:\Calendar», «*:\Contacts»])
3. OR
4. (action IN [«AddFolderPermissions», «ModifyFolderPermissions»]
5. item_parent_folder_member_rights=«*ReadAny*» -item_parent_folder_name IN [«Calendar», «Contacts»]))

Доступ к нескольким почтовым ящикам Exchange через API за короткий промежуток времени

1. norm_id=Office365 action=«MailItemsAccessed» user_type=«Application»
2. | process eval(«match=like(client_information, ‘Client=WebServices;ExchangeWebServices%’)»)
3. | process eval(«search_result=if(match) {return 1}
4. else-if(target_application==’Microsoft Graph’) {return 1}
5. else {return 0}»)
6. | filter search_result=1
7. | timechart distinct_count(upn) as user_mailbox_count, distinct_list(user) as user_list, distinct_list(source_address) as source_address by target_application every 10 minutes
8. | filter user_mailbox_count > 5

Обход защиты

ГРУ регулярно использовала встроенные утилиты Windows, такие как wevtutil, для очистки журналов событий после получения доступа или повышения привилегий. Эта тактика помогала им скрыть свои следы и задержать обнаружение во время деятельности после взлома.

Обнаружение можно выполнить с помощью оповещения «Очистка журнала подозрительных событий или конфигурация с помощью Wevtutil обнаружено».

1. label=«Process» label=Create
2. (
3. ((«process» IN [«*\powershell.exe»,«*\pwsh.exe*»] command IN [«*Clear-EventLog*», «*Remove-EventLog*», «*Limit-EventLog*»,«*Clear-WinEvent*»])
4. OR
   («process»=«*\wmic.exe» command=«* ClearEventLog *»))
5. OR
   («process»=«*\wevtutil.exe» command IN [«*clear-log*», «* cl *», «*set-log*», «* sl *»,«*lfn: «])
6. )
7. -(parent_process IN [«C:\Windows\SysWOW64\msiexec.exe»,«C:\Windows\System32\msiexec.exe»] command=«* sl *»)

Они также использовали способ, которым Windows загружает DLL-файлы, помещая вредоносные файлы в каталоги, которые просматриваются в первую очередь. Это позволяет им выполнять код через доверенные двоичные файлы, обходя традиционные проверки безопасности.

Обнаружение можно выполнить с помощью оповещения «Безопасный режим поиска DLL отключен».

1. norm_id=WindowSysmon event_id=13
2. target_object=‘*\CurrentControlSet\Control\Session Manager\SafeDllSearchMode’
3. detail=«DWORD (0x00000000)»

Методы сохранения

Операторы ГРУ используют проверенные методы сохранения для поддержания доступа, в том числе запланированные задачи, изменения ключей Run и полезные нагрузки папки «Автозагрузка». Вот как распознать каждый из них:

Запланированные задачи

Вы можете использовать оповещение Обнаружено создание запланированной задачи, чтобы отслеживать все новые запланированные задачи, созданные в вашей среде.

1. (label=«Process» label=Create «process»=«*\schtasks.exe» command=«* /create *» -user IN EXCLUDED_USERS)
2. OR
3. (label=«Registry» label=«Key» label=«Map» «target_object»=«*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\*» -target_object IN [«*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator*»] event_type=CreateKey)
4. OR
5. (norm_id=WinServer event_id=4698
6. (-command IN [«*MpCmdRun.exe»,«*msfeedssync.exe»,«*usoclient.exe»] OR (-task=«\CreateExplorerShellUnelevatedTask» command=«*explorer.exe»)))

Поскольку общее оповещение охватывает все новые задачи (и может давать большой объем результатов), вы можете вместо него использовать оповещение Создание подозрительной запланированной задачи, чтобы выявлять только те задачи, которые происходят из мест, часто используемых вредоносным ПО.

1. norm_id=WinServer label=Schedule label=Task label=Create
2. command IN [«*C:\Users\*», «*C:\Windows\Temp\*», «*C:\ProgramData\*»]
3. -command=«C:\ProgramData\Microsoft\Windows Defender\Platform\*»

Согласно разделу IOC CISA, злоумышленник создал запланированную задачу с помощью XML-файла, поэтому вы можете обнаружить эту конкретную технику с помощью оповещения «Создание подозрительной запланированной задачи с помощью маскированного XML-файла».

1. label=«Process» label=Create «process»=«*\schtasks.exe»
2. command IN [«*/create*», «*-create*»] command IN [«*/xml*», «*-xml*»]
3. (-integrity_level=system OR -integrity_label=*system*)
4. -command = *.xml*
5. ((-parent_process IN [«*:\ProgramData\OEM\UpgradeTool\CareCenter_*\BUnzip\Setup_msi.exe»,
6. «*:\Program Files\Axis Communications\AXIS Camera Station\SetupActions.exe»,
7. «*:\Program Files\Axis Communications\AXIS Device Manager\AdmSetupActions.exe»,
8. «*:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe»,
9. «*:\Program Files\Dell\SupportAssist\pcdrcui.exe» ] )
10. OR (-parent_process = «*\rundll32.exe» command = «*:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc» ))

Автозапуск и запуск

Добавление записей в ключи реестра автозапуска или помещение полезных нагрузок в папку «Автозапуск» – широко распространенный метод обеспечения устойчивости, используемый как легитимным программным обеспечением, так и вредоносным ПО для запуска программ при запуске Windows. Вы можете обнаружить любые из этих изменений с помощью оповещения «Обнаружено изменение ключей автозапуска», которое отслеживает записи в реестре и события файлов в отношении ключей Run и каталогов Startup.

1. label=Registry label=Set label=Value -event_type=info
2. target_object IN [«*\software\Microsoft\Windows\CurrentVersion\Run*»,
3. «*\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit*»,
4. «*\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell*»,
5. «*\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run»,
6. «*\software\Microsoft\Windows NT\CurrentVersion\Windows*»,
7. «*\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders*»]
8. detail IN [«*C:\Windows\Temp\*», «*C:\$Recycle.bin\*», «*C:\Temp\*»,
9. «*C:\Users\Public\*», «*\C:ProgramData\*», «*C:\Users\Default\*», «*C:\Users\Desktop\*»,
10. «*\AppData\Local\*», «*Public\*», «*wscript*», «*cscript*», «*powershell.exe*»]
11. -detail=«*\AppData\Local\Microsoft\Teams\Update.exe *»

Воздействие

GRU использует методы, ориентированные на воздействие, не для полного уничтожения систем, а для удаления доказательств, срыва восстановления и сохранения незаметности во время и после операций. Они используют легитимные утилиты Windows, такие как wevtutil.exe для очистки журналов событий и vssadmin.exe для манипулирования теневыми копиями томов, что указывает на подготовку к отключению резервного копирования и криминалистического восстановления.

Обнаруживает использование системных инструментов, таких как vssadmin, wbadmin или PowerShell, для создания или изменения теневых копий, которые могут использоваться для подготовки данных или отключения восстановления.

1. label=«Process» label=Create
2. (( «process» IN [«*\vssadmin.exe», «*\wbadmin.exe», «*\diskshadow.exe»]
3. OR file IN [«VSSADMIN.EXE», «WBADMIN.EXE», «diskshadow.exe»])
4. command IN [«*create*», «*shadow*», «*resize*», «*shadowstorage*», «*/MaxSize=*»])
5. OR («process» IN [«*\powershell.exe», «*\pwsh.exe»]
6. command IN [«*Get-WmiObject*», «*gwmi*», «*Get-CimInstance*», «*gcim*»]
7. command=»*Win32_ShadowCopy*»
8. command IN [«*Create()*», «*CreateShadowCopy*», «*Enable-ComputerRestore*», «*Checkpoint-Computer*»])

Охота на семейства вредоносных программ

В ходе этой кампании ГРУ использовало различные семейства вредоносных программ для выполнения важных функций после взлома, таких как сохранение доступа, кража учетных данных и вывод данных. Среди них особо следует отметить HEADLACE, многоступенчатый бэкдор, известный использованием автоматизации безголового браузера и незаметного выполнения скриптов, а также MASEPIE, инструмент для вывода данных, который ранее наблюдался в операциях ГРУ, направленных против интересов Украины.

HEADLACE Execution Traces hunting query (Запрос на поиск следов выполнения)

Обнаруживает использование легитимных утилит с шаблонами командной строки, часто связанными с вредоносной деятельностью, такой как подготовка данных, автоматизация безголового браузера или создание запланированных задач.

1. label=«Process» label=Create command IN [«*headless-new -disable-gpu*», «*activate instance ntds*» ,«*ssh -Nf*» ,«*schtasks /create /xml*»]

HEADLACE Batch Script Artifact Hunting query (Запрос на поиск артефактов пакетных скриптов)

Обнаруживает шаблоны командной строки и поведение пакетных скриптов, используемые в вредоносном ПО GRU HEADLACE, включая злоупотребление безголовым браузером, разведку системы и удаление локальных артефактов.

1. label=«Process» label=Create
2. command IN [«*headless-new -disable-gpu*», «*chcp 65001*»]
3. command IN [«*taskkill /im msedge.exe /f*», «*whoami*%programdata%*», «*timeout*», «*copy*%programdata%*»,«*del /q /f *%programdata%*»,«*del /q /f *%userprofile%\Downloads\*»,«*del /q /f*»]

Обнаружение с помощью Logpoint Muninn

Решение Logpoint для обнаружения и реагирования на сетевые угрозы (NDR) Muninn может сыграть важную роль в обнаружении и реагировании на поведение, которое обычно использует ГРУ после взлома. Хотя многие методы этой группы основаны на встроенных системных инструментах и злоупотреблении учетными данными, они также генерируют характерные сетевые паттерны, которые можно обнаружить в режиме реального времени с помощью правильного анализа поведения.

Некоторые из перечисленных ниже уведомлений могут быть полезны для обнаружения их присутствия в сети:

• Брутфорс RDP из внешней сети во внутреннюю
• Боковое перемещение и выполнение
• Боковое перемещение с использованием общих ресурсов SMB
• Обнаружена активность DarkNet или Tor
• Слив учетных данных с помощью RPC
• Эксфильтрация большого количества файлов
• Очистка журнала событий или принудительная перезагрузка с помощью RPC
• Отправка большого объема данных

Меры по снижению рисков и рекомендации

Рекомендации

Обучение по противодействию социальной инженерии

• Регулярные симуляции фишинга: Проводите реалистичные учения по электронной почте и обмену сообщениями, включающие сценарии фишинга, смишинга и претекстинга.
• Быстрое сообщение о подозрительных действиях: Установите четкий и простой процесс для сотрудников по сообщению о подозрительных попытках фишинга или социальной инженерии.
• Закрепите полученные знания: Проведите целевые дополнительные тренинги для пользователей, которые попались на симуляции, превратив ошибки в полезные уроки.

Обновляйте программное обеспечение

• Своевременно устанавливайте обновления от поставщиков: Убедитесь, что операционные системы, браузеры, почтовые клиенты и сторонние приложения устанавливают последние патчи безопасности, как только они становятся доступны.
• Используйте меры по снижению рисков, предлагаемые поставщиком: Если патч недоступен сразу, внедрите временные обходные решения или изменения конфигурации, рекомендованные поставщиком.
• Расставьте приоритеты по степени серьезности: При наличии нескольких уязвимостей сначала выявите и устраните критические или активно используемые уязвимости.

Применяйте принцип минимальных прав доступа

• Ограничьте разрешения: Предоставьте каждому пользователю и каждой учетной записи службы только те права, которые необходимы для выполнения их работы.
• Разделите роли с повышенными правами: Отделите административные учетные записи от повседневных пользовательских сред, чтобы ограничить доступ к учетным данным.
• Регулярно проводите проверки: Ежеквартально (или после организационных изменений) проверяйте права доступа и удаляйте устаревшие или избыточные привилегии.

Требовать надежную аутентификацию

• Многофакторная аутентификация (MFA): Требуйте MFA для всех учетных записей, особенно для удаленных, административных и облачных, чтобы гарантировать, что одних украденных паролей будет недостаточно для получения доступа.
• Надежные политики в отношении паролей: Установите минимальную длину и сложность паролей, запретите повторное использование паролей и блокируйте учетные записи после нескольких неудачных попыток входа. Эти меры контроля помогают предотвратить атаки методом перебора и подборку учетных данных.

Сегментируйте сеть

• Микросегментация: Разделите сеть на логические зоны (например, рабочие станции пользователей, серверы, контроллеры домена) и обеспечьте строгий контроль трафика между ними.
• Защитите критически важные ресурсы: Разместите системы с высокой ценностью, такие как контроллеры домена, почтовые серверы и хранилища резервных копий, за дополнительными брандмауэрами или промежуточными хостами.

Управление привилегированным доступом

• Ежедневный минимальный уровень привилегий: Все администраторы должны выполнять рутинные задачи под стандартной учетной записью пользователя и переключаться на специальную учетную запись администратора только при выполнении задач, требующих повышенных прав. Такое разделение помогает свести к минимуму воздействие вредоносных программ или фишинга на учетные данные с высоким уровнем привилегий.
• Изоляция администраторов: Не допускайте вход администраторов на рабочие станции без привилегий. Ограничьте их вход на защищенные, контролируемые промежуточные хосты или специальные рабочие станции администраторов, чтобы снизить вероятность кражи учетных данных или перемещения по сети.

Централизованный аудит и ведение журналов

• Комплексное сбора журналов: Определите и внедрите политики ведения журналов на всех уровнях – журналы событий Windows, журналы приложений и баз данных, журналы облачных служб и API, а также сетевая телеметрия. Перенаправляйте все эти данные в SIEM, чтобы обеспечить полную видимость и оптимизировать анализ в режиме реального времени.
• Политика хранения: Введите минимальный срок хранения данных в шесть месяцев (или более длительный срок в соответствии с нормативными или коммерческими требованиями). Это гарантирует, что исторические журналы останутся доступными для тщательного расследования инцидентов и криминалистического анализа.

Развертывание решений EDR и NDR

• Обнаружение и реагирование на угрозы на конечных точках (EDR): Развертывайте агенты на конечных точках, которые постоянно отслеживают активность хостов, автоматически обнаруживают и блокируют вредоносное поведение, сокращают поверхность атаки и передают подробные телеметрические данные в вашу платформу безопасности для ускорения расследований.
• Обнаружение и реагирование в сети (NDR): Собирайте и анализируйте телеметрические данные сети (захваты пакетов, записи потоков, журналы DNS и HTTP), чтобы обнаруживать латеральное перемещение, трафик команд и управления или вынос данных, которые могут быть пропущены EDR. NDR предоставляет дополнительный обзор, позволяя вам обнаруживать злоумышленников даже в случае отключения агента конечной точки.

Готовность к реагированию на инциденты

• Настольные и практические учения: Регулярно тестируйте свои сценарии действий в условиях имитации сценариев вторжения, чтобы выявить пробелы в обнаружении, эскалации и сдерживании.
• Анализ после действий: Документируйте полученный опыт и обновляйте процедуры, чтобы усилить свои следующие меры реагирования.

Обеспечьте надежное резервное копирование

• Правило 3-2-1: Храните три копии важных данных на двух разных типах носителей, причем одна копия должна быть отключена от сети или храниться вне офиса.
• Автоматическая проверка: Регулярно тестируйте восстановление резервных копий, чтобы обеспечить целостность и доступность данных в случае инцидента.

Источник: Frontline Intel: Pinpointing GRU’s TTPs in the Recent Campaign