Як розпізнавати складні загрози: практичні кейси з Logpoint

Спільне попередження про кібербезпеку (CSA) AA25-141A розкриває інформацію про тривалу і багатогранну кампанію кібершпигунства, що приписується російській ГРУ підрозділу 26165, також відомому як APT28, Fancy Bear, Forest Blizzard і безлічі інших псевдонімів. З початку 2022 року ця група безжально атакує західні логістичні та технологічні компанії, які беруть участь у підтримці України, використовуючи як старі, так і нові вразливості для отримання доступу та крадіжки конфіденційних даних. Їхня діяльність включає збір облікових даних, цільовий фішинг, використання загальнодоступних сервісів і навіть злом систем спостереження, що використовуються для відстеження поставок гуманітарної допомоги.

У цьому блозі представлені основні висновки консультанта та показано, як платформа Logpoint надає службам безпеки необхідну інформацію та інструменти для виявлення, розслідування та нейтралізації таких загроз на всіх етапах життєвого циклу атаки.

Вступ

Російська ГРУ-26165, також відома під кількома псевдонімами, включаючи APT28, є синонімом кібершпигунства, яке більше двох десятиліть кидає тінь на геополітичний ландшафт. Її цільові сектори – урядові установи, збройні сили та організації безпеки – чітко відображають її мотиви, які полягають у крадіжці конфіденційної інформації для політичної та військової користі.

У цьому оновленні експерти Logpoint зосередилися на недавніх кампаніях ГРУ, спрямованих проти західних логістичних компаній і технологічних підприємств, як детально описано в рекомендаціях CISA. Ці атаки є частиною більш широкої ескалації дій підрозділу ГРУ «26165» після вторгнення і відображають стратегічні зусилля з підриву ланцюгів поставок, що підтримують Україну. З моменту початку конфлікту в Україні кібероперації стали стратегічним продовженням геополітичної агресії. Ці операції демонструють ретельно продумані та наполегливі спроби проникнути в організації, які підтримують Україну та її оборонну логістику.

Цей блог присвячений конкретно тактикам, методам і процедурам (TTP) після злому, а не обговоренню початкових векторів зараження. ГРУ не завжди покладається на яскраве шкідливе ПЗ; замість цього вони діють непомітно, використовуючи вбудовані інструменти, такі як PowerShell, PsExec або RDP, для дослідження мережі, збору облікових даних і більш глибокого проникнення в системи, що представляють високу цінність.

Те, що робить ці дії небезпечними, також робить їх такими, що можна виявити: вони залишають після себе сліди. Будь то підозрілі зміни прав доступу до поштових скриньок, стислі файли, підготовлені для виведення з системи, або раптове видалення журналів, ці дії генерують сигнали, які захисники можуть вловити при наявності належної видимості. Мета блогу – виділити поведінку після злому, яка не тільки часто зустрічається, але і легко виявляється – дії, які захисники можуть зафіксувати в реальних умовах за допомогою ефективного ведення журналів, розумних правил і глибокого розуміння того, що є нормою. Для ясності в подальшому в цьому блозі ми будемо називати підрозділ ГРУ 26165 просто «ГРУ».

Виявлення

Необхідні джерела журналів:

Для відстеження загроз і виявлення загроз, описаних нижче, необхідно налаштувати такі джерела журналів:

1.Windows

• Повинна бути ввімкнена функція аудиту створення процесів за допомогою командного рядка.
• Аудит реєстру

2. Windows Sysmon

• Для початку ви можете використати нашу базову конфігурацію sysmon.

3. NDR

4. Office365

Виявлення TTP для початкового доступу

Уразливість Outlook NTLM (CVE-2023-23397)

ГРУ скористалася вразливістю Outlook NTLM, відомою як CVE-2023-23397, надсилаючи спеціально створені запрошення в календар, які непомітно збирали хеші NTLM та облікові дані користувачів.

Уразливості Roundcube

Зловмисники використовували кілька уразливостей Roundcube, а саме CVE-2020-12641, CVE-2020-35730 і CVE-2021-44026, для запуску довільних команд оболонки за допомогою скриптів Visual Basic. Щоб виявити таку поведінку у вашому середовищі, використовуйте попередження «Підозріле виконання файлів за допомогою Wscript або Cscript», яке позначає будь-яке непередбачене використання цих хостів скриптів.

1. label=“Process” label=Create
2. “process” IN [“*\wscript.exe”, “*\cscript.exe”]
3. command IN [“*.jse*”, “*.vbe*”, “*.js*”, “*.vba*”, “*.vbs*”]
4. -path IN [“C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\*”]
5. -command IN [“*.json*”, “*C:\Windows\system32\slmgr.vbs*-rearm*”]

Використання уразливості WinRAR (CVE-2023-38831)

GRU використовувала уразливість WinRAR (CVE-2023-38831) для отримання початкового доступу. Щоб виявити це у своєму середовищі, зверніть увагу на WinRAR, що запускає несподівані дочірні процеси, наприклад:

1. label=“Process” label=Create parent_process=“*\winRAR.exe”
2. “process” IN [“*\cmd.exe”, “*\cscript.exe”, “*\mshta.exe”, “*\powershell.exe”,
3. “*\pwsh.exe”, “*\regsvr32.exe”, “*\rundll32.exe”, “*\wscript.exe”]

Це попередження буде сигналізувати про будь-які незвичайні скрипти або хости оболонки, запущені WinRAR.

Виявлення TTP після компрометації

Методи первинного доступу незліченні і постійно розвиваються: зловити кожен з них в момент появи – все одно що ганятися за тінню. Насправді важливо те, що відбувається після проникнення зловмисника. Зосередивши увагу на поведінці після компрометації – підвищенні привілеїв, зборі облікових даних, переміщенні мережею, винесенні даних – ви зможете зловити супротивників у момент їх максимальної вразливості і зупинити атаку до того, як буде завдано реальної шкоди.

Виявлення Impacket і Psexec

Зловмисники часто використовують вбудовані інструменти Windows і популярні відкриті фреймворки, такі як Impacket і PsExec, для переміщення по мережі. За замовчуванням PsExec створює 8-символьний виконуваний файл і запускає його як службу з 4-символьним ім’ям. Цю активність можна виявити за допомогою наступного правила

1. norm_id=WinServer label=Service label=Install label=Successful
2. | process regex(“(?P<new_file_name>[A-Za-z]{8}\.exe)”, file)
3. | process regex(“(?P<new_service>[A-Za-z]{4})”, service)
4. |filter new_file_name=*
5. |filter new_service=*
6. |chart count() by host, new_file_name, new_service, image_file

PsExec налаштовує іменований канал (зазвичай з префіксом RemCom_) для передачі команд і їх результатів між хостами. Ви можете виявити це в журналах Sysmon, звернув увагу на події створення каналів. Це дозволить виявити будь-які канали типу RemCom або звичайні канали stdin/stdout/stderr, які використовує PsExec.

1. norm_id=WindowsSysmon event_id IN [17, 18]
2. pipe IN [“*RemCom*”, “*-stdin”, “*-stderr”, “*-stdout”]

Більшість інструментів Impacket в кінцевому підсумку викликають командний рядок для виконання корисного навантаження. Вони часто запускаються службами або процесами адміністратора. Для виявлення таких подій можна використовувати наведений нижче запит.

1. label=“Process” label=Create
2. command=“*cmd.exe*” command=“*/c*” command=“*&1*”
3. (parent_process In [“*\wmiprvse.exe”, “*\mmc.exe”, “*\explorer.exe”, “*\services.exe”]
4. command=“*/Q*” )
5. OR (parent_command IN [“*svchost.exe -k netsvcs*”, “*taskeng.exe*”]
6. command=“*Windows\Temp\*”)

Дамп бази даних Active Directory за допомогою NTDSUTIL

Після переміщення в бічному напрямку (часто через RDP) на контролер домену оператори GRU використовують вбудовану в Windows утиліту ntdsutil.exe для вилучення бази даних NTDS.dit. CISA описує точні кроки, які вони роблять:

1. C:\Windows\System32\ntdsutil.exe “activate instance ntds” ifm “create full C:\temp\<3-letter-folder>” quit quit

Для виявлення ви можете скористатися вбудованим сповіщенням «Спроба дампа бази даних Active Directory», яке спеціально налаштовано для виявлення спроб дампа файлу NTDS.dit.

1. label=“Process” label=Create
2. ((“process” IN [“*\NTDSDump.exe”, “*\NTDSDumpEx.exe”,“*\ntdsutil.exe”]) OR (command=“*ntds.dit*” command=“*system.hiv*”) OR (command=“*NTDSgrab.ps1*”))
3. OR (command=“*ac i ntds*” command=“*create full*”)
4. OR (command=“*/c copy *” command=“*\windows\ntds\ntds.dit*”)
5. OR (command=“*activate instance ntds*” command=“*create full*”)
6. OR (command=“*powershell*” command=“*ntds.dit*”)
7. OR (command=“*ntds.dit*” “process” IN [“*\apache*”, “*\tomcat*”, “*\AppData\*”, “*\Temp\*”, “*\Public\*”, “*\PerfLogs\*”] OR “parent_process” IN [“*\apache*”, “*\tomcat*”, “*\AppData\*”, “*\Temp\*”, “*\Public\*”, “*\PerfLogs\*”])

Дії після дампа бази даних AD

Після дампа файлу NTDS.dit оператори GRU використовували два ключових інструменти, ADExplorer і Certipy, для збору та виведення даних каталогу. Вони також встановили Python на скомпрометовані хости для запуску Certipy.

ADExplorer (утиліта Sysinternals) може створювати «знімки» ієрархії AD. Ви можете виявити його використання за допомогою сповіщення ADExplorer Snapshot Detection.

1. label=“Process” label=Create
2. (“process”=“*\adexplorer.exe” OR “file”=“AdExp”)
3. command=“*snapshot*”

Виявлення виконання Certipy

Набір команд Certipy (наприклад, auth, find, relay, shadow) у поєднанні з прапорцями експорту BloodHound робить його використання унікальним. Виявлення можна виконати за допомогою сповіщення Certipy Tool Execution for AD CS Abuse.

1. label=“Process” label=Create
2. (“process”=“*\Certipy.exe” OR file=“Certipy.exe” OR description=“*Certipy*”)
3. OR
4. (command IN [“* auth *”, “* find *”, “* forge *”, “* relay *”, “* req *”, “* shadow *”]
5. command IN [“* -bloodhound*”, “* -ca-pfx *”, “* -dc-ip *”, “* -kirbi*”, “* -old-bloodhound*”, “* -pfx *”, “* -target*”, “* -username *”, “* -vulnerable*”, “*auth -pfx*”, “*shadow auto*”, “*shadow list*”])

Або для відстеження дій Certipy можна використовувати наступний запит.

1. label=”Process” label=Create
2. (“process”=“*\Certipy.exe” OR file=“Certipy.exe” OR description=“*Certipy*”)
3. OR
4. (command IN [“* auth *”, “* find *”, “* forge *”, “* relay *”, “* req *”, “* shadow *”]
5. command IN [“* -bloodhound*”, “* -ca-pfx *”, “* -dc-ip *”, “* -kirbi*”, “* -old-bloodhound*”, “* -pfx *”, “* -target*”, “* -username *”, “* -vulnerable*”, “*auth -pfx*”, “*shadow auto*”, “*shadow list*”])

Пошук інсталяції Python

Оскільки Certipy працює під Python, виявлення несподіваних інсталяцій або запусків Python може запобігти його використанню. Наприклад, знайдіть інсталяції на основі MSI або прямі виконувані файли Python:

1. label=Install label=Application label=Successful rule_description=“*python*”
2. | chart count() by user,host,rule_description

Зміна дозволів на папки поштових скриньок і доступ до декількох поштових скриньок

Згідно з блогом Polish Cybercommand, зловмисник змінив дозволи на папки в поштових скриньках, щоб отримати необмежений доступ до пошти всіх користувачів. В Exchange Online цю поведінку можна виявити за допомогою таких попереджень:

Налаштування делегування папок поштових скриньок Exchange

1. norm_id=Office365
2. ((action IN [“Add-MailBoxFolderPermission”, “Set-MailBoxFolderPermission”] -identity IN [“*:\Calendar”, “*:\Contacts”])
3. OR
4. (action IN [“AddFolderPermissions”, “ModifyFolderPermissions”]
5. item_parent_folder_member_rights=“*ReadAny*” -item_parent_folder_name IN [“Calendar”, “Contacts”]))

Доступ до декількох поштових скриньок Exchange через API за короткий проміжок часу

1. norm_id=Office365 action=“MailItemsAccessed” user_type=“Application”
2. | process eval(“match=like(client_information, ‘Client=WebServices;ExchangeWebServices%’)”)
3. | process eval(“search_result=if(match) {return 1}
4. else-if(target_application==’Microsoft Graph’) {return 1}
5. else {return 0}”)
6. | filter search_result=1
7. | timechart distinct_count(upn) as user_mailbox_count, distinct_list(user) as user_list, distinct_list(source_address) as source_address by target_application every 10 minutes
8. | filter user_mailbox_count > 5

Обхід захисту

ГРУ регулярно використовувала вбудовані утиліти Windows, такі як wevtutil, для очищення журналів подій після отримання доступу або підвищення привілеїв. Ця тактика допомагала їм приховати свої сліди і затримати виявлення під час діяльності після злому.

Виявлення можна виконати за допомогою сповіщення «Очищення журналу підозрілих подій або конфігурація за допомогою Wevtutil виявлено».

1. label=“Process” label=Create
2. (
3. ((“process” IN [“*\powershell.exe”,“*\pwsh.exe*”] command IN [“*Clear-EventLog*”, “*Remove-EventLog*”, “*Limit-EventLog*”,“*Clear-WinEvent*”])
4. OR
   (“process”=“*\wmic.exe” command=“* ClearEventLog *”))
5. OR
   (“process”=“*\wevtutil.exe” command IN [“*clear-log*”, “* cl *”, “*set-log*”, “* sl *”,“*lfn: “])
6. )
7. -(parent_process IN [“C:\Windows\SysWOW64\msiexec.exe”,“C:\Windows\System32\msiexec.exe”] command=“* sl *”)

Вони також використовували спосіб, яким Windows завантажує DLL-файли, розміщуючи шкідливі файли в каталоги, які переглядаються в першу чергу. Це дозволяє їм виконувати код через довірені двійкові файли, обходячи традиційні перевірки безпеки.

Виявлення можна виконати за допомогою сповіщення «Безпечний режим пошуку DLL вимкнено».

1. norm_id=WindowSysmon event_id=13
2. target_object=‘*\CurrentControlSet\Control\Session Manager\SafeDllSearchMode’
3. detail=“DWORD (0x00000000)”

Методи збереження

Оператори ГРУ використовують перевірені методи збереження для підтримки доступу, в тому числі заплановані завдання, зміни ключів Run і корисні навантаження папки «Автозавантаження». Ось як розпізнати кожен з них:

Заплановані завдання

Ви можете використовувати сповіщення Виявлено створення запланованого завдання, щоб відстежувати всі нові заплановані завдання, створені у вашому середовищі.

1. (label=“Process” label=Create “process”=“*\schtasks.exe” command=“* /create *” -user IN EXCLUDED_USERS)
2. OR
3. (label=“Registry” label=“Key” label=“Map” “target_object”=“*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\*” -target_object IN [“*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator*”] event_type=CreateKey)
4. OR
5. (norm_id=WinServer event_id=4698
6. (-command IN [“*MpCmdRun.exe”,“*msfeedssync.exe”,“*usoclient.exe”] OR (-task=“\CreateExplorerShellUnelevatedTask” command=“*explorer.exe”)))

Оскільки загальне сповіщення охоплює всі нові завдання (і може давати великий обсяг результатів), ви можете замість нього використовувати сповіщення Створення підозрілого запланованого завдання, щоб виявляти тільки ті завдання, які відбуваються з місць, часто використовуваних шкідливим ПЗ.

1. norm_id=WinServer label=Schedule label=Task label=Create
2. command IN [“*C:\Users\*”, “*C:\Windows\Temp\*”, “*C:\ProgramData\*”]
3. -command=“C:\ProgramData\Microsoft\Windows Defender\Platform\*”

Згідно з розділом IOC CISA, зловмисник створив заплановане завдання за допомогою XML-файлу, тому ви можете виявити цю конкретну техніку за допомогою оповіщення «Створення підозрілого запланованого завдання за допомогою маскованого XML-файлу».

1. label=“Process” label=Create “process”=“*\schtasks.exe”
2. command IN [“*/create*”, “*-create*”] command IN [“*/xml*”, “*-xml*”]
3. (-integrity_level=system OR -integrity_label=*system*)
4. -command = *.xml*
5. ((-parent_process IN [“*:\ProgramData\OEM\UpgradeTool\CareCenter_*\BUnzip\Setup_msi.exe”,
6. “*:\Program Files\Axis Communications\AXIS Camera Station\SetupActions.exe”,
7. “*:\Program Files\Axis Communications\AXIS Device Manager\AdmSetupActions.exe”,
8. “*:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe”,
9. “*:\Program Files\Dell\SupportAssist\pcdrcui.exe” ] )
10. OR (-parent_process = “*\rundll32.exe” command = “*:\\WINDOWS\\Installer\\MSI*.tmp,zzzzInvokeManagedCustomActionOutOfProc” ))

Автозапуск і запуск

Додавання записів у ключі реєстру автозапуску або розміщення корисних навантажень у папці «Автозапуск» – широко поширений метод забезпечення стабільності, який використовується як легітимним програмним забезпеченням, так і шкідливим ПЗ для запуску програм під час запуску Windows. Ви можете виявити будь-які з цих змін за допомогою сповіщення «Виявлено зміну ключів автозапуску», яке відстежує записи в реєстрі та події файлів щодо ключів Run і каталогів Startup.

1. label=Registry label=Set label=Value -event_type=info
2. target_object IN [“*\software\Microsoft\Windows\CurrentVersion\Run*”,
3. “*\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit*”,
4. “*\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell*”,
5. “*\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”,
6. “*\software\Microsoft\Windows NT\CurrentVersion\Windows*”,
7. “*\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders*”]
8. detail IN [“*C:\Windows\Temp\*”, “*C:\$Recycle.bin\*”, “*C:\Temp\*”,
9. “*C:\Users\Public\*”, “*\C:ProgramData\*”, “*C:\Users\Default\*”, “*C:\Users\Desktop\*”,
10. “*\AppData\Local\*”, “*Public\*”, “*wscript*”, “*cscript*”, “*powershell.exe*”]
11. -detail=“*\AppData\Local\Microsoft\Teams\Update.exe *”

Вплив

GRU використовує методи, орієнтовані на вплив, не для повного знищення систем, а для видалення доказів, зриву відновлення та збереження непомітності під час і після операцій. Вони використовують легітимні утиліти Windows, такі як wevtutil.exe для очищення журналів подій і vssadmin.exe для маніпулювання тіньовими копіями томів, що вказує на підготовку до відключення резервного копіювання та криміналістичного відновлення.

Виявляє використання системних інструментів, таких як vssadmin, wbadmin або PowerShell, для створення або зміни тіньових копій, які можуть використовуватися для підготовки даних або відключення відновлення.

1. label=“Process” label=Create
2. (( “process” IN [“*\vssadmin.exe”, “*\wbadmin.exe”, “*\diskshadow.exe”]
3. OR file IN [“VSSADMIN.EXE”, “WBADMIN.EXE”, “diskshadow.exe”])
4. command IN [“*create*”, “*shadow*”, “*resize*”, “*shadowstorage*”, “*/MaxSize=*”])
5. OR (“process” IN [“*\powershell.exe”, “*\pwsh.exe”]
6. command IN [“*Get-WmiObject*”, “*gwmi*”, “*Get-CimInstance*”, “*gcim*”]
7. command=”*Win32_ShadowCopy*”
8. command IN [“*Create()*”, “*CreateShadowCopy*”, “*Enable-ComputerRestore*”, “*Checkpoint-Computer*”])

Полювання на сімейства шкідливих програм

В ході цієї кампанії ГРУ використовувало різні сімейства шкідливих програм для виконання важливих функцій після злому, таких як збереження доступу, крадіжка облікових даних і виведення даних. Серед них особливо слід відзначити HEADLACE, багатоступеневий бекдор, відомий використанням автоматизації безголового браузера і непомітного виконання скриптів, а також MASEPIE, інструмент для виведення даних, який раніше спостерігався в операціях ГРУ, спрямованих проти інтересів України.

HEADLACE Execution Traces hunting query (Запит на пошук слідів виконання)

Виявляє використання легітимних утиліт із шаблонами командного рядка, які часто пов’язані зі шкідливою діяльністю, такою як підготовка даних, автоматизація безголового браузера або створення запланованих завдань.

1. label=“Process” label=Create command IN [“*headless-new -disable-gpu*”, “*activate instance ntds*” ,“*ssh -Nf*” ,“*schtasks /create /xml*”]

HEADLACE Batch Script Artifact Hunting query (Запит на пошук артефактів пакетних скриптів)

Виявляє шаблони командного рядка та поведінку пакетних скриптів, що використовуються в шкідливому ПЗ GRU HEADLACE, включаючи зловживання безголовим браузером, розвідку системи та видалення локальних артефактів.

1. label=“Process” label=Create
2. command IN [“*headless-new -disable-gpu*”, “*chcp 65001*”]
3. command IN [“*taskkill /im msedge.exe /f*”, “*whoami*%programdata%*”, “*timeout*”, “*copy*%programdata%*”,“*del /q /f *%programdata%*”,“*del /q /f *%userprofile%\Downloads\*”,“*del /q /f*”]

Виявлення за допомогою Logpoint Muninn

Рішення Logpoint для виявлення та реагування на мережеві загрози (NDR) Muninn може відіграти важливу роль у виявленні та реагуванні на поведінку, яку зазвичай використовує ГРУ після злому. Хоча багато методів цієї групи базуються на вбудованих системних інструментах і зловживанні обліковими даними, вони також генерують характерні мережеві патерни, які можна виявити в режимі реального часу за допомогою правильного аналізу поведінки.

Деякі з перерахованих нижче повідомлень можуть бути корисні для виявлення їх присутності в мережі:

• Брутфорс RDP з зовнішньої мережі в внутрішню
• Бічне переміщення і виконання
• Бічне переміщення з використанням загальних ресурсів SMB
• Виявлено активність DarkNet або Tor
• Злив облікових даних за допомогою RPC
• Ексфільтрація великої кількості файлів
• Очищення журналу подій або примусове перезавантаження за допомогою RPC
• Відправлення великого обсягу даних

Заходи щодо зниження ризиків та рекомендації

Рекомендації

Навчання з протидії соціальній інженерії

• Регулярні симуляції фішингу: Проводьте реалістичні навчання з електронної пошти та обміну повідомленнями, що включають сценарії фішингу, смішингу та претекстингу.
• Швидке повідомлення про підозрілі дії: Встановіть чіткий і простий процес для співробітників щодо повідомлення про підозрілі спроби фішингу або соціальної інженерії.
• Закріпіть отримані знання: Проведіть цільові додаткові тренінги для користувачів, які потрапили на симуляції, перетворивши помилки на корисні уроки.

Оновлюйте програмне забезпечення

• Своєчасно встановлюйте оновлення від постачальників: Переконайтеся, що операційні системи, браузери, поштові клієнти та сторонні додатки встановлюють останні патчі безпеки, як тільки вони стають доступними.
• Використовуйте заходи щодо зниження ризиків, запропоновані постачальником: Якщо патч недоступний відразу, впровадьте тимчасові обхідні рішення або зміни конфігурації, рекомендовані постачальником.
• Визначте пріоритети за ступенем серйозності: Якщо виявлено кілька вразливостей, спочатку виявіть і усуньте критичні або активно використовувані вразливості.

Застосовуйте принцип мінімальних прав доступу

• Обмежте дозволи: Надайте кожному користувачеві та кожному обліковому запису служби тільки ті права, які необхідні для виконання їх роботи.
• Розділіть ролі з підвищеними правами: Відокремте адміністративні облікові записи від повсякденних користувацьких середовищ, щоб обмежити доступ до облікових даних.
• Регулярно проводьте перевірки: Щоквартально (або після організаційних змін) перевіряйте права доступу та видаляйте застарілі або надлишкові привілеї.

Вимагайте надійну автентифікацію

• Багатофакторна автентифікація (MFA): Вимагайте MFA для всіх облікових записів, особливо для віддалених, адміністративних та хмарних, щоб гарантувати, що одних викрадених паролів буде недостатньо для отримання доступу.
• Надійні політики щодо паролів: Встановіть мінімальну довжину та складність паролів, забороніть повторне використання паролів та блокуйте облікові записи після декількох невдалих спроб входу. Ці заходи контролю допомагають запобігти атакам методом перебору та підбору облікових даних.

Сегментуйте мережу

• Мікросегментація: Розділіть мережу на логічні зони (наприклад, робочі станції користувачів, сервери, контролери домену) і забезпечте суворий контроль трафіку між ними.
• Захистіть критично важливі ресурси: Розмістіть системи з високою цінністю, такі як контролери домену, поштові сервери та сховища резервних копій, за додатковими брандмауерами або проміжними хостами.

Управління привілейованим доступом

• Щоденний мінімальний рівень привілеїв: Усі адміністратори повинні виконувати рутинні завдання під стандартним обліковим записом користувача і переходити на спеціальний обліковий запис адміністратора тільки під час виконання завдань, що вимагають підвищених прав. Такий розподіл допомагає звести до мінімуму вплив шкідливих програм або фішингу на облікові дані з високим рівнем привілеїв.
• Ізоляція адміністраторів: Не допускайте вхід адміністраторів на робочі станції без привілеїв. Обмежте їх вхід на захищені, контрольовані проміжні хости або спеціальні робочі станції адміністраторів, щоб знизити ймовірність крадіжки облікових даних або переміщення по мережі.

Централізований аудит і ведення журналів

• Комплексний збір журналів: Визначте та впровадьте політику ведення журналів на всіх рівнях – журнали подій Windows, журнали додатків і баз даних, журнали хмарних служб і API, а також мережева телеметрія. Перенаправляйте всі ці дані в SIEM, щоб забезпечити повну видимість і оптимізувати аналіз у режимі реального часу.
• Політика зберігання: Введіть мінімальний термін зберігання даних у шість місяців (або більш тривалий термін відповідно до нормативних або комерційних вимог). Це гарантує, що історичні журнали залишаться доступними для ретельного розслідування інцидентів та криміналістичного аналізу.

Розгортання рішень EDR та NDR

• Виявлення та реагування на загрози на кінцевих точках (EDR): Розгорніть агенти на кінцевих точках, які постійно відстежують активність хостів, автоматично виявляють і блокують шкідливу поведінку, скорочують поверхню атаки і передають докладні телеметричні дані на вашу платформу безпеки для прискорення розслідувань.
• Виявлення та реагування в мережі (NDR): Збирайте та аналізуйте телеметричні дані мережі (перехоплення пакетів, записи потоків, журнали DNS і HTTP), щоб виявляти латеральне переміщення, трафік команд і управління або винесення даних, які можуть бути пропущені EDR. NDR надає додатковий огляд, дозволяючи вам виявляти зловмисників навіть у разі відключення агента кінцевої точки.

Готовність до реагування на інциденти

• Настільні та практичні навчання: Регулярно тестуйте свої сценарії дій в умовах імітації сценаріїв вторгнення, щоб виявити прогалини в виявленні, ескалації та стримуванні.
• Аналіз після дій: Документуйте отриманий досвід і оновлюйте процедури, щоб посилити свої наступні заходи реагування.

Забезпечте надійне резервне копіювання

• Правило 3-2-1: Зберігайте три копії важливих даних на двох різних типах носіїв, причому одна копія повинна бути відключена від мережі або зберігатися поза офісом.
• Автоматична перевірка: Регулярно тестуйте відновлення резервних копій, щоб забезпечити цілісність і доступність даних у разі інциденту.

Джерело: Frontline Intel: Pinpointing GRU’s TTPs in the Recent Campaign