Отчет отдела Trellix Advanced Threat Research об угрозах: январь 2022 г.
Информация по уязвимости Log4j, программам-вымогателям за III квартал 2021 года, угрозам APT и наиболее атакуемым секторам
В первом отчете об угрозах, выпущенном нашей новой компанией, мы подтверждаем наличие уязвимости в Log4j, которая не только фигурировала в новостях, но и была в центре внимания специалистов по защите и корпоративной безопасности.
Письмо руководителя научных проектов компании
Я рад представить наш новый отчет об угрозах и нашу новую компанию.
Начиная работу в новом году, следует признать, что ситуация с угрозами в конце 2021 года была чрезвычайно напряженной и потребовала от нас серьезных усилий. В первом отчете об угрозах, выпущенном нашей новой компанией, мы подтверждаем наличие уязвимости, которая не только фигурировала в новостях, но и была в центре внимания специалистов по защите и корпоративной безопасности. Мы также представим анализ ситуации за III и IV кварталы 2021 года, но сначала хотелось бы более подробно остановиться на том разнообразии ресурсов, которое мы способны предложить для борьбы с уязвимостью Log4j.
По мере появления новой информации об угрозе Log4j мы настоятельно рекомендуем обращаться к результатам наших последних исследований и обновленным ресурсам. Помимо состояния продукта мы постоянно отслеживаем все активные операции, использующие эту уязвимость, и подробно рассматриваем состояние нового вредоносного содержимого.
При появлении сведений о Log4j мы среагировали очень быстро, предоставив сетевые сигнатуры и подробное описание этой уязвимости. Вскоре после этого мы предоставили дополнительные ресурсы, подробно описываемые в данном отчете.
Чтобы ознакомиться с подробной информацией о текущем состоянии угрозы Log4j, а также прочих распространенных угроз, обратитесь к нашей информативной панели мониторинга угроз.
Кроме того, ознакомьтесь с нашим блогом исследования угроз Trellix, в котором размещены последние сведения об угрозах, видеоролики и ссылки на бюллетень по безопасности.
Конечно, безопасности вашего предприятия угрожает не только уязвимость Log4j. В настоящем отчете также освещена надвигающаяся опасность сбоев в коммерческой деятельности в результате атак программ-вымогателей, а также прочие наиболее распространенные угрозы и атаки, зарегистрированные на просторах всемирной сети.
С новым 2022 годом, и добро пожаловать в новую компанию!
Log4j и память, которая слишком много знала
Уже стало недоброй традицией, что информация о новых уязвимостях (в данном случае об уязвимости часто используемой библиотеки Log4j) публикуется непосредственно перед праздниками. То, что сейчас характеризуется как наиболее значительная брешь в системе кибербезопасности за несколько последних десятилетий, в IV квартале 2021 года потребовало экстренных мер от компании Trellix и всей индустрии кибербезопасности. Уязвимость Log4j содержала потенциальную угрозу мощной атаки на любой продукт, в приложения или веб-сайты которого интегрирована библиотека Log4j, включая продукты и сервисы Apple iCloud, Steam, облачное хранилище Samsung Cloud и многое другое.
С самого момента обнаружения эта уязвимость находится под пристальным наблюдением нашей исследовательской группы. Мы выпустили сетевую сигнатуру KB95088 для клиентов, использующих Network Security Platform (NSP). Эта сигнатура обнаруживает попытки использования CVE-2021-44228 через LDAP. Эта сигнатура может быть расширена: в нее могут быть включены другие протоколы и службы, а также возможен выпуск дополнительных сигнатур.
Хронология Log4j
Ниже приведена краткая хронология уязвимости Log4j и наших исследований:
- 9 декабря: в Twitter была опубликована информация об уязвимости (CVE-2021-44228), а на GitHub — доказательство правильности концепции (PoC) для библиотеки ведения журналов Apache Log4j. Первоначальное сообщение о данной ошибке поступило в Apache Software Foundation 24 ноября.
- 10 декабря – Стив Повольны (Steve Povolny) и Дуглас МакКи (Douglas McKee) публикуют блог о Log4j, в котором приводится обзор последних данных. Сначала наша цель состояла в том, чтобы с помощью общедоступного PoC понять, насколько легко злоумышленники могут использовать данную уязвимость. Нам удалось воспроизвести и подтвердить изложенное в PoC. Атака на уязвимость в Log4j версии 2.14.1 была воспроизведена с помощью общедоступного контейнера Docker, клиент-серверной архитектуры с использованием LDAP и RMI и с помощью marshalsec.
- 14 декабря: в Twitter была опубликована информация об уязвимости (CVE-2021-44228), а на GitHub — доказательство правильности концепции (PoC) для библиотеки ведения журналов Apache Log4j. Первоначальное сообщение о данной ошибке поступило в Apache Software Foundation 24 ноября.
- 18 декабря: была обнаружена новая уязвимость, позволяющая проводить атаки DoS («отказ в обслуживании»), — CVE-2021-45105, затрагивающая версии Log4j с 2.0-alpha1 по 2.16.0.
Данные последних исследований по защите от уязвимости Log4j смотрите в нашем блоге об исследовании угроз и на панели мониторинга угроз. Перед публикацией отчета наша исследовательская группа собирает и анализирует информацию из многочисленных открытых и закрытых источников.
Атака Log4j
Наша исследовательская группа предоставила краткий результат исследования и анализа того, что происходит при выполнении стандартной веб-атаки с использованием уязвимости Log4j.
Сценарий выполнения атаки Log4j
- Шаг 1: Злоумышленник отправляет особым образом составленную строку на веб-сервер, на котором размещено уязвимое приложение. Как мы наблюдали, с целью обхода сетевых сигнатур эта строка может быть замаскирована.
- Шаг 2: Чтобы загрузить эту строку в память, приложение демаскирует ее. После загрузки строки в память приложение инициирует подключение к LDAP, чтобы запросить адрес, по которому находится вредоносный файл класса.
- Шаг 3: Контролируемый злоумышленником сервер LDAP сообщает местоположение вредоносного файла класса, указывая URL-адрес (HTTP), по которому он размещен.
- Шаг 4: Уязвимое приложение инициирует загрузку вредоносного файла класса.
- Шаг 5: Уязвимое приложение загружает и запускает вредоносный файл класса, загруженный на шаге 4.
Средства защиты от уязвимости Log4j Trellix ATR
Для защиты среды от атак, подобных Log4j, необходима многоуровневая встроенная стратегия, включающая в себя использование средств сетевой защиты в сочетании с целенаправленным сканированием памяти на конечных точках. Наличие такой стратегии позволит специалистам по ИБ эффективно обнаруживать и предотвращать поток выполнения атак на уязвимые системы через сетевые векторы. Имеющиеся в ENS экспертные правила и функции пользовательского сканирования разработаны для принятия точных мер реагирования на эти новейшие угрозы.
Агентство CISA.gov также предлагает сканер Log4j, который позволит организациям выявить потенциально уязвимые веб-сервисы, затронутые уязвимостями Log4j.
Программы-вымогатели
В III квартале 2021 года известные криминальные группы в области программ-вымогателей исчезали, появлялись вновь, переформировывались и даже пытались провести ребрендинг, по-прежнему представляя при этом актуальную и распространенную угрозу с разрушительным потенциалом, постоянно расширяющую спектр охватываемых секторов.
И хотя во II квартале 2021 года деятельность по распространению программ-вымогателей была осуждена и запрещена на многочисленных форумах киберпреступников, наша исследовательская группа наблюдала активность тех же злоумышленников на нескольких форумах под другими именами.
Trellix помогает задержать распространителей программ-вымогателей и изъять выкуп
В декабре 2021 г. компания Trellix провела исследование, которое помогло ФБР и Европолу арестовать распространителей REvil и изъять выкуп в размере 2 миллионов долларов.
К наиболее значительным тенденциям и операциям с использованием программ-вымогателей в III кв. 2021 года относятся следующие:
- BlackMatter – эта программа-вымогатель, обнаруженная в конце июля 2021 года, сначала использовалась в серии мощных атак с угрозами раскрытия конфиденциальных коммерческих данных американской компании New Cooperative, занимающейся поставками сельскохозяйственной продукции. New Cooperative сообщила, что возможности управления цепочками поставок и графики кормления животных были заблокированы, а также подсчитала, что атака может негативно отразиться на производстве 40 процентов зерна в США. И хотя создатели BlackMatter утверждают, что лишь использовали лучшие части других вредоносных программ, таких как GandCrab, LockBit и DarkSide, мы сильно сомневаемся, что эта операция была проведена новичками. Вредоносная программа BlackMatter имеет слишком много общего с DarkSide, которая использовалась для атаки на компанию Colonial Pipeline.
- Мы опубликовали наше предположение о том, что группировка Groove связана с группировкой Babuk, либо в качестве бывшего сообщника, либо в качестве подгруппы.
- Группа REvil/Sodinokibi взяла на себя ответственность за успешное заражение более 1 миллиона пользователей в результате атаки с использованием программы-вымогателя на поставщика ПО по удаленному управлению Kaseya VSA. Требование REvil суммы в 70 миллионов долларов — это самый большой выкуп, о котором известно на сегодняшний день. Одним из результатов атаки стало вынужденное закрытие сотен супермаркетов на несколько дней.
- На счету вредоносной программы LockBit 2.0, впервые обнаруженной в июле 2021 года, уже более 200 жертв, указанных на ее сайте утечки данных.
Реакция правительства США на угрозы программ-вымогателей
В III квартале правительство США развернуло превентивную кампанию по борьбе с распространением программ-вымогателей, организовав ресурс StopRansomware.gov, на котором предлагается вознаграждение в размере до 10 миллионов долларов за информацию, позволяющую идентифицировать или выяснить местонахождение злоумышленников, спонсируемых другими государствами и замешанных в кибер-операциях против важнейших объектов инфраструктуры США.
С подробной информацией о том, как эти программы-вымогатели и новые операции могут угрожать предприятиям в ближайшие месяцы, можно ознакомится в разделе Прогноз угроз безопасности Trellix на 2022 год.
Исследование программ-вымогателей, проведенное компанией Trellix
Чтобы помочь предприятиям лучше понять и надежнее защититься от атак программ-вымогателей, наша группа специалистов представляет исследования и выводы о распространенности широкого спектра угроз программ-вымогателей, включая семейства, методы, страны, секторы и векторы.
Обнаруженные семейства программ-вымогателей
Sodinokibi (41 %) является наиболее распространенным семейством программ-вымогателей, обнаруженных в III квартале 2021 г., за ним следуют DarkSide (14 %) и Egregor (13 %).
Перейти к странам-клиентам программ-вымогателей, секторам клиентов и методам MITRE ATT&CK.
Методы шаблонов атак
Наша исследовательская группа отслеживает и осуществляет наблюдение за операциями APT и связанными с ними индикаторами и методами. Проведенные нами исследования позволили выявить субъектов угроз APT, используемые ими инструменты, страны-клиенты, секторы клиентов и методы MITRE ATT&CK за III квартал 2021 года.
Субъекты угроз APT
Доминирующими субъектами угроз в III квартале 2021 года были APT41 (24 %) и APT29 (22 %) — на них пришлась практически половина всех угроз APT.
Инструменты для APT
Наша исследовательская группа выявила индикаторы компрометации, указывающие на отслеживаемые операции APT, сопровождаемые использованием приведенных ниже инструментов. Как известно, группы, применяющие APT, используют для обхода средств защиты и выполнения своих операций обычные служебные программы систем:
Cobalt Strike (34 %) наиболее часто использовался в качестве инструмента APT-атак, зарегистрированных в III квартале 2021 г., за ним следуют Mimikatz (27 %), Net.exe (26 %) и PsExec (20 %). Злонамеренное использование государственными структурами пакета инструментов Cobalt Strike было зафиксировано в трети случаев APT-атак.
Перейти к странам-клиентам APT, секторам клиентов и методам MITRE ATT&CK.
Advanced Threat Research
Наша исследовательская группа отследила категории угроз, характерные для III квартала 2021 года. В данном исследовании приведены процентные данные по типам обнаруженных вредоносных программ ATR, странам-клиентам, секторам клиентов, а также методам MITRE ATT&CK, используемым в атаках и секторах промышленности.
Инструменты для ATR
Formbook (36 %), Remcos RAT (24 %) и LokiBot (19 %) составили почти 80 % от всех инструментов ATR-угроз, обнаруженных в III квартале 2021 года.
Перейти к странам-клиентам ATR, секторам клиентов и методам MITRE ATT&CK.
Угрозы по странам, континентам, секторам и векторам
Страны и континенты: III кв. 2021 г.
Страны и континенты со значительно возросшим объемом официально зарегистрированных инцидентов за III квартал 2021 года:
- В Северной Америке зарегистрировано наибольшее количество инцидентов, но со II по III квартал 2021 года их количество снизилось на 12 %.
- Больше всего инцидентов в III квартале 2021 года было зарегистрировано в США, однако по сравнению со II кварталом их количество снизилось на 9 %.
- Во Франции зарегистрирован самый высокий рост (400 %) числа инцидентов в III квартале 2021 года.
- В России отмечено самое большое снижение (-79 %) числа инцидентов в III квартале 2021 года по сравнению со II кварталом.
Секторы атак: III кв. 2021 г.
Официально зарегистрированные атаки в III квартале 2021 года распределялись по секторам следующим образом:
- Чаще всего атакам подвергались различные отрасли промышленности (28 %), затем сфера здравоохранения (17 %) и государственный сектор (15 %).
- Существенный рост в период со II по III квартал 2021 года наблюдался в секторе финансов и страхования (21 %), а также в секторе здравоохранения (7 %).
Векторы атак: III кв. 2021 г.
Официально зарегистрированные атаки за III квартал 2021 года распределялись по векторам следующим образом:
- Наиболее распространенным методом, используемым в инцидентах за III квартал 2021 года, было вредоносное ПО, но по сравнению со II кварталом количество таких инцидентов снизилось на 24 %.
- Со II по III квартал 2021 года выросло количество атак распределенного отказа в обслуживании (112 %) и целенаправленных атак (55 %).
Методы Living off the Land
Киберпреступники используют методы Living off the Land (LotL), позволяющие выполнять вредоносные действия с системой с помощью ее же легитимного программного обеспечения и функций. На основании событий III квартала компания Trellix выявила тенденцию в инструментах, которые используются злоумышленниками, пытающимися остаться необнаруженными. Хотя у спонсируемых государственными службами и крупных криминальных хакерских групп есть ресурсы для разработки собственных инструментов, многие прибегают к использованию двоичных кодов и официально установленного программного обеспечения, которое уже присутствует на системе-мишени для осуществления отдельных этапов атаки.
Чтобы узнать штатные двоичные коды или официально используемое программное обеспечение в системе высокоприоритетной жертвы на этапе разведки, злоумышленники собирают информацию об используемых технологиях на основании объявлений о приеме на работу, продвигаемых поставщиками отзывов клиентов или от сообщника, работающего в самой организации.
PowerShell (41,53 %)
T1059.001
PowerShell часто используется для выполнения сценариев и команд PowerShell.
Windows Command Shell (CMD) (40,40 %)
T1059.003
Windows Command Shell является основной утилитой интерфейса командной строки для Windows и часто используется для выполнения файлов и команд в альтернативном потоке данных.
Rundll32 (16,96 %)
T1218.011, T1564.004
Библиотека Rundll32 может быть использована для выполнения локальных DLL-файлов, DLL-файлов общего доступа, DLL-файлов, полученных из Интернета и из альтернативных потоков данных.
WMIC (12,87 %)
T1218, 1564.004
WMIC представляет собой интерфейс командной строки для инструментария WMI и может использоваться злоумышленниками для выполнения команд или вредоносного содержимого локально, в альтернативных потоках данных или на удаленной системе.
Excel (12,30 %)
T1105
Хотя это программное обеспечение для работы с электронными таблицами не входит в объем штатной установки, оно содержится во многих системах. В этом случае злоумышленники могут отправлять пользователю вложения, содержащие вредоносный код или сценарии, которые при выполнении могут быть использованы для загрузки вредоносного содержимого из удаленного места.
Schtasks (11,70 %)
T1053.005
Злоумышленники могут планировать задачи, которые позволяют закрепиться в системе, запускать дополнительные вредоносные программы или выполнять автоматизированные задачи.
Regsvr32 (10,53 %)
T1218.010
Программа Regsvr32 может использоваться злоумышленниками для регистрации DLL-файлов, выполнения вредоносного кода и обхода белых списков приложений.
MSHTA (8,78 %)
T1218.005
Исполняющий файл MSHTA может использоваться злоумышленниками для выполнения файлов JavaScript, JScript и VBScript, которые могут быть скрыты в файлах HTA, расположенных локально, в альтернативных потоках данных или полученных из удаленного места.
Certutil (4,68 %)
T1105, 1564.004, T1027
Эта служебная программа командной строки Windows используется для получения информации о центре сертификации и настройки служб сертификатов. Кроме того, злоумышленники могут использовать Certutil для сбора удаленных инструментов и содержимого, шифрования и дешифрования файлов, а также для доступа к альтернативным потокам данных.
Net.exe (4,68 %)
T1087 и вторичные методы
Эта служебная программа командной строки Windows позволяет злоумышленнику выполнять разведывательные задачи, такие как идентификация пользователей, сети и функциональности служб на атакуемой машине.
Reg.exe (4,10 %)
1003.002, 1564.004
Программа редактирования системного реестра Reg.exe может использоваться злоумышленниками для добавления, изменения, удаления и экспорта параметров реестра, которые могут быть сохранены в альтернативных потоках данных. Кроме того, Reg.exe может использоваться для вывода учетных данных из SAM-файла.
Удаленные службы (15,21 %)
T1021.001, T1021.004, T1021.005
AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP
Инструменты удаленных служб, как штатные инструменты Windows, так и программное обеспечение сторонних производителей, могут использоваться злоумышленниками с действительными учетными записями для получения удаленного доступа к машине или инфраструктуре, передачи инструментов внедрения и вредоносного ПО, а также хищения данных.
Архиваторы (4,68 %)
T1560.001
7-Zip
WinRAR
WinZip
Злоумышленники могут использовать архиваторы для сжатия собранных данных при подготовке утечки, а также для распаковки файлов и исполняемых файлов.
PsExec (4,68 %)
T1569.002
PsExec — это инструмент, используемый для выполнения команд и программ на удаленной системе.
BiTSAdmin (2,93 %)
T1105, T1218, T1564.004
Исполняемый файл BiTSAdmin часто используется для закрепления в системе, очистки артефактов и для вызова дополнительных действий после выполнения заданного критерия.
fodhelper.exe (1,17 %)
T1548.002
Fodhelper.exe — это служебная программа Windows, которая может использоваться злоумышленниками для запуска вредоносных файлов с повышенными правами на атакуемой машине.
ADFind (0,59 %)
T1016, T1018, T1069 и вторичные методы, T1087 и вторичные методы, T1482
Служебная программа командной строки, которая может использоваться злоумышленниками для получения информации Active Directory, такой как доверенные домены, группы разрешений, удаленные системы и конфигурации.
Отчет об ошибках
«Жуки» на лобовом стекле
(Главный инженер и старший инженер-исследователь проблем безопасности Дуглас МакКи (Douglas McKee) и другие блоггеры отслеживают и анализируют уязвимости в рамках ежемесячного «Отчета об ошибках».)По мере того как мир на полной скорости мчался к завершению 2021 года, на наше лобовое стекло постоянно попадали «жуки» — в наших системах выявлялись ошибки. Некоторые из них устранялись легко, а некоторые — не очень. Наша группа отслеживает и оценивает новые уязвимости (они же «жуки», т. е. ошибки), обнаруженные за месяц, и делится своим мнением о том, какие из них являются самыми опасными. Именно так, никакой оценки CVSS или рейтинга OWASP, а старая добрая проверка на основании многолетнего опыта.
Минута размышлений
Анализируя самые опасные ошибки, выявленные нами за последние несколько месяцев, следует обратить внимание на несколько самых ярких случаев. Этот год оказался непростым для компании Apache: серьезные ошибки были обнаружены в ее веб-сервере (CVE-2021-41773) и компоненте Log4j (CVE-2021-44228). Также следует упомянуть Palo Alto в связи с критической ошибкой, обнаруженной в ПО Global Protect VPN (CVE-2021-3064), что оказало существенное негативное влияние в период пандемии. Но давайте спустимся на землю. Рейтинг уязвимости Apache Log4j должен быть гораздо выше, чем просто «значительная», поскольку это, безусловно, самая опасная ошибка, обнаруженная в 2021 году, и у нее есть все шансы удержать свою лидирующую позицию в течение последующих лет. Если вы с луны свалились и не слышали об этих уязвимостях, настоятельно рекомендую прочитать наш Отчет об ошибках за декабрь. Не забывайте ежемесячно заходить на наш сайт, чтобы узнать последние новости об уязвимостях.
Почему же именно эти уязвимости являются самыми опасными? В двух словах, их можно использовать удаленно, без проверки подлинности на инструментах, которые находятся на границе вашей сети. Эти ошибки могут служить начальной точкой входа в сеть, не требуя от злоумышленника никакого фишинга, а просто распахивая двери для более масштабной атаки.
Если ваш директор по ИБ любит играть в русскую рулетку и говорит, что установить исправления можно только для одного продукта, мы рекомендуем полностью сосредоточиться на уязвимости Log4j, так как ею очень легко воспользоваться, что доказывают многочисленные атаки злоумышленников. И хотя ошибка Palo Alto VPN является серьезной, и с 2020 года случаи злонамеренного использования VPN участились, однако, по сравнению с Log4j и другими уязвимостями Apache она отходит на второй план, поскольку затрагивает более старую версию программного обеспечения VPN, а прецедентов ее использования злоумышленниками пока не наблюдалось.
Ошибки-термиты
Многие ошибки, как термиты, могут оставаться незамеченными, но приводят к катастрофическим последствиям.
Уязвимость повышения локальных прав службы установки Microsoft Windows CVE-2021-41379 — это самый опасный «термит» ноября. Компания Microsoft сообщила об этой ошибке, как требующей локального доступа, и якобы устранила ее с помощью официального исправления, однако использованная стратегия привела к обратному результату: исправление не дало ожидаемого эффекта.
В условиях неэффективного исправления и наличия общедоступного PoC злоумышленники не заставили себя ждать и внесли эту уязвимость в свои сценарии, о чем свидетельствует Insights. Проблема осложняется тем, что наша исследовательская группа уже отследила несколько случаев продажи эффективных средств использования этой уязвимости в даркнете.
Дополнительные данные и результаты исследований за III квартал 2021 г.
Страны-клиенты программ-вымогателей
На долю клиентов из США приходится более трети всех случаев обнаружения программ-вымогателей в III квартале 2021 года.
Секторы клиентов программ-вымогателей
На банковские/финансовые службы (22 %), коммунальный сектор (20 %) и розничную торговлю (16 %) приходится почти 60 % всех клиентов программ-вымогателей, обнаруженных в III квартале 2021 года.
Методы программ-вымогателей MITRE ATT&CK
Ввод данных (2,6 %), обнаружение файлов и каталогов (2,5 %) и замаскированные файлы или информация (2,4 %) возглавили список методов программ-вымогателей MITRE ATT&CK, обнаруженных в III квартале 2021 года.
Страны-клиенты APT
В III квартале 2021 года на долю Турции пришлось 17 % от общего числа зарегистрированных случаев использования методов шаблонов атак, за ней следуют США (15 %) и Израиль (12 %).
Секторы клиентов APT
Наибольшее количество случаев использования методов APT в III квартале 2021 года было обнаружено в секторе банковских/финансовых служб (37 %), за которым следует коммунальный сектор (17 %), розничная торговля (16 %) и государственные учреждения (11 %).
Методы APT MITRE ATT&CK
Целевой фишинг с помощью вложений (16,8 %), замаскированные файлы или информация (16,7 %) и PowerShell (16 %) были самыми распространенными методами APT MITRE ATT&CK, обнаруженными в III квартале 2021 года.
Страны-клиенты ATR
Более половины всех инструментов ATR-угроз, обнаруженных в III квартале 2021 года, приходится на Германию (32 %) и США (28 %).
Секторы клиентов ATR
Подавляющее большинство клиентов ATR (45 %), обнаруженных в III квартале 2021 года, приходится на сектор банковских/финансовых служб.
Методы ATR MITRE ATT&CK
Замаскированные файлы или информация составили 5 % от всех обнаруженных случаев использования методов ATR MITRE ATT&CK в III квартале 2021 года.
Материалы
Чтобы оставаться в курсе последних угроз и результатов новейших исследований, регулярно просматривайте ресурсы нашей исследовательской группы:
Центр изучения угроз безопасности — наша исследовательская группа по угрозам выявила самые опасные угрозы сегодняшнего дня.
