Информация по уязвимости Log4j, программам-вымогателям за III квартал 2021 года, угрозам APT и наиболее атакуемым секторам
Я рад представить наш новый отчет об угрозах и нашу новую компанию.
Начиная работу в новом году, следует признать, что ситуация с угрозами в конце 2021 года была чрезвычайно напряженной и потребовала от нас серьезных усилий. В первом отчете об угрозах, выпущенном нашей новой компанией, мы подтверждаем наличие уязвимости, которая не только фигурировала в новостях, но и была в центре внимания специалистов по защите и корпоративной безопасности. Мы также представим анализ ситуации за III и IV кварталы 2021 года, но сначала хотелось бы более подробно остановиться на том разнообразии ресурсов, которое мы способны предложить для борьбы с уязвимостью Log4j.
По мере появления новой информации об угрозе Log4j мы настоятельно рекомендуем обращаться к результатам наших последних исследований и обновленным ресурсам. Помимо состояния продукта мы постоянно отслеживаем все активные операции, использующие эту уязвимость, и подробно рассматриваем состояние нового вредоносного содержимого.
При появлении сведений о Log4j мы среагировали очень быстро, предоставив сетевые сигнатуры и подробное описание этой уязвимости. Вскоре после этого мы предоставили дополнительные ресурсы, подробно описываемые в данном отчете.
Чтобы ознакомиться с подробной информацией о текущем состоянии угрозы Log4j, а также прочих распространенных угроз, обратитесь к нашей информативной панели мониторинга угроз.
Кроме того, ознакомьтесь с нашим блогом исследования угроз Trellix, в котором размещены последние сведения об угрозах, видеоролики и ссылки на бюллетень по безопасности.
Конечно, безопасности вашего предприятия угрожает не только уязвимость Log4j. В настоящем отчете также освещена надвигающаяся опасность сбоев в коммерческой деятельности в результате атак программ-вымогателей, а также прочие наиболее распространенные угрозы и атаки, зарегистрированные на просторах всемирной сети.
С новым 2022 годом, и добро пожаловать в новую компанию!
Уже стало недоброй традицией, что информация о новых уязвимостях (в данном случае об уязвимости часто используемой библиотеки Log4j) публикуется непосредственно перед праздниками. То, что сейчас характеризуется как наиболее значительная брешь в системе кибербезопасности за несколько последних десятилетий, в IV квартале 2021 года потребовало экстренных мер от компании Trellix и всей индустрии кибербезопасности. Уязвимость Log4j содержала потенциальную угрозу мощной атаки на любой продукт, в приложения или веб-сайты которого интегрирована библиотека Log4j, включая продукты и сервисы Apple iCloud, Steam, облачное хранилище Samsung Cloud и многое другое.
С самого момента обнаружения эта уязвимость находится под пристальным наблюдением нашей исследовательской группы. Мы выпустили сетевую сигнатуру KB95088 для клиентов, использующих Network Security Platform (NSP). Эта сигнатура обнаруживает попытки использования CVE-2021-44228 через LDAP. Эта сигнатура может быть расширена: в нее могут быть включены другие протоколы и службы, а также возможен выпуск дополнительных сигнатур.
Ниже приведена краткая хронология уязвимости Log4j и наших исследований:
Данные последних исследований по защите от уязвимости Log4j смотрите в нашем блоге об исследовании угроз и на панели мониторинга угроз. Перед публикацией отчета наша исследовательская группа собирает и анализирует информацию из многочисленных открытых и закрытых источников.
Наша исследовательская группа предоставила краткий результат исследования и анализа того, что происходит при выполнении стандартной веб-атаки с использованием уязвимости Log4j.
Для защиты среды от атак, подобных Log4j, необходима многоуровневая встроенная стратегия, включающая в себя использование средств сетевой защиты в сочетании с целенаправленным сканированием памяти на конечных точках. Наличие такой стратегии позволит специалистам по ИБ эффективно обнаруживать и предотвращать поток выполнения атак на уязвимые системы через сетевые векторы. Имеющиеся в ENS экспертные правила и функции пользовательского сканирования разработаны для принятия точных мер реагирования на эти новейшие угрозы.
Агентство CISA.gov также предлагает сканер Log4j, который позволит организациям выявить потенциально уязвимые веб-сервисы, затронутые уязвимостями Log4j.
В III квартале 2021 года известные криминальные группы в области программ-вымогателей исчезали, появлялись вновь, переформировывались и даже пытались провести ребрендинг, по-прежнему представляя при этом актуальную и распространенную угрозу с разрушительным потенциалом, постоянно расширяющую спектр охватываемых секторов.
И хотя во II квартале 2021 года деятельность по распространению программ-вымогателей была осуждена и запрещена на многочисленных форумах киберпреступников, наша исследовательская группа наблюдала активность тех же злоумышленников на нескольких форумах под другими именами.
В декабре 2021 г. компания Trellix провела исследование, которое помогло ФБР и Европолу арестовать распространителей REvil и изъять выкуп в размере 2 миллионов долларов.
К наиболее значительным тенденциям и операциям с использованием программ-вымогателей в III кв. 2021 года относятся следующие:
В III квартале правительство США развернуло превентивную кампанию по борьбе с распространением программ-вымогателей, организовав ресурс StopRansomware.gov, на котором предлагается вознаграждение в размере до 10 миллионов долларов за информацию, позволяющую идентифицировать или выяснить местонахождение злоумышленников, спонсируемых другими государствами и замешанных в кибер-операциях против важнейших объектов инфраструктуры США.
С подробной информацией о том, как эти программы-вымогатели и новые операции могут угрожать предприятиям в ближайшие месяцы, можно ознакомится в разделе Прогноз угроз безопасности Trellix на 2022 год.
Чтобы помочь предприятиям лучше понять и надежнее защититься от атак программ-вымогателей, наша группа специалистов представляет исследования и выводы о распространенности широкого спектра угроз программ-вымогателей, включая семейства, методы, страны, секторы и векторы.
Sodinokibi (41 %) является наиболее распространенным семейством программ-вымогателей, обнаруженных в III квартале 2021 г., за ним следуют DarkSide (14 %) и Egregor (13 %).
Перейти к странам-клиентам программ-вымогателей, секторам клиентов и методам MITRE ATT&CK.
Наша исследовательская группа отслеживает и осуществляет наблюдение за операциями APT и связанными с ними индикаторами и методами. Проведенные нами исследования позволили выявить субъектов угроз APT, используемые ими инструменты, страны-клиенты, секторы клиентов и методы MITRE ATT&CK за III квартал 2021 года.
Доминирующими субъектами угроз в III квартале 2021 года были APT41 (24 %) и APT29 (22 %) — на них пришлась практически половина всех угроз APT.
Наша исследовательская группа выявила индикаторы компрометации, указывающие на отслеживаемые операции APT, сопровождаемые использованием приведенных ниже инструментов. Как известно, группы, применяющие APT, используют для обхода средств защиты и выполнения своих операций обычные служебные программы систем:
Cobalt Strike (34 %) наиболее часто использовался в качестве инструмента APT-атак, зарегистрированных в III квартале 2021 г., за ним следуют Mimikatz (27 %), Net.exe (26 %) и PsExec (20 %). Злонамеренное использование государственными структурами пакета инструментов Cobalt Strike было зафиксировано в трети случаев APT-атак.
Перейти к странам-клиентам APT, секторам клиентов и методам MITRE ATT&CK.
Наша исследовательская группа отследила категории угроз, характерные для III квартала 2021 года. В данном исследовании приведены процентные данные по типам обнаруженных вредоносных программ ATR, странам-клиентам, секторам клиентов, а также методам MITRE ATT&CK, используемым в атаках и секторах промышленности.
Formbook (36 %), Remcos RAT (24 %) и LokiBot (19 %) составили почти 80 % от всех инструментов ATR-угроз, обнаруженных в III квартале 2021 года.
Перейти к странам-клиентам ATR, секторам клиентов и методам MITRE ATT&CK.
Страны и континенты со значительно возросшим объемом официально зарегистрированных инцидентов за III квартал 2021 года:
Официально зарегистрированные атаки в III квартале 2021 года распределялись по секторам следующим образом:
Официально зарегистрированные атаки за III квартал 2021 года распределялись по векторам следующим образом:
Киберпреступники используют методы Living off the Land (LotL), позволяющие выполнять вредоносные действия с системой с помощью ее же легитимного программного обеспечения и функций. На основании событий III квартала компания Trellix выявила тенденцию в инструментах, которые используются злоумышленниками, пытающимися остаться необнаруженными. Хотя у спонсируемых государственными службами и крупных криминальных хакерских групп есть ресурсы для разработки собственных инструментов, многие прибегают к использованию двоичных кодов и официально установленного программного обеспечения, которое уже присутствует на системе-мишени для осуществления отдельных этапов атаки.
Чтобы узнать штатные двоичные коды или официально используемое программное обеспечение в системе высокоприоритетной жертвы на этапе разведки, злоумышленники собирают информацию об используемых технологиях на основании объявлений о приеме на работу, продвигаемых поставщиками отзывов клиентов или от сообщника, работающего в самой организации.
PowerShell (41,53 %)
T1059.001
PowerShell часто используется для выполнения сценариев и команд PowerShell.
Windows Command Shell (CMD) (40,40 %)
T1059.003
Windows Command Shell является основной утилитой интерфейса командной строки для Windows и часто используется для выполнения файлов и команд в альтернативном потоке данных.
Rundll32 (16,96 %)
T1218.011, T1564.004
Библиотека Rundll32 может быть использована для выполнения локальных DLL-файлов, DLL-файлов общего доступа, DLL-файлов, полученных из Интернета и из альтернативных потоков данных.
WMIC (12,87 %)
T1218, 1564.004
WMIC представляет собой интерфейс командной строки для инструментария WMI и может использоваться злоумышленниками для выполнения команд или вредоносного содержимого локально, в альтернативных потоках данных или на удаленной системе.
Excel (12,30 %)
T1105
Хотя это программное обеспечение для работы с электронными таблицами не входит в объем штатной установки, оно содержится во многих системах. В этом случае злоумышленники могут отправлять пользователю вложения, содержащие вредоносный код или сценарии, которые при выполнении могут быть использованы для загрузки вредоносного содержимого из удаленного места.
Schtasks (11,70 %)
T1053.005
Злоумышленники могут планировать задачи, которые позволяют закрепиться в системе, запускать дополнительные вредоносные программы или выполнять автоматизированные задачи.
Regsvr32 (10,53 %)
T1218.010
Программа Regsvr32 может использоваться злоумышленниками для регистрации DLL-файлов, выполнения вредоносного кода и обхода белых списков приложений.
MSHTA (8,78 %)
T1218.005
Исполняющий файл MSHTA может использоваться злоумышленниками для выполнения файлов JavaScript, JScript и VBScript, которые могут быть скрыты в файлах HTA, расположенных локально, в альтернативных потоках данных или полученных из удаленного места.
Certutil (4,68 %)
T1105, 1564.004, T1027
Эта служебная программа командной строки Windows используется для получения информации о центре сертификации и настройки служб сертификатов. Кроме того, злоумышленники могут использовать Certutil для сбора удаленных инструментов и содержимого, шифрования и дешифрования файлов, а также для доступа к альтернативным потокам данных.
Net.exe (4,68 %)
T1087 и вторичные методы
Эта служебная программа командной строки Windows позволяет злоумышленнику выполнять разведывательные задачи, такие как идентификация пользователей, сети и функциональности служб на атакуемой машине.
Reg.exe (4,10 %)
1003.002, 1564.004
Программа редактирования системного реестра Reg.exe может использоваться злоумышленниками для добавления, изменения, удаления и экспорта параметров реестра, которые могут быть сохранены в альтернативных потоках данных. Кроме того, Reg.exe может использоваться для вывода учетных данных из SAM-файла.
Удаленные службы (15,21 %)
T1021.001, T1021.004, T1021.005
AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP
Инструменты удаленных служб, как штатные инструменты Windows, так и программное обеспечение сторонних производителей, могут использоваться злоумышленниками с действительными учетными записями для получения удаленного доступа к машине или инфраструктуре, передачи инструментов внедрения и вредоносного ПО, а также хищения данных.
Архиваторы (4,68 %)
T1560.001
7-Zip
WinRAR
WinZip
Злоумышленники могут использовать архиваторы для сжатия собранных данных при подготовке утечки, а также для распаковки файлов и исполняемых файлов.
PsExec (4,68 %)
T1569.002
PsExec — это инструмент, используемый для выполнения команд и программ на удаленной системе.
BiTSAdmin (2,93 %)
T1105, T1218, T1564.004
Исполняемый файл BiTSAdmin часто используется для закрепления в системе, очистки артефактов и для вызова дополнительных действий после выполнения заданного критерия.
fodhelper.exe (1,17 %)
T1548.002
Fodhelper.exe — это служебная программа Windows, которая может использоваться злоумышленниками для запуска вредоносных файлов с повышенными правами на атакуемой машине.
ADFind (0,59 %)
T1016, T1018, T1069 и вторичные методы, T1087 и вторичные методы, T1482
Служебная программа командной строки, которая может использоваться злоумышленниками для получения информации Active Directory, такой как доверенные домены, группы разрешений, удаленные системы и конфигурации.
По мере того как мир на полной скорости мчался к завершению 2021 года, на наше лобовое стекло постоянно попадали «жуки» — в наших системах выявлялись ошибки. Некоторые из них устранялись легко, а некоторые — не очень. Наша группа отслеживает и оценивает новые уязвимости (они же «жуки», т. е. ошибки), обнаруженные за месяц, и делится своим мнением о том, какие из них являются самыми опасными. Именно так, никакой оценки CVSS или рейтинга OWASP, а старая добрая проверка на основании многолетнего опыта.
Анализируя самые опасные ошибки, выявленные нами за последние несколько месяцев, следует обратить внимание на несколько самых ярких случаев. Этот год оказался непростым для компании Apache: серьезные ошибки были обнаружены в ее веб-сервере (CVE-2021-41773) и компоненте Log4j (CVE-2021-44228). Также следует упомянуть Palo Alto в связи с критической ошибкой, обнаруженной в ПО Global Protect VPN (CVE-2021-3064), что оказало существенное негативное влияние в период пандемии. Но давайте спустимся на землю. Рейтинг уязвимости Apache Log4j должен быть гораздо выше, чем просто «значительная», поскольку это, безусловно, самая опасная ошибка, обнаруженная в 2021 году, и у нее есть все шансы удержать свою лидирующую позицию в течение последующих лет. Если вы с луны свалились и не слышали об этих уязвимостях, настоятельно рекомендую прочитать наш Отчет об ошибках за декабрь. Не забывайте ежемесячно заходить на наш сайт, чтобы узнать последние новости об уязвимостях.
Почему же именно эти уязвимости являются самыми опасными? В двух словах, их можно использовать удаленно, без проверки подлинности на инструментах, которые находятся на границе вашей сети. Эти ошибки могут служить начальной точкой входа в сеть, не требуя от злоумышленника никакого фишинга, а просто распахивая двери для более масштабной атаки.
Если ваш директор по ИБ любит играть в русскую рулетку и говорит, что установить исправления можно только для одного продукта, мы рекомендуем полностью сосредоточиться на уязвимости Log4j, так как ею очень легко воспользоваться, что доказывают многочисленные атаки злоумышленников. И хотя ошибка Palo Alto VPN является серьезной, и с 2020 года случаи злонамеренного использования VPN участились, однако, по сравнению с Log4j и другими уязвимостями Apache она отходит на второй план, поскольку затрагивает более старую версию программного обеспечения VPN, а прецедентов ее использования злоумышленниками пока не наблюдалось.
Многие ошибки, как термиты, могут оставаться незамеченными, но приводят к катастрофическим последствиям.
Уязвимость повышения локальных прав службы установки Microsoft Windows CVE-2021-41379 — это самый опасный «термит» ноября. Компания Microsoft сообщила об этой ошибке, как требующей локального доступа, и якобы устранила ее с помощью официального исправления, однако использованная стратегия привела к обратному результату: исправление не дало ожидаемого эффекта.
В условиях неэффективного исправления и наличия общедоступного PoC злоумышленники не заставили себя ждать и внесли эту уязвимость в свои сценарии, о чем свидетельствует Insights. Проблема осложняется тем, что наша исследовательская группа уже отследила несколько случаев продажи эффективных средств использования этой уязвимости в даркнете.
На долю клиентов из США приходится более трети всех случаев обнаружения программ-вымогателей в III квартале 2021 года.
На банковские/финансовые службы (22 %), коммунальный сектор (20 %) и розничную торговлю (16 %) приходится почти 60 % всех клиентов программ-вымогателей, обнаруженных в III квартале 2021 года.
Ввод данных (2,6 %), обнаружение файлов и каталогов (2,5 %) и замаскированные файлы или информация (2,4 %) возглавили список методов программ-вымогателей MITRE ATT&CK, обнаруженных в III квартале 2021 года.
В III квартале 2021 года на долю Турции пришлось 17 % от общего числа зарегистрированных случаев использования методов шаблонов атак, за ней следуют США (15 %) и Израиль (12 %).
Наибольшее количество случаев использования методов APT в III квартале 2021 года было обнаружено в секторе банковских/финансовых служб (37 %), за которым следует коммунальный сектор (17 %), розничная торговля (16 %) и государственные учреждения (11 %).
Целевой фишинг с помощью вложений (16,8 %), замаскированные файлы или информация (16,7 %) и PowerShell (16 %) были самыми распространенными методами APT MITRE ATT&CK, обнаруженными в III квартале 2021 года.
Более половины всех инструментов ATR-угроз, обнаруженных в III квартале 2021 года, приходится на Германию (32 %) и США (28 %).
Подавляющее большинство клиентов ATR (45 %), обнаруженных в III квартале 2021 года, приходится на сектор банковских/финансовых служб.
Замаскированные файлы или информация составили 5 % от всех обнаруженных случаев использования методов ATR MITRE ATT&CK в III квартале 2021 года.
Чтобы оставаться в курсе последних угроз и результатов новейших исследований, регулярно просматривайте ресурсы нашей исследовательской группы:
Центр изучения угроз безопасности — наша исследовательская группа по угрозам выявила самые опасные угрозы сегодняшнего дня.