Видеоролик. Знакомство с Trellix

Знакомство с Trellix

В жизни любого начинающего астронома наступает момент, когда пора покупать первый телескоп.

Краткий обзор решения

Краткий обзор решения XDR

Узнайте, как постоянно адаптирующаяся экосистема XDR может повысить эффективность работы вашего предприятия.

«Магический квадрант» компании Gartner среди платформ для защиты конечных точек

«Магический квадрант» компании Gartner для защиты конечных точек

Загрузить новый отчет «Магический квадрант», который содержит оценку 19 ведущих поставщиков на основе полноты их концепции и сспособности реализации.

Коммерческий справочник компании Gartner (XDR)

Отчет компании Gartner®. Справочник по рынку решений XDR

По утверждению компании Gartner, «XDR — это новейшая технология, которая может обеспечить оптимизацию обнаружения и предотвращения угроз, а также реагирования на инциденты».

Log4J и память. Новости

Прогноз угроз безопасности на 2022 год

Каких угроз кибербезопасности следует опасаться предприятиям в 2022 году?

Log4J и память. Новости

Log4J и память, которая слишком много знала

В отрасли кибербезопасности никогда не бывает скучно, и сейчас самое время, чтобы принять это как преимущество и фактор ускорения роста бизнеса.

McAfee Enterprise и FireEye объединяются под именем Trellix

McAfee Enterprise и FireEye объединяются под именем Trellix

Два признанных лидера в области кибербезопасности объединились с целью создания надежного мира цифровых технологий.

Генеральный директор Trellix

Наш генеральный директор о «живой» безопасности

Генеральный директор Trellix, Брайан Палма (Bryan Palma), рассказывает об острой необходимости в постоянно самообучающихся средствах защиты.

Отчет отдела Trellix Advanced Threat Research об угрозах:
октябрь 2021 г.

Мы стали обращать больше внимания на степень распространенности угроз. Другими словами, наши сотрудники теперь обращают внимание на то, как часто та или иная угроза встречается по всему миру, и, что более важно, на кого она нацелена.


Обращение нашего руководителя научных проектов

Представляем вашему вниманию НОВЫЙ отчет об угрозах и НОВУЮ компанию.

Со времени нашего последнего отчета об угрозах многое изменилось. Мы узнали, что несмотря на ребрендинг вымогательская группировка DarkSide никуда не делась. Они думали, что мы не заметим их (предполагаемой) связи с BlackMatter! Но это еще не всё: полученная нами недавно информация об инфузионных насосах наглядно демонстрирует, насколько важно проводить исследования в сфере ИБ (подробнее см. в отчете).

Что касается моих сотрудников и меня, то мы перешли работать в McAfee Enterprise — новую компанию, специализирующуюся на корпоративной кибербезопасности, что означает, что мы больше не будем публиковать результаты своей работы от имени McAfee Labs. Но не волнуйтесь, мы остались в Twitter, на новом канале McAfee Enterprise ATR: @McAfee_ATR.

Конечно, произошедшие изменения более существенны, чем новый аккаунт в Twitter, и некоторые из них нашли отражение в нашем новом отчете об угрозах. Мы стали обращать больше внимания на степень распространенности угроз. Другими словами, наши сотрудники теперь обращают внимание на то, как часто та или иная угроза встречается по всему миру, и, что более важно, на кого она нацелена. Полученные выводы подкрепляются дополнительными аналитическими материалами, т. е. подробно описанными в данном отчете результатами активного изучения злоумышленников и тех уязвимостей, которые используются ими в настоящее время и могут быть использованы в будущем.

Надеемся, вам понравится этот новый формат. Будем рады вашим отзывам о том, что вам понравилось, а что не очень, и, самое главное, что бы вы хотели видеть в будущем.


# RANSOMWARE

Растущая доля программ-вымогателей

Во II и в начале III квартала 2021 года киберпреступники стали использовать в атаках на важные отрасли новые (и обновленные) угрозы и тактики. Активность вымогательских кампаний осталась на прежнем уровне, при этом злоумышленники продолжили развивать свои бизнес-модели, нацеленные на получение ценных данных и миллионных выкупов от предприятий всех размеров.

В мае много писали об атаке группировки DarkSide на американскую компанию Colonial Pipeline. Посредством MVISION Insights удалось быстро определить, что на ранних этапах DarkSide атаковала цели преимущественно в США, в основном в таких сферах, как юридические услуги, оптовая торговля, производственный сектор, нефтегазовая и химическая отрасли.

Отключение крупной газопроводной системы в США привлекло внимание государственных должностных лиц и специалистов по обеспечению ИБ, хотя действия других вымогательских группировок, работающих по аналогичной партнерской модели, вызвали не меньшую озабоченность. В вымогательском ПО Ryuk, REvil, Babuk и Cuba активно использовались бизнес-модели, позволяющие другим лицам использовать общие векторы проникновения и аналогичные инструменты. Эти и другие группировки и их партнеры используют общие векторы проникновения; кроме того, по нашим наблюдениям, для перемещения в среде во многих случаях применялись одни и те же инструменты. Вскоре после атаки DarkSide всеобщее внимание переключилось на преступную группировку REvil, атаковавшую глобального поставщика ИТ-инфраструктуры Kaseya посредством полезной нагрузки Sodinokibi. REvil/Sodinokibi занимает первое место в нашем списке программ-вымогателей, обнаруженных во II квартале 2021 года.

Обнаруженные семейства программ-вымогателей

REvil/Sodiniokibi
RansomeXX
Ryuk
Netwalker
Thanos
MountLocker
WastedLocker
Exorcist
Conti
Maze

Рис. 01. REvil/Sodinokibi занимает первое место в нашем списке программ-вымогателей, обнаруженных во II квартале 2021 года: на REvil/Sodinokibi пришлось 73 % обнаруженных нами программ-вымогателей из первой десятки.

После ряда громких атак группировки DarkSide и REvil отошли в тень, но в июле у DarkSide появился последователь. Вымогательское ПО BlackMatter наблюдалось в основном в Италии, Индии, Люксембурге, Бельгии, США, Бразилии, Таиланде, Великобритании, Финляндии и Ирландии. Оно представляет собой партнерскую программу, работающую по принципу «вымогательское ПО как услуга», и включает в себя элементы вымогательского ПО DarkSide, REvil и LockBit. Поскольку код двоичного файла и их паблик похож на DarkSide, принято считать, что вымогательское ПО BlackMatter, скорее всего, является продолжением вымогательского ПО DarkSide, однако BlackMatter это отрицает.

В середине 2021 года была обнаружена еще одна «старая» программа-вымогатель, имеющая интересную особенность. LockBit 2.0 представляет собой обновленную версию LockBit 2020 года с новыми функциями автоматического шифрования устройств в домене, эксфильтрации данных, доступа к системам по протоколу удаленного рабочего стола (RDP) и возможностью вербовать новых партнеров внутри атакованного предприятия.

Разработчики программ-вымогателей провели и новые кампании. Семейство программ-вымогателей Hive было впервые замечено в июне 2021 года. Оно получило распространение в Индии, Бельгии, Италии, США, Турции, Таиланде, Мексике, Германии, Колумбии и Украине. Речь идет о программах на языке GO, работающих по схеме «программа-вымогатель как услуга» и угрожающих организациям здравоохранения и критически важным объектам инфраструктуры.

Наши сотрудники выяснили много интересных фактов, касающихся вымогательского ПО, включая неожиданную реакцию подпольных форумов, атакуемые сектора и расхождения между информацией об угрозах из открытых источников и телеметрией.

Изгнание успешной программы-вымогателя с подпольных форумов

В том, что касается вымогательского ПО, II квартал 2021 года был богат событиями: администрация США включила программы-вымогатели в свою повестку по борьбе с серьезными угрозами ИБ, а прежде безопасные подпольные форумы изменили свое отношение к киберпреступникам.

Атака DarkSide на компанию Colonial Pipeline, которая в результате была вынуждена прекратить работу, очень наглядно показала, к чему может привести атака с использованием вымогательского ПО. Этот внезапный сбой в цепочке поставок имел ощутимые последствия во многих регионах восточной части США, вызвав панический спрос на топливо. Данная атака и ее последствия для потребителей и экономики продемонстрировали реальную опасность программ-вымогателей и вызвали пристальное внимание служб безопасности.

Политическая реакция на последствия атаки на Colonial Pipeline была такой, что вымогательской группировке DarkSide пришлось резко прекратить свою деятельность. Некоторые другие группировки заявили, что в будущем будут тщательно отбирать объекты для своих атак, исключая определенные сектора.

Неделю спустя два самых влиятельных подпольных форума — XSS и Exploit — объявили о запрете на рекламу вымогательского ПО. Эти форумы на протяжении многих лет служили прибежищем для киберпреступников и внесли свой вклад в бум вымогательского ПО, поощряя оживленную торговлю взломанными сетями, журналами стилеров, услугами крипторов и т. п. Поскольку многие из тех, кто стоит за крупнейшими семействами программ-вымогателей, являются преступниками со стажем и зачастую поддерживают тесные отношения с администраторами и модераторами форумов, мы считаем, что целью данного шага было уберечь эти форумы от закрытия.

Наблюдения наших сотрудников показали, что, несмотря на бан всех пользователей, связанных с вымогательским ПО, эти злоумышленники по-прежнему присутствуют на ряде форумов под другими псевдонимами.

The Admin of XSS calling for the ban on Ransomware

Рис. 02. Администратор XSS призывает запретить вымогательское ПО

В то же время у вымогательской группировки Babuk возникли свои собственные внутренние проблемы, одну из которых (дефектный блокировщик для *nix и ESXi) мы подробно описали в нашем блоге.

В итоге раскол внутри группировки Babuk привел к созданию нового форума под названием RAMP, посвященного тематике вымогательского ПО, на котором теперь собирается большое количество киберпреступников-вымогателей для заключения сделок и обмена тактиками, методами и процедурами. Несмотря на запрет ряда крупных киберпреступных форумов, мы не видим признаков замедления темпов распространения программ-вымогателей: их по-прежнему следует рассматривать в качестве одной из опаснейших киберугроз, с которыми может столкнуться организация любого размера.

Секторы экономики, атакуемые с помощью вымогательского ПО: расхождения между информацией из открытых источников и телеметрией

У многих команд разработчиков программ-вымогателей есть порталы, на которых они сообщают о взломанных организациях и публикуют образцы собранных ими данных с целью заставить своих жертв заплатить выкуп, если они хотят предотвратить утечку и, в некоторых случаях, продажу их данных. Сайты с утечками свидетельствуют о неудавшихся попытках договориться и не отражают всего масштаба атак, проводимых командами вымогателей. Однако такие сайты представляют интерес с точки зрения сбора информации о секторах и географических регионах.

Наши сотрудники следят за многими такими сайтами, собирая информацию о семействах программ-вымогателей и о том, к каким секторам и странам относятся атакованные организации. Собрав и скомпилировав эти данные, мы обнаружили, что больше всего атак с использованием вымогательского ПО проводилось на следующие 10 секторов экономики США:

Государственные учреждения
Телекоммуникации
Энергетика
СМИ
Промышленность
Образовательные учреждения
Бухгалтерская отчетность
Технологии
Финансы
Транспорт

Рис. 03. Во II квартале 2021 года больше всего атак с использованием вредоносного ПО было проведено на государственные учреждения; затем идут телекоммуникации, энергетика, СМИ и связь.

Ниже приведено сопоставление нашей телеметрии, собранной с датчиков в США и касающейся активности вымогательского ПО, и информации о секторах, полученной из открытых источников (Open-Source Intelligence — OSINT):

Секторы согласно телеметрии Секторы согласно информации OSINT

Государственные учреждения

Промышленное производство

Финансы

Розничная торговля

Образовательные учреждения

Здравоохранение

Телекоммуникации

Строительство

Энергетика

Транспорт

СМИ

Образовательные учреждения

Промышленность

Предприятия

Недвижимость

Юридический сектор

Юридический сектор

Финансы

Технологии

ИТ

Таблица 01. Чем больше расстояние между двумя секторами, тем лучше они защищены; чем меньше расстояние, тем больше сектор должен обращать внимание на риск, связанный с программами-вымогателями.

Что означает эта разница? Чем объясняется расхождение? Наша телеметрия показывает нам ту активность вредоносного ПО, которая была обнаружена и заблокирована в том секторе, в котором у нас есть клиенты. Тот факт, что государственные учреждения оказались на первом месте в нашей телеметрии, свидетельствует о большом количестве попыток атаковать этот сектор, которые НЕ увенчались успехом. Список секторов, составленный на основе открытых данных, возглавляют секторы, предъявляющие высокие требования к работоспособности ИТ для поддержки критически важных бизнес-сервисов.

Шаблон/метод атаки
  1. Data Encrypted for ImpactData Encrypted for ImpactДоля от списка: 14 %
  2. File and Directory DiscoveryFile and Directory DiscoveryДоля от списка: 13 %
  3. Obfuscated Files or InformationObfuscated Files or InformationДоля от списка: 11 %
  4. Process InjectionProcess InjectionДоля от списка: 11 %
  5. Deobfuscate/Decode Files or InformationDeobfuscate/Decode Files or InformationДоля от списка: 10 %
  6. Process DiscoveryProcess DiscoveryДоля от списка: 10 %
  7. Inhibit System RecoveryInhibit System RecoveryДоля от списка: 9 %
  8. PowerShellPowerShellДоля от списка: 9 %
  9. System Information DiscoverySystem Information DiscoveryДоля от списка: 9 %
  10. Modify RegistryModify RegistryДоля от списка: 9 %

Таблица 02. Атаки, обнаруженные во II квартале 2021 года, проводились в основном по шаблону «Шифрование данных для нанесения ущерба».


B. BRAUN: ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ В ИСПОЛЬЗУЕМЫХ ПО ВСЕМУ МИРУ ИНФУЗИОННЫХ НАСОСАХ

Сфера здравоохранения сталкивается с уникальными проблемами информационной безопасности. Последствия атак на медицинские центры могут оказаться еще серьезнее, чем последствия общесистемной атаки с использованием вымогательского ПО. Наши сотрудники в сотрудничестве с компанией Culinda обнаружили ряд уязвимостей в насосах B. Braun Infusomat Space Large Pump и B. Braun SpaceStation.

В результате проведенных нами исследований мы обнаружили следующие пять ранее неопубликованных уязвимостей в этой медицинской системе:

  1. CVE-2021-33886: использование контролируемой извне строки формата (CVSS 7.7);
  2. CVE-2021-33885: недостаточная проверка подлинности данных (CVSS 9.7);
  3. CVE-2021-33882: отсутствие аутентификации для критической функции (CVSS 8.2);
  4. CVE-2021-33883: передача конфиденциальной информации открытым текстом (CVSS 7.1);
  5. CVE-2021-33884: неограниченная загрузка файлов опасного типа (CVSS 5.8).

В совокупности эти уязвимости могут быть использованы злоумышленником для изменения конфигурации насоса, находящегося в режиме ожидания, причем без всякой аутентификации. В результате при запуске насоса пациент получит непредвиденную дозу лекарства.

Вскоре после получения первых результатов нашего исследования компания B. Braun обратилась к нам и вместе с нашими сотрудниками приняла меры по снижению рисков, описанные в представленном нами отчете об обнаруженных уязвимостях.

В отчете содержится обзор полученной информации и ряд технических подробностей, касающихся самой опасной цепочки атаки, а также описание тех уникальных проблем, с которыми сталкиваются организации в сфере здравоохранения. Краткий обзор см. в нашем блоге.


ОБЛАЧНЫЕ УГРОЗЫ

Распространенность облачных угроз

Проблемы, вызванные необходимостью адаптировать системы безопасности облачных сред к работе в условиях пандемии при сохранении и даже увеличении объема рабочих нагрузок, во II квартале 2021 года дали киберпреступникам еще больше потенциальных способов использования уязвимостей и новых объектов для атак.

Проведенное нашими сотрудниками исследование облачных угроз показало, что во II квартале 2021 года с наибольшими сложностями в борьбе с облачными угрозами столкнулась сфера финансовых услуг.

Самые распространенные облачные угрозы во II кв. 2021 г.
  1. Чрезмерное использование из аномального местоположенияЧрезмерное использование из аномального местоположенияДоля от списка: 62 %
  2. Эксфильтрация инсайдерских данныхЭксфильтрация инсайдерских данныхДоля от списка: 28 %
  3. Неправомерное использование привилегированного доступаНеправомерное использование привилегированного доступаДоля от списка: 8 %
  4. Эксфильтрация данных с высоким рискомЭксфильтрация данных с высоким рискомДоля от списка: <1 %
  5. Эксфильтрация привилегированного доступаЭксфильтрация привилегированного доступаДоля от списка: <1 %
  6. «Высадка, экспансия, эксфильтрация»«Высадка, экспансия, эксфильтрация»Доля от списка: <1 %
  7. Подозрительный сверхчеловекПодозрительный сверхчеловекДоля от списка: <1 %
  8. Эксфильтрация данных привилегированным пользователемЭксфильтрация данных привилегированным пользователемДоля от списка: <1 %

Таблица 03. Под «чрезмерным использованием из аномального местоположения» понимается обращение пользователя к очень большому объему данных или загрузка пользователем большого объема данных в течение короткого промежутка времени. Это серьезная угроза, потому что 1) корпоративные пользователи ранее никогда не обращались к такому большому объему данных, 2) объем данных является большим, даже если речь идет об обширном пуле пользователей. «Чрезмерное использование из аномального местоположения» возглавляет список облачных угроз во всем мире. Далее идут «эксфильтрация инсайдерских данных» и «неправомерное использование привилегированного доступа». На «чрезмерное использование из аномального местоположения» пришлось 62 % всех зарегистрированных угроз.

Самые распространенные облачные угрозы во II кв. 2021 г.

Крупные предприятия
  1. Финансовые услугиФинансовые услугиДоля от списка: 33 %
  2. ЗдравоохранениеЗдравоохранениеДоля от списка: 13 %
  3. Промышленное производствоПромышленное производствоДоля от списка: 9 %
  4. Розничная торговляРозничная торговляДоля от списка: 9 %
  5. Профессиональные услугиПрофессиональные услугиДоля от списка: 8 %
  6. Туристический и гостиничный бизнесТуристический и гостиничный бизнесДоля от списка: 7 %
  7. Программное обеспечение и ИнтернетПрограммное обеспечение и ИнтернетДоля от списка: 6 %
  8. ТехнологииТехнологииДоля от списка: 5 %
  9. Компьютеры и электроникаКомпьютеры и электроникаДоля от списка: 4 %
  10. Некоммерческие организацииНекоммерческие организацииДоля от списка: 3 %

Таблица 04. Больше всего облачных инцидентов было зарегистрировано в сфере финансовых услуг; затем идут здравоохранение, промышленное производство, розничная торговля и профессиональные услуги. Доля облачных инцидентов в сфере финансовых услуг составила 33 % от общего числа зарегистрированных облачных инцидентов в 10 самых атакуемых отраслях; затем идут здравоохранение и промышленное производство (8 %).

РАСПРЕДЕЛЕНИЕ ОБЛАЧНЫХ ИНЦИДЕНТОВ ПО ОТДЕЛЬНЫМ ОТРАСЛЯМ В РАЗНЫХ СТРАНАХ МИРА

ОТРАСЛИ С ОБЛАЧНЫМИ ИНЦИДЕНТАМИ В РАЗНЫХ СТРАНАХ СТРАНА

Финансовые услугиФинансовые услуги/СШАДоля от списка: 23 %

США

Финансовые услугиФинансовые услуги/СингапурДоля от списка: 15 %

Сингапур

ЗдравоохранениеЗдравоохранение/СШАДоля от списка: 14 %

США

Розничная торговляРозничная торговля/СШАДоля от списка: 12 %

США

Профессиональные услугиПрофессиональные услуги/СШАДоля от списка: 8 %

США

Финансовые услугиФинансовые услуги/КитайДоля от списка: 7 %

Транспорт

Промышленное производствоПромышленное производство/СШАДоля от списка: 5 %

США

Финансовые услугиФинансовые услуги/Франция Доля от списка: 5 %

Франция

Розничная торговляРозничная торговля/КанадаДоля от списка: 5 %

Канада

Финансовые услугиФинансовые услуги/АвстралияДоля от списка: 4 %

Австралия

Таблица 05. Среди 10 секторов с самым большим количеством облачных атак во II квартале 2021 года 50 % всех инцидентов по всему миру пришлось на сектор финансовых услуг; они имели место в США, Сингапуре, Китае, Франции, Канаде и Австралии. Облачные инциденты, имевшие место в секторах экономики США, составили 34 % от количества инцидентов, зарегистрированных в 10 ведущих странах.

Отрасли США с облачными инцидентами
  1. Финансовые услугиФинансовые услуги/АвстралияДоля от списка: 29 %
  2. ЗдравоохранениеЗдравоохранениеДоля от списка: 17 %
  3. Розничная торговляРозничная торговляДоля от списка: 15 %
  4. Профессиональные услугиПрофессиональные услугиДоля от списка: 10 %
  5. Промышленное производствоПромышленное производствоДоля от списка: 7 %
  6. Индустрия развлеченийИндустрия развлеченийДоля от списка: 5 %
  7. Туристический и гостиничный бизнесТуристический и гостиничный бизнесДоля от списка: 5 %
  8. Государственные учрежденияГосударственные учрежденияДоля от списка: 4 %
  9. Программное обеспечение и ИнтернетПрограммное обеспечение и ИнтернетДоля от списка: 4 %
  10. Образовательные учрежденияОбразовательные учрежденияДоля от списка: 3 %

Таблица 06. Во II квартале 2021 года наибольшее количество облачных инцидентов пришлось на сферу финансовых услуг. Инциденты, нацеленные на сферу финансовых услуг, составили 29 % от общего количества облачных инцидентов в 10 основных секторах.

Доля облачных инцидентов по странам: II кв. 2021 г.

Страна
  1. СШАСШАДоля от списка: 47 %
  2. ИндияИндияДоля от списка: 10 %
  3. АвстралияАвстралияДоля от списка: 6 %
  4. КанадаКанадаДоля от списка: 6 %
  5. БразилияБразилияДоля от списка: 6 %
  6. ЯпонияЯпонияДоля от списка: 6 %
  7. МексикаМексикаДоля от списка: 4 %
  8. ВеликобританияВеликобританияДоля от списка: 4 %
  9. СингапурСингапурДоля от списка: 4 %
  10. ГерманияГерманияДоля от списка: 3 %

Таблица 07. Наибольшее количество облачных инцидентов, нацеленных на отдельные страны, было зарегистрировано в США, затем идут Индия, Австралия, Канада и Бразилия. Облачные инциденты, имевшие место в США, составили 52 % от количества инцидентов, зарегистрированных в 10 ведущих странах.


УГРОЗЫ ПО СТРАНАМ, КОНТИНЕНТАМ, СЕКТОРАМ И ВЕКТОРАМ

Страны и континенты: II кв. 2021 г.

Во II квартале 2021 года количество публичных сообщений об инцидентах значительно увеличилось в следующих регионах:

  • наибольшее количество инцидентов во II квартале 2021 года было зарегистрировано в США;
  • в Европе во II квартале наблюдался наибольший рост количества зарегистрированных инцидентов — 52 %.

Секторы атак: II кв. 2021 г.

Во II квартале 2021 года количество публичных сообщений об инцидентах значительно увеличилось в следующих секторах:

  • частым атакам подвергся целый ряд отраслей;
  • количество инцидентов значительно увеличилось в государственном секторе (64 %) и в культурно-развлекательной сфере (60 %).

Векторы атак: II кв. 2021 г.

Во II квартале 2021 года количество публичных сообщений об инцидентах значительно увеличилось в отношении следующих векторов:

  • самым частым способом проведения атак в зарегистрированных инцидентах II квартала 2021 года оказалось вредоносное ПО;
  • самый высокий рост количества зарегистрированных инцидентов с I по II кварталы 2021 года пришелся на долю спама — 250 %; затем идут вредоносные сценарии (рост на 125 %) и вредоносное ПО (рост на 47 %).

# Основные методы MITRE ATT&CK в II кв. 2021 г.

Тактики Методы
(5 основных методов на каждую тактику)
Комментарии

Initial Access

Spearphishing Attachment

В тройку самых распространенным методов первоначального доступа входят направленный фишинг (как посредством ссылок, так и посредством вложений) и использование уязвимостей общедоступных приложений.

 

Exploit public facing application

 

 

Spearphishing Link

 

 

Valid Accounts

 

 

External Remote Services

 

Execution

Windows Command Shell

В этом квартале мы стали свидетелями ряда атак, в которых злоумышленники прибегали к PowerShell или командной оболоче Windows либо для выполнения вредоносных программ в памяти, либо для использования утилит двойного назначения или даже невредоносных утилит с целью облегчения задачи взлома сетей. Данную задачу упрощает также то, что сценарии командной строки зачастую уже включены в фреймворки для тестирования систем на проникновение (Cobalts Strike и др.).

 

PowerShell

 

 

Malicious File

 

 

Windows Management Instrumentation

 

 

Shared Modules

 

Persistence

Registry Run Keys / Startup Folder

 

 

Scheduled Task

 

 

Windows Service

 

 

Valid Accounts

 

 

DLL Side-Loading

 

Privilege Escalation

Registry Run Keys / Startup Folder

 

 

Process Injection

Внедрение в процесс остается одним из основных методов эскалации привилегий.

 

Scheduled Task

 

 

Windows Service

 

 

Portable Executable Injection

 

Defense Evasion

Deobfuscate/Decode Files or Information

 

 

Obfuscated Files or information

 

 

Modify Registry

 

 

System Checks

 

 

File Deletion

 

Credential Access

Keylogging

Клавиатурный шпион и сбор учетных данных из веб-браузеров — обычные функции большинства троянов удаленного доступа (RAT).

 

Credentials from Web Browsers

 

 

OS Credential Dumping

Этот метод является основной функцией инструмента для сбора учетных данных Mimikatz, который сотрудники ATR наблюдали во многих кампаниях, проанализированных ими во II квартале.

 

Input Capture

 

 

LSASS Memory

 

Discovery

System Information Discovery

 

 

File and Directory Discovery

 

 

Process Discovery

 

 

System Checks

 

 

Query Registry

 

Lateral Movement

Remote Desktop Protocol

 

 

Exploitation of Remote Services

 

 

Remote File Copy

 

 

SMB/Windows Admin Shares

 

 

SSH

 

Collection

Screen Capture

Во II квартале было проведено несколько кампаний с использованием трояна удаленного доступа (RAT). Метод захвата экрана используется во многих вариантах вредоносного ПО в категории RAT.

 

Keylogging

 

 

Data from Local System

 

 

Clipboard data

 

 

Archive Collected Data

 

Command and Control

Web protocols

 

 

Ingress Tool transfer

 

 

Non-Standard Port

 

 

Web Service

 

 

Non-Application Layer Protocol

 

Exfiltration

Exfiltration Over Command and Control Channel

 

 

Exfiltration Over Alternative Protocol

 

 

Exfiltration to Cloud Storage

Вымогатели продолжили передавать данные атакованных организаций различным поставщикам облачных хранилищ. В основном это делается с помощью таких коммерческих программ, как Rclone и MEGASync.

 

Automated Exfiltration

 

 

Exfiltration over unencrypted/obfuscation Non-C2 Protocol

 

Impact

Data Encrypted for impact

Шифрование данных для нанесения ущерба снова оказалось самым распространенным методом, используемым в кампаниях и угрозах, изученных сотрудниками ATR. В этом квартале несколько семейств вымогательского ПО запустили блокировщик на базе Linux, нацеленный на серверы с ESXi, что привело к еще большему распространению данного метода.

 

Inhibit System Recovery

Метод блокировки восстановления системы часто используется группировками вымогателей перед доставкой последней полезной нагрузки. Удаление теневых копий томов затрудняет атакованным организациям задачу восстановления систем.

 

Resource Hijacking Service

 

 

Service Stop

 

 

System Shutdown/Reboot

 


# Как защититься от этих угроз

Во II квартале 2021 года мы выявили и прокомментировали большое количество разных видов угроз. К счастью, у нас также есть рекомендации и продукты для защиты вас и/или вашей организации, например: мы рассказываем, как путем настройки функции защиты от несанкционированного доступа в ENS 10.7 и использования функции отката обеспечить защиту от вымогательского ПО Cuba. Этой же теме посвящена и подробная статья в нашем блоге, написанная для специалистов по ИБ.

Мы напоминаем, как блокировать надоедливые всплывающие окна в браузере и как Web Advisor и Web Control защищают наших клиентов от вредоносных сайтов.

Мы разъясняем, как мошенники выдают себя за Windows Defender, получая возможность распространять вредоносные приложения для Windows, и даем советы, как с этим бороться. Клиентам будет приятно узнать, что Real Protect Cloud защищает их в упреждающем режиме, используя для этого методы машинного обучения, а Web Advisor и Web Control защищают своих пользователей от известных вредоносных сайтов.

Мы даем рекомендации по мониторингу и защите вашей сети от одной из самых нашумевших в этом квартале программ-вымогателей — DarkSide. Кроме того, в этом блоге вашему вниманию предлагается огромное количество информации об эффективности и надежности таких средств защиты, как EPP, MVISION Insights, EDR и ENS.

Наконец, мы рассказываем, почему киберпреступники так ценят виртуальные машины и почему тем пользователям VMware, которых коснулась данная проблема, следует немедленно установить исправления. Пользователям, которые не могут сразу установить исправления, мы предлагаем практические рекомендации и напоминаем, что в нашей платформе Network Security Platform имеются сигнатуры для соответствующих CVE.


Материалы

Информацию о новейших угрозах и результатах проводимых нами исследований можно найти здесь:

Центр изучения угроз безопасности — наша исследовательская группа по угрозам выявила самые опасные угрозы сегодняшнего дня.

Twitter:

Загрузить PDF-файл       Показать архивы