Get best of the week

Investigasi insiden keamanan informasi di alam liar: sumber informasi yang tidak terduga

gambar

Banyak yang telah ditulis tentang penyelidikan insiden komputer, atau Digital Forensik, ada banyak perangkat keras dan perangkat lunak yang siap pakai, artefak utama sistem operasi yang terkenal dan dijelaskan dalam manual, buku, dan artikel. Tampaknya sulit - baca manual dan temukan yang diperlukan. Tetapi ada beberapa kasus yang sulit secara teknis ketika analisis artefak yang sangat terkenal itu tidak memberikan informasi yang cukup untuk mengembalikan kronologi peristiwa. Bagaimana bisa berada dalam situasi ini? Kami menganalisanya dengan contoh nyata dari investigasi kami.

Mengapa tidak ada artefak dasar secara umum? Mungkin ada beberapa alasan:

  1. Infrastruktur tidak cukup siap untuk pemantauan dan respons penuh terhadap peristiwa (kami menulis tentang ini di sini )
  2. , ( Digital Forensic)
  3. , ( – , MFT-).

Jadi, jika infrastrukturnya besar dan beragam, insiden itu berkembang untuk waktu yang lama, dan penyerangnya adalah β€œabon yang tercabik-cabik,” sumber informasi tambahan diperlukan untuk mengungkapkan semua tindakannya dan mengembalikan kronologi kejadian.

Bergantung pada situasinya, sistem SIEM, analisis aliran jaringan Netflow atau lalu lintas mentah (meskipun dalam 90% kasus hal ini tidak memungkinkan), serta artefak yang tidak biasa yang berhubungan dengan perangkat lunak pihak ketiga mana pun, secara kebetulan, dapat terjadi untuk penyelamatan. dalam infrastruktur pelanggan.

Ini adalah jenis artefak terakhir yang akan kita hentikan.

Ivanti Endpoint Manager (sebelumnya LANDESK Management Suite). Sistem Manajemen Aset TI

www.ivanti.ru/company/history/landesk

Menghubungkan ke pemantauan salah satu pelanggan baru kami, kami mendeteksi dalam infrastrukturnya pembersihan log peristiwa di salah satu server, sementara tidak ada manifestasi lain dari aktivitas jahat di sistem SIEM. Selama analisis, ditemukan bahwa server dikompromikan, dan penyerang menggunakan peralatan khusus untuk tidak diperhatikan. Terdiri dari:

  1. Kejadian log keamanan dialihkan ke file sementara yang terpisah,
  2. seorang penyerang melakukan tindakan yang diperlukan,
  3. acara diarahkan kembali ke log Keamanan,
  4. file sementara telah dihapus.
  5. Keuntungan!

Akibatnya, terlepas dari kenyataan bahwa jurnal Keamanan dibuat dengan tepat, tidak mengandung peristiwa apa pun yang terkait dengan aktivitas jahat, sementara itu sendiri tampak tidak tersentuh.

Setelah analisis singkat, kami menemukan bahwa penyerang telah "hidup" di infrastruktur selama sekitar 2-3 tahun, yang memungkinkan kompromi semua server utama. Dalam kasus seperti itu, nilai dari setiap sumber informasi tambahan meningkat, karena beberapa artefak dasar baik usang atau tidak informatif dan tidak memungkinkan gambaran lengkap dari insiden tersebut.

Dalam mencari sumber informasi tambahan, kami melakukan inventarisasi lisan dari layanan dan sistem yang digunakan dalam infrastruktur dan menemukan bahwa, bersama dengan pelaksanaan pemantauan kami, pelanggan mulai menggunakan sistem manajemen aset TI
Ivanti Endpoint Manager.

Karena sistemnya masih tidak stabil (kejadian dari agen tidak dikirim sebagian
ke server), kami tidak dapat melihat acara secara terpusat dari host di server. Namun demikian, setelah memutuskan untuk mencari artefak yang disimpan oleh Ivanti Endpoint langsung di host, kami menemukan bahwa perangkat lunak ini menyimpan informasi tentang peluncuran proses secara lokal di cabang registri berikut:

HKLM \ SOFTWARE \ Wow6432Node] \ LANDesk \ ManagementSuite \ WinClient \ SoftwareMonitoring \ MonitorLog \ < Jalur ke file yang dapat dieksekusi>

Informasi berikut disimpan dalam kunci yang sesuai:

  • waktu mulai pertama (dalam format FILETIME)
  • waktu tayang terakhir (dalam format FILETIME)
  • jumlah awal
  • pengguna dengan hak diluncurkannya file yang dapat dieksekusi


Proses Ivanti Endpoint meluncurkan artefak

Berkat informasi ini, kami dapat menentukan waktu kemunculan penyerang di beberapa sistem yang tidak kami ketahui sebelumnya. Selain itu, bagian dari perangkatnya diungkapkan hanya berdasarkan nama file yang dapat dieksekusi.

Citrix NetScaler Sistem untuk menyediakan akses ke sumber daya dan aplikasi perusahaan

www.citrix.com/en-us/products/citrix-adc


Citrix NetScaler Workflow

Investigasi menarik lainnya. Seorang penyerang memasuki infrastruktur perusahaan melalui VPN. Dia bekerja di zona waktu UTC +8. Setelah otentikasi, ia berperilaku cukup agresif (secara aktif memindai subnet internal menggunakan mask / 24 dan / 16), dan hasilnya, hal itu diperhatikan.

VPN dikonfigurasi pada Sumber Daya dan Sistem Aplikasi Citrix NetScaler Enterprise. Setelah mempelajari log-nya, kami dapat menentukan waktu "kunjungan" pertama (baca tanggal kompromi), akun karyawan yang digunakan oleh penyerang (omong-omong, lebih dari 5 akun dikompromikan) dan alamat IP dari server proxy tempat ia bekerja.

Investigasi itu sendiri berakhir dengan sukses: kami berhasil membangun sumber kompromi - ternyata sistem internal untuk mengatur ulang kredensial yang dapat diakses dari Internet dikenakan injeksi SQL.

Tapi sekarang saya ingin mencatat sesuatu yang lain: setelah melewati otentikasi VPN di Citrix NetScaler, semua permintaan pengguna HTTP berhasil dicatat. Penyerang mungkin tidak mengetahui hal ini, atau membingungkan antarmuka jaringannya dan mengirim pertanyaannya sendiri ke mesin pencari melalui jaringan perusahaan pelanggan. Ini memungkinkan kami untuk mendapatkan informasi tentang sistem yang menarik bagi penyerang, kompetensinya dan alat yang digunakan.


File log Citrix NetScaler


Informasi yang dicari penyerang melalui Citrix NetScaler


Informasi yang dicari penyerang melalui Citrix NetScaler

Studio Net Secret. Sistem untuk melindungi informasi dari akses yang tidak sah

www.securitycode.ru/products/secret_net

Suatu hari, tiket dengan insiden otentikasi mencurigakan jatuh di baris pertama kami di bawah akun karyawan TI perusahaan di server administrasi pada malam hari (karyawan tersebut sedang berlibur pada waktu itu, ia memiliki VPN. tidak memiliki). Secara arsitektur, server administrasi terletak di segmen jaringan yang terpisah bersama dengan beberapa server utama perusahaan (termasuk server Secret Net), sementara SIEM hanya menerima acara dari server administrasi itu sendiri (sayangnya, pelanggan tidak selalu setuju untuk menghubungkan semua sumber potensial. )

Baris pertama, memproses tiket dan mengumpulkan informasi tentang apa yang terjadi setelah otentikasi, tersandung pada berbagai peluncuran proses yang mencurigakan (jalur non-standar, nama file biner dalam satu huruf) dan peluncuran mstsc.exe, yang mengindikasikan kemungkinan sesi RDP.

Menyadari bahwa ini adalah kompromi yang potensial, kami meminta gambar dari semua server
dan memulai analisis mereka. Membuka gambar pertama (Secret Net server), kami menerima "kejutan besar" sebagai hadiah: Log Sistem, Keamanan, dan Aplikasi dihapus, dan dihapus sehingga bahkan upaya pemulihan tidak berhasil. Itu hanya mungkin untuk membandingkan bahwa entri di server Secret TerminalServices log bertepatan waktu dengan peluncuran mstsc.exe di server administrasi, yang berarti bahwa penyerang pasti di Net Net. Analisis server yang tersisa juga gagal.

Akibatnya, kami menemukan diri kami dalam situasi di mana diketahui dengan pasti bahwa penyerang ada di sana (dia pasti melakukan sesuatu dan memulainya), tetapi kami tidak memiliki log host, karena jejak dihapus,
dan tidak ada log jaringan, karena semua server berada di subnet yang sama.

Solusi ditemukan bahkan dari situasi ini. Sistem Secret Net sangat fleksibel dan terdiri dari banyak komponen, baik level kernel dan level pengguna. Setelah menganalisis setiap file log yang direkam dan disimpan oleh berbagai komponen Secret Net, kami menemukan beberapa artefak luar biasa yang ditinggalkan oleh kontrol file. Ketika kami mengumpulkan semuanya, kami mendapat informasi tentang tindakan penyerang (dia benar-benar ada di setiap server dari subnet ini), dan tentang alat-alatnya.

Ngomong-ngomong, informasi yang diterima membantu untuk sepenuhnya menghilangkan keberadaan penyerang di infrastruktur.


Skema penyerang yang bekerja melalui server Secret Net Studio Secret Log Studio


file kontrol file

KVRT. Alat antivirus gratis

www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

Kami dihubungi untuk meminta bantuan dalam menyelidiki insiden yang berkaitan dengan aktivitas jahat yang keluar (kegiatan botnet dan penambang) dari alamat publik perusahaan. Setelah menerima gambar dan log sistem, kami memulai analisis dan menemukan beberapa artefak yang menunjukkan kompromi dari layanan web publik organisasi dan file berbahaya yang tersisa. Sayangnya, ini tidak cukup untuk menjawab semua pertanyaan yang diajukan oleh pelanggan: antara lain, kami tidak menemukan jejak file penambang, meskipun tidak ada banyak waktu antara memperbaiki aktivitas berbahaya dan penyelidikan kami.

Kembali sekali lagi ke artefak dan log, kami menarik jejak beberapa pemindai antivirus gratis. Menjadi jelas bahwa file yang kami lewatkan dienkripsi dan dikarantina, dan cap waktu sistem file dihapus dengan aman.

Di antara scanner yang digunakan adalah KVRT, yang mendeteksi beberapa file berbahaya dan mengkarantina mereka. Lokasi standar file karantina adalah C: \ KVRT_Data \ Karantina, dan mendekripsi sangat mudah: XOR sederhana dengan kunci terkenal adalah e2 45 48 ec 69 0e 5c ac.


Karantina KVRT yang Didekripsi

Ternyata, administrator TI masih berhasil memindai sistem dengan pemindai antivirus gratis sebelum kedatangan kami, meskipun ada rekomendasi untuk tidak menyentuh apa pun.
Akibatnya, file yang dikarantina membantu menutup celah dalam kronologi peristiwa dan menjawab semua pertanyaan.


Setiap penyelidikan selalu merupakan sesuatu yang tidak biasa, unik dan serbaguna. Ya, ada artefak sistem operasi yang diketahui, tetapi sebelum penyelidikan dimulai, sulit untuk memprediksi kelengkapan informasi yang dapat diperoleh setelah analisis mereka. Oleh karena itu, sebelum penyelidikan teknis atas insiden tersebut, kami sarankan Anda mengambil inventaris perangkat lunak dan sistem dan tidak malas mempelajarinya sebagai sumber yang mungkin dalam penyelidikan.

More articles:


All Articles