Get best of the week

野生の情報セキュリティインシデントの調査:予期しない情報源

画像

コンピュータインシデントやデジタルフォレンジックの調査については多くのことが書かれていますが、多くの既製のハードウェアおよびソフトウェアツールがあり、オペレーティングシステムの主な成果物はよく知られており、マニュアル、書籍、記事に記載されています。難しいように思えます-マニュアルを読んで必要なものを見つけてください。しかし、これらの非常によく知られているアーティファクトの分析がイベントの年表を復元するのに十分な情報を提供しない場合、技術的に難しいケースがあります。この状況になるには?私たちは調査の実際の例でそれを分析します。

基本的なアーティファクトが一般的に不足しているのはなぜですか?いくつかの理由が考えられます。

  1. インフラストラクチャは、完全な監視とイベントへの応答のために適切に準備されていません(これについてはここで書きました
  2. , ( Digital Forensic)
  3. , ( – , MFT-).

したがって、インフラストラクチャが大規模で多様であり、インシデントが長期にわたって発生し、攻撃者が「細断されたkalach」である場合、そのすべてのアクションを明らかにしてイベントの年表を復元するには、追加の情報源が必要です。

状況に応じて、SIEMシステム、Netflowネットワークフローまたは未加工トラフィックの分析(実際には90%のケースではこれは不可能です)、および偶然にサードパーティソフトウェアに関連する異常なアーティファクトが偶然に救済につながる場合があります。お客様のインフラストラクチャで

私たちがやめる最後の種類のアーティファクトです。

Ivanti Endpoint Manager(以前のLANDESK Management Suite)。IT資産管理システム

www.ivanti.ru/company/history/landesk

新しい顧客の1人のモニタリングに接続して、彼のインフラストラクチャでサーバーの1つでのイベントログのクリーニングを検出しましたが、SIEMシステムで他の悪意のある活動の兆候はありませんでした。分析中に、サーバーがまだ危険にさらされており、攻撃者が特別な機器を使用して気付かれなかったことが判明しました。これは次のもので構成されています。

  1. セキュリティログイベントは別の一時ファイルにリダイレクトされました。
  2. 攻撃者が必要なアクションを実行し、
  3. イベントはセキュリティログにリダイレクトされ、
  4. 一時ファイルが削除されました。
  5. 利益!

その結果、セキュリティジャーナルは適切に設定されていたにもかかわらず、悪意のあるアクティビティに関連するイベントは含まれていませんでしたが、セキュリティジャーナル自体は変更されていないように見えました。

簡単な分析の結果、攻撃者はインフラストラクチャに約2〜3年「生存」しており、すべての主要サーバーを危険にさらすことが可能であることがわかりました。このような場合、いくつかの基本的なアーティファクトは擦り切れているか、情報がなく、インシデントの全体像を把握できないため、追加の情報源の価値が高まります。

追加の情報源を検索したところ、インフラストラクチャで使用されているサービスとシステムの口頭調査を実施したところ、監視の実装とともに、お客様がIT資産管理システムの導入を開始したことがわかりました
Ivanti Endpoint Manager。

システムがまだ不安定なため(エージェントからのイベントの一部
がサーバーに送信されなかったため)、サーバー上のホストからのイベントを集中的に表示できませんでした。それでも、Ivanti Endpointによってホスト上に直接保存されているアーティファクトを検索することにしたため、このソフトウェアはプロセスの起動に関する情報を次のレジストリブランチにローカルに保存していることがわかりました:

HKLM \ SOFTWARE \ Wow6432Node] \ LANDesk \ ManagementSuite \ WinClient \ SoftwareMonitoring \ MonitorLog \ <実行可能ファイルへのパス>

次の情報が対応するキーに保存されます。

  • 最初の開始時刻(FILETIME形式)
  • 最終実行時間(FILETIME形式)
  • 開始数
  • 実行可能ファイルが起動された権限を持つユーザー


Ivanti Endpointプロセス起動のアーティファクト

この情報のおかげで、以前は知られていない一部のシステムで攻撃者が出現する時間を特定することができました。さらに、彼のツールキットの一部は、実行可能ファイルの名前のみに基づいて公開されました。

Citrix NetScaler 企業のリソースとアプリケーションへのアクセスを提供するシステム

www.citrix.com/en-us/products/citrix-adc


Citrix NetScalerワークフロー

もう1つの興味深い調査。攻撃者はVPNを介して会社のインフラストラクチャに侵入しました。彼はUTC +8タイムゾーンで働いていました。認証後、それはかなり積極的に動作し(マスク/ 24および/ 16を使用してアクティブにスキャンされた内部サブネット)、その結果、実際にそれが認識されました。

VPNは、Citrix NetScaler Enterprise Resource and Application Systemで構成されました。ログを調査した結果、最初の「訪問」の時刻(侵害の日付を読む)、攻撃者が使用した従業員アカウント(ところで、5つ以上のアカウントが侵害された)、および攻撃元のプロキシサーバーのIPアドレスを特定することができました。

調査自体は正常に終了しました。私たちは妥協の原因をなんとか確立することができました。インターネットからアクセス可能な資格情報をリセットするための内部システムがSQLインジェクションの影響を受けることが判明しました。

しかし、ここで別のことに注意したいと思います。CitrixNetScalerでVPN認証を通過した後、すべてのHTTPユーザー要求が正常にログに記録されました。攻撃者はおそらくこれを知らなかったか、ネットワークインターフェイスを混乱させ、顧客の企業ネットワークを介して独自のクエリを検索エンジンに送信しました。これにより、攻撃者が関心を持っているシステム、攻撃者の能力、使用されているツールに関する情報を入手できました。


Citrix NetScalerログファイル


攻撃者がCitrix NetScalerを通じて探していた


情報攻撃者がCitrix NetScalerを通じて探していた情報

シークレットネットスタジオ。不正アクセスから情報を保護するためのシステム

www.securitycode.ru/products/secret_net

ある晴れた日、疑わしい認証インシデントのあるチケットが、夜に管理サーバーで会社のIT従業員のアカウントの下に最初の行に落ちました(従業員はその時に休暇中で、彼はVPNを持っていました持っていなかった)。アーキテクチャ上、管理サーバーは会社の他のいくつかの主要サーバー(シークレットネットサーバーを含む)とは別のネットワークセグメントに配置されていましたが、SIEMは管理サーバー自体からのみイベントを受信しました(残念ながら、顧客は常にすべての潜在的なソースに接続することに同意しているわけではありません) )

チケットを処理し、認証後に何が起こったかに関する情報を収集する最初の行は、さまざまな不審なプロセスの起動(非標準パス、1文字のバイナリファイル名)およびmstsc.exeの起動に遭遇し、RDPセッションの可能性を示しています。

これが妥協の可能性があることを認識し、すべてのサーバーの画像をリクエストしました
そして彼らの分析を始めた。最初のイメージ(シークレットネットサーバー)を開くと、プレゼントとして「大きな驚き」を受け取りました。システム、セキュリティ、およびアプリケーションのログが削除され、削除されたため、回復の試みも失敗しました。 SecretSサーバーのTerminalServicesログのエントリが、管理サーバーでのmstsc.exeの起動と同時に発生したことを比較することのみが可能でした。つまり、攻撃者は確実にシークレットネットを使用していました。残りのサーバーの分析も失敗しました。

その結果、攻撃者がそこにいることが確実にわかっている(彼は間違いなく何かを実行して開始した)状況にありましたが、トレースが削除され、
すべてのサーバーが同じサブネット上にあるため、ネットワークログがないため、ホストログはありません

このような状況でも解決策が見つかりました。Secret Netシステムは非常に用途が広く、カーネルレベルとユーザーレベルの両方の多くのコンポーネントで構成されています。Secret Netのさまざまなコンポーネントによって記録および保存された各ログファイルを分析した後、ファイル制御によって残されたいくつかの優れたアーティファクトに遭遇しました。すべてをまとめると、攻撃者のアクション(実際にはこのサブネットのすべてのサーバーにいた)と彼のツールに関する情報が得られました。

ちなみに、受け取った情報は、インフラストラクチャ内の攻撃者の存在を完全に取り除くのに役立ちました。


シークレットネットスタジオサーバーシークレットログスタジオファイル制御ファイルを介して作業する攻撃者のスキーム




KVRT。無料のウイルス対策ツール

www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

会社のパブリックアドレスから発信される悪意のあるアクティビティ(ボットネットおよびマイナーアクティビティ)に関連するインシデントの調査について、サポートに連絡しました。システムの画像とログを受け取り、分析を開始したところ、組織のパブリックWebサービスと残された悪意のあるファイルの侵害を示すアーティファクトが見つかりました。残念ながら、これは顧客からのすべての質問に答えるのに十分ではありませんでした。とりわけ、悪意のあるアクティビティの修正と調査の間に少し時間がかかりましたが、鉱山労働者のファイルトレースは見つかりませんでした。

再び成果物とログに戻って、いくつかの無料のウイルス対策スキャナーの痕跡に注目を集めました。欠落していたファイルが暗号化されて隔離され、ファイルシステムのタイムスタンプが安全に消去されたことが明らかになりました。

使用されたスキャナーの中には、KVRTがあり、いくつかの悪意のあるファイルを検出して隔離しました。検疫ファイルの標準的な場所はC:\ KVRT_Data \ Quarantineであり、ファイルの復号化は非常に簡単です。既知のキーを持つ単純なXORはe2 45 48 ec 69 0e 5c acです。


復号化されたKVRT検疫

後で判明したように、IT管理者は、何も触れないようにという推奨にもかかわらず、到着前に無料のウイルス対策スキャナーでシステムをスキャンすることに成功しました。
その結果、隔離されたファイルは、イベントの発生順のギャップを埋め、すべての質問に答えるのに役立ちました。


それぞれの調査は常に何か珍しい、ユニークで多目的なものです。はい、オペレーティングシステムには既知のアーティファクトがありますが、調査を開始する前に、分析後に取得できる情報の完全性を予測することは困難です。したがって、インシデントの技術調査の前に、ソフトウェアとシステムのインベントリを作成し、調査の潜在的なソースとしてそれらを調査するのに怠惰ではないことをお勧めします。

More articles:


All Articles