РУССКИЙ
РУССКИЙ
ENGLISH
28.09.2022

Поймать цифровую тень

Полный контроль внешней поверхности атаки при помощи Group-IB Attack Surface Management

4 часа 18 минут. Именно столько времени понадобилось преступной группе LockBit, чтобы проникнуть в инфраструктуру жертвы и запустить шифровальщик. А вот что, к сожалению, не удивляет — так это прямое попадание шифровальщика в сеть компании через забытое средство удаленного доступа (RDP).
В ходе многочисленных реагирований на инциденты информационной безопасности (Incident Response) специалисты Group-IB регулярно видят атаки через забытые и неизвестные цифровые активы — тот же RDP-сервер, старые лендинги. Если забытые можно списать на человеческий фактор (открыли удаленный доступ подрядчику для выполнения работ, а потом забыли закрыть), то с неизвестными активами все сложнее.

Представьте ситуацию: в условном 2016 году маркетолог прибегает к айтишнику и просит срочно создать одностраничный сайт на домене promotionforthisproduct2016.com для продвижения какого-то товара. Домен создается, акция проходит, через год увольняется тот айтишник, еще через год — маркетолог. А в 2020-м на работу устраивается директор по информационной безопасности, которому, естественно, про этот домен и связанную с ним потенциально уязвимую инфраструктуру, никто не рассказал.
Кейс с атакой на один из банков при помощи шифровальщика LockBit
Наши команды в разных странах выезжают к клиенту на Incident Response, собирают улики и помогают в реагировании и устранении уже причиненного ущерба. В данной ситуации основная задача — как можно быстрее вмешаться в работу вредоносных программ, в идеале — на самых ранних этапах kill chain-цепочки. Но, к сожалению, это получается не всегда — иногда из-за того, что специалисты на стороне жертвы не понимают, что делать при обнаружении активной стадии атаки, а иногда из-за того, что атака развивается слишком быстро.

Есть такая поговорка: «Интернет все помнит». Она касается не только фотографий Бейонсе или дома Барбары Стрейзанд, но и активов, создаваемых любой компанией. Эти активы видят злоумышленники и с удовольствием используют их уязвимости и недостатки для проведения атак.
Откуда злоумышленники узнают, что инфраструктура жертвы не защищена или содержит уязвимости?
С одной стороны, злоумышленники могут обнаружить незащищенные или недостаточно защищенные активы, просто мониторя интернет-пространство, но данный подход требует хоть каких-то навыков. Можно поступить проще: воспользоваться специальными ресурсами в дарквебе, предлагающими доступы на продажу. Некоторые преступники специализируются именно на поиске уязвимых серверов, не эксплуатируя найденные бреши в инфраструктуре жертвы, а продавая их.

На картинке ниже показана одна из известных торговых площадок MagBo, в настоящее время здесь продается более 170 000 различных типов скомпрометированных доступов.

Общий размер рынка продажи доступов за период H2 2020 — H1 2021 составил $7 млн, что на 16% больше, чем за прошлый период. Аналитики Group-IB наблюдали рост предложений о продаже доступов на 204% и рост количества продавцов на 205%.

Такой рост был связан с тем, что из-за коронавируса компании в экстренном режиме переводили сотрудников на удаленную работу, создавая новые активы и рассчитывая заняться их защитой позже.

Данный сайт — лишь один из примеров продажи доступа к выделенным серверам. Множество подобных ресурсов специализируются на продаже доступов к серверам с открытыми портами 3389 (для RDP) или 443 (для HTTPS), а не только портами 25 и 80, как на изображении.

В случае с уязвимостями все достаточно просто: злоумышленнику достаточно понять, что на активах жертвы стоят старые версии программных продуктов. В новых версиях производители стараются закрывать те уязвимости, которые могут эксплуатироваться злоумышленниками. Так что от пользователя требуется лишь вовремя обновлять программное обеспечение продукта, но, по нашему опыту, не все делают это своевременно.

Одна из задач Group-IB как специалистов по кибербезопасности — предупреждать возможные атаки на наших клиентов. Поэтому мы выпустили решение класса EASM — Group-IB Attack Surface Management (ASM). Оно входит в Unified Risk Platform — единую платформу решений и сервисов для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда.
Решение Group-IB Attack Surface Management для управления поверхностью атаки индексирует все пространство IPv4, идентифицируя каждый ресурс, подключенный к Интернету, и регистрируя важные данные о каждом из них — какая операционная система используется, какое программное обеспечение и службы запущены, какие порты открыты и так далее. Используя другие общедоступные данные, такие как данные регистратора, записи DNS, данные Whois, SSL-сертификаты и многое другое, решение может идентифицировать цифровые связи между интернет-активами. Таким образом, просто введя основной домен вашего бизнеса, Group-IB Attack Surface Management может составить карту всей вашей внешней зоны атаки с прицелом на обнаружение теневых ИТ и других скрытых рисков. Решение позволяет увидеть всю поверхность атаки с точки зрения злоумышленника, чтобы оперативно провести глубокую оценку рисков и уязвимостей, и превентивно укрепить слабые места.
Что из себя представляет Attack Surface Management?
Attack Surface Management — это основанное на данных киберразведки Group-IB Threat Intelligence и полностью облачное SaaS-решение по мониторингу и управлению внешним периметром атаки, не требующее использования агентов. Решение обнаруживает и инвентаризирует все известные и неизвестные активы, относящиеся к вашей организации и доступные из интернета.

Group-IB круглосуточно мониторит интернет-пространство, обнаруживая IP, домены компаний, сертификаты SSL/TLS, облачные и локальные хранилища и программное обеспечение, работающее на обнаруженных хостах. Все выявленные активы категорируются и проверяются на уязвимости. Для более простого понимания проблемных зон существует восемь категорий, по каждой из которых отображается скоринг, где 0 — большое количество проблем, 10 — проблем нет.

Преимущество кибберазведки

Одним из основных конкурентных преимуществ решения Group-IB ASM является оперативное получение данных об угрозах, поступающие из системы киберразведки Group-IB Threat Intelligence. Это и выявления фактов взлома компаний благодаря мониторингу преступных групп, бот-сетей и теневого интернета (таких как упоминания в дарквебе, утечки пар логин-пароль, заражение веб-шеллами, JS-снифферами, хостинги вредоносных программ и т.д), и обнаружение недетектируемых атак с помощью уникальных индикаторов компрометации (IoC); а также атрибуции, приоритезации угроз и более быстрого реагирования за счет данных об атакующих, их инструментах и тактиках.

Вся эта информация позволяет заранее понять, что ваша компания стала интересна злоумышленникам, а, значит, заранее предотвращать атаки на пользователей или клиентов. Для удобства пользователей все выявленные цифровые активы визуализируются с помощью графа сетевой инфраструктуры — еще одной перспективной разработки инженеров из Group-IB.
Увидели проблемную зону. Что с ней делать дальше?
Чтобы и вам, и вашему клиенту было проще, мы сделали специальный раздел Issues, где можно не только отфильтровать все обнаруженные проблемы, но и получить подробную информацию о том, какие кибергруппировки используют данные уязвимости, как эти уязвимости эксплуатируются (с обозначением TTP по матрице MITRE ATT&CK) и — самое главное — какие мы даем рекомендации для устранения данных проблем.

Таким образом, мы не просто сообщаем клиенту, что у него на определенном домене не прописан DMARС, но и описываем подробный план действий для устранения проблемы, включая обучающие тренинги для персонала, где объясняют, почему нужно тщательно проверять отправителя письма:
В этом же разделе можно вручную приоритизировать проблемы и обозначить их как уже решенные или ложноположительные.
В разделе «Активы» есть шесть вкладок категорий активов, которые помогают клиентам устранять неполадки
Домены и субдомены
У крупных предприятий есть тысячи доменов и поддоменов, которыми нужно управлять и защищать. В некоторых случаях домены устарели и должны быть переведены в автономный режим. Вкладка “Домены” помогает клиентам идентифицировать устаревшие и ненужные домены, чтобы их можно было вывести из эксплуатации. Кроме того, на этой вкладке показаны риски для существующих доменов, которые могут потребовать реагирования.
IP-адреса
Как и в случае с доменами и поддоменами, IP–адреса являются основным компонентом поверхности атаки для бизнеса, и могут существовать тысячи или даже десятки тысяч IP–адресов, которыми нужно управлять. На этой вкладке представлен актуальный перечень всех IP-адресов, подключенных к основному домену клиента, обеспечивая видимость всего цифрового пространства, а также потенциальных рисков и проблем безопасности.
IP-подсети
IP–подсети могут предоставить субъектам угроз важную информацию об архитектуре сети предприятия: на сколько подсетей разбито цифровое имущество, максимальное количество узлов, которые может поддерживать каждая подсеть, и, возможно, назначение и область действия каждой подсети, исходя из типов внешних активов, которые они содержат. На этой вкладке можно быстро просмотреть все подсети в ИТ-инфраструктуре заказчика.
SSL-сертификаты
Если SSL-сертификаты не управляются должным образом, срок их действия может истечь и привести к дорогостоящему незапланированному простою веб-сайтов и приложений. На вкладке “Сертификаты SSL” отображаются такие проблемы, как сертификаты, срок действия которых приближается (или прошел), самозаверяющие сертификаты, устаревшие протоколы TLS и другие потенциальные угрозы безопасности.
Software
В данном разделе можно посмотреть всё автоматически найденное на хостах программное обеспечение и отфильтровать его по наличию уязвимостей, по самому продукту и по его версии.

Как видно на изображении ниже, все интерфейс очень простой, так что даже не разбирающийся в информационной безопасности человек сможет понять, что делать при той или иной уязвимости:
Например, мы видим, что на определенном хосте находится jQuery версии 1.11.1 с незакрытой CVE-2017-16012 (уязвимости больше четырех лет, но оставим это на совести заказчика), а на другом хосте этот же jQuery имеет версию 1.12.1, где эта уязвимость устранена. Логичный вывод: чтобы закрыть данную проблему, нужно просто обновить jQuery до новой версии.
Login forms
На ней отображаются "торчащие наружу" формы ввода логина и пароля и программное обеспечение, установленное на этих хостах:
Мы не утверждаем, что в этих формах стоят стандартные несложные пароли, но давайте будем откровенными: множество ваших заказчиков не могут следить за парольной политикой каждого сотрудника. Если админ создал домен по просьбе маркетологов под акцию в 2018 году и, чтобы они не забивали себе голову сложными паролями, установил пару admin/admin, то провести атаку brute force, механически подобрав пару логин-пароль, будет очень просто. А получив доступ к одному из активов компании-жертвы, атаку можно развивать дальше.

Благодаря перечисленным возможностям Attack Surface Management позволяет точно оценить защищенность компании и будет полезен специалистам по информационной безопасности, и системным администраторам и MSSP-провайдерам. А что самое интересное —информация, содержащаяся в Attack Surface Management, пригодится и руководителям компании, далеким от информационной безопасности и IT.

На простом и понятном дашборде со скорингом можно увидеть объективную ситуацию в режиме реального времени — вне зависимости от того, насколько уверенно IT-директор говорит, что все в порядке. А рекомендации по устранению проблем позволят максимально быстро улучшить защиту.

Получите полную картину внешней
поверхности атаки с
Attack Surface Management
Защита внешнего периметра от кибератак и управление рисками