Злочинців виявили за допомогою служби ATP у Програмі Windows defender

Коли в грудні 2016 року німецький промисловий конгломерат повідомив, що на початку року піддався атаці, виявилося, що за зломом даних стояла професійна злочинна група, що займається промисловим шпигунством. За даними німецької преси, атака здійснювалася на базі впровадженого файлу з сімейства Winnti, який забезпечував зловмисникам постійний доступ до мережі конгломерату з лютого 2016 року.

Під катом ми розглянемо впроваджений шкідливий файл Winnti в тому вигляді, в якому він використовувався двома відомими злочинними групами BARIUM і LEAD. Ми подивимося, як вони впроваджували файл в різні системи, а також дізнаємося, з допомогою яких методів дослідники Microsoft його відстежували.



Щоб показати способи боротьби з цим і подібними погрозами, ми розглянемо, як служба Advanced Threat Protection (ATP) у Програмі Windows defender позначає діяльність, пов'язану з BARIUM, LEAD та іншими відомими злочинними групами, та надає для них розширену аналітику загроз. Ми простежимо за процесом установки впроваджуваного файлу Winnti і вивчимо, як служба ATP у Програмі Windows defender фіксує використовувані в цей час методи і засоби, надаючи наочну контекстну інформацію для дослідження реальної атаки і прийняття відповідних заходів. Потім ми обговоримо, як централізоване реагування в рамках покращеної служби ATP у Програмі Windows defender, доступною в оновленні <a href=«aka.ms/habr_320980_3>Windows 10 Creators Update, дозволяє швидко зупинити загрози. Зокрема, служба блокує комунікації в цілях управління і контролю, забороняє впровадженим файлів встановлювати додаткові компоненти і поширювати загрозу на інші комп'ютери в мережі.

Злочинні групи Winnti: BARIUM і LEAD
Аналітики Microsoft Threat Intelligence пов'язують шкідливу програму Winnti з різними злочинними групами. Ці висновки робляться на основі низки артефактів атаки (колекцій шкідливого ПЗ, супутньої інфраструктури, інтернет-особистостей, профілів жертв та ін), з допомогою яких інтелектуальний граф безпеки Microsoft категоризує шкідливу діяльність, відносячи її до тих або іншим виконавцям. Кожна з таких груп отримує кодову назву одного з елементів періодичної таблиці. У випадку з даним шкідливим ПЗ, Winnti, його активно використовують групи BARIUM і LEAD. Незважаючи на загальний інструмент атаки, сценарії вторгнення у цих груп значно відрізняються.

BARIUM починає свої атаки, налагоджуючи в соціальних мережах відносини з потенційними жертвами, особливо серед тих, хто працює у відділі з розвитку бізнесу або у відділі кадрів. Встановивши особистий контакт, члени BARIUM переходять до цільового фішингу жертви. Для цього застосовуються різноманітні нескладні вектори установки, включаючи шкідливі файли ярликів (LNK) з прихованим вмістом, скомпільовані файли HTML-довідка (CHM) або документи Microsoft Office з макросами та експлойта. На початковому етапі вторгнення використовується впроваджуваний файл Win32/Barlaiy, який часто використовує для управління і контролю профілі в соціальних мережах, сайти спільного редагування документів і блоги. Далі для постійного доступу використовується файл Winnti. Більшість зафіксованих на даний момент жертв працювало у сфері електронних ігор, мультимедіа та інтернет-контенту, хоча серед них зустрічалися і співробітники технологічних компаній.

Група LEAD, навпаки, зарекомендувала себе як професіонал у промисловому шпигунстві. В останні кілька років жертвами LEAD ставали:

  • Транснаціональні багатогалузеві гіганти в таких сферах, як виробництво текстилю, хімікатів і електроніки.
  • Фармацевтичні компанії.
  • Компанія в хімічній галузі.
  • Університетський факультет з авіаційного проектування та досліджень.
  • Компанія, що бере участь в проектуванні і виробництві автомобільних двигунів.
  • Компанія з кібербезпеки, що забезпечує захист галузевих систем управління.
Метою LEAD була крадіжка конфіденційних даних, включаючи дослідні матеріали, технологічні документи та проектні плани. Учасники LEAD також крали сертифікати програмних підписів, щоб підписувати своє шкідливе ПО в наступних атаках.

В більшості випадків в атаках LEAD не застосовувалися передові технології експлойтів. Крім того, група не прагнула налагодити контакт з жертвою до початку атаки. Замість цього вони просто відправляли потенційним жертвам установник Winnti по електронній пошті, використовуючи базові прийоми соціальної інженерії, щоб переконати одержувача запустити вкладене шкідливе ПО. У ряді випадків LEAD отримувала доступ до мети, дізнаючись облікові дані для входу та доступу за допомогою атаки методом підбору, виконуючи впровадження коду SQL або експлойти на незахищених веб-серверах. Після чого установник Winnti безпосередньо копіювався на зламаний комп'ютер.

Стеження за Winnti
Служба Microsoft Analytics показує, що загроза Winnti має відношення до вторгненням, досконалим за останні 6 місяців в Азії, Європі, Океанії, на Близькому Сході та у США (див. рис. 1). Остання серія спостережуваних атак сталася в грудні 2016 року.


Малюнок 1. Географія використання Winnti з липня по грудень 2016 року

Хоча для відстеження таких загроз, як Winnti, потрібно традиційна дослідницька робота, аналітики Microsoft Threat Intelligence виходять на новий рівень завдяки машинного навчання. Коли зловмисники використовували Winnti для збереження доступу до веб-серверів, вони маскували шкідливий файл під надійний і перевірений і залишали його у всіх на виду. Таке сталося і під час двох відомих атак в 2015 році — тоді впроваджену DLL-бібліотеку зловмисники назвали ASPNET_FILTER.DLL, що співзвучно з назвою DLL-бібліотеки для фільтра ASP.NET ISAPI (див. табл. 1). І хоча між надійним і шкідливим файлом були очевидні відмінності, для фільтрації останнього довелося б проаналізувати набір даних з мільйонами можливих імен файлів, видавців та сертифікатів. Щоб скоротити цей набір даних і відокремити значущі шкідливі аномалії від нешкідливих даних, дослідники Microsoft вдалися до комбінації з виявлення аномалій і керованого машинного навчання.


Таблиця 1. Надійний файл ASPNET_FILTER.dll і замаскований зразок Winnti

Заходи проти атак Winnti
Технологія ATP у Програмі Windows defender допомагає фахівцям з мережевої безпеки застосувати різносторонній підхід у боротьбі з атаками від груп зловмисників начебто LEAD і BARIUM. Такі приклади були розроблені за допомогою інсталятора Winnti, що використовувався в атаках в грудні 2016 року.

Оповіщення про активних вторгненнях
Фахівці Microsoft Threat Intelligence безперервно стежать за групами LEAD і BARIUM, фіксуючи тактику, методи і процедури, що використовуються ними в своїх атаках. Особлива увага при цьому приділяється засобам та інфраструктури, за допомогою яких проводяться ці атаки. Технологія ATP у Програмі Windows defender постійно стежить за захищеними системами, виявляючи подібні індикатори шкідливої діяльності та сповіщаючи про їх присутність персонал Операційного центру безпеки (SOC).


Малюнок 2. Оповіщення про загрозу в ATP Захисника Windows

Щоб забезпечити контекст подібних повідомлень, ATP у Програмі Windows defender також надає коротку зведення історії групи, її цілей, методів і засобів (рис. 3) з посиланнями на більш детальну документацію для технічно підкованих користувачів.


Малюнок 3. Коротка інформація про гурт Lead і розширена документація

ATP у Програмі Windows defender також вміє виявляти раніше невідомі атаки, відстежуючи в поведінці системи індикатори шкідливого поведінки, в тому числі:

  • Встановлення, збереження і активація шкідливих програм.
  • Приховані процеси управління і контролю (через трояни-бекдори).
  • Крадіжка облікових даних.
  • Поширення по іншим комп'ютерам в мережі.
Приміром, багато сімейства шкідливого ПО реєструються як служби під час установки, щоб зберегти присутність після перезавантажень. Більшість шкідливих програм, що діють такими методами, змінюють необхідні ключі реєстру таким чином, який не відповідає профілю надійної програми. Winnti не виняток, і тому в процесі установки Winnti служба ATP у Програмі Windows defender може створювати оповіщення про аномальному поведінці (рис. 4).


Малюнок 4. Оповіщення про аномальному створення служби

Щоб поліпшити охоплення і знизити кількість хибнопозитивних спрацьовувань, використовується інтелектуальний граф безпеки, що дозволяє відрізнити підозрілу поведінку від несуттєвого. Так що оповіщення створюються тільки при повній впевненості у шкоду того чи іншого файлу або процесу. При цьому поряд з методом створення служби враховується вік файлу, його глобальне розповсюдження та наявність дійсної цифрового підпису.

Визуализированная контекстна інформація ATP у Програмі Windows defender надає докладну візуалізовану технічну інформацію по сповіщень, викликаним спеціальною службою аналізу загроз, прив'язаною до груп дій, або просто підозрілою поведінкою. Візуальна інформація дозволяє персоналу SOC збирати відомості про них і пов'язаних з ними артефакти, розуміти масштаб проломи і готувати комплексний план дій. На знімках екрана нижче показано, як ATP у Програмі Windows defender чітко відображає установку Winnti, за якою установник скидає бібліотеку DLL на диск (рис. 5), завантажує DLL за допомогою rundll32 (рис. 6), налаштовує DLL як службу (рис. 7) і зберігає копію себе в C:\Windows\Help (рис. 8).


Малюнок 5. Установник Winnti скидає бібліотеку DLL


Малюнок 6. Установник Winnti завантажує бібліотеку DLL за допомогою rundll32


Малюнок 7. Winnti налаштовує себе як службу для зберігання


Малюнок 8. Установник копіюється в C:\Windows\Help\

ATP у Програмі Windows defender відображає ці дії як дерево процесів у часовій шкалі інфікованого комп'ютера. З допомогою дерева процесів аналітики легко можуть виділити детальну інформацію про те, як вбудована бібліотека скидається установником, яка команда використовується для запуску rundll32.exe і завантаження DLL, а також які виробляються зміни в реєстрі, щоб налаштувати бібліотеку DLL як службу. Ця інформація дає розуміння того, які первинні засоби можна використовувати, щоб оцінити масштаб проломи.

Варіанти відповіді на загрозу
У Windows 10 Creators Update представлені деякі додаткові параметри ATP у Програмі Windows defender, які дають персоналу SOC варіанти негайного усунення ризиків виявленої загрози. Якщо зловмисник атакує комп'ютер з встановленою ATP у Програмі Windows defender, персонал SOC може ізолювати цей комп'ютер від мережі, блокуючи управління і контроль копії шкідливої програми, тим самим заважаючи атакуючим встановлювати додаткові шкідливі програми і переходити на інші комп'ютери в мережі. Між тим з'єднання зі службою ATP у Програмі Windows defender зберігається. Поки комп'ютер ізольований, персонал SOC може віддати команду зараженому пк збирати оперативні дані, такі як кеш DNS або журнали подій безпеки, які потім використовують для перевірки повідомлень, доступу до стану вторгнення і проведення подальших дій.


Малюнок 9. Варіанти відповіді на загрозу для атакованого комп'ютера

Зупинка і приміщення копії Winnti в карантин є ще одним варіантом відповіді, який дозволяє зупинити атаку на одному комп'ютері. Немає даних, що LEAD і BARIUM використовуються для повномасштабного цільового фішингу, тому персонал SOC навряд чи зіткнеться з тим, що атаку шкідливих програм з цих груп піддадуться відразу кілька комп'ютерів одночасно. Тим не менш ATP у Програмі Windows defender також підтримує блокування копій шкідливої програми по всьому підприємству, зупиняючи повномасштабні атаки на ранніх стадіях (рис. 10).


Малюнок 10. Варіанти відповіді на загрозу для файлу Winnti

Висновок: скорочений час виявлення проломи для зменшення наслідків
Згідно з новими повідомленнями, виявлення та усунення ризиків атак на промислові конгломерати може займати кілька місяців. Часу, що пройшов з моменту виникнення проломи до її виявлення, може вистачити атакуючим для визначення знаходження інформації та її копіювання.

З вдосконаленими можливостями виявлення проломи після атаки ATP у Програмі Windows defender персонал SOC може скоротити цей час до декількох годин або навіть хвилин, значно знижуючи вплив від доступу наполегливого зловмисника до мережі. ATP у Програмі Windows defender надає вичерпну інформацію про групах дій, відповідальних за атаку, дозволяючи клієнтам зрозуміти такі аспекти атаки, як загальні прийоми прикладної соціології та регіональні особливості атак, які не можуть бути отримані через мережу і датчики кінцевих точок. Маючи актуальну візуалізовану інформацію, аналітики можуть вивчити поведінку шкідливих програм на заражених комп'ютерах, аж до планування відповідної реакції. І нарешті, у зв'язку з майбутнім оновленням Creators Update, ATP у Програмі Windows defender отримає додаткові можливості виявлення таких загроз, як Winnti, а також централізованих відповідей на загрозу, таких як ізоляція комп'ютера і блокування файлів, що дозволяють швидко ізолювати відомі точки розвитку атаки.

Сервіс ATP у Програмі Windows defender вбудований в ядро Windows 10 Корпоративна, його роботу можна оцінити безкоштовно.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.