[ This article was originally published here ]
SOC’den Hikayeler, AT&T SOC analist ekibi tarafından müşteriler için yürütülen ve raporlanan son gerçek dünya güvenlik olayı araştırmalarını açıklayan bir blog dizisidir.
Yönetici Özeti
Etkisi ve dünya üzerindeki sonsuz etkisi ile ünlüdür. Bu kötü amaçlı yazılımın 2016’da ortaya çıkmasından ve keşfedilmesinden günümüze ve bunun sonucunda ortaya çıkan tüm permütasyonlara kadar, siber güvenlik uzmanları bu Komuta ve Kontrol (C2 veya CnC) kötü amaçlı yazılımları ve ilgili adresleri yakından takip ediyor. Botnet kötü amaçlı yazılımı, güvenliği ihlal edilmiş ana bilgisayarlar ile merkezi komut sunucusu arasında aracı görevi gören ve kötü niyetli aktörün hedefleri doğrultusunda bir yük sağlamak için çok çeşitli Teknikler, Taktikler ve Prosedürler (TTP’ler) kullanabilen kötü niyetli IP adreslerini kullanır.
Son zamanlarda, bu kötü niyetli IP adreslerinden biri, 22 numaralı bağlantı noktası üzerinden bir kuruluştaki bir varlığa ulaştı ve şirketin dosya sunucusuna kesintisiz bir Güvenli Kabuk (SSH) oturumu oluşturdu; bu, bu şirketin en iyi güvenlik uygulamaları tarafından azaltılan bir ihlaldir. ortamda takip veya yanal hareket. Bu ihlal nihayetinde, kötü niyetli döndürme veya istismarı önleyen sağlıklı bir güvenlik duruşu nedeniyle IP’nin engellenenler listesine alınmasına ve durdurulmasına neden oldu.
Soruşturma
İlk alarm incelemesi
Uzlaşma Göstergeleri (IOC)
Alarm başlangıçta, Mirai botnet etkinliğiyle ilgili darbe tarafından bildirildiği üzere bilinen kötü amaçlı bir IP’den gelen bağlantı nedeniyle geldi. OTX, sürekli gelişen bir tehdit ortamı oluşturmak için kullanıcı tarafından gönderilen verilerden ve toplu siber güvenlik dünyasından yararlanan çok çeşitli Uzlaşma Göstergeleri (IOC’ler) içeren açık kaynaklı bir tehdit paylaşım platformudur.
Kanıtlanmış karşılık gelen ‘InboundConnectionAccepted’ eylemi, bağlantının hafifletilmediği ve 22 numaralı bağlantı noktası üzerinden iletişimin gerçekleştiği kendi kendini açıklayıcıdır. İlişkili olay, bu gelen bağlantıyı başlatan işlemler, oturum açmış kullanıcı ve işlem üst öğeleriyle daha ayrıntılı olarak detaylandırdı. Bu, etkilenen varlığın SolarWinds yazılımı tarafından yönetilen bir dosya sunucusu olduğunu ve tipik ağ davranışı ve durum bilgisi olan güvenlik duvarı kuralları nedeniyle bu gelen bağlantının kısmen kabul edildiğini ortaya çıkardı.
Genişletilmiş soruşturma
Olay arama
C2 etkinliği, kurbanın ortamına yerleştirilen ve saldırganın komut yürütmeye hazır bir cihaz veya ağ olduğunu bilmesini sağlayan bir tür işarete dayanarak, kalıcılık kazanmak için genellikle olumlu geri bildirim kullanır. Kötü amaçlı IP ile başarılı bir bağlantı kurulduğunu gördükten sonraki adım, kötü amaçlı IP adresinin çevreye daha fazla sızıp sızmadığını veya herhangi bir yanal hareket girişiminde bulunup bulunmadığını belirlemekti. Örnekte yapılan kapsamlı bir arama, kötü niyetli IP ile ilgili olduğu için yalnızca tek başvurulan olayı gösterdi, ancak bu başarılı bağlantıyı çevreleyen bağlamsal olaylar, C2 etkinliği girişimini doğruladı.
Olay derin dalış
Alarmla ilişkili olaya daha ayrıntılı bir bakış, bunun SolarWinds tarafından oluşturulan bir Dosya Aktarım Protokolü (FTP) yazılımı olan Serv-U.exe’yi kullanan bir dosya sunucusu olduğunu gösterir. Hedef bağlantı noktası 22, kötü niyetli IP ile iletişimi başarıyla barındırıyor ve yazılım tarafından otomatik olarak proxy’ye gönderilmiş gibi görünüyor, bu da bu bağlantının kesilmesi yerine kabul edilmesinin nedenine katkıda bulunabilir.
FTP açıkları, var olan halka açık dosya sunucularının sayısı nedeniyle web tabanlı saldırılarla aynı görüş alanına girer. Bunlar, internet bağlantısı olan herkesin sunucudaki güvenlik açıklarını potansiyel olarak kötüye kullanmasına ve bunlardan yararlanmasına olanak tanır. Bu özel durumda, halka açık FTP sunucusu, kötü niyetli bir IP’den gelen bir bağlantıya açıktı ve varlık üzerindeki verilerin güvenliği, sonraki güvenlik kontrolüne bağlıydı ve örtüşen azaltıcı fazlalıklarla katmanlı bir güvenlik duruşunun önemini vurguladı.
Ek göstergeler için gözden geçirme
Başarılı bağlantıdan hemen önce bir ProcessCreated olayı vardı. Bu olay, tespit edilen C2 (CnC) etkinliği için Microsoft’un kendi azaltma aracı olan Windows Defender’ın ‘SenseCnCProxy.exe’sinin kullanılmasıydı. Bu araç, dosya oluşturma ve yürütülmekte olan PowerShell komutlarına ek olarak, başarılı bağlantı yapıldıktan sonra bir kez daha kullanılır.
Çevreleyen olaylara daha ayrıntılı bir bakış, Windows’un Temp dizininde rastgele adlarla oluşturulan PowerShell komut dosyalarını ve ardından dahili varlıkları hedefleyen bir ping komutunun işlem yürütmesini gösterdi.
Şüpheli dosya oluşturma işlemlerinin daha ayrıntılı bir incelemesi, aslında bunun anormal bir davranış olmadığını ve aslında şirket için standart çalışma prosedürünün bir parçası olduğunu ortaya çıkardı. Kötü niyetli eylemlere benzeyen tipik dahili etkinlik, hem ile gürültü oluşturma riskini artırır hem de çok geç olana kadar beklenen etkinlikten ayırt edilmesinin zor olması nedeniyle bir güvenlik olayının fark edilmeme riskini artırabilir.
Bu etkinliğin, uygulama izin verilenler listesi ve herhangi bir otomatik eylemin özellikleriyle ilgili ayrıntılı belgelerle yoğun bir şekilde izlenmesi gerekir. Güvenli kimlik doğrulamaya ve iyi belgelenmiş bir komut yürütme zincirine dayanan otomasyon hizmetleri için güvenli, merkezi bir yönetim protokolü kullanmak en iyi güvenlik uygulamasıdır. Belirli güncelleme ilkelerini zorlamak için otomatik komut dosyalarının kullanılması, bu ortamda tamamen bekleniyordu ve kötü niyetli eylemlerin bir yan ürünü değil, ancak bu yalnızca olaydan sonra müşteri tarafından onaylandı.
Aynı şekilde, dahili varlıkları hedefleyen ping komutu da anormal değildi ve tam olarak bekleniyordu. Bununla birlikte, özellikle yüksek hacimli varlıklarla tipik olarak iletişim kuran bir FTP sunucusuyla ilgili olarak, güvenliği ihlal edilmiş bir ortamda bu etkinlikten kolayca yararlanılabilir.
Tepki
Soruşturmayı inşa etmek
Soruşturma, bu etkinliğin hem meşru hem de ortamda tam olarak beklendiğinden emin olmak için, referans alınan olaylarla birlikte dahili inceleme için oluşturulmuştur. Otomatik komut dosyası etkinliği anormal olmasa da, başarılı bağlantıyla bağlantılı olarak, kötü niyetli bir varlık tarafından kolayca yararlanılabileceği ve tipik bir etkinlik olarak görülebileceği için yine de bahsetmeye değerdi.
Kaydedilen C2 etkinliğinin azaltılması, rahatsız edici IP adresinin engellenenler listesine alınması kadar basittir, ancak asıl endişe ve soru, önleyici tedbirlerle ilgilidir. IP adresleri değişkendir ve her gün binlerce yeni ve kötü amaçlı IP adresi tanıtılır, bu da tüm kötü amaçlı IP’leri basitçe engelleme listesini imkansız hale getirir ve makine öğrenimi kesinlikle uzun bir yol kat etmiş olsa da, henüz tam olarak benimsenmemiş ve kullanılmamıştır. iyi sebep.
Sezgisel yaklaşımlar, dosya sunucuları gibi hassas, halka açık varlıkların içermediği ve makine öğrenimi azaltıcı eylemlere tamamen bağımlı olmak için gerekli olan kıpırdatma odası gerektirir. Bununla birlikte, durum bilgisi olmayan bir güvenlik duvarı ile birlikte, gelecek vadeden birçok tehdit, tipik harici tarama yoluyla satın alma işlemini bulamayacak.
Müşteri etkileşimi
Bildirim üzerine müşteri, IP’nin kötü niyetli yapısını doğruladı, alışılmadık ve beklenmedik bir etkinlik olduğunu doğruladı ve IP adresini engellenenler listesine aldı. Devam eden C2 etkinliğinin azaltılması bu açıdan basittir ancak zamana karşı oldukça duyarlıdır. Bu durumda, 22 numaralı bağlantı noktası üzerinden başarılı bağlantıya rağmen hiçbir kötü amaçlı yazılım yüklenmedi ve kalıcılık için kaydedilmiş bir girişim olmadı.
Sınırlamalar ve fırsatlar
Fırsatlar
Müşterinin takdirine bağlı olarak, acenteyi artırmak ve gerçek zamanlı yanıt eylemleri sağlamak için sağlanan hizmet için anlayışlı bir fırsat vardır. platform, kötü niyetli faaliyetlere ek bir engel sağlayacak ve sağlanan hizmeti en üst düzeye çıkaracaktır. Bu örnekte görüldüğü gibi, müşteri zamanında yanıt verdi, ancak bu durumda ek acente, güvenlik yükünün daha büyük bir kısmını paylaşacaktı.
reklam