Контакты
Подписка 2025

Невыдуманная история расследования одного инцидента

Василий Кочканиди, 20/12/24

Компания RuSIEM, разработчик решений в области мониторинга и управления ИБ- и ИТ-событиями, регулярно оказывает поддержку партнерам в пилотных проектах по внедрению в инфраструктуру заказчика своей SIEM-системы. В 2024 г. специалисты RuSIEM уже приняли участие более чем в 250 пилотах.

Автор: Василий Кочканиди, аналитик RuSIEM

В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.

С чего все начиналось

При входе в веб-интерфейс RuSIEM пользователь попадает на страницу дашбордов, где у него есть возможность оценить общее состояние системы и ее ключевые параметры.

В нашем случае оператор обратился к виджету "Исходящие порты", где увидел подозрительную цифру 8888, которая появилась в облаке исходящих сетевых соединений. Так как данный порт публично не закреплен за распространенными сетевыми службами, это вызвало интерес со стороны службы безопасности.

ris1-Dec-20-2024-10-07-25-4719-AM

Одновременно система выдала алерты "Подозрительный запуск приложений через WMI" и "Sysmon: Подозрительный запуск приложений через WMI" – инциденты, которые могут указывать на злонамеренные действия.

ris2-Dec-20-2024-10-09-27-0425-AM

Выявляем инцидент с помощью детектирования по сетевым артефактам

После исследования интерактивного виджета, который выявил несколько событий от систем межсетевого экранирования, оператор нашел соединения на подозрительный порт 8888 адреса 185.188.183.96, исходящие от рабочей станции oc.analitik.local 172.16.0.143. Данные события отображались в системе, так как ранее в RuSIEM были заведены логи со всех рабочих станций инфраструктуры, а также журналы коммутационного оборудования.


Далее аналитик обратился к карточке инцидента, в которой был перечислен набор необходимых для старта расследования данных, а именно: хост источника событий, симптом, указывающий на создание нового процесса, имена пользователей запустившегося и родительского процессов, а также MITRE ID – указатель на технику MITRE ATT&CK, изучив которую, можно понять, чем опасен данный инцидент.

Выявить угрозу помог продвинутый метод детектирования по сетевым артефактам, который заложен в правило корреляции RuSIEM. В данном случае мы увидели подозрительный запуск процесса через WMI – техника MITRE ATT&CK T1047.

На станции oc.analitik.local запустился новый неизвестный процесс rdte152.exe, причем через Windows Management Interface (WMI) в служебном интерфейсе, который используют сетевые администраторы для управления инфраструктурой.

Еще одной подозрительной деталью стало имя пользователя "rat" ("крыса"), так как несоответствие общепринятому именованию учетных записей может быть обусловлено традиционным сленгом хакерских группировок.

ris4-Dec-20-2024-10-22-20-9997-AM

IP-адрес, по которому происходило соединение, отсутствовал в базах IoC (индикаторы компрометации) и не вызвал подозрений ни у средств обнаружения вторжений, ни у антивирусного программного обеспечения. Проверив его на сайте virustotal.com, оператор все же подтвердил опасения.

ris5-Dec-20-2024-10-11-27-9765-AM

При ближайшем рассмотрении событий межсетевого экрана станции oc.analitik.local обнаружилось ПО, осуществившее попытку сетевого взаимодействия – rdte152.exe.

Сравнив PID процесса из инцидента "Подозрительный запуск приложений по WMI" и PID процесса из события сетевого экрана, аналитик сделал вывод, что обнаруженные RuSIEM события и инцидент связаны, так как указывают на один и тот же подозрительный процесс.

ris6-4

Реагируем на инцидент вместе с ИТ-службой

Для реагирования на инцидент была задействована ИТ-служба, которая срочно заблокировала учетную запись "rat" в домене и запретила на файрволе соединения с адресом 185.188.183.96.

Следующий шаг – поиск информации о запуске процесса на станции через RuSIEM. Оператор создал запрос к системе для поиска по Host=172.16.0.143, process.id = 5988 (его нашли в событии межсетевого экрана станции) и event.id:1 (код события "Создание процесса").

ris7-1

Система нашла событие от службы расширенного мониторинга Windows — Sysmon, который сохраняет hash исполняемого файла, что позволило оператору:

  • оперативно оценить программу на сайтах типа virustotal.com, не имея доступа к исполняемому файлу;
  • определить повторный запуск этой программы даже в случае ее переименования.

При подробном рассмотрении события в системе RuSIEM мы видим несколько артефактов, представленных в полях таксономии события.

  • ПО было запущено через интерфейс WMI.
    ris8-1
  • Процесс создан пользователем "rat". Можно найти и проанализировать всю его активность в инфраструктуре, так как в SIEM есть логи со всех рабочих станций инфраструктуры, в частности Sysmon.
    ris9
  • ID удаленного входа в систему пользователя "rat". Сессии пользователя присвоен тег, который дает возможность найти его действия в большом потоке событий, используя механизмы фильтрации RuSIEM.
    ris10-1

Удаленный запуск приложений по протоколу WMI очень опасен для инфраструктуры, потому что процессы запускаются с повышенными правами и могут использоваться абсолютно на всех рабочих станциях. Чтобы блокировать источник, необходимо определить станцию, с которой произошла атака.

Для этого оператор провел поиск событий на станции по тегу 0х6D114 – идентификатору входа. Сгруппировав сотни разрозненных событий по симптомам (symptoms.id), RuSIEM представила в читаемом виде антологию происходящего.

ris11-2

После того как была найдена рабочая станция атакующего, в дело вступила команда реагирования.

Дальнейшие действия оператора SOC, специалистов ИБ и ИТ по изоляции вовлеченных станций, нахождению точек входа и нейтрализации последствий привели к успешному закрытию инцидента.

Вывод

Столкнувшись с угрозой, важно получить оперативный доступ к информации и правильно подсветить происходящее. Классические средства защиты, такие как антивирус и межсетевой экран, не всегда могут показать полную картину активности в сети и событий безопасности.

Использование базовых индикаторов компрометации, таких как hash файлы, ip-адреса и доменные имена, бывает неэффективно – хакеры могут применять одноразовые сборки вредоносов и новые адреса для каждой конкретной атаки, обманывая системы защиты. Оперативно отреагировать на подобные угрозы в этом случае поможет грамотно настроенная SIEM-система.

Темы:SIEMRuSIEmЖурнал "Информационная безопасность" №5, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...