Щедрость владельцев инфраструктуры не победить! Часть 3

Киберинциденты – это не всегда про громкие утечки, сложные APT-группировки и технологии будущего. Иногда это про человеческие ошибки, странные управленческие решения и неожиданные повороты, которые могли бы стать отличным сюжетом для комедии, если бы не реальные последствия.

Автор: Денис Гойденко, руководитель PT ESC IR, Positive Technologies

Медленный спуск в реальность

В разгар расследования киберинцидента сотрудники заказчика договорились встретиться. Один ждал другого на улице. Ждал долго. Спустя час в чате появляется загадочное сообщение:

– Я начинаю постепенно спускаться.

Звучит как реплика героя в финале сложного квеста. На деле – обычная потеря ощущения времени в процессе тушения цифрового пожара. В офисе кипела работа, анализировались логи, проверялись гипотезы. А где-то внизу, на улице, одинокий человек задумался, не сменить ли ему профессию на что-то менее динамичное – например, стать парковой статуей.

Запуск флагов

В разгар сбора форензики сотрудники заказчика запустили дампер... вернее, почти запустили. Один из них вместо самой утилиты попробовал запустить её флаги:

– Почему ничего не работает?! – А что ты запустил?
– Ну вот, –memory –full –dump

Ожидалось, что пойдет сбор артефактов, а в итоге – только глубинное осознание, что флаги без программы бесполезны. Зато теперь все точно знают, что запустить параметры без утилиты так же эффективно, как заправить бензин в ведро и надеяться, что оно поедет.

Следствие в чистом поле

Нам прислали форензик-данные для анализа. Открываем, смотрим и не понимаем: а где, собственно, следы хакеров? Оказалось, что машины, с которых их собирали, только что были переустановлены.

Это как приехать на место преступления, а там уже не только все улики убрали, но и сам дом снесли, новый построили и жильцов заселили. Спасибо, конечно, за свежий образ системы, но расследовать, увы, было нечего.

Когда время уже не имеет значения

Расследование давно завершено, отчеты сданы, все выводы сделаны. И вот, через четыре месяца, неожиданное сообщение:

– Прислали данные по тому компьютеру.

Интрига! Может, что-то важное всплыло? Открываем – и, конечно же, это данные с только что переустановленной системы.

То есть не просто "поздно", а "бессмысленно". Как если бы детективу спустя полгода после дела прислали улики, но не с места преступления, а с новенькой квартиры, построенной на его месте.

Админ-хакинг

Администраторы, как известно, любят нестандартные решения. Например, часто Mimikatz помогает вспомнить забытые пароли, становясь неофициальным менеджером паролей. Но однажды мы обнаружили особо креативного админа, который решил управлять виртуальной инфраструктурой через RAT (удаленный доступ).

– Не все "ратники" работают стабильно, – жаловался он. – Одни вообще отваливаются, другие антивирус жрет, приходится VMProtect-ом накрывать.

72 наблюдателя и один работяга

Был у нас чат с заказчиком – 72 участника. Казалось бы, коллективный разум, оперативное обсуждение, быстрые решения.

Но на деле вопросы задавали мы, а отвечал только один человек. Остальные, судя по всему, практиковали кибердзен: молчание, созерцание, невмешательство.

Видимо, чем больше людей в чате, тем меньше вероятность, что кто-то проявит инициативу. Остальные предпочли занять стратегическую позицию наблюдателя и дождаться, пока кто-то другой разберется. И ведь сработало! Для них.

Послание незваным гостям

Некоторые администраторы защищают системы патчами, мониторингом и сложными паролями. А один решил бороться с хакерами психологически.

Он оставлял для них бранные послания прямо в паролях – что-то вроде "HackersGoAway123!" и похлеще. Но этого ему показалось мало, поэтому на рабочем столе еще лежали документы с многообещающими названиями типа "Пароли_срочно.docx", открыв которые злоумышленник находил не таблицу с учетками, а отборные ругательства.

Метод, конечно, сомнительный, но, возможно, некоторые хакеры действительно обижались и уходили.