Несколько недель назад к нам за помощью обратилась компания, пострадавшая от атаки шифровальщиков. Уже в течение первого часа после уведомления наша команда была в полной боевой готовности:
🔴один из экспертов уже находился в серверной, подключаясь к системам и оценивая масштабы проблемы.
🔴группа аналитиков подготовила профили в средствах защиты информации, чтобы оперативно определить точки проникновения и потенциал дальнейших угроз.
🔴взаимодействующие команды за 15 минут развернули инфраструктуру для безопасного трансфера данных и готовы были подключиться, предоставляя дополнительные ресурсы — ведь больше рук в кризисе никогда не бывает лишним.
И вот здесь в дело вступают классические вопросы, которые неизменно звучат при расследовании инцидентов:
❓Когда началось. Определить точное время первого проявления атаки — ключ к тому, чтобы выстроить правильную хронологию событий.
❓Откуда пришли. Источник атаки часто подсказывает, с кем мы имеем дело, и какие методы они могли использовать.
❓Какова цель. Поняв, что именно искали или пытались заблокировать злоумышленники, можно точнее определить уязвимые точки.
❓Какие инструменты использовались. Каждый шелл, каждый эксплойт оставляет свои цифровые “отпечатки пальцев”.
В таких ситуациях скорость и качество работы команды решают всё. Всего за 6 часов:
🆗проверено более 400 активов на наличие следов компрометации.
🆗обнаружена точка входа — уязвимость CVE-2021-44228 на сервере VMware Horizon, которая позволила злоумышленникам проникнуть в инфраструктуру.
🆗выявлены критические артефакты: NTLM-хэш локального администратора, который оказался уязвим из-за повторного использования одного пароля на всех системах (ай-ай-ай, такие ошибки стоят дорого).
Далее злоумышленники, вооружившись этими данными, действовали по классической схеме:
🔜перемещение по сети: хэши учетной записи использовались для доступа к другим машинам.
🔜компрометация домена: на одной из машин была активна учетная запись доменного администратора, что позволило злоумышленникам снять дамп lsass.exe и получить ключи от всей сети.
🔜целевая атака на сервисы: найдены артефакты DonPAPI и попытки брутфорса учетных записей других активов.
🔜сбор учетных данных: злоумышленники обнаружили сохраненные пароли в WinSCP — еще одна недоработка безопасности.
🔜создание туннеля: при помощи Chisel был организован туннель для долгосрочного наблюдения за действиями компании. Но мы успели обломать их планы, обнаружив и устранив этот сюрприз.
🔜финальным аккордом стала атака шифровальщика семейства Babuk, который уничтожил всю виртуализацию компании.
И, конечно, без закона Мерфи не обошлось. Доступ к серверу с резервными копиями находился в той же сети, что и остальные серверы, да еще и с теми же учетными записями. Итог закономерен: злоумышленники добрались до резервных копий и уничтожили их все.
Помните, я говорил о нашей команде, которая готова оказать помощь в любой ситуации? Пока форензики проводили анализ, администраторы чудом сохранили конфигурации, и на их основе инфраструктура была восстановлена в облаке. Новая среда была жестко изолирована: доступ — только по четко заданным адресам и портам.
Следующей ночью компания полностью мигрировала в облако, и это произошло без потерь для бизнес-процессов. В результате, несмотря на атаку, компания не ощутила простоя, а сотни магазинов и десятки тысяч покупателей продолжили работу как ни в чем не бывало.
Мораль такова:
Ошибки допускают многие. Но только тишина, хладнокровие и преданность своему делу способны победить даже самые тяжелые последствия.
Результаты:
🟩все индикаторы компрометации (IoC) были собраны и переданы в соответствующие органы.
🟩за первые 24 часа команда устранила последствия инцидента и полностью сохранила непрерывность бизнес-процессов.
Написать этот пост меня вдохновил кейс компании @F_A_C_C_T , которая рассказывала о борьбе с киберпреступниками. Анализируя их описание, я узнал знакомый почерк и понял, кто был в гостях у нашей инфраструктуры. Это работа группировки Masque.
Тишина и профессионализм всегда побеждают громкие инциденты
🔴один из экспертов уже находился в серверной, подключаясь к системам и оценивая масштабы проблемы.
🔴группа аналитиков подготовила профили в средствах защиты информации, чтобы оперативно определить точки проникновения и потенциал дальнейших угроз.
🔴взаимодействующие команды за 15 минут развернули инфраструктуру для безопасного трансфера данных и готовы были подключиться, предоставляя дополнительные ресурсы — ведь больше рук в кризисе никогда не бывает лишним.
И вот здесь в дело вступают классические вопросы, которые неизменно звучат при расследовании инцидентов:
❓Когда началось. Определить точное время первого проявления атаки — ключ к тому, чтобы выстроить правильную хронологию событий.
❓Откуда пришли. Источник атаки часто подсказывает, с кем мы имеем дело, и какие методы они могли использовать.
❓Какова цель. Поняв, что именно искали или пытались заблокировать злоумышленники, можно точнее определить уязвимые точки.
❓Какие инструменты использовались. Каждый шелл, каждый эксплойт оставляет свои цифровые “отпечатки пальцев”.
В таких ситуациях скорость и качество работы команды решают всё. Всего за 6 часов:
🆗проверено более 400 активов на наличие следов компрометации.
🆗обнаружена точка входа — уязвимость CVE-2021-44228 на сервере VMware Horizon, которая позволила злоумышленникам проникнуть в инфраструктуру.
🆗выявлены критические артефакты: NTLM-хэш локального администратора, который оказался уязвим из-за повторного использования одного пароля на всех системах (ай-ай-ай, такие ошибки стоят дорого).
Далее злоумышленники, вооружившись этими данными, действовали по классической схеме:
🔜перемещение по сети: хэши учетной записи использовались для доступа к другим машинам.
🔜компрометация домена: на одной из машин была активна учетная запись доменного администратора, что позволило злоумышленникам снять дамп lsass.exe и получить ключи от всей сети.
🔜целевая атака на сервисы: найдены артефакты DonPAPI и попытки брутфорса учетных записей других активов.
🔜сбор учетных данных: злоумышленники обнаружили сохраненные пароли в WinSCP — еще одна недоработка безопасности.
🔜создание туннеля: при помощи Chisel был организован туннель для долгосрочного наблюдения за действиями компании. Но мы успели обломать их планы, обнаружив и устранив этот сюрприз.
🔜финальным аккордом стала атака шифровальщика семейства Babuk, который уничтожил всю виртуализацию компании.
И, конечно, без закона Мерфи не обошлось. Доступ к серверу с резервными копиями находился в той же сети, что и остальные серверы, да еще и с теми же учетными записями. Итог закономерен: злоумышленники добрались до резервных копий и уничтожили их все.
Помните, я говорил о нашей команде, которая готова оказать помощь в любой ситуации? Пока форензики проводили анализ, администраторы чудом сохранили конфигурации, и на их основе инфраструктура была восстановлена в облаке. Новая среда была жестко изолирована: доступ — только по четко заданным адресам и портам.
Следующей ночью компания полностью мигрировала в облако, и это произошло без потерь для бизнес-процессов. В результате, несмотря на атаку, компания не ощутила простоя, а сотни магазинов и десятки тысяч покупателей продолжили работу как ни в чем не бывало.
Мораль такова:
Ошибки допускают многие. Но только тишина, хладнокровие и преданность своему делу способны победить даже самые тяжелые последствия.
Результаты:
🟩все индикаторы компрометации (IoC) были собраны и переданы в соответствующие органы.
🟩за первые 24 часа команда устранила последствия инцидента и полностью сохранила непрерывность бизнес-процессов.
Написать этот пост меня вдохновил кейс компании @F_A_C_C_T , которая рассказывала о борьбе с киберпреступниками. Анализируя их описание, я узнал знакомый почерк и понял, кто был в гостях у нашей инфраструктуры. Это работа группировки Masque.
Тишина и профессионализм всегда побеждают громкие инциденты