Защита от Operation Harvest с помощью McAfee Security Platform


Команда McAfee Enterprise по изучению сложных угроз (McAfee Advanced Threat Research — McAfee ATR) подготовила подробный обзор тактик и технологий MITRE, которые хакеры использовали в рамках кампании Operation Harvest. Мы расскажем, как остановить атаки типа Operation Harvest с помощью платформы MVISION Security Platform от McAfee Enterprise, а также познакомитесь с передовыми практиками организации архитектуры безопасности.

Как и в других целевых кампаниях, в Operation Harvest используется несколько техник для доступа к сети и сбора учетных данных перед их захватом. По этой причине у специалистов по защите сетей будет больше возможностей для предупреждения, обнаружения и предотвращения вредоносной деятельности. Своевременная профилактика, выявление и реагирование на такую деятельность очень важны для устойчивости бизнеса. Ниже представлена обзорная информация о том, как защититься от атак типа Operation Harvest с помощью решения McAfee MVISION Security Architecture. В этой публикации мы приведем несколько примеров того, как MVISION Security Platform эффективно противостоит таким атакам.

Подготовка благодаря актуальным данным о киберугрозах (Threat Intelligence)

Цель любого специалиста по защите сетей — предупредить, обнаружить и предотвратить угрозу как можно раньше. На первом этапе для этого используются данные о киберугрозах, полученные из блогов или решений наподобие MVISION Insights. Кроме того, специальные инструменты, например, MITRE ATT&CK® Navigator, помогут оценить защищенность системы. В блоге команды ATR подробно описаны техники, индикаторы и инструменты, используемые хакерами. Многие из инструментов кампании Operation Harvest широко используются другими киберпреступниками, поэтому сведения об угрозах из PlugX и Winnti уже задокументированы в MVISION INSIGHTS.

В последней версии решения MVISION Insights уже доступны новейшие технические данные об атаке Operation Harvest, включая краткое описание, уровень распространенности, индикаторы компрометации и рекомендуемые меры противодействия.

Защита против первоначального доступа

В рамках указанной атаки для первоначального доступа используется скомпрометированный веб-сервер. За последний год киберпреступники активно применяли иные способы получения такого доступа (кроме целевого фишинга), например, взлом систем удаленного доступа или атаки на цепочки поставок. Эксплуатация общедоступных уязвимостей — техника первоначального доступа, которая характерна для Operation Harvest и других APT-кампаний. Обнаружение и блокировка этих действий позволит серьезно ограничить возможность реализации стратегий кибератаки. В дополнение к контролю текущих операций, очень важно вовремя устанавливать патчи критических уязвимостей и проверять конфигурации на соответствие передовым практикам в области безопасности. MVISION UCE обеспечивает защиту от подозрительных активностей благодаря видимости угроз и уязвимостей, а также аудитов системных настроек, отвечающих концепции MITRE ATT&CK.

Многие приложения и веб-серверы заказчиков работают на облачной инфраструктуре. Специалисту по защите сетей крайне важно видеть и исправлять ошибки конфигурации этих сред, так как они часто становятся точкой доступа для хакеров. Платформа защиты нативных облачных приложений MVISION Cloud Native Application Protection Platform (CNAPP) обеспечивает непрерывный мониторинг нескольких облачных инфраструктур с единой консоли, позволяя быстро устранить некорректные системные настройки и повысить эффективность защиты AWS, AZURE и Google Cloud.
Защита сервера или конечного устройства от вредоносных инструментов

Киберпреступники загружали во взломанные системы известные вредоносные или потенциально вредоносные инструменты. Модули ENS Threat Prevention и Adaptative Threat Prevention (ATP) обнаруживали многие такие программы при установке или выполнении. ePolicy Orchestrator (ePO) обеспечивает простой поиск событий с возможностью просмотра систем с обнаруженными уязвимостями.

Для наилучшей защиты будет полезно включить функцию сбора глобальных данных о киберугрозах (Global Threat Intelligence, GTI) в модулях Threat Prevention и Adaptive Threat Protection. В модуле ATP должны быть активированы Правила 4 (проверка репутации файла GTI) и 5 (проверка репутации URL). Последняя версия глобальных данных о киберугрозах уже содержит новые индикаторы для атаки Operation Harvest.

Кроме того, на основе наших наблюдений мы установили ряд других правил адаптивного предотвращения угроз (Adaptive Threat Prevention, ATP), которые помогут остановить или выявить потенциально вредоносные действия на конечном устройстве или сервере. В журналах событий угроз ePO обращайте особое внимание на следующие события ATP:

Правило 269. Обнаружение потенциально вредоносного использования сервиса WMI для обеспечения сохраняемости
Правило 329. Выявление подозрительного использования «запланированных задач»
Правило 336. Обнаружение подозрительных нагрузок, нацеленных на сетевые службы или приложения, с помощью инструментов двойного назначения
Правило 500. Блокируйте боковое перемещение с помощью утилит типа Psexec с зараженного клиента на другие машины сети
Правило 511. Обнаружение попыток передачи конфиденциальной информации, связанной с данными доступа, по lsaas

В ходе дальнейшего анализа мы сформулируем дополнительные правила ATP, актуальные для данной атаки, которые будут включены в руководство по борьбе с ней в MVISION Insights.

ENS с Expert Rules

Expert Rules (экспертные правила) — многофункциональный настраиваемый язык сигнатур, который используется в модуле ENS Threat Prevention Module. Чтобы предотвратить атаку Operation Harvest, необходимо задать правила для выявления возможного неправильного использования Psexec или блокировки выполнения или создания файлов определенного типа, например, RAR.

Дополнительные инструкции по созданию собственных Expert Rules, а также ссылка на наш репозиторий:
Как использовать Expert Rules в ENS для борьбы с вредоносными эксплойтами
Репозиторий ATR Expert Rule

Перед применением для блокировки мы рекомендуем заказчикам протестировать новое правило в режиме отчета.

Предотвращение и обнаружение удаленного контроля типа Command and Control (С2)

Как и при эксплуатации критических уязвимостей, хакеры могут установить контроль над взломанной системой и использовать ее для внедрения и распространения, а также выполнения других операций. Решение MVISION EDR успешно обнаруживает признаки действий этого типа, включая «маяки» Cobalt Strike. В случае с Operation Harvest, MVISION EDR регистрирует запросы к DNS и на подключение к HTTP-соединению подозрительных доменов. Аналитики SOC могут использовать поиск в реальном времени и хронологию для упреждающего поиска скомпрометированных устройств.

Кроме того, решение Unified Cloud Edge (UCE–SWG) может блокировать доступ к небезопасным сайтам на основе данных о киберугрозах, репутации URL, результатов поведенческого анализа и переносе в изолированную среду. Внедрите эффективные политики безопасности и проверяйте журналы событий — это позволит выявить потенциально вредоносные операции C2.

Контроль повышения привилегий (Privilege Escalation)

Киберпреступники использовали несколько техник и инструментов для повышения привилегий доступа и запускали Mimikatz для кражи данных. В ходе нашего тестирования решение MVISION EDR своевременно обнаружило попытку скачать и запустить в PowerShell сценарий Mimikatz. Мы смоделировали вредоносную попытку злоумышленника, который с помощью простых инструментов получает повышенный уровень привилегий. Последовательность операций по замене обычного имени пользователя на «SYSTEM» отображалась в дереве процессов мониторинга EDR.

Затем мы провели в скомпрометированной системе пошаговое расследование. Анализ данных выявил аномалии в поведении пользователя. Пошаговые расследования облегчают визуализацию сложных наборов данных и взаимосвязей между артефактами и системами.

Обнаружение часто используемых инструментов горизонтального перемещения (Lateral Movement)

Для горизонтального перемещения киберпреступники использовали популярную утилиту двойного назначения — Psexec.exe. Во многих случаях обнаружение на основе сигнатур не позволяет выявить вредоносное использование системных инструментов. В MVISION EDR используется сочетание поведенческого анализа и данных об угрозах. С его помощью запуск Psexec для бокового перемещения был своевременно выявлен, этому действию был присвоен статус угрозы высокой степени серьезности.

Регистрация аномалий в поведении пользователей и данных для выявления взлома

Группа хакеров, осуществлявших атаку Operation Harvest, использовала различные инструменты для повышения привилегий и кражи данных из скомпрометированных систем. Визуализация аномального поведения пользователей и перемещения данных позволяет выявить возможные вредоносные действия в вашей среде. MVISION UCE осуществляет мониторинг пользовательского поведения и уведомляет специалистов по безопасности обо всех аномалиях, которые могут указывать на внутренние или внешние угрозы.

Платформа MVISION Security Platform обеспечивает всестороннюю защиту и позволяет предупредить, обнаружить или блокировать многие техники атак, используемые в кампании Operation Harvest. Для максимальной защиты организации от кибератак специалисты по безопасности должны сосредоточить усилия на предупреждении или обнаружении этих техник.