Основные моменты:
Государственные ведомства, учреждения и финансовый сектор - первая половина 2023 годаинформационная безопасностьСектор с наибольшим числом инцидентов, связанных с реагированием на чрезвычайные ситуации. Это подчеркивает важность вопросов кибербезопасности для критически важных секторов экономикиБезопасность данныхпредставляет собой серьезную угрозу.
Подавляющее большинство правительственных и коммерческих организаций имеют серьезные недостатки в своей инфраструктуре кибербезопасности и операционных возможностях. Лишь небольшое число правительственных и коммерческих организаций способны заблаговременно обнаружить проблемы с помощью патрулирования и избежать потерь, в то время как большинство организаций способны обнаружить проблемы безопасности только после того, как произошли крупные потери, или после того, как их уведомила третья сторона. Значительная часть инцидентов связана с тем, что злоумышленники используют слабые пароли и общие уязвимости для атак на узлы и серверы.
Примерно четверть от общего числа составили инциденты экстренного реагирования, вызванные нарушениями со стороны внутреннего персонала. Недостаточная осведомленность в вопросах безопасности приводит к утечке конфиденциальной информации в публичной сети, открытию портов повышенного риска в публичной сети, загрузке пиратского программного обеспечения и другим действиям, которые приводят к заражению интранет-серверов, что провоцирует распространение программ-вымогателей, утечку данных и даже инциденты с компрометацией серверов. Поэтому крупным и средним государственным и корпоративным организациям необходимо повышать осведомленность своих внутренних сотрудников о сетевой безопасности.
Живые атаки и учения по защите могут помочь предприятиям обнаружить и выявить потенциальные уязвимости в системе безопасности, устранить угрозы на ранней стадии, предотвратить реальные атаки и снизить потери. Некоторые из инцидентов безопасности, полученных в первой половине 2023 года, были связаны с проведением атак и учений по защите в реальном времени в правительственных и корпоративных организациях.
Таким образом, проблемы кибербезопасности представляют собой серьезную угрозу для безопасности данных в таких важных отраслях, как государственные учреждения, институты и финансовая индустрия. Большинство правительственных и корпоративных организаций имеют недостатки в создании инфраструктуры сетевой безопасности и операционных возможностях, и необходимо срочно повысить осведомленность внутренних сотрудников о мерах по предотвращению сетевой безопасности. Проводя реальные учения по атаке и защите, предприятия смогут лучше выявить и устранить потенциальные уязвимости в системе безопасности и сократить возможные потери.
События:
В первой половине 2023 года на сервисную платформу 95015 поступило в общей сложности 376 чрезвычайных ситуаций, связанных с кибербезопасностью, от государственных и корпоративных организаций. Команда Chianxin Security Services потратила 3 157,1 часа (394,6 человеко-дня) на ликвидацию соответствующих инцидентов, среднее время составило 8,4 часа.
Согласно распределению отраслей, больше всего инцидентов зафиксировано в государственных ведомствах - 70; за ними следуют учреждения - 51; на третьем месте - финансовые учреждения - 50. Кроме того, такие отрасли, как производство, медицинские учреждения и транспорт, также занимают первое место по количеству инцидентов, связанных с реагированием на чрезвычайные ситуации в области кибербезопасности.
47,6% государственных и корпоративных организаций обратились за помощью только после очевидных признаков вторжения в систему, а 33,8% государственных и корпоративных организаций позвонили в службу 95015 после того, как их шантажировали злоумышленники. Только 12,7% организаций смогли обнаружить проблемы заранее с помощью оперативного патрулирования.
Что касается масштаба воздействия инцидента, то 63,61 TP3T инцидента в основном затронули частную сеть предприятия, а 36,41 TP3T - офисную сеть. Из числа пострадавших устройств были взломаны 5 481 сервер и 3 817 офисных терминалов. Частные бизнес-сети и серверы были основными целями злоумышленников.
Что касается причиненного ущерба, то 40,41 TP3T инцидентов привели к снижению производительности, 22,91 TP3T - к потере данных, а 11,41 TP3T - к утечке данных. Кроме того, было зафиксировано 22 инцидента, повлиявших на репутацию, и 18 инцидентов, связанных с фальсификацией данных.
Девяносто восемь инцидентов в сфере кибербезопасности были спровоцированы инсайдерами по причинам, связанным с удобством работы, что уступает только шантажу (106) и превосходит внешние кибератаки, направленные на кражу важных данных (71) и вымогательство (68).
Сетевые атаки с использованием вредоносных программ в качестве основного средства были самыми распространенными - 34,31 TP3T, за ними следуют эксплуатация уязвимостей (31,91 TP3T) и фишинговые письма (7,21 TP3T). Также чаще всего встречались атаки на подслушивание, подделку веб-страниц, атаки на КС веб-приложений и атаки типа "отказ в обслуживании".
Среди вирусов-вымогателей, ликвидированных в результате чрезвычайных ситуаций, наиболее распространенным оказался Phobos ransomware, вызвавший 12 чрезвычайных ситуаций в области кибербезопасности в крупных и средних правительственных и корпоративных организациях; за ним следуют LockBit ransomware (10 раз), Wannacry ransomware и Makop ransomware (по 6 раз). Эти популярные вирусы-вымогатели требуют бдительности.
Слабый пароль - самая эксплуатируемая злоумышленниками уязвимость кибербезопасности, на которую приходится 133 ЧП и 35,41 TP3T. За ней следует уязвимость Eternal Blue, на которую приходится 84 эксплойта и 22,31 TP3T.
I. Обзор ситуации с реагированием на чрезвычайные ситуации в области кибербезопасности
С января по июнь 2023 года на сервисную платформу 95015 поступило в общей сложности 376 общенациональных инцидентов, связанных с чрезвычайными ситуациями в области кибербезопасности, и команда Chianxin Security Services помогла правительственным и корпоративным организациям устранить эти инциденты в первую очередь, обеспечив дальнейшую безопасную и стабильную работу порталов, баз данных и важных бизнес-систем правительственных и корпоративных организаций.
Согласно обширной статистике, из 376 инцидентов, связанных с реагированием на чрезвычайные ситуации в области кибербезопасности, которые были рассмотрены в первой половине 2023 года, Чи-Чи
Команда Axiomtek потратила в общей сложности 3 157,1 часа, или 394,6 человеко-дня, и в среднем на устранение одного аварийного инцидента уходило 8,4 часа. В январе объем аварийных работ был немного снижен из-за праздника Китайского Нового года.
II. Анализ пострадавших в результате чрезвычайных происшествий
Эта глава начнется с перспективы жертв инцидентов экстренного реагирования в области кибербезопасности, с распределения отраслей, способа обнаружения инцидента, масштаба влияния, последствий, вызванных атакой, и т.д., сервисная платформа 95015 в первой половине 2023 года получит
Было проанализировано 376 сообщений об инцидентах, связанных с реагированием на чрезвычайные ситуации в области кибербезопасности.
2.1 Распределение по отраслям
Что касается распределения по отраслям, то в первой половине 2023 года среди инцидентов экстренного реагирования на кибербезопасность, о которых сообщалось на сервисную платформу 95015, больше всего инцидентов было зарегистрировано в государственных ведомствах - 70 инцидентов, что составляет 18,6%; за ними следуют учреждения - 51 инцидент, что составляет 13,6%; и финансовые учреждения занимают третье место - 50 инцидентов, что составляет 13,3%. Кроме того, обрабатывающая промышленность, Кроме того, такие отрасли, как производство, медицинские учреждения и транспорт, также характеризуются высокой частотой инцидентов, связанных с реагированием на чрезвычайные ситуации в области кибербезопасности.
На следующей диаграмме показан топ-10 рейтинга по количеству инцидентов, связанных с реагированием на чрезвычайные ситуации в области кибербезопасности, о которых сообщили представители различных отраслей.
2.2. Обнаружение инцидентов
Что касается того, как были обнаружены инциденты безопасности, то 47,6% правительственных и корпоративных организаций обратились за помощью после того, как система уже демонстрировала очевидные признаки вторжения; 33,8% правительственных и корпоративных организаций позвонили в сеть 95015 после того, как их шантажировал злоумышленник.охранные услугиГорячая линия. Их сумма составляет 81,41 TP3T.
То есть около 80 % крупных и средних государственных и корпоративных организаций обращаются за помощью к профессиональным организациям только после того, как их системы уже понесли большие потери или даже необратимый ущерб. Доля государственных и корпоративных организаций, которые действительно могут обнаружить проблемы и обратиться за помощью до того, как возникнут убытки, путем проведения проверок безопасности во избежание потерь, составляет всего 12,7%.
Кроме того, около 5,9% государственных и корпоративных организаций начали реагировать на чрезвычайные ситуации после получения уведомления от своих компетентных подразделений, регулирующих органов и сторонних платформ. Этим организациям не только не хватает эффективных операций по обеспечению кибербезопасности, но и не хватает необходимых знаний.
(c) использование возможностей принудительной разведки для того, чтобы их собственные компетентные подразделения или надзорные органы всегда узнавали о проблемах с безопасностью или атаках раньше, чем они сами. Некоторые из этих уведомлений могут также подвергнуть соответствующие подразделения юридической ответственности и административным штрафам. Эти уведомленные государственные и корпоративные организации - потенциальные бомбы замедленного действия, которые могут взорваться в любой момент.
2.3 Масштаб воздействия
Инциденты кибербезопасности часто оказывают значительное влияние на ИТ- и бизнес-системы. Среди инцидентов аварийного реагирования в области кибербезопасности, о которых было сообщено и которые были ликвидированы сервисной платформой 95015 в первой половине 2023 года, 63,6% инцидентов в основном затронули бизнес-сеть, а доля инцидентов, затронувших в основном офисную сеть, составила 36,4%. Что касается количества оборудования, пострадавшего от инцидентов кибербезопасности, то 5 481 сервер был скомпрометирован, а 3 817 офисных терминалов - скомпрометированы.
Диапазон кибератак на средние и крупные государственные и коммерческие организации в первой половине 2023 года представлен на графике ниже.
В данном отчете под офисной сетью понимается базовая офисная сеть, состоящая из настольных компьютеров, ноутбуков, принтеров и других устройств, используемых сотрудниками предприятия, а под бизнес-сетью - все виды сетевых систем, необходимых для общего функционирования организации и внешней поддержки.
Из масштабов воздействия и количества затронутых устройств видно, что основными целями киберзлоумышленников являются выделенные сети и серверы крупных и средних государственных и корпоративных организаций.
Крупные и средние правительственные и корпоративные организации должны также повысить уровень осведомленности внутреннего персонала о безопасности и усилить защиту офисных терминалов и важных серверов в интрасети, а также управление безопасностью данных при построении защиты бизнес-сети.
2.4 Убытки от инцидентов
Инциденты кибербезопасности обычно приводят к различным по степени и типу потерям в государственных и корпоративных организациях. Анализ ситуации на сайте аварийного реагирования показывает, что из 376 сообщений, полученных сервисной платформой 95015 в первой половине 2023 года, 152 инцидента вызвали низкую производительность соответствующих организаций, что составляет 40,41 TP3T, что является самым высоким типом потерь; далее следуют 86 инцидентов, вызвавших потерю данных, что составляет 22,91 TP3T, что занимает второе место; и 43 инцидента, вызвавших утечку данных, что составляет 43 TP3T, что занимает второе место; второй тип утечки данных занимает второе место. 43 инцидента, на которые приходится
11.4%, заняв третье место; кроме того, было зафиксировано 22 инцидента, которые нанесли репутационный ущерб правительственным и корпоративным организациям, и 22 инцидента, которые привели к несанкционированному доступу к данным.
18 Вверх.
Отметим, что в приведенной выше статистике один и тот же инцидент учитывается только один раз, и мы учитываем только наиболее значительный вид ущерба, причиненного каждым инцидентом.
Основная причина низкой производительности заключается в том, что майнинг, черви, троянские кони и другие средства атаки делают загрузку процессора сервера слишком высокой, что приводит к снижению производительности. Есть и такие предприятия, где атаки ransomware привели к остановке некоторых производственных систем.
Существуют различные причины потери данных, среди которых главной является невозможность восстановления данных из-за шифрования выкупными программами. Основными причинами утечки данных являютсяхакерВторжение и утечка информации от инсайдеров.
III. Анализ злоумышленников, атакующих инциденты чрезвычайного реагирования
В этой главе 376 инцидентов экстренного реагирования в сфере кибербезопасности, поступивших на сервисную платформу 95015 в первой половине 2023 года, будут проанализированы с точки зрения злоумышленника, совершившего инцидент экстренного реагирования в сфере кибербезопасности, с точки зрения намерения атаки, типа атаки, вредоносной программы и использования уязвимостей.
3.1 Намерение атаковать
С какой целью злоумышленники совершали кибератаки? В ходе ретроспективного анализа инцидентов в сфере кибербезопасности специалисты по чрезвычайным ситуациям выяснили, что в первой половине 2023 года 98 инцидентов в сфере кибербезопасности были спровоцированы инсайдерами, которые проводили нерегулярные операции по таким причинам, как облегчение своей работы, что в свою очередь привело к сбоям в системе или вторжениям, вызвавшим экстренное реагирование. Это число уступает только шантажу (106) и превышает количество внешних кибератак, направленных на кражу важных данных (71) и вымогательство (68).
Здесь в черной производственной деятельности доминируют отечественные банды, которые в основном занимаются черной производственной деятельностью с целью наживы с помощью черных слов и черных цепочек, фишинговых страниц, программ для майнинга и других средств нападения.
Атаки, направленные на кражу важных данных, обычно делятся на два типа: первый - это незаконное проникновение частных хакеров во внутренние системы государственных и корпоративных организаций с целью кражи конфиденциальных и важных данных, таких как личная информация и пароли учетных записей; второй - коммерческий шпионаж или APT-деятельность. С практической точки зрения, первая ситуация встречается чаще, а вторая - время от времени.
Вымогательство - это, в основном, использование злоумышленниками программ-вымогателей для атаки на терминалы и серверы политических и коммерческих организаций с последующим вымогательством. Такие атаки осуществляются почти исключительно офшорными злоумышленниками, и бороться с ними крайне сложно.
3.2 Средства нападения
Методы атак, используемые злоумышленниками, варьируются от одного события в сфере безопасности к другому. В первой половине 2023 года кибер
Анализ чрезвычайных происшествий в сфере безопасности показал, что наиболее распространенными были сетевые атаки с использованием вредоносных программ в качестве основного средства - 34,3%; затем следовала эксплуатация уязвимостей - 31,9%; фишинговые письма занимали третье место - 7,2%. Кроме того, относительно распространенными были атаки на подслушивание в сети, подделка веб-страниц, CC-атаки на веб-приложения, атаки на отказ в обслуживании и т. д. Также было зафиксировано около 21,8% событий безопасности, которые в итоге были расценены как события, не связанные с атаками. Другими словами, даже если система не подвергалась вторжению из-за внутренних нарушений или аварий, все равно было несколько инцидентов, которые вызвали экстренную реакцию сетевой безопасности, что заслуживает бдительности.
3.3 Вредоносные программы
Анализ чрезвычайных происшествий показал, что наиболее часто используемыми злоумышленниками типами вредоносных программ являются ransomware, троянцы для майнинга и черви - на них приходится 20,7%, 12,0% и 7,2% атак на вредоносные программы соответственно. Кроме того, часто встречаются веб-троянцы, троянцы-загрузчики Eternal Blue, DDOS-троянцы и APT-специфичные троянцы. Атаки 11,4% вредоносных программ относятся к наиболее распространенным и популярным интернет-троянцам, нацеленным на обычных пользователей Интернета.
В таблице 1 представлен топ-10 ransomware с наибольшей частотой встречаемости среди инцидентов экстренного реагирования в сфере кибербезопасности, о которых сообщалось на сервисную платформу 95015 в первой половине 2023 года. Как видно, лидирует Phobos ransomware, вызвавшее 12 инцидентов экстренного реагирования в сфере кибербезопасности крупных и средних правительственных и корпоративных организаций в первой половине 2023 года, за ним следует LockBit ransomware с 10 инцидентами, Wannacry ransomware и Makop ransomware с 6 инцидентами каждый. Wannacry ransomware и Makop ransomware - по 6 инцидентов. Эти популярные вирусы-вымогатели - серьезный повод для тревоги.
Таблица 1 Топ-10 типов Ransomware, подвергшихся атакам
Название вымогательской программы | Количество чрезвычайных ситуаций |
Phobos ransomware | 12 |
Вымогательская программа LockBit | 10 |
Wannacry ransomware | 6 |
Вымогательская программа Makop | 6 |
Вымогательское ПО Tellyouthepass | 4 |
Вымогательская программа Mallox | 3 |
BeijingCrypt Ransomware | 3 |
Gottacry ransomware | 2 |
Devos Ransomware | 2 |
Вымогательское ПО Elbie | 2 |
3.4 Эксплуатация уязвимостей
Слабые пароли - наиболее часто используемая злоумышленниками уязвимость кибербезопасности в первой половине 2023 года, показывает анализ непредвиденных ситуаций
На втором месте находится уязвимость Eternal Blue - 84 случая эксплуатации, что составляет 22,31 TP3T. В отличие от этого, на другие отдельные типы уязвимостей приходится гораздо меньшая доля эксплойтов: фишинговые электронные письма занимают третье место - всего 19 случаев, что составляет 5,11 TP3T. Фишинговые электронные письма заняли третье место с 19 случаями, на которые пришлось 5,11 TP3T.
Распространенность слабых паролей - это полное отражение слабой осведомленности о безопасности и небрежного управления ею. После вспышки вируса WannaCry в 2017 году уязвимость Eternal Blue стала широко известной брешью в системе безопасности, которую необходимо устранить. До сих пор существует большое количество правительственных и корпоративных организаций, которые попали под прицел Eternal Blue, что свидетельствует о том, что эти правительственные и корпоративные организации испытывают серьезный недостаток в создании базовой инфраструктуры сетевой безопасности и базовых возможностях эксплуатации сетевой безопасности. Ожидается, что слабые пароли и уязвимости Eternal Blue еще долгое время будут оставаться фундаментальной проблемой сетевой безопасности для отечественных государственных и корпоративных организаций.
IV. Типичные примеры реагирования на чрезвычайные ситуации
В первой половине 2023 года на горячую линию службы кибербезопасности 95015 поступило в общей сложности 376 запросов о реагировании на чрезвычайные ситуации в области кибербезопасности со всей страны, в том числе из 31 провинции, города, автономных районов, муниципалитетов, непосредственно подчиненных центральному правительству, и двух специальных административных районов, а также из более чем 20 отраслей, таких как государственные ведомства, общественные учреждения, финансы, производство, здравоохранение и транспорт. В этой главе мы рассмотрим меры реагирования на чрезвычайные ситуации в области кибербезопасности в первой половине 2023 года и фактическую ситуацию.
Мы представим пять типичных примеров в надежде, что они могут послужить ценными рекомендациями для построения и эксплуатации систем сетевой безопасности в государственных и корпоративных организациях.
4.1 Инфицирование корпоративного сервера баз данных программой Mallox ransomware
Обзор инцидента
В январе 2023 года группа экстренного реагирования Chianson Security Services получила срочный запрос на помощь от предприятия, чьи серверы были выкрадены и файлы зашифрованы, и желала проследить путь вторжения.
Прибыв на место происшествия, сотрудники службы спасения проверили сервер базы данных жертвы (x.x.x.31) и подтвердили, что сервер предприятия заражен вирусом-вымогателем Mallox, который пока не поддается расшифровке благодаря сочетанию выкупной ноты и зашифрованного суффикса. Изучение журналов приложений сервера базы данных жертвы (x.x.x.31), а также облачных журналов местного программного обеспечения для защиты безопасности показало, что злоумышленник из внешней сети (92.63.196.x) применил большое количество методов взлома методом грубой силы к серверу базы данных (x.x.x.31) и успешно взломал сервер (x.x.x.31), чтобы загрузить и установить инструмент удаленного рабочего стола Anydesk, загрузил hrsword_v5.0.1.1.exe и отключил защитное программное обеспечение. Сотрудники службы спасения провели анализ угроз по экстрасети злоумышленника (92.63.196.x), который показал, что данный ip является вредоносным C2-сервером, а его обычным средством является сканирование и взлом порта 1433. Сотрудники аварийной службы пообщались с работниками предприятия и выяснили, что для облегчения ведения бизнеса порт 1433 сервера базы данных (x.x.x.31) открыт для публичной сети. Впоследствии сотрудники аварийной службы исследовали недавно открытые файлы и подозрительные программы сервера (x.x.x.31) и обнаружили там большое количество словарей для брутфорса и инструмент для брутфорс-взлома NLBrute1.2.exe.
В этот момент сотрудники службы спасения пришли к выводу, что из-за открытого для внешнего мира 1433 порта сервера (x.x.x.31) и наличия слабого пароля для учетной записи сервера злоумышленник использовал для успешного получения разрешений сервера (x.x.x.31), а затем сервер (x.x.x.31) как трамплин для других узлов в интрасети для прорыва шторма, а затем успешно разместил вирус Mallox ransomware для шифрования узлов. файлы.
Рекомендации по защите
1) Пользователи системы и приложений должны исключить использование слабых паролей, использовать пароли высокой сложности и надежности, стараться использовать смешанные пароли с прописными и строчными буквами, цифрами, специальными символами и т.д., повысить осведомленность администраторов о безопасности и запретить повторное использование паролей;
2) Настройте необходимые брандмауэры и включите политики брандмауэра, чтобы предотвратить открытие ненужных служб для хакеров;
3) Рекомендуется развернуть оборудование полнопоточного мониторинга для своевременного обнаружения вредоносного сетевого трафика и в то же время укрепить возможности отслеживания, что может обеспечить надежную основу для отслеживания при возникновении инцидентов безопасности;
4) Эффективно усилить ACL-политику контроля доступа, уточнить гранулярность политики, строго ограничить доступ к каждой области сети и между серверами в соответствии с регионом и бизнесом, использовать механизм белых списков, чтобы разрешить открытие только определенных необходимых бизнесу портов и запретить доступ к другим портам, чтобы только IP-администратор мог получить доступ к портам управления, таким как порты управления FTP, службы баз данных, удаленного рабочего стола и так далее.
4.2. Экстренная реакция на случай, когда официальный сайт подразделения был связан с "черной цепью".
Обзор инцидента
В феврале 2023 года команда экстренного реагирования Чан-Шен получила запрос на помощь от подразделения, которое получило от Patchday уведомление о том, что его официальный сайт был взломан злоумышленниками, и хотело проанализировать и расследовать инцидент, а также проследить путь вторжения.
Прибывшие на место происшествия сотрудники службы спасения подтвердили, что официальный сайт организации действительно был увешан черными цепями. Затем были проверены веб-журналы сервера (x.x.x.117) и обнаружены записи о загрузке файла бэкдора Webshell 123123123.aspx, а также большое количество обращений к файлу бэкдора, а в каталоге templates с помощью поиска файлов был найден файл 12312 3123.aspx. Сотрудники аварийной службы провели тестирование точки загрузки t.aspx и обнаружили, что в этом месте существует уязвимость произвольной загрузки файлов. Сотрудники аварийной службы провели тестирование точки загрузки https://x.x.edu.cn/xx/admin/settings/ttemplet_file_edi t.aspx и обнаружили, что в этом месте существует уязвимость произвольной загрузки файлов.
Проверка профиля пользователя сервера (x.x.x.117) показала, что пользователь Guest был клонирован и получил права администратора, а также множество подозрительных логинов. После проверки файла конфигурации iis сервера (x.x.x.117) обнаруживается наличие подозрительного dll-файла, содержащего символы, связанные с поисковой системой seo, и соответствующие коды переходов.
На данный момент сотрудники службы спасения подтвердили, что из-за наличия уязвимости произвольной загрузки файлов на официальном сайте подразделения, злоумышленник использовал уязвимость для получения привилегий сервера, путем клонирования привилегированных пользователей Guest, вмешательства в конфигурацию iis для загрузки вредоносного dll файла имплантации черной цепи на официальном сайте подразделения для навешивания черной цепи.
Рекомендации по защите
1) Настройте необходимые брандмауэры и включите политики брандмауэра, чтобы предотвратить открытие ненужных служб для хакеров;
2) Усиление управления разрешениями, установка разрешений для конфиденциальных каталогов, ограничение разрешений на выполнение скриптов для загруженных каталогов, запрет на настройку разрешений на выполнение и т. д;
3) Включите сайт в пограничную защиту WAF, HTTPS-сайты должны загружать сертификат;
4) Проведение оценок безопасности, тестов на проникновение и аудита кода систем, приложений и сетей с целью упреждающего выявления потенциальных рисков безопасности в текущих системах и приложениях;
5) Усилить систему ежедневной проверки безопасности, регулярно проверять конфигурацию системы, координацию сетевого оборудования, журналы безопасности и реализацию политики безопасности, нормализоватьинформационная безопасностьРабота.
4.3. ликвидация чрезвычайного происшествия, связанного с захватом абонентов маршрутизатора оператора связи
Обзор инцидента
В марте 2023 года группа экстренного реагирования Chianson получила срочный запрос о помощи от оператора, который получал жалобы от абонентов на захват страниц, когда они использовали широкополосный доступ оператора для обычного просмотра телевидения. Оператор хотел установить причину этого инцидента.
Прибывшие на место расследования взломанной страницы сотрудники службы спасения обнаружили, что явление взлома происходит только при обращении к конкретной странице, а страница пользователя взламывается при первом переходе по двум адресам 106.14.x.x, 139.196.x.x. Сотрудники аварийной службы путем построения запросов на посещение этих двух адресов обнаружили, что при посещении автоматически загружается вредоносный js-файл, содержащий большое количество рекламы, порнографических адресов и кода перехода. Впоследствии сотрудники службы спасения протестировали ту же модель ТВ-бокса, не обнаружили ситуации взлома, предположив, что это может быть проблема с маршрутизатором.
Сотрудники аварийной службы попытались протестировать устройство маршрутизатора с точки зрения злоумышленника после согласия пользователя и обнаружили, что в маршрутизаторе существует уязвимость выполнения команд, благодаря которой привилегии системы маршрутизатора могут быть получены напрямую. Аварийный персонал для получения системных прав маршрутизатора, системных процессов маршрутизатора, файлов и т.д. обнаружил, что существование процесса nginx начнет прослушивать порт 8080 устройства при запуске. Впоследствии был исследован конфигурационный файл процесса nginx и обнаружено, что код перехвата был внедрен в файл nginx.conf.
Поскольку маршрутизатор является домашним и пользователю не присваивается публичный адрес при доступе к сети оператора, злоумышленник не сможет получить прямой доступ к маршрутизатору. Поэтому сотрудники службы спасения предположили, что код взлома уже существовал, когда пользователь приобрел роутер. Поскольку официальный сайт производителя роутера недоступен, сотрудники службы спасения не смогли получить официальную прошивку и не смогли определить, является ли прошивка, используемая роутером, официальной версией. В настоящее время сотрудники службы спасения рекомендовали оператору заблокировать соответствующий вредоносный адрес на сетевом выходе пользователя, после чего ЧП завершилось.
Рекомендации по защите
1) Операторам рекомендуется блокировать соответствующие вредоносные адреса на выходе из сети пользователя;
2) Приобретая продукцию, всегда убедитесь, что вы покупаете ее по официальным каналам, и избегайте покупки по неофициальным или сомнительным каналам третьих лиц, чтобы избежать риска столкнуться с контрафактной, пиратской или некачественной продукцией.
4.4. Чрезвычайное происшествие на предприятии, зараженном майнинговым вирусом WatchDogs
Обзор инцидента
В мае 2023 года команда экстренного реагирования Chianson получила срочный запрос о помощи от предприятия, которое было заражено вирусом майнинга на нескольких серверах в своей интрасети, при этом системные ресурсы сервера были сильно загружены, что мешало нормальной работе предприятия, и надеялась исследовать пострадавшие серверы и проследить путь вторжения.
Прибыв на место происшествия, сотрудники службы спасения проанализировали доменное имя вредоносного майнинга, предоставленное оперативным и техническим персоналом предприятия, и установили, что сервер был заражен майнинговым вирусом WatchDogs. Были исследованы системные процессы и запланированные задачи сервера-жертвы (x.x.x.80), и были обнаружены вредоносные процессы и вредоносные запланированные задачи, соответствующие характеристикам майнингового вируса WatchDogs. После того как сотрудники службы спасения удалили вредоносные запланированные задачи и завершили вредоносные процессы с помощью команд, использование процессорных ресурсов сервера (x.x.x.80) вернулось в норму.
Впоследствии специалисты по чрезвычайным ситуациям изучили журналы сервера-жертвы (x.x.x.80) и обнаружили, что большое количество серверов из интрасетей
(x.x.x.81), (x.x.x.22), (x.x.x.82) и (x.x.x.187) ssh-взрывного поведения, после четырех журналов сервера для изучения, обнаружили, что атака является самым ранним из предприятия подчиненной единицы сервера (x.x.x.81). Аварийный персонал на сервере
(x.x.x.81) для расследования, обнаружили, что на сервере развернуты java-приложения, использующие компоненты shiro, и оборудование мониторинга трафика сайта существует на сервере по IP (x.x.x.69) по shiro десериализации уязвимости атаки удалось в тревоге, после разведки угроз запрос IP (x.x.x.69) для вредоносных IP.
Поэтому сотрудники службы экстренного реагирования установили, что, поскольку подчиненное подразделение сервера предприятия (x.x.x.81) не было обновлено патчем уязвимости десериализации shiro, злоумышленник успешно использовал сервер для получения доступа к серверным разрешениям, а на интранет-серверах предприятия используется один и тот же пароль и более низкой стойкости, злоумышленник использовал сервер (x.x.x.81) для успешного получения серверных разрешений большого количества серверов интранета предприятия посредством пакетного взлома пароля. Злоумышленник использовал сервер (x.x.x.81) для получения доступа к большому количеству серверов в интрасети предприятия через пакетный взлом паролей для запуска майнингового вируса WatchDogs.
Затем сотрудники службы спасения написали и выполнили скрипты на языке python, чтобы помочь предприятию удалить вредоносные запланированные задачи, завершить вредоносные процессы и восстановить нормальную работу большого количества пострадавших серверов в интрасети, после чего аварийное реагирование завершилось.
Рекомендации по защите
1) Пользователи системы и приложений должны исключить использование слабых паролей, использовать пароли высокой сложности и надежности, стараться использовать смешанные пароли с прописными и строчными буквами, цифрами, специальными символами и т.д., повысить осведомленность администраторов о безопасности и запретить повторное использование паролей;
2) Регулярное обслуживание серверов, развертывание систем защиты безопасности серверов, устранение уязвимостей системных приложений, уязвимостей промежуточного ПО, компонентов, плагинов и других сопутствующих уязвимостей для обеспечения безопасности серверов;
3) Рекомендуется установить антивирусное программное обеспечение, своевременно обновлять вирусные базы и регулярно проводить комплексное сканирование, чтобы усилить возможности сервера по предотвращению, подавлению и удалению вирусов;
4) Запретите серверам инициировать запросы на внешние соединения. Тем, кому необходимо передавать общие данные на внешние серверы, следует использовать белые списки и добавить соответствующие политики в брандмауэр на выходе, чтобы ограничить диапазон IP-адресов активных соединений.
4.5. Предприятие использовало неофициальный инструмент активации KMS на 50+ офисных ПК, в результате чего все они были заражены червем.
Обзор инцидента
В мае 2023 года группа экстренного реагирования службы безопасности компании Chian-Shen получила запрос на помощь от предприятия, которое получило уведомление от регулирующего органа о том, что 50 с лишним офисных компьютеров в его интрасети были заражены червем, и желало провести расследование и проследить путь вторжения до этого инцидента.
Сотрудники службы спасения прибыли на место происшествия и обнаружили, что офисные компьютеры на месте происшествия не могут подключиться к Интернету, и на них отсутствует устройство оповещения. Немедленно исследовав компьютеры, они обнаружили, что в каталоге Windows всех компьютеров на диске C находится один и тот же файл-образец вируса tasksche.exe, а затем проанализировали образец вируса tasksche.exe и подтвердили, что этот образец является червем Eternal Blue.
Сотрудники службы экстренного реагирования исследовали каталог, в котором находились файлы образцов вируса, и обнаружили, что на всех оповещенных ПК были остаточные файлы инструмента активации KMS. Специалисты по ликвидации чрезвычайных ситуаций связались с персоналом предприятия и выяснили, что все оповещенные ПК на объекте были активированы персоналом с помощью инструмента активации KMS, загруженного со стороннего сайта.
Сотрудники службы спасения проверили информацию на хост-системе на месте происшествия и не обнаружили никаких подозрительных учетных записей. Проверка состояния исправлений на хост-компьютере показала наличие исправления уязвимости MS17010, но определить, когда оно было применено, не удалось.
Основываясь на вышеуказанной информации, сотрудники службы спасения первоначально пришли к выводу, что образец вируса был перенесен с помощью инструмента активации KMS, а инцидент произошел из-за того, что сотрудники предприятия не были достаточно осведомлены о безопасности и использовали инструмент активации KMS, загруженный со стороннего сайта. Поскольку некоторые журналы на месте происшествия отсутствуют, выяснить подробности атаки не представляется возможным. В настоящее время сотрудники службы спасения помогли предприятию удалить образцы вируса и внесли предложения по защите, и ликвидация последствий чрезвычайной ситуации завершена.
Рекомендации по защите
1) Усилить обучение персонала по вопросам безопасности, подчеркнуть важность сетевой безопасности и запретить загрузку прикладного программного обеспечения по неофициальным каналам. Файлы неизвестного происхождения, включая вложения электронной почты и загружаемые файлы, следует предварительно обрабатывать антивирусом;
2) Рекомендуется установить антивирусное программное обеспечение, своевременно обновлять вирусную базу данных и регулярно проводить комплексное сканирование, чтобы усилить возможности сервера по предотвращению, подавлению и удалению вирусов;
3) Развернуть передовое оборудование для мониторинга угроз, чтобы своевременно обнаруживать вредоносный сетевой трафик, а также улучшить отслеживаемость и обеспечить надежную основу для отслеживания инцидентов безопасности;
4) Настройте и откройте соответствующие ключевые системные журналы и журналы приложений, а также регулярно выполняйте архивирование и резервное копирование системных журналов, чтобы избежать невозможности отследить пути и поведение атак в случае их возникновения и укрепить возможность отслеживания безопасности;
5) Усилить систему ежедневной проверки безопасности, регулярно проверять конфигурацию системы, координацию сетевого оборудования, журналы безопасности и реализацию политики безопасности, а также нормализовать работу по обеспечению информационной безопасности.
Оригинальная статья Кьянсона, при воспроизведении просьба указывать: https://cncso.com/ru/аналитический-отчет-по-сетевой-безоп-2.