Vina Aspire > Tin quốc tế > CISA về tấn công mạng ở Ukraine: Bạn có gặp rủi ro không?

CISA về tấn công mạng ở Ukraine: Bạn có gặp rủi ro không?

Các báo cáo về một cuộc tấn công mạng quy mô lớn nhắm vào các tổ chức Ukraine và một số trang web của bộ chính phủ hoành hành trong những ngày gần đây. Đáp lại, Cơ quan An ninh mạng & Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Cục Điều tra Liên bang (FBI) đã ban hành một cố vấn chung để giúp các tổ chức hiểu rõ hơn về các mối đe dọa do những kẻ tấn công cấp quốc gia gây ra và các bước giảm thiểu để xây dựng khả năng phục hồi trên không gian mạng .

Họ kêu gọi những người bảo vệ – đặc biệt là những người trong các lĩnh vực cơ sở hạ tầng quan trọng – hãy chuẩn bị và luôn cảnh giác. Điều này đặc biệt đúng khi bằng chứng về một phần mềm độc hại gạt nước mới xuất hiện vào cuối tuần, nhắm mục tiêu vào các tổ chức Ukraine. Mặc dù hướng dẫn này đến từ các cơ quan chính phủ Hoa Kỳ, nhưng nó có thể áp dụng cho các tổ chức trên khắp thế giới.

CyberArk Labs và Red Team đã tiến hành xem xét kỹ thuật tư vấn để đề xuất các phương pháp hay nhất về phát hiện sự kiện và giảm thiểu rủi ro.

Tổ chức của tôi có đang gặp rủi ro không? Cách điều tra sự cố tiềm ẩn

Dựa trên các báo cáo về các cuộc tấn công ở Ukraine, những kẻ xâm nhập có thể thực hiện một thỏa hiệp từ đầu đến cuối bằng cách đánh cắp thông tin đăng nhập, sử dụng trình thông dịch lệnh và tận dụng các kho lưu trữ mật khẩu, để đặt tên cho một số phương pháp của chúng. May mắn thay cho các hậu vệ, những kẻ tấn công đã kích hoạt rất nhiều cờ đỏ – còn được gọi là chỉ báo thỏa hiệp (IOC) – trên đường đi.

Tư vấn của CISA phác thảo các chiến thuật, kỹ thuật và thủ tục (TTP) được sử dụng bởi các tác nhân đe dọa liên tục nâng cao (APT) do nhà nước bảo trợ, dựa trên khung MITER ATT & CK. Chúng tôi sẽ tập trung vào ba danh mục chính: Thực thi, Độ bền và Truy cập thông tin xác thực. Nếu bạn tin rằng tổ chức của mình đã bị nhắm mục tiêu trong một cuộc tấn công kiểu APT, CyberArk khuyên bạn nên làm theo các bước điều tra này để phát hiện các IOC trong suốt chuỗi tấn công, đánh giá mức độ nghiêm trọng của rủi ro và phản ứng nhanh chóng.

Hành động

Trong giai đoạn này, những kẻ tấn công đã sử dụng CMD.exe và PowerShell để thực hiện các lệnh và tác vụ trên các máy từ xa.

IOCs
  • Thường khi cmd.exe được sử dụng để thực thi các lệnh từ xa, chúng ta thấy nó được tiến hành bởi chỉ thị “/c”. Những lần thực thi này thường không phổ biến đến mức chúng ta có thể sàng lọc thành công.
  • Người dùng tạo cmd.exe cũng có liên quan. Thông thường, chúng tôi sẽ không thấy người dùng SYSTEM tạo trình bao cmd.exe.
  • Parent process ở đây có thể vô cùng hữu ích. Bạn thường sẽ thấy cmd.exe chạy dưới dạng con của một số quy trình nhất định, ví dụ như explorer.exe khi người dùng nhấp đúp vào nó. Nếu phát hiện Parent lạ, đây có thể là một IOC tuyệt vời để theo dõi.
Các bước phát hiện
  • Sự kiện Event Logs ID 4688 (Event 4688) của Windows có thể cung cấp các sáng tạo quy trình mới cũng như các đối số dòng lệnh của chúng. Chúng tôi có thể giám sát tất cả các lần chạyexe/c với ID sự kiện này, cũng như các đối số bổ sung để xác định hoạt động độc hại tiềm ẩn.
  • Cùng một ID sự kiện cung cấp cho người dùng tạo quy trình. Sử dụng điều này để theo dõi những người dùng đáng ngờ truy cập vào cmd.exe.
  • Nó cũng cung cấp Parent process đã tạo ra quy trình mới. Sử dụng điều này để tìm các parent procs lạ tạo cmd.exe, chẳng hạn như outlook.exe.

Kiên gan

Khi họ làm việc để thiết lập tính bền bỉ, những kẻ tấn công đã được quan sát thấy có được thông tin xác thực thông qua một số cơ chế khác nhau.

Tấn công mật khẩu Brute force. Những kẻ tấn công đã tiến hành các chiến dịch đoán mật khẩu và sử dụng phương pháp brute-force bẻ khóa để xem thông tin xác thực nào sẽ có được quyền truy cập hợp lệ.

IOC Một số lượng lớn các lỗi đăng nhập từ một người dùng hoặc nhiều lỗi đăng nhập trong tổ chức liên tiếp.
Các bước phát hiện Có thể tạo cảnh báo cho việc này bằng cách quan sát nhiều sự kiện đăng nhập không thành công bằng Windows Event ID 4625 (Event 4625)

Kerberoasting

Kerberoasting là khi một người dùng cố gắng gửi yêu cầu từ các tài khoản dịch vụ trong miền với mục đích tấn công brute-force tài khoản dịch vụ thành văn bản rõ ràng, sau đó sử dụng tài khoản và các quyền của nó trực tiếp trong mạng.

IOC
  • Trong thời gian kerberoast, những kẻ tấn công thường cố gắng hạ cấp từ AES xuống RC4 để nhận được một giá trị dễ bị brute-force hơn.
  • Những kẻ tấn công thường sẽ nhắm mục tiêu tất cả các tài khoản dịch vụ trong một miền, điều này sẽ tạo ra một số lượng lớn các yêu cầu cho một người dùng.
Các bước phát hiện
  • Windows Event ID 4769 cung cấp thông tin chi tiết về các yêu cầu dịch vụ Kerberos mới đang được cấp. Quan sát thông số “Loại mã hóa yêu cầu”, các phát hiện có thể được tạo trên các loại mã hóa DES (0x1 và 0x3) và RC4 (0x17 và 0x18) để xem xét thêm.
  • Quan sát nhiều yêu cầu gửi dịch vụ cho một người dùng thông qua Windows Event ID 4769 và trên nhiều dịch vụ trong một khung thời gian ngắn, vì người dùng thường không cố gắng xác thực hơn 10 dịch vụ cùng một lúc.

Bán phá giá thông tin xác thực hệ điều hành.

Các tác nhân APT đã được quan sát thấy lấy lại thông tin đăng nhập và xuất bản sao của cơ sở dữ liệu Active Directory ntds.dit.

IOC

 

 Truy cập vào tệp ntds.dit. Tùy thuộc vào môi trường của bạn và cách sao lưu được kích hoạt, bạn có thể có kết quả dương tính giả ở đây. Mục đích là để giám sát quyền truy cập vào ntds.dit để tìm bất kỳ nỗ lực truy cập bất thường nào, ngoài giờ bình thường hoặc từ một người dùng hoặc máy móc bất thường, chẳng hạn.
Các bước phát hiện

 
  • Windows Event ID 4663 có thể được sử dụng để quan sát quyền truy cập vào tệp ntds.dit. Để lọc bớt thông tin, bạn có thể quan sát các quyền truy cập là Đọc hoặc một cái gì đó tương tự là tất cả những gì cần thiết để sao chép tệp.
  • Các thực thi VSSAdmin.exe cho các bản sao bóng cũng có thể được quan sát bằng cách sử dụng ID sự kiện này để quan sát các lần chạy sao lưu bất thường.

 

 

Quyền truy cập thông tin xác thực

Từ đó, những kẻ tấn công tìm kiếm các lỗ hổng để khai thác, cùng với các tệp chứng chỉ khóa riêng tư trên các hệ thống bị xâm nhập để có thông tin xác thực được lưu trữ không an toàn.

Nhận Chìa khóa riêng.

Những kẻ tấn công cũng lấy được các khóa mã hóa riêng tư từ vùng chứa Active Directory Federation Services (ADFS) để giải mã các chứng chỉ ký SAML tương ứng và thực hiện một cuộc tấn công Golden SAML, cho phép chúng truy cập vào bất kỳ thứ gì tin cậy mã thông báo SAML trong môi trường.

IOC

 
  • Quyền truy cập tệp bất thường vào các khóa mã hóa.
  • Xác thực trong nhà cung cấp dịch vụ không tồn tại trong nhà cung cấp danh tính. (ID sự kiện SAML vàng 1200 và 1202 từ máy chủ ADFS có thể được sử dụng để xác định thông tin này.

 
Các bước phát hiện

 
  • Windows Event ID 4633 có thể được sử dụng để xác thực quyền truy cập vào các tệp khóa cá nhân. Ví dụ: bạn có thể giám sát quyền truy cập kiểu READ vào một số tệp nhất định kết thúc bằng .ppk hoặc bất kỳ tiêu chuẩn nào mà công ty của bạn có thể sử dụng.
  • Theo dõi xác thực trong nhà cung cấp dịch vụ không tạo ID sự kiện 1200 và 1202.

 

 

Khai thác.

Những kẻ tấn công cũng được cho là đã tận dụng một khai thác có tên “NetLogon” (CVE-2020-1472). Việc khai thác này về cơ bản cho phép kẻ tấn công mạo danh bất kỳ tài khoản nào trên mạng và thay đổi mật khẩu của tài khoản máy điều khiển miền, chẳng hạn, để có được quyền truy cập đầy đủ vào miền.

IOC

 

 IOC có thể bao gồm các sự kiện đăng nhập ẩn danh, tài khoản máy bị thay đổi mật khẩu (vì điều này không thường xuyên xảy ra) và NetLogon cố gắng truy cập cùng một hệ thống cùng một lúc.

 
Các bước phát hiện

 

 Windows Event ID 4742 có thể được sử dụng để theo dõi sự thay đổi mật khẩu tài khoản máy và ID Sự kiện 5805 có thể được sử dụng để theo dõi các nỗ lực của NetLogon. Việc quan sát 4742 nỗ lực thay đổi mật khẩu cùng lúc khi nhiều sự kiện 5805 được tạo cho cùng một máy sẽ xác thực một nỗ lực khai thác có thể xảy ra.

 

Thực tiễn tốt nhất để giảm thiểu rủi ro

Việc bảo vệ các tổ chức chống lại các cuộc tấn công mạng ngày càng tinh vi đòi hỏi một tư thế bảo mật được cải thiện tập trung vào việc đảm bảo danh tính và bảo vệ quyền truy cập đặc quyền.

Trong hầu hết các cuộc tấn công – bất kể ai đứng sau chúng – lớp nhận dạng là điểm đầu tiên vào môi trường của tổ chức. Các tác giả cố vấn lưu ý rằng những kẻ tấn công đã “chứng minh khả năng duy trì quyền truy cập lâu dài, không bị phát hiện, lâu dài trong các môi trường bị xâm phạm – bao gồm cả môi trường đám mây – bằng cách sử dụng thông tin xác thực hợp pháp.”

Ngoài các thực tiễn tốt nhất như triển khai xác thực đa yếu tố (MFA); áp dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) và chống vi rút (AV); thường xuyên cài đặt các bản vá và yêu cầu thực hành mật khẩu mạnh, các bước bảo mật không gian mạng bổ sung này phải được tuân thủ như một phần của phương pháp phòng thủ theo chiều sâu:

  • Sử dụng các điều khiển ứng dụng. Không cho phép chạy các tệp lệnh tùy ý, vì nhiều tệp thực thi hợp pháp có thể được sử dụng để thực thi các lệnh tùy ý bên cạnh. Tư vấn của CISA chỉ ra những kẻ tấn công quốc gia đã sử dụng cmd.exe và PowerShell để thực hiện các lệnh và tác vụ trên các máy từ xa.
  • Giới hạn tài khoản và Quản trị viên ẩn. Thực thi quyền truy cập đặc quyền ít nhất một cách nhất quán trong toàn bộ tổ chức của bạn bằng cách tắt các tài khoản không cần thiết. Giới hạn đặc quyền là điều cần thiết vì những kẻ tấn công sẽ nhắm mục tiêu vào các tài sản có giá trị cao và truy cập chúng bằng cách đánh cắp thông tin xác thực và nâng cao đặc quyền. Khả năng phát hiện mối đe dọa có thể giúp tăng tốc độ phát hiện và chặn các nỗ lực đánh cắp thông tin xác thực. Ví dụ: zBang, một công cụ mã nguồn mở, có thể được sử dụng để phát hiện Quản trị viên bóng tối, những danh tính sử dụng lén lút có các quyền nhạy cảm cấp cho họ khả năng nâng cao đặc quyền trong môi trường đám mây. Những thực thể này, thường phát sinh do cấu hình sai hoặc thiếu nhận thức, có thể là mục tiêu của những kẻ tấn công, khiến toàn bộ môi trường gặp rủi ro.
  • Sao lưu an toàn. Thực hiện các bước để đảm bảo sao lưu bộ điều khiển miền được bảo mật thích hợp, vì những kẻ tấn công có thể cố gắng truy cập hoặc tạo bản sao của cơ sở dữ liệu miền Active Directory để lấy cắp thông tin xác thực hoặc dữ liệu khác về thiết bị, người dùng và quyền truy cập. Xem xét các công cụ có khả năng phát hiện mối đe dọa để bảo vệ tệp NTDS lưu trữ dữ liệu Active Directory nhạy cảm.
  • Sử dụng mã hóa AES Kerberos. Đảm bảo mã hóa AES Mã hóa Kerberos được sử dụng thay vì RC4, để giúp ngăn đối thủ lạm dụng vé cấp vé Kerberos hợp lệ (TGT) hoặc đánh hơi lưu lượng mạng để có được dịch vụ cấp vé (TGS) có thể dễ bị bạo lực. Mô-đun RiskySPN của công cụ zBang có thể được sử dụng để giúp phát hiện các mục tiêu để kiểm tra kỹ thuật.
  • Bảo vệ chứng chỉ ủy nhiệm. Bảo vệ các chứng chỉ được lưu trữ để chặn các nỗ lực nhằm vào các chứng chỉ ký mã thông báo và giảm thiểu các mối đe dọa như cuộc tấn công Golden SAML

Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn: https://www.cyberark.com/resources/blog/cisa-on-ukraine-cyber-attacks-are-you-at-risk


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »