Детектирование вредоносной активности и изоляция зараженных ПК при помощи решения сетевого мониторинга Riverbed Technology в корпоративной сети
1
  
Новости
Детектирование вредоносной активности и изоляция зараженных ПК при помощи решения сетевого мониторинга Riverbed Technology в корпоративной сети
30 июн 2017

Рабочие заметки Евгения Тарана, Presale Engineer, BAKOTECH Group

Предисловие

Как вы, наверное, уже слышали, 27 июня 2017 года очередной Ransomware Petya.A подпортил предпраздничный день ИТ- и ИБ-специалистам множества больших и мылах компаний Украины. А по последним новостям не только Украины… 
Примерно в 14 часов позвонил знакомый ИТ-администратор крупной компании и начал в панике рассказывать, как пол фирмы зашифровано неким Ransomware и просит он $300 выкупа в Bitcoin. Далее была история, как выдергивают все свитчи/роутеры из розеток чтобы остановить распространение вируса и вопросы, что я об этом знаю. Пока я его слушал и расспрашивал, в СМИ стали всплывать проблемы аэропорта Борисполь, Ощадбанка, Новой Почты и десятков других компаний, а также госорганов. Как мы уже знаем, их сервисы пострадали в разной мере, но сам факт, что крупнейшие компании оказались под ударом вируса в один день, насторожил. Одновременно с этим разговором у моих коллег также стали звонить телефоны и все больше округляться глаза. Все было похоже на то, что после подготовки был спущен с цепи новый Ransomware как минимум на всю страну.
На часах был обед, и система безопасности с админами молчала. На всякий случай предупредил их чтобы не расслаблялись. А мы с коллегами по цеху приступили к анализу атаки. Но не долго это длилось…
 

Найти и уничтожить!

Второй звонок на мой мобильный был от нашего клиента, который попросил помощи с устранением все той же атаки. А тем временем список пострадавших компаний в СМИ пополнялся… Стало ясно, что в этот день от антивирусов толку ждать не приходилось и нужно было дожидаться обновления сигнатур. С клиентом было принято единогласное решение — сначала останавливать распространение, а потом уже разбираться с зараженными машинами. 
Что мы сделали? Первым делом – отключили от сети и/или розеток явно зараженные компьютеры, с которых все началось. Под эту категорию попали 2 ПК – сервер и компьютер бухгалтера. Попутно выяснилось, что заражены только ПК на Windows. Но как понять куда вирус уже залез, но еще себя не проявил? Или может он с утра шифровал и до завтра будет зашифрован весь парк ПК и серверов? Как остановить распространения, точечно не выдергивая сетевое оборудование из розетки?
Тут мы обратились к системе мониторинга трафика Riverbed, которая несколько недель назад была установлена на тест. Всего два модуля из 10 – сниффер (AppResponse) и аналитика сетевого трафика (NetExpress). Схема работы крайне проста – сниффер пишет и анализирует на лету весь трафик проходящий через виртуальный маршрутизатор клиента и отдает результаты в модуль аналитики, который одновременно является «мозгом». В итоге у нас сохранился весь трафик «кто с кем общался по сети» между подсетями от момента запуска системы. К сожалению, NetFlow не был включен до инцидента, поэтому информации со свитчей не было. В результате у нас не оказалось видимости происходящего на свитчах, но были записаны все ходы между подсетями. Пока была отдана команда на запуск NetFlow, мы стали разбираться с тем что есть.
 
Первым делом мы обратили внимание на Security alerts системы. Как выяснилось, эти оповещения были своевременно проигнорированы сотрудниками. А среди них — всплески трафика, сканирования и 17 новых машин в сети за прошедшую неделю.
 
 
Походу подключения по VPN и разбора информации, мы узнали способы заражения и распространения — это были вложения электронной почты плюс уязвимость устаревшего SMB 1.0. Кто помнит, SMB 1.0 уже подвергался атаке аналогичным зловредом WannaCry. С электронной почтой мы бы ничего не выловили, поэтому оставили это антивирусным решениям в т. ч. и почтовым. Вместо этого мы начали искать по сети, как по TCP/IP, так и по Application. Тем более, что они были известны, и мы приблизительно знали, что искать. Посмотрели отчет с кем общались текущие зараженные ПК по уязвимым портам за неделю до инцидента. DNS трансляция имен была выключена умышленно, в силу подписанного «договора о неразглашении с клиентом». 
 
Вот и список всех машин, которые подключались по TCP/445 к зараженному ПК на прошлой неделе. Аналогичные списки с отчетом по Application. Они были взяты на карандаш и отправлены в изоляцию! А что это за хост 10.27.27.35? У клиента локальной подсети 10.0.0.0 не должно было быть! Все на 172.16.0.0 и 192.168.0.0. А что с зараженным ПК бухгалтера? 
 
А у него оказалось целых 2 непонятных адреса. Мы построили карты общения каждой зараженной машины по уязвимым портам и изолировали машины, с которыми общались зараженные ПК. Тут я привел только одну схему в качестве примера.

Мы же построили «карты общения» для всех зараженных машин (пока только 2). По результатам все ПК и сервера, которые имели контакт с зараженными по уязвимым портам, также были изолированы из сети при помощи физических усилий ИТ-техников. По именам машин это было сделать не сложно. Проверить их можно было при более спокойной обстановке и с обновленными сигнатурами, то есть на следующий день. Все равно на тот момент было понятно, что выходной у ИТ–отрасли накрылся.

Итак, мы отключили 2 зараженные машины и отключили всех, кто мог заразиться от них. А что за 2 непонятных адреса и куда они подключены? Так как Flow протоколы не содержат MAC–адресов, мы обратились к снифферу, который писал весь трафик, и подняли данные по непонятным хостам 10.0.0.0. 
Как оказалось, у нас целая подсеть, которая оказалась вне поля зрения клиента. Вот как так это выглядело в системе. Нужно было узнать и MAC-адреса этих устройств, чтобы ИТ-клиенты могли определить порт свитча, к которому они были подключены и отключить их. Или хотя бы узнать откуда растут ноги у целой подсети!
 
 
 
Список MAC всей подсети был у нас. Мы передали его клиенту, чтобы он взглянул на них в ARP таблице и принял решение о блокировке или выяснил что же это за хосты.
 

Итоги

Обычно системы сетевого мониторинга используются для контроля качества передачи информации по сетевому оборудованию, быстродействия приложений и целых сервисов. Но в связи с кибератакой мы применили систему в разрезе ИБ для ограничения заражения и мониторинга уязвимостей с точки зрения трафика. Благодаря этому за считанные минуты:
  • были выявлены потенциально зараженные ПК;
  • обнаружена целая подсеть у клиента, которая также связывалась с зараженными ПК;
  • выявлены MAC-адреса неизвестной подсети.
Не забывайте обновлять ОС, антивирусы и проверить запреты на пересылку исполняемых файлов. И подумайте над разработкой комплексной политикой безопасности сети, так как один антивирус в одиночку явно не справится. 
Если же мы что-то упустили, создайте отдельную политику мониторинга с оповещением по уязвимым портам и приложениям.
 
 

Благо система позволяет это сделать не только по TCP/445, но и по Application based SMBv1. Таким образом, оперативно настроив сбор NetFlow система видит весь трафик, проходящий в сети и анализирует его по автоматическим и ручным политикам. Таким образом есть возможность увидеть, кто еще использует уязвимые протоколы/приложения и найти, и изолировать машину с последующим лечением.

P. S. Система также умеет показывать передаваемые файлы в разрезе "кто-кому-откуда-какой файл" по сети но на тесты клиент пожалел места под сниффер о чем сейчас очень жалеет да и название файла передаваемого по сети всплыло не сразу. Оставим эту функцию на перспективу.

P. P. S.: Все люди делятся на два типа: те, кто не делают резервные копии и тех, кто их УЖЕ делает. Коллеги, мы надеемся, что все ваши бэкапы свежи и вы успешно восстановились!

 

К списку новостей      >