Azərbaycan
Република България 
Bosna i Hercegovina 
Česká republika
Eesti Vabariik
საქართველოს
Republika Hrvatska 
Kosovo 
Қазақстан 
Кыргыз Республикасы 
Latvija
Lietuva
Magyarország 
Moldova 
Република Македонија 
România 
Rzeczpospolita Polska
Република Србија 
Российская Федерация 
Republika Slovenija 
Slovensko
Тоҷикистон
Türkmenistan
Հայաստանի Հանրապետություն
Новости
Детектирование вредоносной активности и изоляция зараженных ПК при помощи решения сетевого мониторинга Riverbed Technology в корпоративной сети
30 июн 2017Рабочие заметки Евгения Тарана, Presale Engineer, BAKOTECH Group
Предисловие
Как вы, наверное, уже слышали, 27 июня 2017 года очередной Ransomware Petya.A подпортил предпраздничный день ИТ- и ИБ-специалистам множества больших и мылах компаний Украины. А по последним новостям не только Украины…
Примерно в 14 часов позвонил знакомый ИТ-администратор крупной компании и начал в панике рассказывать, как пол фирмы зашифровано неким Ransomware и просит он $300 выкупа в Bitcoin. Далее была история, как выдергивают все свитчи/роутеры из розеток чтобы остановить распространение вируса и вопросы, что я об этом знаю. Пока я его слушал и расспрашивал, в СМИ стали всплывать проблемы аэропорта Борисполь, Ощадбанка, Новой Почты и десятков других компаний, а также госорганов. Как мы уже знаем, их сервисы пострадали в разной мере, но сам факт, что крупнейшие компании оказались под ударом вируса в один день, насторожил. Одновременно с этим разговором у моих коллег также стали звонить телефоны и все больше округляться глаза. Все было похоже на то, что после подготовки был спущен с цепи новый Ransomware как минимум на всю страну.
На часах был обед, и система безопасности с админами молчала. На всякий случай предупредил их чтобы не расслаблялись. А мы с коллегами по цеху приступили к анализу атаки. Но не долго это длилось…
Найти и уничтожить!
Второй звонок на мой мобильный был от нашего клиента, который попросил помощи с устранением все той же атаки. А тем временем список пострадавших компаний в СМИ пополнялся… Стало ясно, что в этот день от антивирусов толку ждать не приходилось и нужно было дожидаться обновления сигнатур. С клиентом было принято единогласное решение — сначала останавливать распространение, а потом уже разбираться с зараженными машинами.
Что мы сделали? Первым делом – отключили от сети и/или розеток явно зараженные компьютеры, с которых все началось. Под эту категорию попали 2 ПК – сервер и компьютер бухгалтера. Попутно выяснилось, что заражены только ПК на Windows. Но как понять куда вирус уже залез, но еще себя не проявил? Или может он с утра шифровал и до завтра будет зашифрован весь парк ПК и серверов? Как остановить распространения, точечно не выдергивая сетевое оборудование из розетки?
Тут мы обратились к системе мониторинга трафика Riverbed, которая несколько недель назад была установлена на тест. Всего два модуля из 10 – сниффер (AppResponse) и аналитика сетевого трафика (NetExpress). Схема работы крайне проста – сниффер пишет и анализирует на лету весь трафик проходящий через виртуальный маршрутизатор клиента и отдает результаты в модуль аналитики, который одновременно является «мозгом». В итоге у нас сохранился весь трафик «кто с кем общался по сети» между подсетями от момента запуска системы. К сожалению, NetFlow не был включен до инцидента, поэтому информации со свитчей не было. В результате у нас не оказалось видимости происходящего на свитчах, но были записаны все ходы между подсетями. Пока была отдана команда на запуск NetFlow, мы стали разбираться с тем что есть.
(1).png)
Первым делом мы обратили внимание на Security alerts системы. Как выяснилось, эти оповещения были своевременно проигнорированы сотрудниками. А среди них — всплески трафика, сканирования и 17 новых машин в сети за прошедшую неделю.
.png)
Походу подключения по VPN и разбора информации, мы узнали способы заражения и распространения — это были вложения электронной почты плюс уязвимость устаревшего SMB 1.0. Кто помнит, SMB 1.0 уже подвергался атаке аналогичным зловредом WannaCry. С электронной почтой мы бы ничего не выловили, поэтому оставили это антивирусным решениям в т. ч. и почтовым. Вместо этого мы начали искать по сети, как по TCP/IP, так и по Application. Тем более, что они были известны, и мы приблизительно знали, что искать. Посмотрели отчет с кем общались текущие зараженные ПК по уязвимым портам за неделю до инцидента. DNS трансляция имен была выключена умышленно, в силу подписанного «договора о неразглашении с клиентом».
.png)
Вот и список всех машин, которые подключались по TCP/445 к зараженному ПК на прошлой неделе. Аналогичные списки с отчетом по Application. Они были взяты на карандаш и отправлены в изоляцию! А что это за хост 10.27.27.35? У клиента локальной подсети 10.0.0.0 не должно было быть! Все на 172.16.0.0 и 192.168.0.0. А что с зараженным ПК бухгалтера?
.png)
.png)
А у него оказалось целых 2 непонятных адреса. Мы построили карты общения каждой зараженной машины по уязвимым портам и изолировали машины, с которыми общались зараженные ПК. Тут я привел только одну схему в качестве примера.
Мы же построили «карты общения» для всех зараженных машин (пока только 2). По результатам все ПК и сервера, которые имели контакт с зараженными по уязвимым портам, также были изолированы из сети при помощи физических усилий ИТ-техников. По именам машин это было сделать не сложно. Проверить их можно было при более спокойной обстановке и с обновленными сигнатурами, то есть на следующий день. Все равно на тот момент было понятно, что выходной у ИТ–отрасли накрылся.
Итак, мы отключили 2 зараженные машины и отключили всех, кто мог заразиться от них. А что за 2 непонятных адреса и куда они подключены? Так как Flow протоколы не содержат MAC–адресов, мы обратились к снифферу, который писал весь трафик, и подняли данные по непонятным хостам 10.0.0.0.
Как оказалось, у нас целая подсеть, которая оказалась вне поля зрения клиента. Вот как так это выглядело в системе. Нужно было узнать и MAC-адреса этих устройств, чтобы ИТ-клиенты могли определить порт свитча, к которому они были подключены и отключить их. Или хотя бы узнать откуда растут ноги у целой подсети!
.png)
.png)
Список MAC всей подсети был у нас. Мы передали его клиенту, чтобы он взглянул на них в ARP таблице и принял решение о блокировке или выяснил что же это за хосты.
Итоги
Обычно системы сетевого мониторинга используются для контроля качества передачи информации по сетевому оборудованию, быстродействия приложений и целых сервисов. Но в связи с кибератакой мы применили систему в разрезе ИБ для ограничения заражения и мониторинга уязвимостей с точки зрения трафика. Благодаря этому за считанные минуты:
- были выявлены потенциально зараженные ПК;
- обнаружена целая подсеть у клиента, которая также связывалась с зараженными ПК;
- выявлены MAC-адреса неизвестной подсети.
Не забывайте обновлять ОС, антивирусы и проверить запреты на пересылку исполняемых файлов. И подумайте над разработкой комплексной политикой безопасности сети, так как один антивирус в одиночку явно не справится.
Если же мы что-то упустили, создайте отдельную политику мониторинга с оповещением по уязвимым портам и приложениям.
Благо система позволяет это сделать не только по TCP/445, но и по Application based SMBv1. Таким образом, оперативно настроив сбор NetFlow система видит весь трафик, проходящий в сети и анализирует его по автоматическим и ручным политикам. Таким образом есть возможность увидеть, кто еще использует уязвимые протоколы/приложения и найти, и изолировать машину с последующим лечением.
P. S. Система также умеет показывать передаваемые файлы в разрезе "кто-кому-откуда-какой файл" по сети но на тесты клиент пожалел места под сниффер о чем сейчас очень жалеет да и название файла передаваемого по сети всплыло не сразу. Оставим эту функцию на перспективу.
P. P. S.: Все люди делятся на два типа: те, кто не делают резервные копии и тех, кто их УЖЕ делает. Коллеги, мы надеемся, что все ваши бэкапы свежи и вы успешно восстановились!
