Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!
 

Предыстория инцидента

Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру).

У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО).

Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF).

Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться.

WARNING

Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

 

Гипотезы

Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО).

Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления.

 

Уязвимые места и поиск сценария взлома

Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома:

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

16 комментариев

  1. Akatoshi Kuran

    07.06.2018 at 22:11

    Статья действительно интересная, подробная и весьма познавательная. Однако по факту — несколько скомканная в конце. Если перевести это на знаменитый пример «Как нарисовать сову» то по сути статья выглядит так: «Чтоб нарисовать сову потребуются следующие инструменты: карандаши, бумага, чернила…карандаши бывают следующих типов….*подробное описание марок карандашей*…в свою очередь бумага бывает следующих вариаций в зависимости от ваших задач….*подробное описание видов бумаги*. И в самом конце: нарисуйте круг, дорисуйте сову. Готово.

    Проще говоря, я думаю заголовок немного не соответствует сути статьи. Сама история тут это первая и последняя главы. И никаких подробностей процедуры не содержит.

    • Иван Пискунов

      Иван Пискунов

      08.06.2018 at 12:01

      Представленный кейс был довольно большим по обьему, на практике только его техническое исследование заняло несколько дней, и еще больше написание Отчета. И, к сожалению, остановиться на абсолютно всех подробностях и деталях без исключения в одной статье нет возможности, так как материал имеет свои ограничения на публикацию. Наша идея и ключевой посыл заключались в том, что бы продемонстрировать подход экспертов, используемые инструменты в работе, отметить основные артефакты для сбора и базовые источники, где их нужно искать в системе. К тому же часть данных в виде скриншотов или дампов памяти невозможно представить в статье из-за ограничений NDA с компанией у которой и имел место быть этот инцидент.

      За юмор с совой спасибо:)

  2. xakepzoidberg

    08.06.2018 at 11:58

    Отличная статья.

  3. Topor

    08.06.2018 at 12:00

    Иначе, какой эксперт, такая и статья.

  4. Иван Пискунов

    Иван Пискунов

    08.06.2018 at 12:24

    Если кратко о том как были сформированы выводы по расследованию.
    В Shadow Copy были найдены части кода малвари, аналогичные сигнатуры были найдены и в pagefile.sys, в ветках реестра «подозрительные ключи» указывающие на запуск посторонних служб (RAT модуль), в системных директориях %Windows% были восстановлены из allocated-файлов зараженные dll, скаченные дроппером. Так же были идентифицированы все ID USB-устройства подключенные к машине в момент взлома, это оказались токены с ЭП. Опции установленного антивируса в части мониторинга сети в день взлома так же были изменены. При анализе сетевого стека были обнаружены Established-соединения с IP-адресами имеющим плохую репутацию (Botnet-подсети). И по сумме всех этих обстоятельств были сделаны аргументированные выводы, что сотрудник не имел отношения к мошенничеству, хотя его безалаберное отношение отчасти и послужило на руку взломщикам. Однозначно действовали профессионалы знающие что и как делать, и кое-кто как позже выяснилось был инсайдером

  5. Antek

    08.06.2018 at 15:00

    То есть в итоге, ключевой причиной потери средств стал всё-таки человеческий фактор, так как казначею было лень вынимать ключ, уходя на обед.

  6. Александр Ващило

    08.06.2018 at 15:29

    В целом стандартный сценарий для такого преступление.
    Однако понравилось, что смогли обнаружить момент установки вредоносного ПО и соответственно канал как вредоносное ПО попало на рабочую станцию. Сначала подумал, что злоумышленники получили контроль над компьютерами сисадминов и заразили их софт (что немного необычно), но по ходу все было проще.
    Просто инсайдер со из ИТ поддержки?

    • Иван Пискунов

      Иван Пискунов

      08.06.2018 at 17:01

      Инсайдер был сотрудником из helpDesk’а, и как у инженера тех поддредки у него были права администратора. За неделю до инцидента ноутбук забирали на «профилактическое обслуживание» в это же время, как предполагается были временно отключены средства защиты и подсажена малварь. Дальше действовали внешние злоумышленники, используя бэкдор они получили доступ к машине (благодаря инкапсуляции DNS корпоративные IDS\IPS ничего не отловили), изучили сценарий типового рабочего дня казначея и в день Х провернули всю операцию. Можно сказать что это целенаправленная (APT) атака, а инсайдер был лишь первым подготовительным этапом.

      • Александр Ващило

        08.06.2018 at 17:10

        Спасибо за ответ, а что в качестве RAT использовали, подхаченый Ammyy Admin, Teamviewer или использовалось что-то более экзотическое, кастомное?

        • Иван Пискунов

          Иван Пискунов

          08.06.2018 at 17:51

          Самого RAT в «живом виде» в системе не нашли, были dll распознаваемые как «not-a-virus:RemoteAdmin.Win32.RAT.a,Backdoor.Drostex» и следы его сетевой активности. Скорее всего это была кастомная доработка уже известной сигнатуры бэкдора (в DarkNet’е все это можно купить с исходными кодами) либо какая-то собственная разработка на тот момент не детектируемая установленным AV

  7. Arseniy

    09.06.2018 at 06:49

    Спасибо за статью.
    Единственное что не понятно, так это почему сначала сделали копию диска, а только потом дамп памяти. И на сколько в принципе он в данном инциденте был нужен?

    • Иван Пискунов

      Иван Пискунов

      09.06.2018 at 14:23

      Ноутбук на экспертизу к нам в лабораторию поступил только через несколько дней после взлома и уже в выключенном состоянии, то есть часть артефактов находящихся в RAM сразу после инцидента изначально была утеряна, и поэтому первым шагом было выбрано создание образа HDD. К тому же за рамками статьи остался еще не малый пласт работы, а именно изучение серверного бэканда в виде логов AD, DHCP, UTM-шлюза, HeplDesk’а и т.п.

      • Arseniy

        09.06.2018 at 23:33

        Не совсем тогда понятна цель снятия дампа RAM. Ведь все данные из оперативной памяти утеряны.

        • Иван Пискунов

          Иван Пискунов

          10.06.2018 at 14:00

          Да, прощу прощения, не уточнил этот вопрос сразу. Дамп оперативной памяти эксперты делают в любом случае даже если шансы найти там артефакты в последующем очень низкие. Во-первых, этого требует сама процедура расследования (методика ресерча и нормативные документы), а во-вторых, в некоторых случаях специальным софтом оттуда все таки можно попробовать что-то да все таки вытянуть. К примеру, есть малварь «безтелесного вида» (https://pikabu.ru/story/chto_takoe_bestelesnyiy_virus_4849870), когда вредоносный код находится только в RAM и изначально не имеет своего бинарика на HDD, либо после запуска копирует себя в RAM удаляет свой исполняемый файл (т.е. артефакты можно найти только в RAM). Еще один случай, это когда из автостарта (автозагрузка, службы) запускается безобидный, но все же «левый» процесс, который не детектируется AV как вредонос, но который открывает либо порт на входящее соединение либо анализирует tasklist и ищет артефакты использования песочницы, vm или отладчика. Еще как вариант по значениям хешей системных процессов можно попробовать определить не был пропатчен, к примеру GUI-шел (тот же explorer.exe) и т.д.

          В нашем кейсе дамп RAM мы снимали с загруженной хостовой ОС. Следов малвари, там понятное дело же там уже не нашлось, но были были интересные :
          1. часть

          • Noname1234232

            13.06.2018 at 10:23

            Иван,доброго дня. у нас схожая проблема. В какой вы организации работаете, проводите экспертизы ? Оставьте контакт плиз

            • Иван Пискунов

              Иван Пискунов

              14.06.2018 at 00:48

              Мои контакты указаны в подписи, связывайтесь любым удобным способом

Оставить мнение

Check Also

Брутфорс в английской глубинке. Как криптостойкие шифры вскрывали до компьютеров

Ты наверняка слышал про тест Тьюринга и, возможно, машину Тьюринга. Однако помимо абстракт…