APT в Avast. CISO Avast Джайла Балу об атаке на компанию и о сложностях хорошей безопасности

Джайла Балу еще не успела заступить на пост CISO компании Avast, оставив аналогичную должность в телеком-операторе KPN, как ей пришлось устранять последствия серьезного инцидента. Злоумышленники смогли проникнуть внутрь периметра, похитив аккаунт VPN. Мы расспросили Джайлу Балу о том, через что прошли сотрудники после атаки, и о том, как живется CISO в антивирусной компании.

Инцидент

— Расскажите, как выглядело происшествие с вашей точки зрения.

— Я пришла в компанию 1 октября 2019 года. А в последнюю неделю сентября, когда я была еще в KPN, мне позвонили из Avast и сказали, что наблюдают нечто странное. Я, конечно, переспросила, насколько странное. В нашем деле всегда происходит что-нибудь странное, особенно когда смотришь логи, приходящие отовсюду. Мне ответили, что это очень похоже на атаку.

Мы немедленно позвонили внешнему подрядчику, который занимается форензикой, чтобы отправить ему находки и чтобы он немедленно занялся их изучением. Потом мы сами подняли логи, пытаясь понять, что все же произошло. И нашли там вещи, на которые изначально не обратили внимания.

Чтобы получить наиболее богатую информацию, нужно смотреть дашборды по каждому отдельному устройству вместо объединенных логов в syslog и прочих местах. Это, конечно, очень кропотливая работа и в целом неэффективный способ, которого я надеюсь избегать в будущем. Но зато мы обнаружили расхождения в логах от Microsoft Analytics, от VPN, от файрволов и других служб, которые у нас работают.

И самое неприятное в такой ситуации — это то, что ты не знаешь, какому из них верить. Например, ты видишь что-то необычное, сверяешь с другим логом, решаешь, что это какое-то ложное срабатывание, и идешь дальше. А именно эта зацепка и могла привести тебя к истине.

Это как находиться в каком-то футуристическом лесу из «Голодных игр», видеть четыре пути и не знать, по какому нужно идти, чтобы чего-то достичь и не умереть по дороге. Вначале, например, мы выбрали неверно.

— Разве SIEM не должны срабатывать именно в таких случаях?

— Очевидно, недостаточно хорошо, и я планирую заменить наш. Но мы должны были заметить ошибку раньше и найти корреляцию. Зато, когда мы уже разбирали последствия, изолировав сеть, картина постепенно начала складываться.

Атакующий смог проникнуть внутрь периметра через VPN. Причем профиля, которым он пользовался, не должно было существовать: какое-то время назад его создали для выгрузки бэкапов и должны были деактивировать. Но этого не сделали — скорее всего, по ошибке, а не с прицелом на атаку.

Тем не менее логин и пароль, которые требовались для входа, оказались похищены. Двухфакторной аутентификации там не было, хотя во всех других местах у нас используется 2FA.

— Вы отследили, кто и как пользовался этим соединением?

— Мы нашли пользователя, чьи учетные данные были скомпрометированы и использовались для логина в VPN. Сначала у атакующего были лишь очень невысокие пользовательские привилегии, но затем, применив Mimikatz или pass the hash (технику атаки на Kerberos), нарушители получили права админа домена. Мы видели запросы на репликацию на контроллере домена. Именно это действие и спровоцировало алерт от ATA (Advanced Threat Analytics), который привлек наше внимание. К сожалению, мы отмели его как ложноположительное срабатывание.

Когда мы вернулись к этому пути и изучили все таймстемпы, мы смогли проследить весь ход атаки. В логах Checkpoint было отчетливо видно, куда им удалось, а куда не удалось пробраться. До «бриллиантов короны» они не дошли. Но как можно быть уверенным на все сто процентов? Никак! Именно поэтому мы перешли на осадный режим, выключили всё, что могли, и стали всё перепроверять.

И именно поэтому меня тут теперь так «любят». Но мне нужно было исходить из наихудшего сценария. Потому что второго шанса исправить софт, который может быть подписан скомпрометированным сертификатом, уже не будет. Поэтому мы отследили атаку от начальной точки (это было 14–15 мая 2019 года), когда был первый логин через этот VPN, и решили не доверять ничему, что было после этого.

Если права этого конкретного пользователя удалось поднять до админа контроллера домена, то, получается, нельзя верить вообще ничему. Так что все, что мы выпускали за последние полгода, пришлось проверять. Каждый релиз каждого нашего продукта — на все возможные способы инжекта. И не один раз, а два. В общем, еще один повод любить безопасников!

Бриллианты короны

— Данные, исходники и популярные продукты, которыми владеет антивирусная компания, — это, наверное, лакомый кусочек для многих. Причем, я думаю, не только для преступников, но и для спецслужб…

— Именно поэтому в самом начале инцидента мы обратились к своим коллегам, в том числе к конкурирующим антивирусным компаниям. Мы хотели передать им информацию, которая помогла бы защититься от повторения этой истории. На мой взгляд, это очень важно и в индустрии антивирусов происходит недостаточно часто. Тот же телеком выживает только потому, что все операторы сталкиваются с одними и теми же угрозами. Когда я была в KPN, я, например застала атаку на Belgacom.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Андрей Письменный: Главный редактор