Сквозь шум: Установление базовых линий обнаружения LOTL

Одной ‎из‏ ‎основных ‎выявленных ‎проблем ‎является ‎отсутствие‏ ‎базовых ‎параметров‏ ‎безопасности‏ ‎в ‎организациях, ‎что‏ ‎приводит ‎к‏ ‎выполнению ‎LOLBin ‎без ‎обнаружения‏ ‎аномальной‏ ‎активности. ‎Кроме‏ ‎того, ‎организациям‏ ‎часто ‎не ‎удаётся ‎корректно ‎настроить‏ ‎инструменты‏ ‎обнаружения, ‎что‏ ‎приводит ‎к‏ ‎огромному ‎количеству ‎оповещений, ‎которыми ‎трудно‏ ‎управлять‏ ‎и‏ ‎на ‎которые‏ ‎трудно ‎реагировать.‏ ‎Это ‎усугубляется‏ ‎автоматизированными‏ ‎системами, ‎выполняющими‏ ‎действия ‎с ‎высокими ‎привилегиями, ‎которые‏ ‎могут ‎завалить‏ ‎аналитиков‏ ‎событиями ‎журнала, ‎если‏ ‎их ‎не‏ ‎классифицировать ‎должным ‎образом.

Проблемы ‎с‏ ‎распознаванием‏ ‎вредоносной ‎активности

📌 Даже‏ ‎организациям ‎со‏ ‎зрелыми ‎передовыми ‎практиками ‎бывает ‎трудно‏ ‎отличить‏ ‎вредоносную ‎активность‏ ‎LOTL ‎от‏ ‎легитимного ‎поведения:

📌 LOLBins ‎обычно ‎используются ‎ИТ-администраторами‏ ‎и‏ ‎поэтому‏ ‎являются ‎доверительными,‏ ‎что ‎может‏ ‎приводить ‎к‏ ‎заблуждению‏ ‎безопасности ‎для‏ ‎всех ‎пользователей.

📌 Существует ‎ошибочное ‎представление ‎о‏ ‎том, ‎что‏ ‎легитимные‏ ‎инструменты ‎ИТ-администрирования ‎безопасны‏ ‎априори, ‎что‏ ‎приводит ‎к ‎политикам ‎«разрешения»,‏ ‎которые‏ ‎расширяют ‎возможности‏ ‎атаки.

📌 Исключения ‎для‏ ‎таких ‎инструментов, ‎как ‎PsExec, ‎из-за‏ ‎их‏ ‎регулярного ‎использования‏ ‎администраторами ‎могут‏ ‎быть ‎использованы ‎злоумышленниками ‎для ‎скрытого‏ ‎распространения.

Разрозненные‏ ‎операции‏ ‎и ‎ненастроенные‏ ‎системы ‎EDR

📌 Информация‏ ‎складывается ‎из‏ ‎опыта‏ ‎redteam ‎и‏ ‎групп ‎реагирования ‎на ‎инциденты ‎в‏ ‎отношении ‎специалистов‏ ‎по‏ ‎сетевой ‎безопасности:

📌 Обособленная ‎работа‏ ‎от ‎других‏ ‎ИТ-команд ‎препятствует ‎формированию ‎поведенческих‏ ‎пользовательских‏ ‎признаков, ‎устранению‏ ‎уязвимостей ‎и‏ ‎расследования ‎аномального ‎поведения.

📌 Использование ‎ненастроенных ‎систем‏ ‎обнаружения‏ ‎и ‎EDR‏ ‎и ‎индикаторов‏ ‎компрометации ‎(IOCs), ‎которые ‎могут ‎приводить‏ ‎к‏ ‎отсутствию‏ ‎оповещений ‎о‏ ‎действиях ‎злоумышленников‏ ‎для ‎предотвращения‏ ‎обнаружения.

Конфигурации‏ ‎системы ‎регистрации‏ ‎событий ‎и ‎политики ‎внесения ‎в‏ ‎разрешённые ‎списки

📌 Недостатки‏ ‎в‏ ‎конфигурациях ‎систем ‎регистрации‏ ‎событий ‎и‏ ‎политиках ‎управления ‎списками ‎разрешений‏ ‎ещё‏ ‎больше ‎усложняют‏ ‎обнаружение ‎действий‏ ‎LOTL:

📌 Конфигурации ‎систем ‎регистрации ‎событий ‎по‏ ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать‏ ‎все ‎соответствующие ‎действия, ‎и ‎журналы‏ ‎из‏ ‎многих‏ ‎приложений ‎требуют‏ ‎дополнительной ‎обработки.

📌 Политика‏ ‎списков ‎разрешений‏ ‎для‏ ‎диапазонов ‎IP-адресов,‏ ‎принадлежащих ‎хостинг-провайдерам ‎и ‎облачным ‎провайдерам,‏ ‎может ‎непреднамеренно‏ ‎обеспечить‏ ‎«прикрытие ‎для ‎злоумышленников».

Защита‏ ‎устройств ‎macOS

Несмотря‏ ‎на ‎то, ‎что ‎устройства‏ ‎macOS‏ ‎изначально ‎считаются‏ ‎безопасности, ‎они‏ ‎также ‎требуют ‎настройки:

📌 В ‎macOS ‎отсутствуют‏ ‎стандартизированные‏ ‎рекомендации ‎по‏ ‎повышению ‎надёжности‏ ‎системы, ‎что ‎приводит ‎к ‎развёртываниям‏ ‎с‏ ‎настройками‏ ‎по ‎умолчанию,‏ ‎которые ‎могут‏ ‎быть ‎небезопасными.

📌 Презумпция‏ ‎безопасности‏ ‎macOS ‎может‏ ‎привести ‎к ‎отмене ‎приоритетов ‎стандартных‏ ‎мер ‎безопасности‏ ‎и‏ ‎внесение ‎приложений ‎в‏ ‎списки ‎разрешённых.

📌 В‏ ‎средах ‎со ‎смешанными ‎операционными‏ ‎системами‏ ‎низкая ‎представленность‏ ‎устройств ‎macOS‏ ‎может ‎привести ‎к ‎недостаточному ‎вниманию‏ ‎к‏ ‎их ‎безопасности,‏ ‎что ‎делает‏ ‎их ‎более ‎уязвимыми ‎для ‎вторжений.