Документ ‎под‏ ‎названием ‎«cyber ‎actors ‎adapt ‎tactics‏ ‎for ‎initial‏ ‎cloud‏ ‎access», ‎опубликованный ‎Агентством‏ ‎национальной ‎безопасности‏ ‎(АНБ) ‎предупреждает, ‎об ‎адаптации‏ ‎тактики‏ ‎для ‎получения‏ ‎первоначального ‎доступа‏ ‎к ‎облачным ‎сервисам, ‎а ‎не‏ ‎для‏ ‎использования ‎уязвимостей‏ ‎локальной ‎сети.

Документ‏ ‎содержит ‎ценную ‎информацию ‎и ‎рекомендации‏ ‎для‏ ‎организаций‏ ‎по ‎защите‏ ‎от ‎кибер-профессионалов,‏ ‎нацеленных ‎на‏ ‎облачные‏ ‎сервисы. ‎Однако‏ ‎динамичный ‎характер ‎киберугроз ‎и ‎сложность‏ ‎облачных ‎сред‏ ‎означают,‏ ‎что ‎организации ‎должны‏ ‎постоянно ‎обновлять‏ ‎свои ‎методы ‎обеспечения ‎безопасности,‏ ‎а‏ ‎не ‎полагаться‏ ‎исключительно ‎на‏ ‎статические ‎рекомендации.

Преимущества:

📌 Осведомлённость: документ ‎повышает ‎осведомлённость ‎об‏ ‎изменении‏ ‎тактики ‎в‏ ‎сторону ‎облачных‏ ‎сервисов, ‎что ‎имеет ‎решающее ‎значение‏ ‎для‏ ‎понимания‏ ‎организациями ‎текущего‏ ‎ландшафта ‎угроз.

📌 Подробные‏ ‎TTP: он ‎предоставляет‏ ‎подробную‏ ‎информацию ‎о‏ ‎тактиках, ‎методах ‎и ‎процедурах ‎(TTP),‏ ‎используемых ‎участниками,‏ ‎включая‏ ‎использование ‎сервисных ‎и‏ ‎неактивных ‎учётных‏ ‎записей, ‎что ‎может ‎помочь‏ ‎организациям‏ ‎выявить ‎потенциальные‏ ‎угрозы ‎и‏ ‎уязвимости.

📌 Секторальная ‎информация: ‎описывается ‎расширение ‎охват‏ ‎таких‏ ‎секторов, ‎как‏ ‎авиация, ‎образование,‏ ‎правоохранительные ‎органы ‎и ‎военные ‎организации,‏ ‎предлагая‏ ‎отраслевую‏ ‎информацию, ‎которая‏ ‎может ‎помочь‏ ‎этим ‎отраслям‏ ‎укрепить‏ ‎свою ‎обороноспособность.

📌Стратегии‏ ‎смягчения ‎последствий: ‎предлагает ‎практические ‎стратегии‏ ‎смягчения ‎последствий,‏ ‎которые‏ ‎организации ‎могут ‎реализовать‏ ‎для ‎усиления‏ ‎своей ‎защиты ‎от ‎первоначального‏ ‎доступа‏ ‎со ‎стороны‏ ‎субъектов, ‎таких‏ ‎как ‎внедрение ‎MFA ‎и ‎управление‏ ‎системными‏ ‎учётными ‎записями.

Недостатки:

📌 Ресурсоёмкость:‏ ‎реализация ‎рекомендуемых‏ ‎мер ‎по ‎снижению ‎рисков ‎может‏ ‎потребовать‏ ‎значительных‏ ‎ресурсов, ‎что‏ ‎может ‎оказаться‏ ‎затруднительным ‎для‏ ‎небольших‏ ‎организаций ‎с‏ ‎ограниченными ‎бюджетами ‎и ‎персоналом ‎в‏ ‎области ‎кибербезопасности.

📌Сложность‏ ‎облачной‏ ‎безопасности: ‎в ‎документе‏ ‎указываются ‎проблемы,‏ ‎присущие ‎обеспечению ‎безопасности ‎облачной‏ ‎инфраструктуры,‏ ‎которые ‎могут‏ ‎потребовать ‎специальных‏ ‎знаний ‎и ‎навыков, ‎которыми ‎обладают‏ ‎не‏ ‎все ‎организации.

📌Развивающаяся‏ ‎тактика: ‎хотя‏ ‎в ‎документе ‎представлены ‎текущие ‎ТТП,‏ ‎тактика‏ ‎участников‏ ‎постоянно ‎развивается,‏ ‎а ‎это‏ ‎означает, ‎что‏ ‎защита,‏ ‎основанная ‎исключительно‏ ‎на ‎этих ‎рекомендациях, ‎может ‎быстро‏ ‎устареть.

📌Потенциал ‎чрезмерного‏ ‎акцента‏ ‎на ‎конкретных ‎угрозах:‏ ‎слишком ‎большое‏ ‎внимание ‎к ‎таким ‎субъектам‏ ‎может‏ ‎привести ‎к‏ ‎тому, ‎что‏ ‎организации ‎пренебрегут ‎другими ‎векторами ‎угроз,‏ ‎которые‏ ‎столь ‎же‏ ‎опасны, ‎но‏ ‎не ‎описаны ‎в ‎документе.

📌Модель ‎общей‏ ‎ответственности:‏ ‎документ‏ ‎подразумевает ‎модель‏ ‎общей ‎ответственности‏ ‎за ‎облачную‏ ‎безопасность,‏ ‎что ‎может‏ ‎привести ‎к ‎путанице ‎в ‎разделении‏ ‎обязанностей ‎по‏ ‎обеспечению‏ ‎безопасности ‎между ‎поставщиками‏ ‎облачных ‎услуг‏ ‎и ‎клиентами.

📌Ложное ‎чувство ‎безопасности: у‏ ‎организаций‏ ‎может ‎возникнуть‏ ‎ложное ‎чувство‏ ‎безопасности, ‎полагаясь ‎на ‎предложенные ‎меры‏ ‎по‏ ‎смягчению ‎последствий,‏ ‎не ‎принимая‏ ‎во ‎внимание ‎необходимость ‎динамической ‎и‏ ‎адаптивной‏ ‎системы‏ ‎безопасности ‎для‏ ‎реагирования ‎на‏ ‎новые ‎угрозы.

📌Внедрение ‎многофакторную‏ ‎аутентификацию ‎(MFA). ‎MFA ‎— ‎это‏ ‎один ‎из‏ ‎наиболее‏ ‎эффективных ‎способов ‎защиты‏ ‎учётных ‎записей‏ ‎пользователей ‎от ‎компрометации. ‎Требуя‏ ‎несколько‏ ‎форм ‎проверки,‏ ‎MFA ‎значительно‏ ‎затрудняет ‎злоумышленникам ‎получение ‎несанкционированного ‎доступа,‏ ‎даже‏ ‎если ‎они‏ ‎получили ‎учётные‏ ‎данные ‎пользователя.

📌Регулярная ‎установка ‎исправлений ‎и‏ ‎обновлений. Поддержание‏ ‎актуальности‏ ‎программного ‎обеспечения‏ ‎и ‎систем‏ ‎с ‎использованием‏ ‎последних‏ ‎исправлений ‎имеет‏ ‎решающее ‎значение ‎для ‎устранения ‎брешей‏ ‎в ‎безопасности,‏ ‎которыми‏ ‎могут ‎воспользоваться ‎злоумышленники.‏ ‎Должен ‎быть‏ ‎установлен ‎регулярный ‎процесс ‎управления‏ ‎исправлениями,‏ ‎чтобы ‎обеспечить‏ ‎своевременное ‎применение‏ ‎обновлений.

📌Сегментация ‎сети. ‎Разделение ‎сети ‎на‏ ‎более‏ ‎мелкие ‎контролируемые‏ ‎сегменты ‎ограничивает‏ ‎возможность ‎злоумышленника ‎перемещаться ‎внутри ‎сети‏ ‎и‏ ‎получать‏ ‎доступ ‎к‏ ‎конфиденциальным ‎областям.‏ ‎Сегментация ‎также‏ ‎помогает‏ ‎сдерживать ‎потенциальные‏ ‎нарушения ‎в ‎меньшем ‎подмножестве ‎сети.

📌Защита‏ ‎конечных ‎точек.‏ ‎Развёртывание‏ ‎расширенных ‎решений ‎для‏ ‎защиты ‎конечных‏ ‎точек ‎может ‎помочь ‎обнаружить‏ ‎и‏ ‎предотвратить ‎вредоносные‏ ‎действия ‎на‏ ‎устройствах, ‎имеющих ‎доступ ‎к ‎сети‏ ‎организации.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎использование ‎антивирусного ‎программного ‎обеспечения, ‎систем‏ ‎предотвращения‏ ‎вторжений‏ ‎на ‎базе‏ ‎хоста ‎и‏ ‎инструментов ‎обнаружения‏ ‎и‏ ‎реагирования ‎на‏ ‎конечных ‎точках ‎(EDR).

📌Обучение ‎по ‎вопросам‏ ‎безопасности. ‎Обучение‏ ‎сотрудников‏ ‎рискам ‎и ‎передовым‏ ‎методам ‎кибербезопасности‏ ‎имеет ‎важное ‎значение ‎для‏ ‎предотвращения‏ ‎атак ‎социальной‏ ‎инженерии, ‎таких‏ ‎как ‎фишинг. ‎Регулярное ‎обучение ‎может‏ ‎помочь‏ ‎создать ‎культуру‏ ‎осведомлённости ‎о‏ ‎безопасности ‎внутри ‎организации.

📌Контроль ‎доступа ‎с‏ ‎наименьшими‏ ‎привилегиями. Обеспечение‏ ‎пользователей ‎только‏ ‎правами ‎доступа,‏ ‎необходимыми ‎для‏ ‎их‏ ‎роли, ‎помогает‏ ‎минимизировать ‎потенциальное ‎воздействие ‎компрометации ‎учётной‏ ‎записи. ‎Средства‏ ‎контроля‏ ‎доступа ‎должны ‎регулярно‏ ‎пересматриваться ‎и‏ ‎корректироваться ‎по ‎мере ‎необходимости.

📌Планирование‏ ‎реагирования‏ ‎на ‎инциденты.‏ ‎Наличие ‎чётко‏ ‎определённого ‎и ‎проверенного ‎плана ‎реагирования‏ ‎на‏ ‎инциденты ‎позволяет‏ ‎организациям ‎быстро‏ ‎и ‎эффективно ‎реагировать ‎на ‎инциденты‏ ‎безопасности,‏ ‎сводя‏ ‎к ‎минимуму‏ ‎ущерб ‎и‏ ‎восстанавливая ‎операции‏ ‎как‏ ‎можно ‎скорее.

📌Непрерывный‏ ‎мониторинг ‎и ‎обнаружение. ‎Реализация ‎возможностей‏ ‎непрерывного ‎мониторинга‏ ‎и‏ ‎обнаружения ‎может ‎помочь‏ ‎выявить ‎подозрительные‏ ‎действия ‎на ‎раннем ‎этапе.‏ ‎Сюда‏ ‎входит ‎использование‏ ‎систем ‎управления‏ ‎информацией ‎о ‎безопасности ‎и ‎событиями‏ ‎(SIEM),‏ ‎систем ‎обнаружения‏ ‎вторжений ‎(IDS)‏ ‎и ‎анализа ‎сетевого ‎трафика.

📌Безопасная ‎конфигурация‏ ‎и‏ ‎усиление‏ ‎защиты. Системы ‎должны‏ ‎быть ‎надёжно‏ ‎настроены ‎и‏ ‎защищены‏ ‎от ‎атак.‏ ‎Это ‎включает ‎в ‎себя ‎отключение‏ ‎ненужных ‎служб,‏ ‎применение‏ ‎параметров ‎безопасной ‎конфигурации‏ ‎и ‎обеспечение‏ ‎включения ‎функций ‎безопасности.

📌Резервное ‎копирование‏ ‎и‏ ‎восстановление. Регулярное ‎резервное‏ ‎копирование ‎критически‏ ‎важных ‎данных ‎и ‎систем, ‎а‏ ‎также‏ ‎надёжные ‎процедуры‏ ‎восстановления ‎необходимы‏ ‎для ‎устойчивости ‎к ‎программам-вымогателям ‎и‏ ‎другим‏ ‎разрушительным‏ ‎атакам. ‎Резервные‏ ‎копии ‎следует‏ ‎регулярно ‎проверять,‏ ‎чтобы‏ ‎гарантировать, ‎что‏ ‎на ‎них ‎можно ‎положиться ‎в‏ ‎чрезвычайной ‎ситуации.

Проблемы‏ ‎в‏ ‎реализации ‎мер ‎по‏ ‎смягчению ‎последствий

Хотя‏ ‎эти ‎меры ‎по ‎смягчению‏ ‎последствий‏ ‎теоретически ‎эффективны,‏ ‎организации ‎часто‏ ‎сталкиваются ‎с ‎проблемами ‎при ‎их‏ ‎реализации.‏ ‎Эти ‎проблемы‏ ‎могут ‎включать‏ ‎ограниченность ‎ресурсов, ‎сложность ‎ИТ-среды, ‎потребность‏ ‎в‏ ‎специализированных‏ ‎навыках ‎и‏ ‎сложность ‎балансировки‏ ‎безопасности ‎с‏ ‎бизнес-требованиями.‏ ‎Кроме ‎того,‏ ‎быстро ‎меняющаяся ‎природа ‎киберугроз ‎означает,‏ ‎что ‎стратегии‏ ‎смягчения‏ ‎их ‎последствий ‎должны‏ ‎постоянно ‎пересматриваться‏ ‎и ‎обновляться.

Совместные ‎усилия ‎и‏ ‎обмен‏ ‎информацией

Чтобы ‎преодолеть‏ ‎эти ‎проблемы‏ ‎и ‎повысить ‎эффективность ‎мер ‎по‏ ‎смягчению‏ ‎последствий, ‎организации‏ ‎могут ‎участвовать‏ ‎в ‎совместных ‎усилиях ‎и ‎обмене‏ ‎информацией‏ ‎с‏ ‎отраслевыми ‎партнёрами,‏ ‎государственными ‎учреждениями‏ ‎и ‎сообществами‏ ‎кибербезопасности.‏ ‎Такое ‎сотрудничество‏ ‎обеспечивает ‎доступ ‎к ‎общим ‎знаниям,‏ ‎информации ‎об‏ ‎угрозах‏ ‎и ‎передовым ‎практикам,‏ ‎которые ‎могут‏ ‎информировать ‎и ‎улучшать ‎усилия‏ ‎организации‏ ‎по ‎смягчению‏ ‎последствий.

Отмечался ‎высокий‏ ‎уровень ‎сложности ‎атак, ‎что ‎отражает‏ ‎глубокое ‎понимание‏ ‎киберландшафта‏ ‎и ‎способность ‎адаптироваться‏ ‎в ‎условиях‏ ‎меняющихся ‎мер ‎безопасности. ‎Эта‏ ‎изощрённость‏ ‎очевидна ‎не‏ ‎только ‎в‏ ‎технических ‎возможностях, ‎но ‎и ‎в‏ ‎их‏ ‎стратегическом ‎подходе‏ ‎к ‎кибершпионажу,‏ ‎который ‎включает ‎в ‎себя ‎тщательный‏ ‎выбор‏ ‎целей,‏ ‎планирование ‎и‏ ‎использование ‎передовых‏ ‎тактик, ‎методов‏ ‎и‏ ‎процедур ‎(TTP).

Техническое‏ ‎мастерство ‎и ‎инновации

Кибероперации ‎характеризуются ‎использованием‏ ‎специального ‎вредоносного‏ ‎ПО‏ ‎и ‎уязвимостей ‎нулевого‏ ‎дня. ‎Эксплуатация‏ ‎этих ‎уязвимостей ‎позволяет ‎эффективно‏ ‎проникать,‏ ‎например ‎chain-атака‏ ‎SolarWinds, ‎в‏ ‎результате ‎которой ‎был ‎нарушен ‎процесс‏ ‎разработки‏ ‎ПО ‎путём‏ ‎внедрения ‎вредоноснго‏ ‎кода ‎в ‎обновление ‎ПО, ‎что‏ ‎затронуло‏ ‎клиентов,‏ ‎включая ‎правительственные‏ ‎учреждения ‎и‏ ‎компании ‎из‏ ‎списка‏ ‎Fortune ‎500.

OpSec‏ ‎и ‎скрытность

OpSec ‎является ‎отличительной ‎чертой‏ ‎операций, ‎и‏ ‎атакующие‏ ‎делают ‎все ‎возможное,‏ ‎чтобы ‎замести‏ ‎следы ‎и ‎сохранить ‎скрытность‏ ‎в‏ ‎скомпрометированных ‎сетях.‏ ‎Это ‎включает‏ ‎в ‎себя ‎использование ‎зашифрованных ‎каналов‏ ‎для‏ ‎кражи ‎данных,‏ ‎тщательное ‎управление‏ ‎серверами ‎управления ‎и ‎контроля ‎во‏ ‎избежание‏ ‎обнаружения,‏ ‎а ‎также‏ ‎использование ‎легитимных‏ ‎инструментов ‎и‏ ‎услуг‏ ‎(LOTL), ‎чтобы‏ ‎гармонировать ‎с ‎обычной ‎сетевой ‎деятельностью.‏ ‎Способность ‎вести‏ ‎себя‏ ‎сдержанно ‎в ‎целевых‏ ‎сетях ‎часто‏ ‎позволяет ‎им ‎проводить ‎долгосрочные‏ ‎шпионские‏ ‎операции ‎без‏ ‎обнаружения.

Тактика ‎психологической‏ ‎и ‎социальной ‎инженерии

Помимо ‎технических ‎возможностей,‏ ‎он‏ ‎продемонстрировал ‎искусность‏ ‎в ‎тактике‏ ‎психологической ‎и ‎социальной ‎инженерии. ‎Эти‏ ‎методы‏ ‎предназначены‏ ‎для ‎манипулирования‏ ‎людьми ‎с‏ ‎целью ‎разглашения‏ ‎конфиденциальной‏ ‎информации ‎или‏ ‎выполнения ‎действий, ‎ставящих ‎под ‎угрозу‏ ‎безопасность. ‎Фишинговые‏ ‎кампании,‏ ‎целевой ‎фишинг ‎и‏ ‎другие ‎формы‏ ‎социнженерии ‎часто ‎используются ‎для‏ ‎получения‏ ‎первоначального ‎доступа‏ ‎к ‎целевым‏ ‎сетям ‎или ‎для ‎повышения ‎привилегий‏ ‎внутри‏ ‎них.

Выбор ‎цели‏ ‎и ‎сбор‏ ‎разведданных

Процесс ‎выбора ‎цели ‎носит ‎стратегический‏ ‎характер‏ ‎и‏ ‎соответствует ‎национальным‏ ‎интересам ‎России.‏ ‎Цели ‎тщательно‏ ‎выбираются‏ ‎на ‎основе‏ ‎их ‎потенциала ‎предоставления ‎ценной ‎разведывательной‏ ‎информации, ‎будь‏ ‎то‏ ‎политическая, ‎экономическая, ‎технологическая‏ ‎или ‎военная.‏ ‎Как ‎только ‎цель ‎скомпрометирована,‏ ‎участники‏ ‎сосредотачиваются ‎на‏ ‎долгосрочном ‎доступе‏ ‎и ‎сборе ‎разведданных, ‎отдавая ‎предпочтение‏ ‎скрытности‏ ‎и ‎закреплению‏ ‎вместо ‎немедленной‏ ‎выгоды.

Адаптируемость ‎к ‎ландшафту ‎кибербезопасности

Одним ‎из‏ ‎наиболее‏ ‎определяющих‏ ‎аспектов ‎является‏ ‎его ‎адаптивность.‏ ‎Переход ‎в‏ ‎сторону‏ ‎облачных ‎сервисов‏ ‎и ‎использования ‎сервисных ‎и ‎неактивных‏ ‎учётных ‎записей‏ ‎является‏ ‎свидетельством ‎такой ‎адаптивности.

Базовые‏ ‎механизмы ‎защиты

Контроль‏ ‎доступа: ‎обеспечение ‎того, ‎чтобы‏ ‎только‏ ‎авторизованные ‎пользователи‏ ‎имели ‎доступ‏ ‎к ‎информационным ‎системам ‎и ‎данными‏ ‎чтобы‏ ‎они ‎могли‏ ‎выполнять ‎только‏ ‎те ‎действия, ‎которые ‎необходимы ‎для‏ ‎их‏ ‎роли.

📌Шифрование‏ ‎данных: ‎защита‏ ‎данных ‎при‏ ‎хранении ‎и‏ ‎передаче‏ ‎посредством ‎шифрования,‏ ‎что ‎делает ‎их ‎нечитаемыми ‎для‏ ‎неавторизованных ‎пользователей.

📌Управление‏ ‎исправлениями:‏ ‎регулярное ‎обновление ‎программного‏ ‎обеспечения ‎и‏ ‎систем ‎для ‎устранения ‎уязвимостей‏ ‎и‏ ‎снижения ‎риска‏ ‎эксплуатации.

📌Брандмауэры ‎и‏ ‎системы ‎обнаружения ‎вторжений ‎(IDS): ‎внедрение‏ ‎брандмауэров‏ ‎для ‎блокировки‏ ‎несанкционированного ‎доступа‏ ‎и ‎IDS ‎для ‎мониторинга ‎сетевого‏ ‎трафика‏ ‎на‏ ‎предмет ‎подозрительной‏ ‎активности.

📌Многофакторная ‎аутентификация‏ ‎(MFA): ‎требование‏ ‎от‏ ‎пользователей ‎предоставления‏ ‎двух ‎или ‎более ‎факторов ‎проверки‏ ‎для ‎получения‏ ‎доступа‏ ‎к ‎системам, ‎что‏ ‎значительно ‎повышает‏ ‎безопасность.

📌Обучение ‎по ‎вопросам ‎безопасности:‏ ‎обучение‏ ‎сотрудников ‎рискам‏ ‎кибербезопасности ‎и‏ ‎передовым ‎методам ‎предотвращения ‎атак ‎социальной‏ ‎инженерии‏ ‎и ‎других‏ ‎угроз.

📌Планирование ‎реагирования‏ ‎на ‎инциденты: ‎подготовка ‎к ‎потенциальным‏ ‎инцидентам‏ ‎безопасности‏ ‎с ‎помощью‏ ‎чётко ‎определённого‏ ‎плана ‎реагирования‏ ‎и‏ ‎восстановления.

Роль ‎механизмов‏ ‎в ‎защите ‎от ‎сложных ‎угроз

Многие‏ ‎из ‎кибер-стратегий‏ ‎по-прежнему‏ ‎используют ‎основные ‎недостатки‏ ‎безопасности, ‎такие‏ ‎как ‎плохое ‎управление ‎паролями,‏ ‎необновленное‏ ‎ПО ‎и‏ ‎недостаточный ‎контроль‏ ‎доступа. ‎Придерживаясь ‎базовых ‎механизмов ‎безопасности,‏ ‎организации‏ ‎могут ‎устранить‏ ‎эти ‎уязвимости,‏ ‎значительно ‎усложняя ‎злоумышленникам ‎первоначальный ‎доступ‏ ‎или‏ ‎распространение‏ ‎внутри ‎сети.

Например,‏ ‎реализация ‎MFA‏ ‎может ‎предотвратить‏ ‎несанкционированный‏ ‎доступ, ‎даже‏ ‎если ‎учётные ‎данные ‎скомпрометированы. ‎Регулярное‏ ‎управление ‎исправлениями‏ ‎может‏ ‎закрыть ‎уязвимости ‎до‏ ‎того, ‎как‏ ‎они ‎смогут ‎быть ‎использованы‏ ‎в‏ ‎ходе ‎атаки‏ ‎нулевого ‎дня.‏ ‎Обучение ‎по ‎вопросам ‎безопасности ‎может‏ ‎снизить‏ ‎риск ‎того,‏ ‎что ‎сотрудники‏ ‎станут ‎жертвами ‎фишинга ‎или ‎других‏ ‎тактик‏ ‎социальной‏ ‎инженерии.

Проблемы ‎в‏ ‎поддержании ‎механизмов‏ ‎безопасности

Несмотря ‎на‏ ‎очевидные‏ ‎преимущества, ‎поддержание‏ ‎«прочного ‎фундамента ‎безопасности» ‎может ‎оказаться‏ ‎непростой ‎задачей‏ ‎для‏ ‎организаций. ‎Это ‎связано‏ ‎с ‎множеством‏ ‎факторов, ‎включая ‎ограниченность ‎ресурсов,‏ ‎сложность‏ ‎современной ‎ИТ-среды‏ ‎и ‎быстрые‏ ‎темпы ‎технологических ‎изменений. ‎Кроме ‎того,‏ ‎по‏ ‎мере ‎того,‏ ‎как ‎организации‏ ‎все ‎чаще ‎внедряют ‎облачные ‎сервисы‏ ‎и‏ ‎другие‏ ‎передовые ‎технологии,‏ ‎среда ‎становится‏ ‎более ‎сложной,‏ ‎что‏ ‎требует ‎постоянной‏ ‎адаптации ‎фундаментальных ‎методов ‎обеспечения ‎безопасности.

Стратегии‏ ‎усиления ‎защиты

📌Непрерывная‏ ‎оценка‏ ‎рисков: ‎регулярная ‎оценка‏ ‎состояния ‎безопасности‏ ‎организации ‎для ‎выявления ‎уязвимостей‏ ‎и‏ ‎определения ‎приоритетности‏ ‎усилий ‎по‏ ‎их ‎устранению.

📌Использование ‎структур ‎безопасности: принятие ‎комплексных‏ ‎структур‏ ‎безопасности, ‎таких‏ ‎как ‎NIST‏ ‎Cybersecurity ‎Framework, ‎для ‎руководства ‎внедрением‏ ‎лучших‏ ‎практик‏ ‎и ‎средств‏ ‎контроля.

📌Автоматизация ‎процессов‏ ‎безопасности: ‎использование‏ ‎автоматизации‏ ‎для ‎оптимизации‏ ‎процессов ‎безопасности, ‎таких ‎как ‎управление‏ ‎исправлениями ‎и‏ ‎мониторинг,‏ ‎для ‎повышения ‎эффективности‏ ‎и ‎результативности.

📌Формирование‏ ‎культуры ‎безопасности: ‎создание ‎культуры‏ ‎безопасности‏ ‎внутри ‎организации,‏ ‎где ‎кибербезопасность‏ ‎рассматривается ‎как ‎общая ‎ответственность ‎всех‏ ‎сотрудников.

📌Сотрудничество‏ ‎и ‎обмен‏ ‎информацией: участие ‎в‏ ‎сотрудничестве ‎и ‎обмене ‎информацией ‎с‏ ‎коллегами‏ ‎по‏ ‎отрасли ‎и‏ ‎государственными ‎учреждениями,‏ ‎чтобы ‎оставаться‏ ‎в‏ ‎курсе ‎возникающих‏ ‎угроз ‎и ‎передового ‎опыта.

Эксплуатация ‎сервисных‏ ‎и ‎неактивных ‎учётных ‎записей ‎кибер-профессионалами‏ ‎представляет ‎собой‏ ‎изощренный‏ ‎и ‎часто ‎упускаемый‏ ‎из ‎виду‏ ‎вектор ‎кибератак. ‎Эти ‎учётные‏ ‎записи,‏ ‎созданные ‎для‏ ‎различных ‎операционных‏ ‎целей ‎в ‎облачных ‎и ‎локальных‏ ‎средах‏ ‎организации, ‎могут‏ ‎предоставить ‎злоумышленникам‏ ‎доступ, ‎необходимый ‎им ‎для ‎достижения‏ ‎своих‏ ‎целей,‏ ‎если ‎они‏ ‎не ‎управляются‏ ‎и ‎не‏ ‎защищаются‏ ‎должным ‎образом.

Учётные‏ ‎записи ‎служб ‎— ‎это ‎специализированные‏ ‎учётные ‎записи,‏ ‎используемые‏ ‎приложениями ‎или ‎службами‏ ‎для ‎взаимодействия‏ ‎с ‎операционной ‎системой ‎или‏ ‎другими‏ ‎службами. ‎Они‏ ‎часто ‎имеют‏ ‎повышенные ‎привилегии ‎для ‎выполнения ‎определённых‏ ‎задач‏ ‎и ‎могут‏ ‎не ‎быть‏ ‎привязаны ‎к ‎личности ‎отдельного ‎пользователя.‏ ‎С‏ ‎другой‏ ‎стороны, ‎неактивные‏ ‎учётные ‎записи‏ ‎— ‎это‏ ‎учётные‏ ‎записи ‎пользователей,‏ ‎которые ‎больше ‎не ‎используются ‎либо‏ ‎потому, ‎что‏ ‎пользователь‏ ‎покинул ‎организацию, ‎либо‏ ‎потому, ‎что‏ ‎цель ‎учётной ‎записи ‎была‏ ‎достигнута.‏ ‎Эти ‎учётные‏ ‎записи ‎особенно‏ ‎опасны, ‎поскольку ‎о ‎них ‎часто‏ ‎забывают,‏ ‎им ‎оставляют‏ ‎больше ‎привилегий,‏ ‎чем ‎необходимо, ‎и ‎они ‎не‏ ‎контролируются‏ ‎так‏ ‎тщательно, ‎как‏ ‎активные ‎учётные‏ ‎записи ‎пользователей.

Почему‏ ‎служебные‏ ‎и ‎неактивные‏ ‎учётные ‎записи ‎подвергаются ‎атаке

📌Повышенные ‎привилегии.‏ ‎Учётные ‎записи‏ ‎служб‏ ‎имеют ‎повышенные ‎привилегии,‏ ‎необходимые ‎для‏ ‎системных ‎задач, ‎которые ‎можно‏ ‎использовать‏ ‎для ‎получения‏ ‎широкого ‎доступа‏ ‎к ‎сети ‎организации.

📌Отсутствие ‎мониторинга. Неактивные ‎учётные‏ ‎записи‏ ‎используются ‎нерегулярно,‏ ‎что ‎снижает‏ ‎вероятность ‎их ‎отслеживания ‎на ‎предмет‏ ‎подозрительной‏ ‎активности‏ ‎делает ‎их‏ ‎привлекательной ‎целью‏ ‎для ‎злоумышленников.

📌Слабые‏ ‎учётные‏ ‎данные ‎или‏ ‎учётные ‎данные ‎по ‎умолчанию. Учётные ‎записи‏ ‎служб ‎могут‏ ‎быть‏ ‎настроены ‎со ‎слабыми‏ ‎учётными ‎данными‏ ‎или ‎учётными ‎данными ‎по‏ ‎умолчанию,‏ ‎которые ‎проще‏ ‎найти ‎с‏ ‎помощью ‎атак ‎методом ‎перебора.

📌Обход ‎аналитики‏ ‎поведения‏ ‎пользователей. ‎Поскольку‏ ‎учётные ‎записи‏ ‎служб ‎выполняют ‎автоматизированные ‎задачи, ‎их‏ ‎модели‏ ‎поведения‏ ‎могут ‎быть‏ ‎предсказуемыми, ‎что‏ ‎позволяет ‎вредоносным‏ ‎действиям‏ ‎сливаться ‎с‏ ‎обычными ‎операциями ‎и ‎уклоняться ‎от‏ ‎обнаружения.

Угроза, ‎которую‏ ‎представляют‏ ‎скомпрометированные ‎учётные ‎записи

📌Распространение:‏ ‎использование ‎привилегий‏ ‎учётной ‎записи ‎для ‎дальнейшего‏ ‎распространения‏ ‎в ‎сети,‏ ‎получая ‎доступ‏ ‎к ‎другим ‎системам ‎и ‎данным.

📌Повышение‏ ‎привилегий:‏ ‎использование ‎учётной‏ ‎записи ‎для‏ ‎повышения ‎привилегий ‎и ‎получения ‎административного‏ ‎доступа‏ ‎к‏ ‎критически ‎важным‏ ‎системам.

📌Закрепление: ‎обеспечение‏ ‎постоянного ‎присутствия‏ ‎в‏ ‎сети, ‎что‏ ‎затрудняет ‎обнаружение ‎и ‎устранение ‎злоумышленника.

📌Эксфильтрация‏ ‎данных: доступ ‎к‏ ‎конфиденциальным‏ ‎данным ‎и ‎их‏ ‎удаление, ‎что‏ ‎приводит ‎к ‎утечке ‎данных‏ ‎и‏ ‎краже ‎интеллектуальной‏ ‎собственности.

Снижение ‎рисков,‏ ‎связанных ‎с ‎сервисными ‎и ‎неактивными‏ ‎счетами

📌Регулярные‏ ‎проверки. Проведение ‎регулярных‏ ‎проверок ‎всех‏ ‎учётных ‎записей ‎для ‎выявления ‎и‏ ‎деактивации‏ ‎неактивных‏ ‎учётных ‎записей‏ ‎и ‎обеспечения‏ ‎того, ‎чтобы‏ ‎учётные‏ ‎записи ‎служб‏ ‎имели ‎минимально ‎необходимые ‎привилегии.

📌Строгий ‎контроль‏ ‎аутентификации. ‎Применение‏ ‎политики‏ ‎надёжных ‎паролей ‎и‏ ‎использование ‎MFA‏ ‎для ‎учётных ‎записей ‎служб,‏ ‎где‏ ‎это ‎возможно.

📌Мониторинг.‏ ‎Внедрение ‎механизмов‏ ‎мониторинга ‎и ‎оповещения ‎для ‎обнаружения‏ ‎необычных‏ ‎действий, ‎связанных‏ ‎со ‎службами‏ ‎и ‎неактивными ‎учётными ‎записями.

📌Разделение ‎ролей.‏ ‎Применение‏ ‎принципа‏ ‎разделения ‎ролей‏ ‎к ‎учётным‏ ‎записям ‎служб,‏ ‎чтобы‏ ‎ограничить ‎объем‏ ‎доступа ‎и ‎снизить ‎риск ‎неправомерного‏ ‎использования.

📌Инструменты ‎автоматического‏ ‎управления. Использование‏ ‎инструментов ‎автоматического ‎управления‏ ‎учётными ‎записями,‏ ‎чтобы ‎отслеживать ‎использование ‎и‏ ‎жизненный‏ ‎цикл ‎учётной‏ ‎записи, ‎гарантируя,‏ ‎что ‎учётные ‎записи ‎будут ‎деактивированы,‏ ‎когда‏ ‎они ‎больше‏ ‎не ‎нужны.

Смещение ‎акцента‏ ‎кибер-профессионалов ‎на ‎облачные ‎сервисы ‎вывело‏ ‎важность ‎обеспечения‏ ‎первоначального‏ ‎доступа ‎на ‎передний‏ ‎план. ‎В‏ ‎облачных ‎средах ‎первоначальный ‎доступ‏ ‎представляет‏ ‎собой ‎критический‏ ‎момент, ‎когда‏ ‎безопасность ‎всей ‎системы ‎становится ‎наиболее‏ ‎уязвимой.‏ ‎В ‎отличие‏ ‎от ‎традиционных‏ ‎локальных ‎сетей, ‎доступ ‎к ‎облачным‏ ‎сервисам‏ ‎осуществляется‏ ‎через ‎Интернет,‏ ‎что ‎делает‏ ‎начальную ‎точку‏ ‎входа‏ ‎основной ‎целью‏ ‎для ‎злоумышленников.

Первоначальный ‎доступ ‎как ‎плацдарм‏ ‎для ‎злоумышленников

Получение‏ ‎первоначального‏ ‎доступа ‎к ‎облачным‏ ‎сервисам ‎позволяет‏ ‎злоумышленникам ‎закрепиться ‎в ‎целевой‏ ‎среде‏ ‎с ‎последующим‏ ‎повышением ‎привилегий,‏ ‎распространения ‎по ‎сети ‎и ‎получения‏ ‎доступа‏ ‎к ‎конфиденциальным‏ ‎данным. ‎Распределённый‏ ‎характер ‎облачных ‎сервисов ‎также ‎означает,‏ ‎что‏ ‎компрометация‏ ‎одной ‎учётной‏ ‎записи ‎может‏ ‎потенциально ‎предоставить‏ ‎доступ‏ ‎к ‎широкому‏ ‎спектру ‎ресурсов ‎и ‎данных.

Проблемы ‎в‏ ‎обеспечении ‎первоначального‏ ‎доступа

📌Удалённый‏ ‎доступ. ‎Облачные ‎сервисы‏ ‎предназначены ‎для‏ ‎удалённого ‎доступа, ‎что ‎увеличивает‏ ‎поверхность‏ ‎атаки.

📌Управление ‎идентификацией‏ ‎и ‎доступом‏ ‎(IAM). ‎В ‎облачных ‎средах ‎IAM‏ ‎становится‏ ‎важнейшим ‎компонентом‏ ‎безопасности. ‎Организации‏ ‎должны ‎обеспечить ‎надёжность ‎политик ‎IAM‏ ‎и‏ ‎предоставление‏ ‎разрешений ‎на‏ ‎основе ‎принципа‏ ‎наименьших ‎привилегий,‏ ‎чтобы‏ ‎минимизировать ‎риск‏ ‎первоначального ‎доступа ‎со ‎стороны ‎неавторизованных‏ ‎лиц.

📌Фишинг ‎и‏ ‎социнженерия.‏ ‎используются ‎методы ‎фишинга‏ ‎и ‎социальной‏ ‎инженерии ‎для ‎получения ‎первоначального‏ ‎доступа.‏ ‎Эти ‎методы‏ ‎используют ‎человеческий‏ ‎фактор, ‎а ‎не ‎технические ‎уязвимости,‏ ‎что‏ ‎затрудняет ‎защиту‏ ‎от ‎них‏ ‎с ‎помощью ‎традиционных ‎мер ‎безопасности.

Примеры‏ ‎методов‏ ‎первоначального‏ ‎доступа

📌Credential ‎Stuffing.‏ ‎Метод ‎предполагает‏ ‎использование ‎ранее‏ ‎взломанных‏ ‎пар ‎имени‏ ‎пользователя ‎и ‎пароля ‎для ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к‏ ‎учётным ‎записям, ‎делая‏ ‎ставку ‎на‏ ‎вероятность ‎того, ‎что ‎люди‏ ‎будут‏ ‎повторно ‎использовать‏ ‎учётные ‎данные‏ ‎в ‎нескольких ‎службах.

📌Использование ‎некорректных ‎конфигураций.‏ ‎Облачные‏ ‎сервисы ‎сложно‏ ‎настроить ‎правильно,‏ ‎и ‎используются ‎некорректные ‎конфигурации: ‎открытые‏ ‎сетевые‏ ‎сегменты‏ ‎или ‎ошибки‏ ‎в ‎настройке‏ ‎управления ‎доступом.

📌Компрометация‏ ‎сторонних‏ ‎сервисов. ‎Злоумышленники‏ ‎могут ‎атаковать ‎сторонние ‎сервисы, ‎которые‏ ‎интегрируются ‎с‏ ‎облачными‏ ‎средами, ‎например ‎приложения‏ ‎SaaS, ‎чтобы‏ ‎получить ‎первоначальный ‎доступ ‎к‏ ‎облачной‏ ‎инфраструктуре.

Снижение ‎рисков‏ ‎первоначального ‎доступа

📌Комплексные‏ ‎политики ‎доступа. Установление ‎и ‎соблюдение ‎комплексных‏ ‎политик‏ ‎доступа ‎может‏ ‎помочь ‎контролировать,‏ ‎кто ‎и ‎на ‎каких ‎условиях‏ ‎имеет‏ ‎доступ‏ ‎к ‎облачным‏ ‎ресурсам.

📌Регулярные ‎аудиты‏ ‎и ‎проверки. Проведение‏ ‎регулярных‏ ‎аудитов ‎и‏ ‎проверок ‎журналов ‎доступа ‎и ‎разрешений‏ ‎может ‎помочь‏ ‎выявить‏ ‎и ‎устранить ‎потенциальные‏ ‎уязвимости ‎до‏ ‎того, ‎как ‎они ‎будут‏ ‎использованы.

📌Обучение‏ ‎по ‎вопросам‏ ‎безопасности. Обучение ‎сотрудников‏ ‎рискам ‎фишинга ‎и ‎социальной ‎инженерии‏ ‎может‏ ‎снизить ‎вероятность‏ ‎компрометации ‎учётных‏ ‎данных.

📌Endpoint ‎Security. ‎Обеспечение ‎безопасности ‎и‏ ‎актуальности‏ ‎всех‏ ‎устройств ‎с‏ ‎доступом ‎к‏ ‎облачным ‎сервисам,‏ ‎может‏ ‎помешать ‎злоумышленникам‏ ‎использовать ‎уязвимости ‎конечных ‎точек ‎для‏ ‎получения ‎первоначального‏ ‎доступа.

📌Обнаружение‏ ‎аномалий. ‎Внедрение ‎систем‏ ‎обнаружения ‎аномалий‏ ‎помогает ‎выявить ‎необычные ‎модели‏ ‎доступа‏ ‎или ‎попытки‏ ‎входа ‎в‏ ‎систему, ‎которые ‎могут ‎указывать ‎на‏ ‎попытку‏ ‎взлома.

Возросшая ‎важность‏ ‎первоначального ‎доступа ‎в ‎облачной ‎безопасности

Смещение‏ ‎акцента ‎кибер-профессионалов‏ ‎на‏ ‎облачные ‎сервисы ‎вывело‏ ‎важность ‎обеспечения‏ ‎первоначального ‎доступа ‎на ‎передний‏ ‎план.‏ ‎В ‎облачных‏ ‎средах ‎первоначальный‏ ‎доступ ‎представляет ‎собой ‎критический ‎момент,‏ ‎когда‏ ‎безопасность ‎всей‏ ‎системы ‎становится‏ ‎наиболее ‎уязвимой. ‎В ‎отличие ‎от‏ ‎традиционных‏ ‎локальных‏ ‎сетей, ‎доступ‏ ‎к ‎облачным‏ ‎сервисам ‎осуществляется‏ ‎через‏ ‎Интернет, ‎что‏ ‎делает ‎начальную ‎точку ‎входа ‎основной‏ ‎целью ‎для‏ ‎злоумышленников.

Первоначальный‏ ‎доступ ‎как ‎плацдарм‏ ‎для ‎злоумышленников

Получение‏ ‎первоначального ‎доступа ‎к ‎облачным‏ ‎сервисам‏ ‎позволяет ‎злоумышленникам‏ ‎закрепиться ‎в‏ ‎целевой ‎среде ‎с ‎последующим ‎повышением‏ ‎привилегий,‏ ‎распространения ‎по‏ ‎сети ‎и‏ ‎получения ‎доступа ‎к ‎конфиденциальным ‎данным.‏ ‎Распределённый‏ ‎характер‏ ‎облачных ‎сервисов‏ ‎также ‎означает,‏ ‎что ‎компрометация‏ ‎одной‏ ‎учётной ‎записи‏ ‎может ‎потенциально ‎предоставить ‎доступ ‎к‏ ‎широкому ‎спектру‏ ‎ресурсов‏ ‎и ‎данных.

Проблемы ‎в‏ ‎обеспечении ‎первоначального‏ ‎доступа

📌Удалённый ‎доступ. ‎Облачные ‎сервисы‏ ‎предназначены‏ ‎для ‎удалённого‏ ‎доступа, ‎что‏ ‎увеличивает ‎поверхность ‎атаки.

📌Управление ‎идентификацией ‎и‏ ‎доступом‏ ‎(IAM). ‎В‏ ‎облачных ‎средах‏ ‎IAM ‎становится ‎важнейшим ‎компонентом ‎безопасности.‏ ‎Организации‏ ‎должны‏ ‎обеспечить ‎надёжность‏ ‎политик ‎IAM‏ ‎и ‎предоставление‏ ‎разрешений‏ ‎на ‎основе‏ ‎принципа ‎наименьших ‎привилегий, ‎чтобы ‎минимизировать‏ ‎риск ‎первоначального‏ ‎доступа‏ ‎со ‎стороны ‎неавторизованных‏ ‎лиц.

📌Фишинг ‎и‏ ‎социнженерия. ‎используются ‎методы ‎фишинга‏ ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎получения‏ ‎первоначального ‎доступа. ‎Эти ‎методы ‎используют‏ ‎человеческий‏ ‎фактор, ‎а‏ ‎не ‎технические‏ ‎уязвимости, ‎что ‎затрудняет ‎защиту ‎от‏ ‎них‏ ‎с‏ ‎помощью ‎традиционных‏ ‎мер ‎безопасности.

Примеры‏ ‎методов ‎первоначального‏ ‎доступа

📌Credential‏ ‎Stuffing. ‎Метод‏ ‎предполагает ‎использование ‎ранее ‎взломанных ‎пар‏ ‎имени ‎пользователя‏ ‎и‏ ‎пароля ‎для ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎учётным ‎записям, ‎делая‏ ‎ставку‏ ‎на ‎вероятность‏ ‎того, ‎что‏ ‎люди ‎будут ‎повторно ‎использовать ‎учётные‏ ‎данные‏ ‎в ‎нескольких‏ ‎службах.

📌Использование ‎некорректных‏ ‎конфигураций. Облачные ‎сервисы ‎сложно ‎настроить ‎правильно,‏ ‎и‏ ‎используются‏ ‎некорректные ‎конфигурации:‏ ‎открытые ‎сетевые‏ ‎сегменты ‎или‏ ‎ошибки‏ ‎в ‎настройке‏ ‎управления ‎доступом.

📌Компрометация ‎сторонних ‎сервисов. Злоумышленники ‎могут‏ ‎атаковать ‎сторонние‏ ‎сервисы,‏ ‎которые ‎интегрируются ‎с‏ ‎облачными ‎средами,‏ ‎например ‎приложения ‎SaaS, ‎чтобы‏ ‎получить‏ ‎первоначальный ‎доступ‏ ‎к ‎облачной‏ ‎инфраструктуре.

Снижение ‎рисков ‎первоначального ‎доступа

📌Комплексные ‎политики‏ ‎доступа.‏ ‎Установление ‎и‏ ‎соблюдение ‎комплексных‏ ‎политик ‎доступа ‎может ‎помочь ‎контролировать,‏ ‎кто‏ ‎и‏ ‎на ‎каких‏ ‎условиях ‎имеет‏ ‎доступ ‎к‏ ‎облачным‏ ‎ресурсам.

📌Регулярные ‎аудиты‏ ‎и ‎проверки. ‎Проведение ‎регулярных ‎аудитов‏ ‎и ‎проверок‏ ‎журналов‏ ‎доступа ‎и ‎разрешений‏ ‎может ‎помочь‏ ‎выявить ‎и ‎устранить ‎потенциальные‏ ‎уязвимости‏ ‎до ‎того,‏ ‎как ‎они‏ ‎будут ‎использованы.

📌Обучение ‎по ‎вопросам ‎безопасности. Обучение‏ ‎сотрудников‏ ‎рискам ‎фишинга‏ ‎и ‎социальной‏ ‎инженерии ‎может ‎снизить ‎вероятность ‎компрометации‏ ‎учётных‏ ‎данных.

📌Endpoint‏ ‎Security. Обеспечение ‎безопасности‏ ‎и ‎актуальности‏ ‎всех ‎устройств‏ ‎с‏ ‎доступом ‎к‏ ‎облачным ‎сервисам, ‎может ‎помешать ‎злоумышленникам‏ ‎использовать ‎уязвимости‏ ‎конечных‏ ‎точек ‎для ‎получения‏ ‎первоначального ‎доступа.

📌Обнаружение‏ ‎аномалий. ‎Внедрение ‎систем ‎обнаружения‏ ‎аномалий‏ ‎помогает ‎выявить‏ ‎необычные ‎модели‏ ‎доступа ‎или ‎попытки ‎входа ‎в‏ ‎систему,‏ ‎которые ‎могут‏ ‎указывать ‎на‏ ‎попытку ‎взлома.

В ‎изменяющемся‏ ‎кибер-ландшафте ‎адаптация ‎к ‎целевым ‎облачным‏ ‎сервисам ‎подчёркивает‏ ‎кардинальный‏ ‎сдвиг ‎в ‎тактике‏ ‎кибершпионажа. ‎Переход‏ ‎от ‎использования ‎уязвимостей ‎локальной‏ ‎сети‏ ‎к ‎прямому‏ ‎нацеливанию ‎на‏ ‎облачные ‎инфраструктуры ‎знаменует ‎собой ‎значительную‏ ‎эволюцию‏ ‎киберугроз. ‎В‏ ‎основе ‎этого‏ ‎лежит ‎решающая ‎роль ‎аутентификации ‎как‏ ‎ключевого‏ ‎шага‏ ‎в ‎защите‏ ‎облачных ‎сетей‏ ‎от ‎кибер-профессионалов.

Важность‏ ‎аутентификации‏ ‎в ‎облачных‏ ‎средах

Аутентификация ‎служит ‎шлюзом ‎к ‎облачным‏ ‎сервисам, ‎определяя,‏ ‎следует‏ ‎ли ‎предоставить ‎доступ‏ ‎пользователю ‎или‏ ‎системе. ‎В ‎облачных ‎средах,‏ ‎где‏ ‎ресурсы ‎и‏ ‎данные ‎размещаются‏ ‎за ‎пределами ‎предприятия ‎и ‎доступны‏ ‎через‏ ‎Интернет, ‎невозможно‏ ‎переоценить ‎важность‏ ‎надёжных ‎механизмов ‎аутентификации. ‎В ‎отличие‏ ‎от‏ ‎традиционных‏ ‎локальных ‎систем,‏ ‎где ‎есть‏ ‎меры ‎физической‏ ‎безопасности‏ ‎и ‎внутренняя‏ ‎сетевая ‎защита, ‎облачные ‎сервисы ‎по‏ ‎своей ‎сути‏ ‎более‏ ‎подвержены ‎воздействию ‎Интернета.‏ ‎Такая ‎уязвимость‏ ‎делает ‎начальный ‎этап ‎аутентификации‏ ‎не‏ ‎просто ‎мерой‏ ‎безопасности, ‎а‏ ‎критически ‎важным ‎механизмом ‎защиты ‎от‏ ‎несанкционированного‏ ‎доступа.

Проблемы ‎облачной‏ ‎аутентификации

Переход ‎к‏ ‎облачным ‎сервисам ‎приносит ‎с ‎собой‏ ‎уникальные‏ ‎проблемы‏ ‎в ‎реализации‏ ‎эффективных ‎стратегий‏ ‎аутентификации. ‎Пользователи‏ ‎получают‏ ‎доступ ‎к‏ ‎облачным ‎сервисам ‎из ‎разных ‎мест,‏ ‎устройств ‎и‏ ‎сетей,‏ ‎что ‎требует ‎эффективных‏ ‎механизмов ‎аутентификации.

Масштабируемость‏ ‎облачных ‎сервисов ‎означает, ‎что‏ ‎механизмы‏ ‎аутентификации ‎должны‏ ‎быть ‎в‏ ‎состоянии ‎обрабатывать ‎большое ‎количество ‎запросов‏ ‎на‏ ‎доступ ‎без‏ ‎значительных ‎задержек‏ ‎и ‎ухудшения ‎пользовательского ‎опыта. ‎Это‏ ‎требование‏ ‎масштабируемости‏ ‎и ‎удобства‏ ‎для ‎пользователя‏ ‎часто ‎противоречит‏ ‎необходимости‏ ‎строгих ‎мер‏ ‎безопасности, ‎создавая ‎хрупкий ‎баланс, ‎который‏ ‎должны ‎соблюдать‏ ‎организации.

Стратегии‏ ‎усиления ‎облачной ‎аутентификации

📌Многофакторная‏ ‎аутентификация ‎(MFA).‏ ‎MFA ‎добавляет ‎дополнительный ‎уровень‏ ‎безопасности,‏ ‎требуя ‎от‏ ‎пользователей ‎предоставления‏ ‎двух ‎или ‎более ‎факторов ‎проверки‏ ‎для‏ ‎получения ‎доступа.‏ ‎Подход ‎снижает‏ ‎риск ‎несанкционированного ‎доступа, ‎поскольку ‎значительно‏ ‎сложнее‏ ‎получить‏ ‎несколько ‎факторов‏ ‎аутентификации.

📌Адаптивная ‎аутентификация.‏ ‎Механизмы ‎адаптивной‏ ‎аутентификации‏ ‎корректируют ‎требования‏ ‎в ‎зависимости ‎от ‎контекста ‎запроса‏ ‎доступа. ‎Такие‏ ‎факторы,‏ ‎как ‎местоположение, ‎устройство‏ ‎и ‎поведение‏ ‎пользователя, ‎могут ‎влиять ‎на‏ ‎процесс‏ ‎аутентификации, ‎что‏ ‎позволяет ‎применять‏ ‎более ‎строгий ‎контроль ‎в ‎сценариях‏ ‎повышенного‏ ‎риска.

📌Архитектура ‎нулевого‏ ‎доверия. ‎Принятие‏ ‎подхода ‎нулевого ‎доверия ‎к ‎облачной‏ ‎безопасности,‏ ‎при‏ ‎котором ‎ни‏ ‎один ‎пользователь‏ ‎или ‎система‏ ‎не‏ ‎пользуется ‎доверием‏ ‎по ‎умолчанию, ‎может ‎повысить ‎эффективность‏ ‎аутентификации. ‎Эта‏ ‎модель‏ ‎требует ‎строгой ‎проверки‏ ‎личности ‎каждого‏ ‎кто ‎пытается ‎получить ‎доступ‏ ‎к‏ ‎ресурсам, ‎независимо‏ ‎от ‎их‏ ‎местоположения ‎или ‎сети.

📌Использование ‎биометрии. ‎Методы‏ ‎биометрической‏ ‎аутентификации, ‎такие‏ ‎как ‎сканирование‏ ‎отпечатков ‎пальцев ‎или ‎распознавание ‎лиц,‏ ‎обеспечивают‏ ‎высокий‏ ‎уровень ‎безопасности‏ ‎за ‎счёт‏ ‎использования ‎уникальных‏ ‎физических‏ ‎характеристик ‎пользователей.‏ ‎Эти ‎методы ‎могут ‎быть ‎особенно‏ ‎эффективными ‎для‏ ‎предотвращения‏ ‎несанкционированного ‎доступа ‎в‏ ‎облачных ‎средах.

📌Шифрование‏ ‎данных ‎аутентификации. ‎Шифрование ‎данных‏ ‎аутентификации‏ ‎(паролей, ‎токенов‏ ‎аутентификации ‎и‏ ‎другой ‎конфиденциальной ‎информации), ‎как ‎при‏ ‎передаче,‏ ‎так ‎и‏ ‎при ‎хранении,‏ ‎может ‎защитить ‎от ‎перехвата ‎и‏ ‎использования‏ ‎злоумышленниками.

📌Доступ ‎к‏ ‎учётным ‎данным ‎/ ‎подбор ‎пароля‏ ‎T1110: ‎используются‏ ‎password-spray‏ ‎и ‎подбор ‎паролей‏ ‎в ‎качестве‏ ‎начальных ‎векторов ‎заражения. ‎Подход‏ ‎предполагает‏ ‎попытку ‎ввода‏ ‎нескольких ‎паролей‏ ‎для ‎разных ‎учётных ‎записей ‎или‏ ‎многочисленные‏ ‎попытки ‎для‏ ‎одной ‎учётной‏ ‎записи ‎для ‎получения ‎несанкционированного ‎доступа.

📌Первоначальный‏ ‎доступ‏ ‎/‏ ‎T1078.004 ‎Действительные‏ ‎учётные ‎записи:‏ ‎Облачные ‎учётные‏ ‎записи:‏ ‎получение ‎доступа‏ ‎к ‎облачным ‎сервисам, ‎используя ‎скомпрометированные‏ ‎учётные ‎данные:‏ ‎как‏ ‎системные ‎учётные ‎записи‏ ‎(используемые ‎для‏ ‎автоматизированных ‎задач ‎и ‎служб),‏ ‎так‏ ‎и ‎неактивные‏ ‎учётные ‎записи,‏ ‎учётные ‎которые ‎все ‎ещё ‎остаются‏ ‎в‏ ‎системе.

📌Доступ ‎к‏ ‎учётным ‎данным‏ ‎/ ‎T1528 ‎Кража ‎токена ‎доступа‏ ‎к‏ ‎приложению:‏ ‎злоумышленники ‎используют‏ ‎украденные ‎токены‏ ‎доступа ‎для‏ ‎входа‏ ‎в ‎учётные‏ ‎записи ‎без ‎необходимости ‎ввода ‎паролей.‏ ‎Токены ‎доступа‏ ‎—‏ ‎это ‎цифровые ‎ключи,‏ ‎которые ‎позволяют‏ ‎получить ‎доступ ‎к ‎учётным‏ ‎записям‏ ‎пользователей. ‎Их‏ ‎получение ‎позволяет‏ ‎обойти ‎традиционные ‎механизмы ‎входа ‎в‏ ‎систему.

📌Доступ‏ ‎к ‎учётным‏ ‎данным ‎/‏ ‎Формирование ‎запроса ‎многофакторной ‎аутентификации ‎T1621:‏ ‎метод‏ ‎«бомбардировка‏ ‎MFA» ‎предполагает,‏ ‎что ‎злоумышленники‏ ‎неоднократно ‎отправляют‏ ‎запросы‏ ‎MFA ‎на‏ ‎устройство ‎жертвы. ‎Цель ‎состоит ‎в‏ ‎том, ‎чтобы‏ ‎жертва‏ ‎приняла ‎запрос ‎и‏ ‎таким ‎образом‏ ‎предоставила ‎злоумышленнику ‎доступ.

📌Командование ‎и‏ ‎контроль‏ ‎/ ‎T1090.002‏ ‎Прокси: ‎Внешний‏ ‎прокси: ‎чтобы ‎поддерживать ‎«тайные ‎операции‏ ‎и‏ ‎сливаться ‎с‏ ‎обычным ‎трафиком»,‏ ‎используются ‎открытые ‎прокси, ‎расположенные ‎в‏ ‎частных‏ ‎диапазонах‏ ‎IP-адресов, ‎т.‏ ‎к. ‎вредоносные‏ ‎соединения ‎сложнее‏ ‎отличить‏ ‎от ‎легальной‏ ‎активности ‎пользователей ‎в ‎журналах ‎доступа.

📌Успешная‏ ‎регистрация ‎устройства‏ ‎может‏ ‎обеспечить ‎постоянный ‎доступ‏ ‎к ‎облачной‏ ‎среде.

Доступ ‎через ‎сервисные ‎и‏ ‎спящие‏ ‎учётные ‎записи

Одна‏ ‎из ‎ключевых‏ ‎стратегий, ‎применяемых ‎злоумышленниками, ‎предполагает ‎нацеливание‏ ‎на‏ ‎сервисные ‎и‏ ‎неактивные ‎учётные‏ ‎записи ‎в ‎облачных ‎средах. ‎Учётные‏ ‎записи‏ ‎служб‏ ‎используются ‎для‏ ‎запуска ‎приложений‏ ‎и ‎служб‏ ‎и‏ ‎управления ‎ими‏ ‎без ‎прямого ‎взаимодействия ‎с ‎человеком.‏ ‎Эти ‎учётные‏ ‎записи‏ ‎особенно ‎уязвимы, ‎поскольку‏ ‎их ‎часто‏ ‎невозможно ‎защитить ‎с ‎помощью‏ ‎многофакторной‏ ‎аутентификации ‎(MFA),‏ ‎и ‎они‏ ‎могут ‎иметь ‎высокопривилегированный ‎доступ ‎в‏ ‎зависимости‏ ‎от ‎их‏ ‎роли ‎в‏ ‎управлении ‎приложениями ‎и ‎службами. ‎Получив‏ ‎доступ‏ ‎к‏ ‎этим ‎учётным‏ ‎записям, ‎злоумышленники‏ ‎могут ‎получить‏ ‎привилегированный‏ ‎первоначальный ‎доступ‏ ‎к ‎сети, ‎которую ‎они ‎используют‏ ‎в ‎качестве‏ ‎стартовой‏ ‎площадки ‎для ‎дальнейших‏ ‎операций.

Кампании ‎нацелены‏ ‎на ‎неактивные ‎учётные ‎записи,‏ ‎пользователи‏ ‎которых ‎больше‏ ‎не ‎активны‏ ‎в ‎организации-жертве, ‎но ‎не ‎были‏ ‎удалены‏ ‎из ‎системы.‏ ‎Эти ‎учётные‏ ‎записи ‎могут ‎быть ‎использованы ‎для‏ ‎восстановления‏ ‎доступа‏ ‎к ‎сети,‏ ‎особенно ‎после‏ ‎мер ‎реагирования‏ ‎на‏ ‎инциденты, ‎таких‏ ‎как ‎принудительный ‎сброс ‎пароля. ‎Было‏ ‎замечено, ‎что‏ ‎субъекты‏ ‎входили ‎в ‎эти‏ ‎неактивные ‎учётные‏ ‎записи ‎и ‎следовали ‎инструкциям‏ ‎по‏ ‎сбросу ‎пароля,‏ ‎что ‎позволяло‏ ‎им ‎сохранять ‎доступ ‎даже ‎после‏ ‎того,‏ ‎как ‎группы‏ ‎реагирования ‎на‏ ‎инциденты ‎пытались ‎их ‎«выселить».

Аутентификация ‎токена‏ ‎на‏ ‎основе‏ ‎облака

Ещё ‎один‏ ‎TTP ‎—‏ ‎это ‎использование‏ ‎аутентификации‏ ‎на ‎основе‏ ‎облачных ‎токенов. ‎Замечено, ‎что ‎злоумышленники‏ ‎использовали ‎выданные‏ ‎системой‏ ‎токены ‎доступа ‎для‏ ‎аутентификации ‎в‏ ‎учётных ‎записях ‎жертв ‎без‏ ‎необходимости‏ ‎ввода ‎пароля.‏ ‎Этот ‎метод‏ ‎позволяет ‎обходить ‎традиционные ‎методы ‎аутентификации‏ ‎на‏ ‎основе ‎учётных‏ ‎данных ‎и‏ ‎может ‎быть ‎особенно ‎эффективным, ‎если‏ ‎срок‏ ‎действия‏ ‎этих ‎токенов‏ ‎длительный, ‎или‏ ‎если ‎токены‏ ‎не‏ ‎защищены ‎должным‏ ‎образом.

Брутфорс ‎и ‎password-spray

Использование ‎злоумышленниками ‎атаки‏ ‎(T1110) ‎применяется‏ ‎в‏ ‎качестве ‎начальных ‎векторов‏ ‎заражения. ‎Метод‏ ‎включают ‎попытку ‎доступа ‎к‏ ‎учётным‏ ‎записям ‎путём‏ ‎перебора ‎множества‏ ‎паролей ‎или ‎использования ‎общих ‎паролей‏ ‎для‏ ‎многих ‎учётных‏ ‎записей ‎соответственно.‏ ‎Метод ‎часто ‎бывает ‎успешен ‎из-за‏ ‎использования‏ ‎слабых‏ ‎или ‎повторно‏ ‎используемых ‎паролей‏ ‎для ‎разных‏ ‎учётных‏ ‎записей.

Роль ‎токенов‏ ‎доступа

Токены ‎доступа ‎являются ‎неотъемлемой ‎частью‏ ‎современных ‎систем‏ ‎аутентификации,‏ ‎особенно ‎в ‎облачных‏ ‎средах. ‎Они‏ ‎предназначены ‎для ‎упрощения ‎процесса‏ ‎входа‏ ‎в ‎систему‏ ‎для ‎пользователей‏ ‎и ‎обеспечения ‎безопасного ‎метода ‎доступа‏ ‎к‏ ‎ресурсам ‎без‏ ‎повторного ‎ввода‏ ‎учётных ‎данных. ‎Токены ‎выдаются ‎после‏ ‎того,‏ ‎как‏ ‎пользователь ‎входит‏ ‎в ‎систему‏ ‎с ‎именем‏ ‎и‏ ‎паролем, ‎и‏ ‎их ‎можно ‎использовать ‎для ‎последующих‏ ‎запросов ‎аутентификации.

Риски,‏ ‎связанные‏ ‎с ‎аутентификацией ‎токенов

Хотя‏ ‎аутентификация ‎на‏ ‎основе ‎токенов ‎может ‎обеспечить‏ ‎удобство‏ ‎и ‎безопасность,‏ ‎она ‎также‏ ‎создаёт ‎определённые ‎риски, ‎если ‎ею‏ ‎не‏ ‎управлять ‎должным‏ ‎образом. ‎Если‏ ‎злоумышленники ‎получат ‎эти ‎токены, ‎они‏ ‎смогут‏ ‎получить‏ ‎доступ ‎к‏ ‎учётным ‎записям‏ ‎без ‎необходимости‏ ‎знания‏ ‎пароли, ‎особенно‏ ‎если ‎токены ‎имеют ‎длительный ‎срок‏ ‎действия.

Настройка ‎срока‏ ‎действия‏ ‎токена

Отмечается, ‎что ‎время‏ ‎действия ‎токенов,‏ ‎выпущенных ‎системой, ‎по ‎умолчанию‏ ‎может‏ ‎варьироваться ‎в‏ ‎зависимости ‎от‏ ‎используемой ‎системы. ‎Однако ‎для ‎облачных‏ ‎платформ‏ ‎крайне ‎важно‏ ‎предоставить ‎администраторам‏ ‎возможность ‎регулировать ‎время ‎действия ‎этих‏ ‎токенов‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎потребностями‏ ‎в ‎безопасности.‏ ‎Сокращение‏ ‎срока ‎действия‏ ‎токенов ‎может ‎уменьшить ‎окно ‎возможностей‏ ‎для ‎несанкционированного‏ ‎доступа,‏ ‎если ‎токены ‎будут‏ ‎скомпрометированы.

Обход ‎аутентификации‏ ‎по ‎паролю ‎и ‎MFA

Отмечается,‏ ‎что‏ ‎обход ‎аутентификации‏ ‎по ‎паролю‏ ‎в ‎учётных ‎записях ‎с ‎помощью‏ ‎повторного‏ ‎использования ‎учётных‏ ‎данных ‎и‏ ‎password-spray. ‎Метод ‎предполагает ‎попытку ‎получить‏ ‎доступ‏ ‎к‏ ‎большому ‎количеству‏ ‎учётных ‎записей‏ ‎с ‎использованием‏ ‎часто‏ ‎используемых ‎паролей,‏ ‎в ‎то ‎время ‎как ‎повторное‏ ‎использование ‎учётных‏ ‎данных‏ ‎позволяет ‎пользователям ‎повторно‏ ‎использовать ‎одни‏ ‎и ‎те ‎же ‎пароли‏ ‎для‏ ‎нескольких ‎учётных‏ ‎записей

Также ‎применяется‏ ‎техника ‎«бомбардировка ‎MFA» ‎(T1621), ‎для‏ ‎обхода‏ ‎систем ‎MFA.‏ ‎Метод ‎предполагает‏ ‎повторную ‎отправку ‎запросов ‎MFA ‎на‏ ‎устройство‏ ‎жертвы‏ ‎до ‎тех‏ ‎пор, ‎пока‏ ‎жертва, ‎перегруженная‏ ‎постоянными‏ ‎уведомлениями, ‎не‏ ‎примет ‎запрос. ‎Метод ‎эффективно ‎использует‏ ‎человеческую ‎психологию‏ ‎и‏ ‎неудобство ‎повторных ‎уведомлений‏ ‎для ‎обхода‏ ‎надёжных ‎мер ‎безопасности.

Регистрация ‎новых‏ ‎устройств‏ ‎в ‎облаке

После‏ ‎преодоления ‎первоначальных‏ ‎барьеров ‎выполняется ‎регистрация ‎собственных ‎устройств‏ ‎в‏ ‎качестве ‎новых‏ ‎(T1098.005). ‎Этот‏ ‎шаг ‎имеет ‎решающее ‎значение ‎для‏ ‎сохранения‏ ‎доступа‏ ‎к ‎облачной‏ ‎среде ‎и‏ ‎облегчения ‎дальнейших‏ ‎вредоносных‏ ‎действий. ‎Успех‏ ‎тактики ‎зависит ‎от ‎отсутствия ‎строгих‏ ‎правил ‎проверки‏ ‎устройств‏ ‎в ‎конфигурации ‎безопасности‏ ‎арендатора ‎облака.‏ ‎Без ‎надлежащих ‎мер ‎проверки‏ ‎устройств‏ ‎крайне ‎легко‏ ‎добавить ‎неавторизованные‏ ‎устройства ‎в ‎сеть, ‎предоставив ‎им‏ ‎доступ‏ ‎к ‎конфиденциальным‏ ‎данным ‎и‏ ‎системам.

Защита ‎от ‎несанкционированной ‎регистрации ‎устройств

Внедряя‏ ‎строгие‏ ‎правила‏ ‎проверки ‎устройств‏ ‎и ‎политики‏ ‎регистрации, ‎организации‏ ‎могут‏ ‎значительно ‎снизить‏ ‎риск ‎несанкционированной ‎регистрации ‎устройств. ‎Известны‏ ‎случаи, ‎когда‏ ‎эти‏ ‎меры ‎были ‎эффективно‏ ‎применены, ‎успешно‏ ‎защитили ‎от ‎злоумышленников, ‎лишив‏ ‎их‏ ‎доступа ‎к‏ ‎арендатору ‎облака.

Резидентные‏ ‎прокси ‎и ‎их ‎использование

Резидентные ‎прокси‏ ‎—‏ ‎это ‎промежуточные‏ ‎службы, ‎которые‏ ‎позволяют ‎пользователям ‎маршрутизировать ‎трафик ‎через‏ ‎IP-адрес,‏ ‎предоставленный‏ ‎интернет-провайдером ‎(ISP),‏ ‎который ‎обычно‏ ‎присваивается ‎резидентному‏ ‎адресу.‏ ‎Из-за ‎этого‏ ‎трафик ‎выглядит ‎так, ‎как ‎будто‏ ‎он ‎исходит‏ ‎от‏ ‎обычного ‎пользователя, ‎что‏ ‎может ‎быть‏ ‎особенно ‎полезно ‎для ‎целей‏ ‎слиться‏ ‎с ‎обычным‏ ‎трафиком ‎и‏ ‎избежать ‎раскрытия.

Использование ‎резидентных ‎прокси-серверов ‎служит‏ ‎целью‏ ‎сокрытия ‎истинного‏ ‎местонахождения ‎и‏ ‎источника ‎их ‎вредоносной ‎деятельности. ‎Создавая‏ ‎впечатление,‏ ‎что‏ ‎их ‎трафик‏ ‎исходит ‎из‏ ‎диапазонов ‎легитмных‏ ‎провайдеров.‏ ‎Тактика ‎усложняет‏ ‎обеспечение ‎безопасности, ‎которые ‎полагаются ‎на‏ ‎репутацию ‎IP-адреса‏ ‎или‏ ‎геолокацию ‎как ‎на‏ ‎индикаторы ‎компрометации.

Проблемы,‏ ‎создаваемые ‎резидентными ‎прокси

Эффективность ‎резидентных‏ ‎прокси-серверов‏ ‎в ‎сокрытии‏ ‎источника ‎трафика‏ ‎представляет ‎собой ‎проблему ‎для ‎сетевой‏ ‎защиты.‏ ‎Традиционные ‎меры‏ ‎безопасности, ‎которые‏ ‎отслеживают ‎и ‎блокируют ‎известные ‎вредоносные‏ ‎IP-адреса,‏ ‎неэффективны‏ ‎против ‎использующих‏ ‎резидентные ‎прокси-серверы,‏ ‎поскольку ‎эти‏ ‎IP-адреса‏ ‎могут ‎не‏ ‎иметь ‎предыстории ‎вредоносной ‎активности ‎и‏ ‎неотличимы ‎от‏ ‎IP-адресов‏ ‎законных ‎пользователей.

📌Адаптация ‎к‏ ‎облачным ‎сервисам: ‎сместился ‎фокус ‎с‏ ‎эксплуатации ‎уязвимостей‏ ‎локальной‏ ‎сети ‎на ‎прямое‏ ‎воздействие ‎на‏ ‎облачные ‎сервисы. ‎Это ‎изменение‏ ‎является‏ ‎ответом ‎на‏ ‎модернизацию ‎систем‏ ‎и ‎миграцию ‎инфраструктуры ‎в ‎облако.

📌Аутентификация‏ ‎как‏ ‎ключевой ‎шаг:‏ ‎чтобы ‎скомпрометировать‏ ‎облачные ‎сети, ‎необходимо ‎успешно ‎пройти‏ ‎аутентификацию‏ ‎у‏ ‎поставщика ‎облачных‏ ‎услуг. ‎Предотвращение‏ ‎этого ‎первоначального‏ ‎доступа‏ ‎имеет ‎решающее‏ ‎значение ‎для ‎предотвращения ‎компрометации.

📌Расширение ‎таргетинга: расширена‏ ‎сфера ‎воздействия‏ ‎на‏ ‎сектора, ‎такие ‎как,‏ ‎как ‎авиация,‏ ‎образование, ‎правоохранительные ‎органы, ‎региональные‏ ‎и‏ ‎федеральные ‎организации,‏ ‎правительственные ‎финансовые‏ ‎департаменты ‎и ‎военные ‎организации. ‎Это‏ ‎расширение‏ ‎указывает ‎на‏ ‎стратегическую ‎диверсификацию‏ ‎целей ‎сбора ‎разведывательной ‎информации.

📌Использование ‎служебных‏ ‎и‏ ‎неактивных‏ ‎учётных ‎записей:‏ ‎подчёркивается, ‎что‏ ‎за ‎последние‏ ‎12‏ ‎месяцев ‎использовались‏ ‎брутфорс-атаки ‎для ‎доступа ‎к ‎служебным‏ ‎и ‎неактивным‏ ‎учётным‏ ‎записям. ‎Эта ‎тактика‏ ‎позволяет ‎получить‏ ‎первоначальный ‎доступ ‎к ‎облачным‏ ‎средам.

📌Профессиональный‏ ‎уровень ‎атакующих: выявлена‏ ‎возможность ‎осуществления‏ ‎компрометациии ‎глобальной ‎цепочки ‎поставок, ‎как,‏ ‎например,‏ ‎инцидент ‎с‏ ‎SolarWinds ‎в‏ ‎2020 ‎году.

📌Первая ‎линия ‎защиты: ‎подчёркивается,‏ ‎что‏ ‎первая‏ ‎линия ‎защиты‏ ‎включает ‎предотвращения‏ ‎возможности ‎первичного‏ ‎доступа‏ ‎к ‎сервисам.

В ‎декабре‏ ‎2023 ‎года ‎APT28 ‎разработали ‎MASEPIE,‏ ‎небольшой ‎бэкдор‏ ‎на‏ ‎Python, ‎способный ‎выполнять‏ ‎произвольные ‎команды‏ ‎на ‎машинах-жертвах. ‎Расследование ‎ФБР‏ ‎показало,‏ ‎что ‎скомпрометированные‏ ‎Ubiquiti ‎EdgeRouters‏ ‎были ‎использованы ‎в ‎качестве ‎C2-инфраструктуры‏ ‎для‏ ‎бэкдоров ‎MASEPIE.

C2‏ ‎инфраструктура

Хотя ‎APT28‏ ‎не ‎развёртывает ‎MASEPIE ‎на ‎самих‏ ‎EdgeRouters,‏ ‎скомпрометированные‏ ‎маршрутизаторы ‎использовались‏ ‎в ‎качестве‏ ‎инфраструктуры ‎C2‏ ‎для‏ ‎связи ‎с‏ ‎бэкдорами ‎MASEPIE ‎и ‎контроля ‎над‏ ‎ними, ‎установленными‏ ‎в‏ ‎системах, ‎принадлежащих ‎целевым‏ ‎лицам ‎и‏ ‎организациям.

Данные, ‎отправляемые ‎на ‎EdgeRouters,‏ ‎действующие‏ ‎как ‎серверы‏ ‎C2, ‎были‏ ‎зашифрованы ‎с ‎использованием ‎случайно ‎сгенерированного‏ ‎16-символьного‏ ‎ключа ‎AES,‏ ‎для ‎затруднения‏ ‎обнаружения ‎и ‎анализа ‎трафика.

Функциональность ‎бэкдора‏ ‎MASEPIE

MASEPIE‏ ‎—‏ ‎это ‎бэкдор‏ ‎на ‎основе‏ ‎Python, ‎который‏ ‎позволяет‏ ‎выполнять ‎произвольные‏ ‎команды ‎в ‎заражённых ‎системах. ‎Этот‏ ‎бэкдор ‎предоставляет‏ ‎возможности‏ ‎удалённого ‎управления ‎для‏ ‎выполнения ‎действий:

📌 эксфильтрация‏ ‎данных

📌 распространение ‎внутри ‎скомпрометированной ‎сети

📌 развёртывание‏ ‎дополнительных‏ ‎вредоносных ‎программ‏ ‎или ‎инструментов

📌 выполнение‏ ‎команд ‎разведки ‎и ‎сбора ‎разведданных

Смягчение‏ ‎последствий‏ ‎

Чтобы ‎снизить‏ ‎риск ‎появления‏ ‎бэкдоров ‎MASEPIE ‎и ‎использования ‎скомпрометированных‏ ‎EdgeRouters‏ ‎в‏ ‎качестве ‎C2-инфраструктуры,‏ ‎следует ‎предпринять‏ ‎следующие ‎шаги:

📌 Внедрение‏ ‎защиты‏ ‎конечных ‎устройств:‏ ‎развёртывание ‎решений ‎для ‎защиты ‎конечных‏ ‎устройств, ‎способных‏ ‎обнаруживать‏ ‎и ‎предотвращать ‎выполнение‏ ‎MASEPIE ‎и‏ ‎других ‎вредоносных ‎скриптов ‎Python‏ ‎или‏ ‎бэкдоров.

📌 Мониторинг ‎сетевого‏ ‎трафика: отслеживание ‎сетевого‏ ‎трафика ‎на ‎предмет ‎любых ‎подозрительных‏ ‎зашифрованных‏ ‎сообщений ‎или‏ ‎подключений ‎к‏ ‎известной ‎инфраструктуре, ‎включая ‎скомпрометированные ‎EdgeRouters.

📌 Анализ‏ ‎сетевых‏ ‎журналов: просмотр‏ ‎сетевых ‎журналов‏ ‎на ‎предмет‏ ‎признаков ‎зашифрованных‏ ‎сообщений‏ ‎или ‎подключений‏ ‎к ‎EdgeRouters, ‎которые ‎могут ‎действовать‏ ‎как ‎серверы‏ ‎C2.

Прокси-сервер ‎и‏ ‎туннельная ‎инфраструктура

APT28 ‎использовали ‎скомпрометированные ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎установления‏ ‎прокси-соединений ‎и ‎SSH-туннелей‏ ‎к ‎подконтрольной‏ ‎инфраструктуре ‎для ‎поддержания ‎постоянного‏ ‎доступа‏ ‎и ‎контроля‏ ‎над ‎скомпрометированными‏ ‎устройствами ‎даже ‎после ‎смены ‎пароля‏ ‎или‏ ‎других ‎попыток‏ ‎взлома.

Reverse ‎proxy-подключения

Были‏ ‎использованы ‎правила ‎iptables ‎в ‎EdgeRouters‏ ‎для‏ ‎установления‏ ‎подключений, ‎например:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING‏ ‎-d‏ ‎<router ‎IP‏ ‎address> ‎-p ‎tcp ‎-m ‎tcp‏ ‎--dport ‎4443‏ ‎-j‏ ‎DNAT ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:‏ ‎10081

Это ‎правило ‎iptables ‎перенаправляет‏ ‎входящий‏ ‎трафик ‎через‏ ‎порт ‎4443‏ ‎EdgeRouter ‎в ‎выделенную ‎инфраструктуру ‎на‏ ‎порту‏ ‎10081.

Reverse ‎SSH-туннели

Кроме‏ ‎того, ‎APT28‏ ‎загрузили ‎контролируемые ‎SSH-RSA-ключи ‎на ‎скомпрометированные‏ ‎EdgeRouters‏ ‎для‏ ‎создания ‎SSH-туннелей.‏ ‎Эти ‎туннели‏ ‎позволяют ‎получать‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎устройствам ‎даже ‎после ‎смены ‎пароля‏ ‎или ‎других‏ ‎попыток‏ ‎взлома.

Следующие ‎каталоги ‎необходимо‏ ‎просмотреть ‎на‏ ‎предмет ‎неизвестных ‎ключей ‎RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие‏ ‎неизвестных‏ ‎ключей ‎RSA‏ ‎в ‎этих‏ ‎каталогах ‎может ‎указывать ‎на ‎то,‏ ‎что‏ ‎их ‎использовали‏ ‎для ‎доступа‏ ‎к ‎EdgeRouters ‎в ‎обход ‎аутентификации‏ ‎по‏ ‎паролю.

Кроме‏ ‎того, ‎безопасники‏ ‎могут ‎проверить‏ ‎журналы ‎сетевого‏ ‎трафика‏ ‎на ‎EdgeRouters‏ ‎для ‎идентификации ‎аномальные ‎сеансы ‎SSH:

ssh‏ ‎–i ‎<RSA‏ ‎key>‏ ‎-p ‎<port> ‎root@<router‏ ‎IP ‎address>‏ ‎-R ‎<router ‎IP ‎address>:<port>

Эта‏ ‎команда‏ ‎устанавливает ‎SSH-туннель‏ ‎от ‎EdgeRouter‏ ‎к ‎инфраструктуре, ‎позволяя ‎поддерживать ‎удалённый‏ ‎доступ‏ ‎и ‎контроль‏ ‎над ‎скомпрометированным‏ ‎устройством.

APT28 ‎использовали‏ ‎CVE-2023–23397, ‎уязвимость ‎с ‎критическим ‎повышением‏ ‎привилегий ‎в‏ ‎Microsoft‏ ‎Outlook ‎в ‎Windows,‏ ‎для ‎облегчения‏ ‎утечки ‎учётных ‎данных ‎NTLMv2.‏ ‎Эта‏ ‎0day-уязвимость ‎позволяет‏ ‎передавать ‎хэши‏ ‎Net-NTLMv2 ‎в ‎подконтрольную ‎инфраструктуру.

Для ‎использования‏ ‎CVE-2023–23397‏ ‎и ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎использованы ‎два ‎общедоступных ‎инструмента:

📌 http://ntlmrelayx.py: инструмент‏ ‎является‏ ‎частью‏ ‎Impacket ‎suite,‏ ‎набора ‎классов‏ ‎Python ‎для‏ ‎работы‏ ‎с ‎сетевыми‏ ‎протоколами. ‎APT28 ‎использовали ‎http://ntlmrelayx.py для ‎выполнения‏ ‎relay-атак ‎NTLM‏ ‎[T1557]‏ ‎и ‎облегчения ‎утечки‏ ‎учётных ‎данных‏ ‎NTLMv2.

📌 Responder: ‎инструмент, ‎предназначенный ‎для‏ ‎сбора‏ ‎и ‎передачи‏ ‎хэшей ‎NTLMv2‏ ‎путём ‎настройки ‎подконтрольного ‎сервера ‎аутентификации‏ ‎[T1556]‏ ‎для ‎сбора‏ ‎учётных ‎данных‏ ‎NTLMv2 ‎от ‎целевых ‎учётных ‎записей‏ ‎Outlook.

Безопасники‏ ‎могут‏ ‎выполнять ‎поиск‏ ‎файлов ‎журналов,‏ ‎а ‎также‏ ‎наличия‏ ‎http://ntlmrelayx.py и ‎Responder.db,‏ ‎Responder-Session.log ‎для ‎выявления ‎потенциальной ‎активности,‏ ‎связанной ‎с‏ ‎эксплуатацией‏ ‎CVE-2023–23397.

Смягчение ‎последствий

Чтобы ‎снизить‏ ‎риск ‎использования‏ ‎CVE-2023–23397 ‎и ‎утечки ‎учётных‏ ‎данных‏ ‎NTLMv2 ‎следует‏ ‎предпринять ‎следующие‏ ‎шаги:

📌 Применение ‎исправления ‎Microsoft: ‎Microsoft ‎выпустила‏ ‎исправление‏ ‎для ‎CVE-2023–23397.

📌 Проверка‏ ‎на ‎наличие‏ ‎скомпрометированных ‎EdgeRouters: ‎необходимо ‎использовать ‎предоставленную‏ ‎информацию‏ ‎для‏ ‎проверки ‎EdgeRouters‏ ‎на ‎наличие‏ ‎http://ntlmrelayx.py, связанных ‎с‏ ‎ними‏ ‎файлов ‎журналов,‏ ‎провести ‎идентификацию ‎и ‎изоляцию ‎всех‏ ‎скомпрометированных ‎маршрутизаторов‏ ‎для‏ ‎дальнейшего ‎расследования.

📌 Сброс ‎скомпрометированных‏ ‎учётных ‎данных: при‏ ‎обнаружении ‎утечки ‎учётных ‎данных‏ ‎NTLMv2‏ ‎следует ‎сбросить‏ ‎соответствующие ‎учётные‏ ‎записи ‎пользователей ‎и ‎применить ‎дополнительные‏ ‎меры‏ ‎безопасности, ‎такие‏ ‎как ‎MFA.

📌 Применение‏ ‎рекомендуемых ‎мер ‎по ‎устранению ‎неполадок:‏ ‎меры‏ ‎по‏ ‎устранению ‎включают‏ ‎сброс ‎настроек‏ ‎оборудования ‎к‏ ‎заводским‏ ‎настройкам, ‎обновление‏ ‎до ‎последней ‎версии ‎встроенного ‎ПО‏ ‎и ‎изменение‏ ‎имён‏ ‎пользователей ‎и ‎паролей‏ ‎по ‎умолчанию.

APT28 ‎размещали‏ ‎скрипты ‎Python ‎на ‎скомпрометированных ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎сбора‏ ‎и ‎проверки ‎украденных‏ ‎учётных ‎данных‏ ‎учётной ‎записи ‎веб-почты. ‎Эти‏ ‎сценарии‏ ‎обычно ‎хранятся‏ ‎вместе ‎со‏ ‎связанными ‎файлами ‎журналов ‎в ‎домашнем‏ ‎каталоге‏ ‎скомпрометированного ‎пользователя,‏ ‎например:

📌 /home/<compromised ‎user>/srv/http://core.py

📌 /home/<compromised‏ ‎user>/srv/debug.txt

ФБР ‎заявило ‎о ‎восстановлении ‎подробных‏ ‎файлов‏ ‎журналов,‏ ‎содержащие ‎информацию‏ ‎об ‎активности‏ ‎APT28 ‎на‏ ‎скомпрометированных‏ ‎EdgeRouters.

Пользовательские ‎скрипты‏ ‎на ‎Python

📌 Размещённые ‎крипты ‎Python ‎служат‏ ‎для ‎сбора‏ ‎и‏ ‎проверки ‎украденных ‎данных‏ ‎учётной ‎записи‏ ‎веб-почты. ‎APT28 ‎используют ‎эти‏ ‎скрипты‏ ‎как ‎часть‏ ‎своих ‎операций‏ ‎сбора ‎учётных ‎данных, ‎нацеленных ‎на‏ ‎конкретных‏ ‎пользователей ‎веб-почты.

📌 Скрипты‏ ‎предназначены ‎для‏ ‎автоматического ‎устранения ‎проблем ‎с ‎капчей‏ ‎на‏ ‎страницах‏ ‎входа ‎в‏ ‎веб-почту, ‎позволяя‏ ‎атакующим ‎обойти‏ ‎эту‏ ‎меру ‎безопасности‏ ‎и ‎получить ‎несанкционированный ‎доступ ‎к‏ ‎целевым ‎учётным‏ ‎записям.‏ ‎Чтобы ‎достичь ‎этого,‏ ‎скрипты ‎устанавливают‏ ‎соединения ‎с ‎API ‎endpoint‏ ‎api[.]anti-captcha[.]com,‏ ‎который ‎используется‏ ‎APT28 ‎для‏ ‎решения ‎проблем ‎с ‎капчей.

Yara-правила ‎для‏ ‎обнаружения

📌 Чтобы‏ ‎помочь ‎найти‏ ‎скрипты ‎сбора‏ ‎учётных ‎данных ‎на ‎скомпрометированных ‎EdgeRouters,‏ ‎ФБР‏ ‎разработало‏ ‎правило ‎Yara.‏ ‎Yara ‎—‏ ‎это ‎инструмент,‏ ‎используемый‏ ‎для ‎идентификации‏ ‎и ‎классификации ‎вредоносных ‎программ ‎на‏ ‎основе ‎текстовых‏ ‎или‏ ‎двоичных ‎шаблонов. ‎Предоставленное‏ ‎ФБР ‎правило‏ ‎Yara ‎можно ‎использовать ‎для‏ ‎сканирования‏ ‎файловой ‎системы‏ ‎EdgeRouters ‎и‏ ‎обнаружения ‎присутствия ‎скриптов ‎Python.

📌 Помимо ‎использования‏ ‎правила‏ ‎Yara, ‎можно‏ ‎также ‎запрашивать‏ ‎сетевой ‎трафик ‎на ‎предмет ‎подключений‏ ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint. ‎Обнаружение‏ ‎трафика, ‎направленного‏ ‎к ‎этому‏ ‎API,‏ ‎может ‎помочь‏ ‎выявить ‎скомпрометированные ‎EdgeRouters ‎и ‎потенциальные‏ ‎действия ‎по‏ ‎сбору‏ ‎учётных ‎данных.

Смягчение ‎последствий

📌 При‏ ‎обнаружении ‎наличия‏ ‎скриптов ‎или ‎подключений ‎к‏ ‎api[.]anti-captcha[.]com‏ ‎endpoint ‎сетевые‏ ‎необходимо ‎предпринять‏ ‎немедленные ‎действия ‎для ‎снижения ‎риска‏ ‎и‏ ‎исследовать ‎степень‏ ‎компрометации. ‎Изоляция‏ ‎затронутых ‎маршрутизаторов ‎Edge ‎от ‎сети

📌 Выполнение‏ ‎тщательного‏ ‎анализа‏ ‎сценариев ‎и‏ ‎файлов ‎журналов‏ ‎для ‎понимания‏ ‎объема‏ ‎операций ‎по‏ ‎сбору ‎учётных ‎данных

📌 Сброс ‎паролей ‎для‏ ‎потенциально ‎скомпрометированных‏ ‎учётных‏ ‎записей ‎веб-почты

APT28 ‎использовали‏ ‎учётные ‎данные ‎по ‎умолчанию ‎и‏ ‎троянизированные ‎серверные‏ ‎процессы‏ ‎OpenSSH ‎для ‎доступа‏ ‎к ‎Ubiquiti‏ ‎EdgeRouters, ‎связанеые ‎с ‎Moobot,‏ ‎ботнетом‏ ‎на ‎базе‏ ‎Mirai, ‎который‏ ‎заражает ‎устройства ‎Интернета ‎вещей ‎(IoT)‏ ‎с‏ ‎использованием ‎уязвимостей,‏ ‎которые ‎можно‏ ‎использовать ‎удалённо, ‎таких ‎как ‎слабые‏ ‎пароли‏ ‎или‏ ‎пароли ‎по‏ ‎умолчанию.

Троянские ‎файлы‏ ‎OpenSSH-сервера

Троянские ‎бинарные‏ ‎OpenSSH,‏ ‎загруженные ‎с‏ ‎packinstall[.]kozow ‎[.]com, ‎заменили ‎оригинальные ‎бинарные‏ ‎файлы ‎на‏ ‎EdgeRouters‏ ‎с ‎целью ‎удалённо‏ ‎обходить ‎аутентификацию‏ ‎и ‎получать ‎несанкционированный ‎доступ‏ ‎к‏ ‎скомпрометированным ‎маршрутизаторам.

Ботнет‏ ‎Moobot ‎известен‏ ‎своей ‎способностью ‎использовать ‎уязвимости ‎в‏ ‎устройствах‏ ‎Интернета ‎вещей,‏ ‎особенно ‎с‏ ‎ненадёжными ‎паролями ‎или ‎паролями ‎по‏ ‎умолчанию.‏ ‎Заменяя‏ ‎законные ‎двоичные‏ ‎файлы ‎сервера‏ ‎OpenSSH ‎троянскими‏ ‎версиями,‏ ‎APT28 ‎могут‏ ‎поддерживать ‎постоянный ‎доступ ‎к ‎скомпрометированным‏ ‎EdgeRouters ‎и‏ ‎использовать‏ ‎их ‎в ‎различных‏ ‎вредоносных ‎целях.

Ботнет‏ ‎на ‎базе ‎Mirai

Moobot ‎—‏ ‎это‏ ‎ботнет ‎на‏ ‎базе ‎Mirai‏ ‎и ‎является ‎производным ‎от ‎Mirai,‏ ‎которая‏ ‎впервые ‎появилась‏ ‎в ‎2016‏ ‎году. ‎Mirai ‎был ‎предназначен ‎для‏ ‎сканирования‏ ‎и‏ ‎заражения ‎IoT-устройств‏ ‎путём ‎использования‏ ‎распространённых ‎уязвимостей‏ ‎и‏ ‎учётных ‎данных‏ ‎по ‎умолчанию. ‎Как ‎только ‎устройство‏ ‎заражено, ‎оно‏ ‎становится‏ ‎частью ‎ботнета ‎и‏ ‎может ‎использоваться‏ ‎для ‎распределённых ‎атак ‎типа‏ ‎«отказ‏ ‎в ‎обслуживании»‏ ‎(DDoS), ‎credential‏ ‎stuffing ‎и ‎других ‎вредоносных ‎действий.

Воздействие‏ ‎на‏ ‎маршрутизаторы ‎EdgeRouters

При‏ ‎наличии ‎троянизированных‏ ‎процессов ‎OpenSSH ‎APT28 ‎могут ‎поддерживать‏ ‎постоянный‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎маршрутизаторы ‎и‏ ‎использовать ‎их‏ ‎в‏ ‎качестве ‎платформы‏ ‎для ‎вредоносных ‎действий:

📌 Сбор ‎учётных ‎данных

📌 Сбор‏ ‎NTLMv2

📌 Проксирование ‎сетевого‏ ‎трафика

📌 Размещение‏ ‎целевых ‎страниц ‎для‏ ‎защиты ‎от‏ ‎фишинга ‎и ‎пользовательских ‎инструментов

Операции ‎были‏ ‎нацелены ‎на ‎различные ‎отрасли, ‎включая‏ ‎аэрокосмическую ‎и‏ ‎оборонную,‏ ‎образование, ‎энергетику ‎и‏ ‎коммунальные ‎услуги,‏ ‎госсектор, ‎гостиничный ‎бизнес, ‎нефть‏ ‎и‏ ‎газ, ‎розничную‏ ‎торговлю, ‎технологии‏ ‎и ‎транспорт. ‎Целевые ‎страны ‎включают‏ ‎Чешскую‏ ‎Республику, ‎Италию,‏ ‎Литву, ‎Иорданию,‏ ‎Черногорию, ‎Польшу, ‎Словакию, ‎Турцию, ‎Объединённые‏ ‎Арабские‏ ‎Эмираты‏ ‎и ‎США

Потенциальные‏ ‎последствия ‎воздействия‏ ‎включают:

📌 Утечка ‎данных‏ ‎и‏ ‎кража ‎конфиденциальной‏ ‎информации, ‎интеллектуальной ‎собственности ‎или ‎коммерческой‏ ‎тайны.

📌 Нарушение ‎работы‏ ‎критически‏ ‎важных ‎объектов ‎инфраструктуры,‏ ‎таких ‎как‏ ‎электросети, ‎транспортные ‎системы ‎или‏ ‎производственные‏ ‎процессы.

📌 Компрометация ‎правительственных‏ ‎сетей ‎и‏ ‎систем, ‎потенциально ‎ведущая ‎к ‎шпионажу‏ ‎или‏ ‎угрозам ‎национальной‏ ‎безопасности.

📌 Финансовые ‎потери‏ ‎из-за ‎сбоев ‎в ‎работе, ‎кражи‏ ‎данных‏ ‎клиентов‏ ‎или ‎ущерба‏ ‎репутации.

📌 Потенциальные ‎риски‏ ‎для ‎безопасности‏ ‎в‏ ‎случае ‎взлома‏ ‎систем ‎управления ‎или ‎сетей ‎операционных‏ ‎технологий ‎(OT).

📌 Потеря‏ ‎доверия‏ ‎клиентов ‎и ‎доверия‏ ‎к ‎пострадавшим‏ ‎организациям.

TTPs ‎MITRE ‎ATT& ‎CK‏ ‎

Разработка:

📌 T1587‏ ‎(разработка): ‎создание‏ ‎пользовательских ‎Py-скриптов‏ ‎для ‎сбора ‎учётных ‎данных ‎в‏ ‎т.ч‏ ‎веб-почты.

📌 T1588 ‎(возможности‏ ‎получения): доступ ‎к‏ ‎EdgeRouters, ‎скомпрометированным ‎ботнетом ‎Moobot, ‎который‏ ‎устанавливает‏ ‎троянские‏ ‎программы ‎OpenSSH.

Первоначальный‏ ‎доступ:

📌 T1584 ‎(скомпрометированная‏ ‎инфраструктура): ‎доступ‏ ‎к‏ ‎EdgeRouters, ‎ранее‏ ‎скомпрометированным ‎троянцем ‎OpenSSH.

📌 T1566 ‎(фишинг): межсайтовые ‎скриптовые‏ ‎кампании ‎и‏ ‎фишинговые‏ ‎кампании ‎«браузер ‎в‏ ‎браузере».

Выполнение:

📌 T1203 ‎(Использование‏ ‎для ‎выполнения ‎клиентом): ‎использование‏ ‎уязвимости‏ ‎CVE-2023-23397.

Закрепление:

📌 T1546 ‎(выполнение,‏ ‎инициируемое ‎событием):‏ ‎На ‎скомпрометированных ‎маршрутизаторах ‎были ‎размещены‏ ‎скрипты‏ ‎Bash ‎и‏ ‎двоичные ‎файлы‏ ‎ELF, ‎предназначенные ‎для ‎бэкдора ‎демонов‏ ‎OpenSSH‏ ‎и‏ ‎связанных ‎с‏ ‎ними ‎служб.

Доступ‏ ‎с ‎учётными‏ ‎данными:

📌 T1557‏ ‎(Злоумышленник ‎посередине):‏ ‎инструменты ‎Impacket ‎http://ntlmrelayx.py и ‎Responder, ‎на‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎для‏ ‎выполнения ‎ретрансляционных ‎атак‏ ‎NTLM.

📌 T1556 ‎(Изменение‏ ‎процесса ‎аутентификации): поддельные ‎серверы ‎аутентификации-NTLMv2‏ ‎для‏ ‎изменения ‎процесса‏ ‎аутентификации ‎с‏ ‎использованием ‎и ‎передачей ‎украденных ‎учётных‏ ‎данных.

Сбор‏ ‎данных:

📌 T1119 ‎(автоматический‏ ‎сбор): ‎APT28‏ ‎использовал ‎CVE-2023-23397 ‎для ‎автоматизации ‎сбора‏ ‎хэшей‏ ‎NTLMv2.

Эксфильтрация‏ ‎данных:

📌 T1020 ‎(автоматизированная‏ ‎эксфильтрация): ‎использование‏ ‎CVE-2023-23397 ‎для‏ ‎автоматизации‏ ‎эксфильтрации ‎данных‏ ‎в ‎подконтрольную ‎инфраструктуру.

представлен ‎анализ‏ ‎рекомендаций ‎Агентства ‎национальной ‎безопасности ‎(АНБ)‏ ‎по ‎борьбе‏ ‎с‏ ‎LOTL-атаками; ‎включает ‎в‏ ‎себя ‎изучение‏ ‎подхода ‎к ‎тактике ‎LOTL,‏ ‎подразумевающей‏ ‎использование ‎легитимных‏ ‎инструментов ‎в‏ ‎различных ‎целях ‎и ‎служит ‎ценным‏ ‎ресурсом‏ ‎для ‎специалистов‏ ‎по ‎безопасности,‏ ‎ИТ-персонала, ‎политиков ‎и ‎заинтересованных ‎сторон‏ ‎в‏ ‎различных‏ ‎отраслях, ‎предоставляя‏ ‎им ‎знания‏ ‎для ‎защиты‏ ‎от‏ ‎сложных ‎LOTL-угроз.