Найти тему
Всего по немного
4 подписчика

«Поймай меня, если сможешь», или как мы расставляем ловушки для хакеров

Партнёрская публикация
5 мин
Оглавление

Часть 1

«Мир глазами Xello Deception: где обман — это щит, а не меч»

Никого не удивлю, но все же скажу: в современном цифровом мире вопрос кибербезопасности и разработки новых подходов к защите от киберугроз крайне актуален, так как злоумышленники становятся более изощренными, а кибератаки — все более частыми.

Представьте себе лабиринт зеркал, где каждый поворот ведет к еще большей путанице. Именно такой мир Xello Deception создает для хакеров. Вместо критичных данных и ценных активов, злоумышленники наталкиваются на обманчивые приманки и ловушки — ложные базы данных, фальшивые документы, имитирующие реальную инфраструктуру.

Что такое Xello Deception

Xello Deception — это платформа, предназначенная для раннего обнаружения кибератак на корпоративную сеть.

Принцип работы — распространение ложной информации в корпоративной сети компании и своевременное реагирование на события безопасности, которые связаны с использованием распространенных приманок и ловушек злоумышленниками.

Преимущества Xello Deception:

Обнаружение атаки на начальном этапе (это отвлекает от реальной цели и минимизирует ущерб компании).

Уровень False Positive минимальный.

Дополнительная информация о тактике и технике для анализа поведения злоумышленника и в дальнейшем улучшения кибербезопасности в инфраструктуре.

Внедрение Xello Deception и интеграция с другими системами

Внедрение Xello Deception — процесс несложный, но требующий системного подхода.

Ключевые этапы:

  1. Проектирование. Здесь нужно проанализировать инфраструктуру, определить, какие угрозы и риски вы хотите обнаруживать, и включить это в план работ.

После анализа разработать более реалистичные сценарии атак и определить, какие обманки будут эффективны в вашем случае. Для начала рекомендую охватить малую часть, создав примерно 1/10 копий инфраструктуры, на основе анализа, куда в первую очередь могут пойти злоумышленники или, иными словами, что является лакомым кусочком и с чего они начнут ;)

2.Установка и настройка системы. Систему относительно легко установить и настроить, если соблюдать все пункты, указанные в Руководстве администратора.

В веб-интерфейсе все понятно на интуитивном уровне, главное — быть внимательными и не делать глупых ошибок в формате «неправильно прописан домен» или «забыли включить сателлит», с помощью которого идет распространение приманок.

Пройдемся по каждому пункту поподробнее…

После того, как вы установили Xello Deception, вам будет доступен веб-интерфейс, в котором необходимо произвести ряд настроек.

Инфраструктура

В разделе Инфраструктура, во вкладке Домены, мы указываем информацию про наш домен: LDAP-серверы и Источники событий. Зеленый индикатор показывает, что подключение произведено успешно и все требуемые в документации порты были открыты, красный индикатор — возникли проблемы при установке соединения (Рисунок 1).

Рисунок 1
Рисунок 1

LDAP-серверы и Источники событий можно прописать как вручную, так и автоматически, нажав на ... рядом с указываемым доменом (Рисунок 2). Заполняются следующие колонки:

1.Пользователь — сервисная учетная запись, с помощью которой происходит взаимодействие с доменом.

2.Протокол и Тип указанного сервера. В случае автоматического обнаружения данные поля заполняются автоматом.

3.Сателлит — сервер, через который идет взаимодействие компонентов Xello с инфраструктурой. Отобразится в том случае, если уже настроена интеграция (как на Рисунке 2), иначе колонка будет пустая.

Рисунок 2
Рисунок 2

Во вкладке DNS-зоны указываются наши DNS-серверы, которые также могут быть заполнены через автоматическое обнаружение либо вручную. Не забываем про то, что в свежих версиях (начиная с 5.4 и выше) необходимо указывать еще и сателлит (Рисунок 3).

Рисунок 3
Рисунок 3

Пользователи

В разделе Пользователи вносим сервисные учетные записи (Рисунок 4):

  • AD Пользователь — пользователь с правами чтения журналов AD для наполнения контекстом событий безопасности. С помощью данной УЗ идет распространение приманок на хосты с различными OC.

  • LDAP Пользователь — пользователь с правами чтения LDAP-каталога для генерирования приманок, создания ложных учетных записей, отображения каталога LDAP для добавления защищаемых хостов и т.д.

  • DNS Пользователь — пользователь с правами чтения DNS-зон для генерации приманок и DNS-записей о созданных приманках в инфраструктуре.
Рисунок 4
Рисунок 4

Интеграция

Xello Deception легко интегрируется с другими системами безопасности, такими как SIEM и SOAR, что позволяет автоматизировать процессы обнаружения и реагирования на угрозы.

Для интеграции со сторонними системами, а также с сателлитами и ловушками инфраструктуры Xello необходимо перейти в раздел Интеграции. Существуют следующие форматы интеграции:

1.API-Токены: в первую очередь, на данной вкладке не забываем указывать сателлиты и ловушки, которые мы используем, а потом уже указываем остальные системы (Рисунок 5, 6).

2.Syslog-серверы: все стандартно -порт, протокол и формат syslog-сообщения (Рисунок 7).

EMAIL - уведомления

Рисунок 5
Рисунок 5

Рисунок 6
Рисунок 6

Рисунок 7
Рисунок 7

Сателлиты

В разделе Сателлиты мы увидим наш подключенный сателлит (Рисунок 8). Обращаем внимание на зеленый индикатор: он появится, если на веб-странице сателлита вы корректно создали API-токен и указали его в разделе интеграций (Рисунок 5).

Рисунок 8
Рисунок 8

Исключение

В разделе Исключения мы можем внести исключения по сработкам, которые являются для нашей инфраструктуры легитимными, чтобы события по ним не отправлялись на интегрированные системы (Рисунок 9).

Рисунок 9
Рисунок 9

Роли

В разделе Роли мы можем добавить пользователей, для которых хотим предоставить доступ к Xello. В случае уже настроенной интеграции с DC аутентификация пользователей будет происходить через единое окно (SSO). Как и во многих системах, здесь есть роли, которые можно назначить для пользователей: Администратор, Аналитик, Наблюдатель (Рисунок 10).

Рисунок 10
Рисунок 10

Распространение

Ух, здесь мы можем разгуляться. В данном разделе мы указываем механизм распространения и количество параллельных распространений. Например, на скрине ниже мы видим, что в качестве механизма распространения у нас выбран psexec. В данном случае файл psexec.exe необходимо загрузить на сам сателлит (Рисунок 11).

Рисунок 11
Рисунок 11

Помимо PsExec в Xello имеются и другие механизмы распространения, такие как:

  • PaExec;

  • WinRm;

  • SCCM;

Сторонний механизм. Это может быть как антивирусное ПО (например, KSC), так и GPO.

При знакомстве с данной системой рекомендую сначала протестировать распространение на своей тестовой машине, скачав соответствующий скрипт и запустив его с правами администратора.

Для упрощения можно настроить распространение по расписанию, указав все необходимые параметры, которые нас интересуют (Рисунок 12).

Рисунок 12
Рисунок 12

Общие

В данном разделе собраны общие настройки, где мы можем оставить стандартные настройки либо настроить их в зависимости от наших предпочтений и инфраструктуры (Рисунок 13, 14, 15, 16).

Рисунок 13
Рисунок 13

Рисунок 14
Рисунок 14

Рисунок 15
Рисунок 15

Рисунок 16
Рисунок 16

Статья взята с

habr.com
«Поймай меня, если сможешь», или как мы расставляем ловушки для хакеров