99,99% людей знают, что есть вирусы, черви, трояны. А 0,01% знают что есть и такие программы, которые атрибутируются как “HackTool”. Что это такое, как это выглядит в жизни и что с ними делать попробую дать ответы в этой статье.
“Если география начинается к карты, дом начинается строится с чертежа, то для ИБшника это MITRE ATT&CK”. Давайте посмотрим на тактику “Resource Development”.
Спойлер на будущее - я специально не буду переводить ничего на русский язык: во первых мое мнение, что английский язык самый важный в информационной безопасности и знать его обязанность каждого, а во вторых перевод технических терминов на русский теряет смысл определений.
Она говорит о том, что для начала атаки злоумышленники создают, покупают, взламывают или просто скачивают из сети Интернет некоторое ПО для проведения кибератак. В тактике есть ряд техник, например “Obtain Capabilities” которая дает определение, что злоумышленник во время планирования атаки занимается тем, что ворует, крадет, пьянствует у других софт или реализует его возможности под свои задачи. Например, AnyDesk был придуман как средство для оказания удаленной технической поддержки, но стал популярным инструментом удаленного управления атакованным активом, В технике есть подтехника (идиотский по фонетике перевод термина “Sub-technique”) “Obtain Capabilities: Tool”. Смысл тот же, но теперь ближе к софту.
Начну с примера работы группы Leafminer. В своих атаках они используют такие утилиты, как LaZagne, Mimikatz, PsExec, MailSniper и прочее. Теперь смотрим что это за программы:
- LaZagne - проект с открытым кодом для восстановления паролей. Доступен для загрузки с Github, проект актуальный.
- PsExec - утилита позволяющая удаленно через WMI и RPC получать доступы к другим машинам с OS Windows в сети в состав пакета Sysinternals. Проект активно развивается при поддержке Microsoft и находится в открытом доступе.
- MailSniper - инструмент тестирвоания на проникновение Microsoft Exchange позволяющая излекать потенциально интересную и важную для атакующего информацию. Проект в открытом доступе на Github, проект актуальный.
Итак, выводы инструментов: всех их легко скачать каждому человеку и ими пользуются злоумышленники (а не только эта группа, к слову). Может просто заблокировать доступ для загрузки, а создателей привлечь к ответственности? Не так все однозначно как бы странно это не звучало. Все эти программы изначально были созданы для помощи ИТ и ИБ-специалистам для проведения тестирования состояния защищенности инфраструктуры. Это не вирусы, это не черви, не трояны - это программы CLI или с полноценными графическими оболочками.
Говоря о практике, знаю кейс, где TimeMashine был признан вредоносным программным обеспечением. Как так? Суд исходил из мотива - если легитимной программное обеспечение направлено на причинении ущерба для информационной системы или ее субъекта, тем самым стала причиной инцидента информационной безопасности, то в рамках преступных действий оно будет квалифицироваться как ”вредоносное программное обеспечение”. Вот и объяснение того, почему программное обеспечение детектируется как “HackTool”, например:
- HackTool.Win64.PsExec.uwccg
- HackTool:Win/Mimikatz.FZ
- HackTool:Win32/Almi_LaZagne.b
- Hacktool.Mailsniper
Что делать с таким ПО. Сама организация MITRE дает следующий советы: отслеживать такое ПО, его хэши и жизненный цикл такого программного обеспечения. Говоря о мерах по поводу такого софта, то с моей стороны они такие:
- оценить риски для активов в информационной системе, на основании которых построить модель внешнего и внутреннего нарушителя;
- оценить на примере иных киберпреступных групп для своего бизнеса, какие инструменты используются;
- внести в списки запрета запуск данных программ или утилит и внедрить план или политику пересмотра данного списка;
- при возникновении алерта присвоить активу “высокий уровень угрозы для ИС”, провести расследование с целью определения, как могло такое ПО попасть на актив и какие мотивы были для его использования.
Другие записки полушка в мире ИБ в телеграмм-канале @cyberpoleshuk