Хакер - Kill them all! Ранжируем ИБ-инструменты Microsoft по Cyber Kill Chain

hacker_frei

AK_83

Содержание статьи

Результаты сопоставления и приоритизации инструментов по шагам Cyber Kill Chain
Разведка (Reconnaissance)
Вооружение (Weaponization)
Доставка (Delivery)
Эксплуатация (Exploitation)
Установка (Installation)
Управление и контроль (Command and Control)
Действия по целям (Actions on Objectives)
Подводя итоги

Почему‑то принято считать, что для защиты серверов и сетевой инфраструктуры обязательно приобретать и настраивать сложные дорогостоящие программные продукты. Вместе с тем в арсенале Microsoft имеется множество инструментов безопасности, которые при правильной настройке прекрасно работают «из коробки». Давай разберем их в соответствии с моделью Cyber Kill Chain.

Можно по‑разному относиться к продукции и сервисам корпорации Microsoft, но нельзя не признать, что она предлагает большой ассортимент инструментов для обеспечения информационной безопасности как своих собственных программ, так и продуктов, создаваемых на их базе. В первую очередь стоит отметить значительное количество встроенных механизмов защиты информации в операционных системах и корпоративных продуктах, за которые ты (точнее, твой работодатель) уже заплатил, но на практике мало используешь.

Мы привыкли строить информационную защиту с использованием «внешних» средств. Сотни и тысячи компаний и стартапов специализируются именно на таких технических решениях и проектах. При этом мы забываем (на мой взгляд, абсолютно незаслуженно) об инструментах и механизмах защиты информации, которые встроены в общесистемное и прикладное ПО, а также о его небезопасных дефолтных конфигурациях. Ошибки в настройке таких приложений «не перекроют» никакие, даже самые продвинутые средства.

В этой статье я хочу систематизировать и приоритизировать инструменты и механизмы защиты информации для in-house корпоративных IT-инфраструктур, построенных на продуктах корпорации Microsoft в соответствии с моделью Cyber Kill Chain. При расстановке приоритетов я сделаю акцент на разрушении цепочки атаки на максимально ранней стадии.

Для начала зафиксируем условную типовую корпоративную IT-инфраструктуру:

локальная Active Directory Domain Services;
серверные операционные системы: Windows Servers 2016 и выше;
клиентские операционные системы: Windows 10;
клиентский веб‑браузер: Microsoft Edge;
почтовые серверы: Exchange Server 2016 и выше.

Ты наверняка сталкивался с такими IT-инфраструктурами, поскольку в нашей стране их достаточно много. Своевременный харденинг в таких инфраструктурах, которому уже уделялось внимание в других публикациях на «Хакере», сейчас не фоновая задача, а одна из первоочередных. В том числе принимая во внимание, что с рынка ушли некоторые средства защиты информации.

Рассматриваемые инструменты и механизмы информационной безопасности я разделю на две группы. Первая группа — это условно «пассивные» (детектирующие) инструменты, которые могут обнаружить подозрительную активность или инцидент и уведомить о них пользователя. Вторая — условно «активные» (реагирующие) инструменты, которые могут предотвратить конкретные действия (например, запретить или заблокировать их). Они в состоянии сократить площадь атаки, могут скорректировать действия субъекта доступа или сам объект доступа (к примеру, изолировать или переместить его) либо компенсировать конкретные действия — усложнить условия доступа, затребовать дополнительные подтверждающие действия и так далее. Такое деление позволит избежать иллюзии того, что просто ведение журналов регистрации событий (включение тобой аудита) физически или логически может помешать атакующему выполнить активное несанкционированное действие.

РЕЗУЛЬТАТЫ СОПОСТАВЛЕНИЯ И ПРИОРИТИЗАЦИИ ИНСТРУМЕНТОВ ПО ШАГАМ CYBER KILL CHAIN

Разведка (Reconnaissance)

Цель атакующего: собрать информацию о целях атаки
Цель защищающегося: сократить пространство для разведки и площадь для атаки

Направлениями разведки в первую очередь становятся люди (работники, подрядчики, клиенты) и IT-инфраструктуры, относящиеся к цели атаки. Исходными данными зачастую выступает только название организации, отдельно взятый веб‑сайт, конкретная система. Атакующему доступны разные методы сбора информации: от общедоступных источников и социальной инженерии до использования специальных сервисов и инструментов.

«Пассивные» инструменты

Включить аудит Microsoft Defender Firewall (pfirewall.log). Это необходимо сделать в связи с тем, что по умолчанию аудит Microsoft Defender Firewall отключен.

«Активные» инструменты

Использовать брандмауэр в Microsoft Defender. Отключить (блокировать) все неиспользуемые порты и входящие соединения, чтобы сократить площадь атаки и пространство для сетевой разведки.
Ограничить разрешения для веб‑сайтов в Microsoft Edge в части сбора данных о расположении пользователя. Включить «Запрос перед доступом» (Ask before accessing), чтобы уменьшить вероятность раскрытия данных атакующему в ходе разведки.
Ограничить удаленные вызовы к Security Account Manager (SAM). Сократить возможности энумерации пользователей и групп в локальной базе SAM и Active Directory в ходе разведки. По умолчанию параметр «Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM» (Network access: Restrict clients allowed to make remote calls to SAM) настроен следующим образом: для более старых операционных систем проверка доступа не выполняется, для более новых предоставляется доступ только членам встроенной группы «Администраторы» (BUILTIN\Administrators).
Ограничить пользователям, прошедшим проверку, использование NetSessionEnum. Сократить возможности энумерации сессий для определения узлов, где пользовательские и сервисные учетные записи были залогинены. Это необходимо потому, что по умолчанию прошедшим проверку (Authenticated Users) пользователям разрешено применять метод NetSessionEnum.

Вооружение (Weaponization)

Цель атакующего: подготовить вредоносное ПО
Цель защищающегося: ~~улыбаться и махать~~ обеспечить организационную и техническую готовность к последующим стадиям атаки

Атакующему доступно несколько вариантов подготовки «вооружения»: самостоятельно разработать с нуля, воспользоваться общедоступными инструментами (бесплатными утилитами, опенсорсными инструментами, слитыми приложениями), преобразовать общедоступные инструменты (доработать скрипты или модули, «переупаковать» утилиты) и, конечно же, купить их. Реальным ограничением выступает только доступный злоумышленнику бюджет.

На практике специалисты по защите информации не могут серьезно влиять на атакующего за пределами подконтрольной им IT-инфраструктуры. Тут можно порекомендовать быть в курсе современных тенденций в сфере разработки и применения вредоносного ПО (для этого достаточно регулярно читать «Хакер»), а также сосредоточиться на создании и поддержании организационных и технических условий, необходимых для работы специалистов по защите информации.

Доставка (Delivery)

Цель атакующего: доставить подготовленное вредоносное ПО в IT-инфраструктуру, относящуюся к цели атаки, обходя средства защиты информации
Цель защищающегося: сократить пути и вероятность успешной доставки вредоносного ПО

Атакующему доступно несколько каналов доставки, включая электронную почту, съемные носители информации, веб‑сайт (в том числе watering hole), а также классическая эксплуатация уязвимостей сервисов и ресурсов, расположенных в атакуемом периметре. Стоит отметить, что практически все варианты атаки в той или иной мере реализуются с использованием социальной инженерии.

«Пассивные» инструменты

Включить аудит Microsoft Defender SmartScreen — в связи с тем, что по умолчанию аудит (Windows event log) для SmartScreen отключен.
Включить аудит для почтовых ящиков в Exchange Server — по умолчанию действия, выполняемые владельцем почтового ящика, не регистрируются (аудит отключен).

«Активные» инструменты

Использовать фильтр SmartScreen в Microsoft Defender. Это позволит сократить посещение потенциально опасных веб‑сайтов, а также загрузку вредоносных или нежелательных приложений.
Включить агент защиты от нежелательной почты (Antispam agent). Это позволит сократить потенциальные источники нежелательных или вредоносных писем. Агент защиты от нежелательной почты доступен для Exchange 2016 и Exchange 2019, но по умолчанию он не установлен.
Использовать (настроить) антивирусный почтовый агент (Malware agent). Сократит возможности доставки вредоносного ПО на целевой хост через письма. Отмечу, что по умолчанию антивирусный почтовый агент включен и дефолтное действие — удаление сообщения (эту настройку в некоторых случаях нужно подтюнить).
Ограничить использование неавторизованных внешних устройств. Это сокращает возможности доставить вредоносное ПО на целевой хост через внешние устройства.
Отключить автозапуск (Autorun и AutoPlay) для внешних устройств. Тут комментариев не требуется: назначение этого действия вполне очевидно.
Включить Windows Sandbox. Позволит изолировать потенциально вредоносное ПО и сократить возможности доставить его на целевой хост.
Включить Application Guard в Microsoft Defender. Поможет изолировать недоверенные веб‑сайты и файлы.

Эксплуатация (Exploitation)

Цель атакующего: получить доступ на определенный хост с достаточными правами для установки бэкдора
Цель защищающегося: сократить варианты и вероятность получить несанкционированный доступ

Атакующий может использовать все варианты добычи кредов (guessing, cracking и другие), переполнение буфера (buffer overflow), атаки «человек посередине» (man in the middle) и, конечно же, социальную инженерию. Хотя Cyber Kill Chain описывает цель этого этапа именно как установку бэкдоров, в реальности существуют и другие варианты развития событий. Но мы будем придерживаться предложенной нам модели.

«Пассивные» инструменты

Включить Advanced Audit Policy (особенно Account Management, Policy Change, Privilege Use, System).
Включить аудит Lsass.exe.
Использовать System Monitor (Sysmon) (подробности ты можешь прочитать в статье «Sysmon для безопасника»).

«Активные» инструменты

Включить монитор паролей (Password monitor) в Microsoft Edge. Это сократит атакующему возможности использовать утекшие пароли пользователей (проверка паролей, сохраненных в веб‑браузере).
Использовать диспетчер паролей (Password manager) в Microsoft Edge. Этот шаг позволит избежать кражи паролей пользователей, вышедших из операционной системы.
Использовать Local Administrator Password Solution (LAPS) для хранения паролей локальных учетных записей операционной системы. Сокращает возможности украсть пароли от локальных учетных записей.
Отключить административный автоматический вход в консоль восстановления. Необходимо, чтобы исключить возможность автологона для атакующего (без ввода пароля). По умолчанию параметр «Консоль восстановления: разрешить автоматический вход администратора» (Recovery Console: Allow automatic administrative logon) включен.
Отключить или переименовать встроенную учетную запись администратора (Administrator). Сокращает возможности компрометации учетных записей, в том числе с использованием брутфорса.
Отключить все неиспользуемые учетные записи. Снижает возможность компрометации учетных записей, в том числе с использованием брутфорса известных атакующему учеток.
Не выводить имя последнего входившего в операционную систему пользователя. Сокращает возможности компрометации учетных записей, в том числе брутфорса «подсвеченной» системой учетной записи. По умолчанию параметр «Интерактивный вход в систему: не отображать сведения о последнем входе в систему» (Interactive logon: Do not display last user name) выключен.
Отключить использование Microsoft-аккаунтов для Windows. Ограничивает возможность компрометации системы за счет использования «подломленных» в другом месте учетных записей. По умолчанию параметр «Учетные записи: блокирование учетных записей Microsoft» («Accounts: Block Microsoft accounts») не определен для серверов контроллеров домена и выключен для рядовых серверов и клиентских компьютеров.
Запретить администраторам домена (Domain Admins и Enterprise Admins) входить на клиентские компьютеры и рядовые серверы (исключение: серверы контроллеров домена). Это позволяет сократить возможности компрометации учетных записей, в том числе с применением атак pass the hash.
Включить Windows Defender Credential Guard. Смысл этой настройки полностью аналогичен предыдущему пункту.
Ограничить время хранения сессионных данных для Local Security Authority Server Service (LSASS). Лишает злоумышленников возможности украсть пароли из памяти хоста. По умолчанию очистка сессионных данных не выполняется (logon session credentials).
Включить защиту Local Security Authority (LSA). Сокращает возможности инъекций кода для кражи паролей из памяти хоста. Отмечу, что по умолчанию для Windows RT 8.1 защита lsass.exe всегда включена и не может быть отключена.
Отключить хранение предыдущих логонов в кеше. Сокращает возможности кражи кредов из кеша хоста. Эту настройку рекомендуется использовать только в случае крайней необходимости (например, при наличии явных исключений, на устройствах для командировок, в изолированных сегментах сети). По умолчанию параметр «Интерактивный вход в систему: количество предыдущих подключений к кешу (в случае отсутствия доступа к контроллеру домена)» (Interactive logon: Number of previous logons to cache (in case domain controller is not availabl) для рядовых серверов и клиентских компьютеров допускает десять логонов.
Включить политику Debug Program. Позволяет избежать кражи паролей с использованием Mimikatz и других подобных инструментов. По умолчанию права на использование режима отладки предоставлены встроенной группе «Администраторы» (BUILTIN\Administrators).
Включить AES для Kerberos. Снижает вероятность кражи кредов, а именно Kerberoasting. По умолчанию параметр «Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos» (Network security: Configure encryption types allowed for Kerberos) поддерживает RC4.
Отключить передачу паролей в открытом виде сторонним SMB-серверам. Предотвращает перехват кредов при передаче по сети. По умолчанию параметр «Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам» (Microsoft network client: Send unencrypted password to connect to third-party SMB servers) не определен для серверов контроллеров домена и выключен для рядовых серверов и клиентских компьютеров.
Включить цифровую подпись сообщений для Microsoft клиентских компьютеров. Сокращает возможности для атак типа man in the middle. По умолчанию параметр «Клиент сети Microsoft: использовать цифровую подпись (всегда)» (Microsoft network client: Digitally sign communications (always)) для клиентских компьютеров отключен.
Включить цифровую подпись сообщений для серверов Microsoft. Сокращает возможности для атак типа man in the middle. По умолчанию параметр «Сервер сети Microsoft: использовать цифровую подпись (всегда)» (Microsoft network server: Digitally sign communications (always)) для рядовых серверов отключен.
Включить требование цифровой подписи для LDAP-сервера. То же, что и в предыдущих двух пунктах. По умолчанию параметр «Контроллер домена: требование цифровой подписи для LDAP-сервера» (Domain controller: LDAP server signing requirements) не определен для серверов контроллеров домена.
Включить Exploit Guard политики в Windows Defender. Лучше включить блокировку (Block) для сокращения векторов атак, использующих Office-приложения, скрипты и вредоносное ПО, внешние устройства и другие подобные векторы.
Включить автообновления операционной системы, но с их обязательным предварительным тестированием. Это позволит сократить возможности эксплуатации известных уязвимостей.

Установка (Installation)

Цель атакующего: установить бэкдор для взаимодействия с C&C-серверами
Цель защищающегося: сократить варианты и вероятность установить бэкдор

Атакующий может добавить бэкдор в список программ, которые загружаются при запуске операционной системы, а также модифицировать библиотеки, которые загружаются при запуске операционной системы.

«Пассивные» инструменты

Включить Advanced Audit Policy (особенно Detailed Tracking).
Использовать Sysmon.

«Активные» инструменты

Блокировать потенциально нежелательные приложения с использованием Microsoft Edge (относится к фильтру SmartScreen в Microsoft Defender). Усложняет атакующему установку нежелательных приложений. По умолчанию блокировка потенциально нежелательных приложений отключена.
Использовать User Account Control (UAC). UAC — такая себе защита, но лучше, если она будет включена.
Включить политику Windows Defender Application Control (WDAC) или использовать AppLocker. Сокращает количество драйверов и приложений, разрешенных для запуска на хостах (иными словами — уменьшает площадь атаки).

Управление и контроль (Command and Control)

Цель атакующего: создать скрытый канал коммуникации между хостом‑жертвой и C&C-серверами
Цель защищающегося: сократить варианты и вероятность успешного взаимодействия с C&C-серверами

Атака может развиваться по разным направлениям, которые зависят от особенностей конкретной IT-инфраструктуры. Злоумышленники могут использовать туннелирование, социальные сети и другие методы коммуникации.

«Пассивные» инструменты

Включить аудит Microsoft Defender Firewall.
Включить Advanced Audit Policy (особенно Detailed Tracking).
Использовать Sysmon (особенно Event ID 3: Network connection, Event ID 22: DNSEvent).

«Активные» инструменты

Использовать брандмауэр в Microsoft Defender. Отключить (блокировать) все неиспользуемые порты для сокращения вариантов сетевой коммуникации с атакующим.

Действия по целям (Actions on Objectives)

Цель атакующего: достичь цели атаки или перейти на новый виток цепочки атаки
Цель защищающегося: минимизировать ущерб, сократить варианты и вероятность перейти на новый виток цепочки атаки

Может показаться, что, если атака завершилась успехом, уже поздно пить боржоми. Но и здесь мы можем и должны создать трудности для атакующего, которому доступны методы, ограниченные возможностями его центра управления и уровнем полученного доступа. На новом витке атакующий может:

заняться внутренним сканированием сети;
использовать уязвимости в операционной системе, чтобы повысить привилегии или захватить новый узел (EternalBlue, BlueKeep);
создать новые учетные записи с нужными привилегиями;
создать временные учетные записи для выполнения каких‑либо деструктивных действий в системе;
изменить привилегии существующих учетных записей.

«Пассивные» инструменты

Включить Advanced Audit Policy (особенно Object Access).
Включить аудит для почтовых ящиков в Exchange Server.
Использовать Sysmon.

«Активные» инструменты

Разграничить доступ к данным, используя механизмы Discretionary access control list (DACL) и/или Dynamic Access Control (DAC). Позволяет сократить возможности нежелательного, случайного или несанкционированного доступа к данным на хостах.
Запретить анонимный доступ к любым общим ресурсам. То же, что и в предыдущем случае. По умолчанию параметр «Сетевой доступ: разрешать анонимный доступ к общим ресурсам» (Network access: Shares that can be accessed anonymously) не определен.
Использовать Microsoft Endpoint data loss prevention (Endpoint DLP). Сократить возможности нежелательной, случайной или несанкционированной передачи данных (эксфильтрации).
Использовать (настроить политики) DLP в Exchange Server. Смысл этой настройки аналогичен предыдущему пункту.
Включить поддержку Windows Information Protection (WIP) в Microsoft Edge. Снижает вероятность случайно раскрыть данные.
Запретить сетевой вход для всех локальных администраторов. Сокращает возможности горизонтального перемещения атакующего в инфраструктуре сети.
Отключить возможности потребителя Microsoft. Снижает вероятность нежелательной передачи данных (эксфильтрации). По умолчанию административный шаблон «Выключить возможности потребителя Microsoft» (Turn off Microsoft consumer experience) не настроен, но приложения и предложения третьих сторон предоставляются системе. Используй эту настройку только на критически важных хостах.
Отключить сбор диагностических данных. Имеет смысл использовать настройку «Диагностические данные отключены (безопасность)» (Diagnostic data off (Security)) для предотвращения нежелательной передачи данных. По умолчанию параметр «Обязательные диагностические данные (базовые)» (Required diagnostic data (Basic)) не настроен. Используй эту возможность только на критически важных хостах.
Использовать BitLocker. Шифрование предотвращает кражу данных с утерянных, украденных или неправильно выведенных из эксплуатации компьютеров.
Отключить возможность завершить работу системы без входа в операционную систему. Предотвращает временный отказ в обслуживании для клиентских компьютеров. По умолчанию параметр «Завершение работы: разрешить завершение работы системы без выполнения входа в систему» (Shutdown: Allow system to be shut down without having to log on) для клиентских компьютеров включен.

ПОДВОДЯ ИТОГИ

Большей частью рассмотренных здесь инструментов и механизмов защиты информации можно централизованно управлять через групповые политики (Group Policy) или PowerShell-командлет. Дополнительно могут использоваться отдельные решения:

Microsoft Sentinel;
Microsoft Endpoint Manager;
Microsoft Advanced Threat Analytics.

Если нет возможности двигаться по таблице шаг за шагом и требуется дополнительная приоритизация, я бы выделил как главные следующие действия:

сделать все, что относится к защите паролей и кредов (credentials);
«выкрутить» на максимум Windows Defender (особенно, если это твое единственное хостовое решение класса AV/HFW/EDR);
включить аудит событий в части Advanced Audit Policy.

Конечно, в рамках одной статьи нельзя охватить все инструменты и механизмы защиты информации. Предложенный список может (и должен) расширяться и уточняться. При этом важно помнить, что предварительное тестирование и «нережущий режим» (условно audit mode) для предложенных инструментов — это обязательные мероприятия в каждой конкретной IT-инфраструктуре, с учетом нюансов работы твоих систем и особенно legacy-приложений.

Если же все‑таки тебе не удалось своевременно обнаружить и локализовать инцидент информационной безопасности, в результате чего инфраструктуре был нанесен ущерб (то есть данные или системы пострадали), нужен понятный и рабочий «план Б».

В таком печальном случае у нас есть условно два основных варианта:

восстановить настройки по умолчанию и снова пройтись по списку;
восстановиться, используя gold image или актуальную резервную копию.

Важно не забыть переконфигурировать инструменты в рамках всей подконтрольной IT-инфраструктуры, принимая во внимание использованную атакующим уязвимость. При этом слово «уязвимость» нужно понимать в широком смысле, то есть следует исправить небезопасную конфигурацию, а не просто ждать очередного обновления софта.

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei

Хакер - Kill them all! Ранжируем ИБ-инструменты Microsoft по Cyber Kill Chain

Содержание статьи

РЕЗУЛЬТАТЫ СОПОСТАВЛЕНИЯ И ПРИОРИТИЗАЦИИ ИНСТРУМЕНТОВ ПО ШАГАМ CYBER KILL CHAIN

Разведка (Reconnaissance)

«Пассивные» инструменты

«Активные» инструменты

Вооружение (Weaponization)

Доставка (Delivery)

«Пассивные» инструменты

«Активные» инструменты

Эксплуатация (Exploitation)

«Пассивные» инструменты

«Активные» инструменты

Установка (Installation)

«Пассивные» инструменты

«Активные» инструменты

Управление и контроль (Command and Control)

«Пассивные» инструменты

«Активные» инструменты

Действия по целям (Actions on Objectives)

«Пассивные» инструменты

«Активные» инструменты

ПОДВОДЯ ИТОГИ

Report Page