Мир кибербезопасности постоянно эволюционирует, и злоумышленники становятся все более изобретательными в своих атаках. Недавние исследования, проведенные компаниями Sygnia, AhnLab Security Intelligence Center (ASEC) и Praetorian, выявили тревожную тенденцию: киберпреступники активно используют передовые методы для распространения программ-вымогателей и сохранения контроля над скомпрометированными сетями. В частности, выделяются три основных вектора атак: использование ESXi для создания туннелей, угон RID на системах Windows и обход EDR с помощью аппаратных точек останова.
Одним из пугающих трендов является использование систем ESXi для создания туннелей командного центра (C2). Злоумышленники, взламывая ESXi-серверы посредством скомпрометированных учетных данных или известных уязвимостей, устанавливают SSH-туннели. Эти туннели позволяют им подключаться к своим C2-серверам и оставаться незамеченными, маскируясь под легитимный трафик. Стабильность и отсутствие должного мониторинга ESXi делают их привлекательными для киберпреступников. Отслеживание этих атак затруднено, поэтому критически важно настроить перенаправление журналов. Для мониторинга подозрительной активности следует обращать внимание на логи
Группа Andariel, предположительно связанная с Северной Кореей, применяет технику угона RID (Relative Identifier) для повышения привилегий в системах Windows. Злоумышленники, уже имея права администратора или SYSTEM на скомпрометированной машине, изменяют реестр Windows, присваивая низкопривилегированной учетной записи права администратора. Они изменяют значение RID на 500, идентификатор учетной записи Administrator, создают новую учетную запись, добавляют ее в группы «Пользователи удаленного рабочего стола» и «Администраторы», а затем получают доступ к системе по протоколу RDP. В результате, вновь созданная учетная запись фактически имеет административные права. Для предварительного повышения привилегий перед изменением RID, злоумышленники используют такие инструменты как PsExec и JuicyPotato.
Еще одна опасная тенденция – использование аппаратных точек останова для обхода EDR (Endpoint Detection and Response). Этот метод позволяет злоумышленникам уклоняться от обнаружения Event Tracing for Windows (ETW), который является важным компонентом безопасности Windows. Вместо функции
Исследователи из Sygnia, включая Чжунъюань Хау (Аарона) и Рен Цзе Йоу, первыми обнаружили активное использование ESXi-туннелирования. Специалисты из ASEC выявили применение угона RID группой Andariel. Рад Кавар из компании Praetorian подробно исследовал методы обхода EDR через аппаратные точки останова. Эти открытия подчеркивают сложность и разнообразие тактик, которые используют киберпреступники, и необходимость постоянного совершенствования систем безопасности.
Использование ESXi-туннелей, угона RID и аппаратных точек останова представляет собой серьезную угрозу для организаций любого размера. Защита от этих сложных атак требует многоуровневого подхода, включая проактивный мониторинг журналов ESXi, усиленную защиту Windows-систем, а также внедрение и настройку продвинутых решений EDR. Беспечность в вопросах кибербезопасности может привести к значительным финансовым потерям и репутационному ущербу.
Изображение носит иллюстративный характер
Одним из пугающих трендов является использование систем ESXi для создания туннелей командного центра (C2). Злоумышленники, взламывая ESXi-серверы посредством скомпрометированных учетных данных или известных уязвимостей, устанавливают SSH-туннели. Эти туннели позволяют им подключаться к своим C2-серверам и оставаться незамеченными, маскируясь под легитимный трафик. Стабильность и отсутствие должного мониторинга ESXi делают их привлекательными для киберпреступников. Отслеживание этих атак затруднено, поэтому критически важно настроить перенаправление журналов. Для мониторинга подозрительной активности следует обращать внимание на логи
/var/log/shell.log, /var/log/hostd.log, /var/log/auth.log и /var/log/vobd.log. Группа Andariel, предположительно связанная с Северной Кореей, применяет технику угона RID (Relative Identifier) для повышения привилегий в системах Windows. Злоумышленники, уже имея права администратора или SYSTEM на скомпрометированной машине, изменяют реестр Windows, присваивая низкопривилегированной учетной записи права администратора. Они изменяют значение RID на 500, идентификатор учетной записи Administrator, создают новую учетную запись, добавляют ее в группы «Пользователи удаленного рабочего стола» и «Администраторы», а затем получают доступ к системе по протоколу RDP. В результате, вновь созданная учетная запись фактически имеет административные права. Для предварительного повышения привилегий перед изменением RID, злоумышленники используют такие инструменты как PsExec и JuicyPotato.
Еще одна опасная тенденция – использование аппаратных точек останова для обхода EDR (Endpoint Detection and Response). Этот метод позволяет злоумышленникам уклоняться от обнаружения Event Tracing for Windows (ETW), который является важным компонентом безопасности Windows. Вместо функции
SetThreadContext, которая отслеживается ETW, злоумышленники используют функцию NtContinue для установки регистров отладки, что позволяет им перехватывать функции и манипулировать телеметрией на уровне ЦП, без необходимости внесения изменений на уровне ядра. Этот метод, часто называемый «беспатчевым», применяется для предотвращения сканирования AMSI и обхода ETW. Исследователи из Sygnia, включая Чжунъюань Хау (Аарона) и Рен Цзе Йоу, первыми обнаружили активное использование ESXi-туннелирования. Специалисты из ASEC выявили применение угона RID группой Andariel. Рад Кавар из компании Praetorian подробно исследовал методы обхода EDR через аппаратные точки останова. Эти открытия подчеркивают сложность и разнообразие тактик, которые используют киберпреступники, и необходимость постоянного совершенствования систем безопасности.
Использование ESXi-туннелей, угона RID и аппаратных точек останова представляет собой серьезную угрозу для организаций любого размера. Защита от этих сложных атак требует многоуровневого подхода, включая проактивный мониторинг журналов ESXi, усиленную защиту Windows-систем, а также внедрение и настройку продвинутых решений EDR. Беспечность в вопросах кибербезопасности может привести к значительным финансовым потерям и репутационному ущербу.
