Журнал "Information Security/ Информационная безопасность" #5, 2024

В2024г.входеодногоизпилотных проектовповнедрениювинфраструк- турукрупнойчастнойклиникисистемы RuSIEMбылообнаруженонеизвестное вредоносноеПО,незамеченноеранеев атакахинезафиксированноеантивиру- сом.Подробнеерассмотрим,какудалось обнаружитьугрозу.­ С чего все начиналось Привходеввеб-интерфейсRuSIEM пользовательпопадаетнастраницудаш- бордов,гдеунегоестьвозможность оценитьобщеесостояниесистемыиее ключевыепараметры. Внашемслучаеоператоробратился к виджету"Исходящиепорты",гдеувидел подозрительнуюцифру8888,которая появиласьвоблакеисходящихсетевых соединений.Таккакданныйпортпуб- личнонезакреплензараспространен- нымисетевымислужбами,этовызвало интерессостороныслужбыбезопасности (см.рис.1). Одновременносистемавыдалаалерты "Подозрительныйзапускприложений черезWMI"и"Sysmon:Подозрительный запускприложенийчерезWMI"–инци- денты,которыемогутуказыватьназло- намеренныедействия. Выявляем инцидент с помощью детектирования по сетевым артефактам Послеисследованияинтерактивного виджета,которыйвыявилнесколько событийотсистеммежсетевогоэкрани- рования,операторнашелсоединения наподозрительныйпорт8888адреса 185.188.183.96,исходящиеотрабочей станцииoc.analitik.local172.16.0.143.Дан- ныесобытияотображалисьвсистеме, таккакранеевRuSIEMбылизаведены логисовсехрабочихстанцийинфра- структуры,атакжежурналыкоммута- ционногооборудования(см.рис.3). Далееаналитикобратилсяккарточке инцидента,вкоторойбылперечислен наборнеобходимыхдлястартарассле- дованияданных,аименно:хостисточ- никасобытий,симптом,указывающий насозданиеновогопроцесса,имена пользователейзапустившегосяироди- тельскогопроцессов,атакжеMITREID – указательнатехникуMITREATT&CK, изучивкоторую,можнопонять,чемопа- сенданныйинцидент. Выявитьугрозупомогпродвинутый методдетектированияпосетевымарте- фактам,которыйзаложенвправило корреляцииRuSIEM.Вданномслучае мыувиделиподозрительныйзапускпро- цессачерезWMI–техникаMITRE ATT&CKT1047. Настанцииoc.analitik.localзапустился новыйнеизвестныйпроцессrdte152.exe, причемчерезWindowsManagementInter- face(WMI)вслужебноминтерфейсе, которыйиспользуютсетевыеадмини- страторыдляуправленияинфраструк- турой. Ещеоднойподозрительнойдеталью сталоимяпользователя"rat"("крыса"), таккакнесоответствиеобщепринятому именованиюучетныхзаписейможет бытьобусловленотрадиционнымслен- гомхакерскихгруппировок(см.рис.4).­ IP-адрес,покоторомупроисходило соединение,отсутствовалвбазахIoC (индикаторыкомпрометации)ине вызвалподозренийниусредствобна- 24 • СПЕЦПРОЕКТ Невыдуманная история расследования одного инцидента омпания RuSIEM, разработчик решений в области мониторинга и управления ИБ- и ИТ-событиями, регулярно оказывает поддержку партнерам в пилотных проектах по внедрению в инфраструктуру заказчика своей SIEM- системы. В 2024 г. специалисты RuSIEM уже приняли участие более чем в 250 пилотах. К Василий Кочканиди, аналитик RuSIEM Рис. 1. Подозрительный порт 8888 в виджете "Исходящие порты" Рис. 2. Соединения на подозрительный порт 8888 Фото:RuSIEM