Журнал "Information Security/ Информационная безопасность" #5, 2024

ружения вторжений, ни у антивирусного программного обеспечения. Проверив его на сайте virustotal.com , оператор все же подтвердил опасения (см. рис. 3). При ближайшем рассмотрении собы- тий межсетевого экрана станции oc.analitik.local обнаружилось ПО, осу- ществившее попытку сетевого взаи- модействия – rdte152.exe. Сравнив PID процесса из инцидента "Подозрительный запуск приложений по WMI" и PID процесса из события сетевого экрана, аналитик сделал вывод, что обнаруженные RuSIEM собы- тия и инцидент связаны, так как указы- вают на один и тот же подозрительный процесс. Реагируем на инцидент вместе с ИТ-службой Для реагирования на инцидент была задействована ИТ-служба, которая сроч- но заблокировала учетную запись "rat" в домене и запретила на файрволе соединения с адресом 185.188.183.96. Следующий шаг – поиск информации о запуске процесса на станции через RuSIEM. Оператор создал запрос к системе для поиска по Host=172.16.0.143, process.id = 5988 (его нашли в событии межсетевого экрана станции) и event.id: 1 (код события "Создание процесса"). (см. рис. 7) Система нашла событие от службы расширенного мониторинга Windows — Sysmon, который сохраняет hash испол- няемого файла, что позволило опера- тору: l оперативно оценить программу на сайтах типа virustotal.com, не имея досту- па к исполняемому файлу; l определить повторный запуск этой программы даже в случае ее переиме- нования. При подробном рассмотрении события в системе RuSIEM мы видим несколько артефактов, представленных в полях таксономии события. l ПО было запущено через интерфейс WMI. l Процесс создан пользователем "rat". Можно найти и проанализировать всю его активность в инфраструктуре, так как в SIEM есть логи со всех рабочих станций инфраструктуры, в частности Sysmon. l ID удаленного входа в систему поль- зователя "rat". Сессии пользователя при- своен тег, который дает возможность найти его действия в большом потоке событий, используя механизмы фильт- рации RuSIEM. Удаленный запуск приложений по про- токолу WMI очень опасен для инфра- структуры, потому что процессы запус- каются с повышенными правами и могут использоваться абсолютно на всех рабо- чих станциях. Чтобы блокировать источ- ник, необходимо определить станцию, с которой произошла атака. Для этого оператор провел поиск событий на станции по тегу 0х6D114 – идентификатору входа. Сгруппировав сотни разрозненных событий по симп- томам (symptoms.id ), RuSI- EM представила в читае- мом виде антологию про- исходящего (см. рис. 4). После того, как была найдена рабочая станция атакующего, в дело вступила команда реагирования. Дальнейшие действия оператора SOC, специалистов ИБ и ИТ по изоля- ции вовлеченных станций, нахождению точек входа и нейтрализации послед- ствий привели к успешному закрытию инцидента. Вывод Столкнувшись с угрозой, важно получить оперативный доступ к информации и пра- вильно подсветить происходящее. Клас- сические средства защиты, такие как антивирус и межсетевой экран, не всегда могут показать полную картину активности в сети и событий безопасности. Использование базовых индикаторов компрометации, таких как hash файлы, ip-адреса и доменные имена, бывает неэффективно – хакеры могут применять одноразовые сборки вредоносов и новые адреса для каждой конкретной атаки, обманывая системы защиты. Оператив- но отреагировать на подобные угрозы в этом случае поможет грамотно настроенная SIEM-система. l • 25 SOC + EDR www.itsec.ru 4. Антологию происходящего в читаемом виде АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 70 NM Реклама 3. Проверка на сайте virustotal.com подтвердила опасения