Как мы расследовали инцидент для компании с помощью IR Retainer
День 1. Рыбалка
Компания обнаружила на почтовом сервере веб‑шелл — программу, предоставляющую хакеру возможность удаленного исполнения команд, и обратилась к нам.
Мы попросили компанию снять образ диска почтового сервера. Далее удалили веб‑шелл, но поставили на его место файл, на который всегда срабатывают антивирусы и другие средства защиты. Эта сигнализация помогла бы нам отловить хакера, когда он попытается воспользоваться веб‑шеллом.
День 2. Tor
Так называемая рыбалка увенчалась успехом: мы обнаружили обращение к веб‑шеллу через Tor. На этом этапе мы поняли, что сети надо раскинуть пошире. Переговорили с IТ‑службой и поставили на мониторинг все обращения из Tor ко всем внешним серверам компании и все подключения по VPN к сети Tor.
Также провели первичный анализ образа диска почтового сервера и поняли, что веб‑шелл был положен туда администратором домена, а значит, его учетная запись скомпрометирована. Поэтому попросили изменить пароль администратора.
Затем убедились, что домен‑контроллер не скомпрометирован, но на всякий случай запросили у компании полный образ.
День 3. Сервер-опрос
Обнаружили обращение из Tor к веб‑серверу для опросов сотрудников с доменной аутентификацией. Попросили собрать логи доступа к серверу и обнаружили достаточно подозрительную активность, похожую на перебор директорий, за несколько недель до инцидента. Соответственно, заблокировали все обращения из Tor к этому серверу и начали пристально изучать журналы доступа к нему.
День 4. Сначала аутентификация, потом защита
Обнаружили, что, видимо, еще со времен тестирования портала разработчик сохранял все введенные пароли в общедоступном файле sessions.txt. Злоумышленник в ходе перебора директорий нашел этот файл. По логам было видно: он не сразу понял, что это пароли, но точно заинтересовался. А затем с одного IP‑адреса из Tor начались аутентификации под разными учетными записями. Таким образом злоумышленник быстро нашел учетную запись администратора и загрузил веб‑шелл.
Мы порекомендовали не сохранять пароли в открытом виде, убрать строчку из скрипта аутентификации, удалить sessions.txt, а также сменить все пароли, которые были в этом файле, — доменные пароли большинства пользователей.
День 5. Полная зачистка
В заключение мы восстановили весь путь хакера — от точки проникновения на портале опросов до веб‑шелла на почтовом сервере. Выявили скомпрометированные учетные данные и помогли сменить взломанные пароли.
Итоги реагирования в рамках IR Retainer
- Злоумышленники не успели нанести ущерб компании. У них был шанс скомпрометировать контроллер домена, но они заинтересовались именно Exchange-данными, которые также не успели похитить.
- Мы устранили критическую уязвимость, которая позволяла любому злоумышленнику получать легитимные учетные записи домена компании.
- Авторитет CISO атакованной компании в совете директоров вырос, за что мы получили благодарность.