Clever Geek Handbook

Cómo detectar ciberataques y prevenir el robo de dinero

Según Positive Technologies, el 42% de los ciberataques contra empresas se llevan a cabo con el objetivo de obtener beneficios económicos directos. Un ataque se puede detectar en sus diversas etapas, desde la penetración en la red hasta el momento en que los piratas informáticos comienzan a retirar dinero. Analizamos cómo reconocer a los intrusos en cada etapa y minimizar los riesgos.





Penetración en la red de la empresa

Boletín de phishing

Muy a menudo, los ciberdelincuentes penetran en la red local enviando correos electrónicos de phishing con archivos adjuntos maliciosos. Según nuestros datos , así es como 9 de cada 10 grupos APT inician su ataque. 





En la mayoría de los casos, los correos electrónicos de phishing utilizan un documento .doc, .docx, .xls, .xlsx con uno de los tipos de carga útil: una macro de VBA o Excel 4.0, o un exploit para una vulnerabilidad en un componente de Microsoft Office, por ejemplo, CVE. -2017-0199, CVE- 2017-11882, CVE-2018-0802. 





Antes de lanzar un documento, primero debe realizar un análisis estático, que puede mostrar que el archivo es malicioso. El más confiable será el análisis de secciones del código, durante el cual es posible identificar una secuencia característica de operaciones, características de cifrado y otros patrones.





— , . , , . , CreateProcessA CreateProcessW, NtCreateUserProcess NtCreateProcessEx. 





-

— - . , , , 86% -. 





Windows ID 4688 Sysmon ID 1. , cmd.exe, w3wp.exe ( OWA). , , . 





- , .asmx, .jsp, .php, .aspx .





(, Path Traversal) . 





, . , , . 





(Password Spraying)

— . , , — . Password Spraying — , . 





Password Spraying . :





  • 4625 « » , , , , OWA;





  • 4771 « Kerberos» 06 « » 018 « »;





  • 4776 « » NTLM-, C0000064 « » C000006A « , ».





. . . 





, , . , Password Spraying:





  • ( ) , ;





  • ( 5—10 ), .





, , . — . 





Sysmon 12 « » 13 « » , .





Sysmon 11 « » C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .lnk, .vbs, .js, .cmd, .com, .bat, .exe.





, . . , WINREG (Windows Remote Registry Protocol), HKCU\Software\Microsoft\Windows\CurrentVersion\Run. 





, SMB. , BAT- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp .





, , . , , . : , , ; , , , . 





System Information Discovery PowerShell Windows, Sysmon. :









  • net.exe net1.exe config,





  • wmic.exe os, qfe, win32_quickfixengineering, win32_operatingsystem;





  • systeminfo.exe, 





  • ipconfig.exe,





  • netstat.exe,





  • arp.exe,





  • reg.exe; 





  • \Software\Microsoft\ Windows\CurrentVersion; 





  • PowerShell, WMI-, .





Permission Groups Discovery net.exe net1.exe localgroup, group /domain group /dom. 4688, Sysmon — 1.





. LDAP, SAMR. LDAP searchRequest filter.





( ) , Kerberos. 





Kerberoasting

Kerberoasting , . Kerberos- , . , , . 





TGS- ( 4769 « Kerberos»): IP-, , , IP- TGS- . 





: RC4 — Kerberoasting.





Active Directory, . , , TGS- . , , LDAP servicePrincipalName .





SMB/Windows

, C$, ADMIN$, IPC$ . , .





, : 





  • 4624 « »;





  • 5140 5145 – ;





  • 7045 « »;





  • 4688 « », — services.exe.  smbexec , services.exe.





. SVCCTL . 





, . , , KRBTGT. Kerberos- .





DS-Replication-Get-Changes, DS-Replication-Get-Changes-All, DS-Replication-Get-Changes-In-Filtered-Set.





4662 « » , 4624 « », . 





-just-dc-user secretsdump DCSync . , .





Directory Replication Service (DRS) Remote Protocol, RPC-, — DRSUAPI RPC interface. DRSGetNCChanges, . , , DCSync. 





KRBTGT, Kerberos , , . Golden Ticket





DOMAIN ACCOUNT ID:





  • 4624 « »; 





  • 4634 « »;





  • 4672 « , ». 





Golden Ticket : . : RC4, . , Golden Ticket TGT (Event ID 4769) .





Kerberos TGT . AS-REQ , AS-REP TGT. Golden Ticket TGT , AS-REQ/AS-REP, , . , .





, . RTM. , , . .





, VNC: TightVNC, UltraVNC, RealVNC, VNC Connect. , .





, .









(SetWindowsHookEx) (CreateCompatibleDC, CreateDIBSection, BitBlt, GetDIBits)





(SetWindowsHookEx) , (GetKeyboardState, SetKeyboardState, GetAsyncKeyState)





(GetCursorPos) (SetCursorPos) , (SetWindowsHookEx)





(GetClipboardData) (SetClipboardData) , SetClipboardViewer





RFB. , (5900-5906),





— . , , , . :









. , «» , .









«1c_to_kl.txt». , , RTM. CreateFileW WriteFile, 0x40 PAGE_EXECUTE_READWRITE VirtualProtect, .





, VirtualProtect PAGE_EXECUTE_READWRITE , CreateFileW WriteFile. SetWindowsHookExA.









. BlueNoroff, SWIFT Alliance, . 





. VirtualProtectEx PAGE_EXECUTE_READWRITE , WriteProcessMemory .









: , Buhtrap ClipBanker Electrum Bitcoin. %appdata%\eLectrUm*\wAllEts\ %appdata%\BiTcOin\wAllEts\walLet.dAt.





. FindFirstFile FindNextFile. , CreateFileA, . , .





. , , , - . , , . 







More articles:


All Articles