В этом году в Казани прошел первый международный фиджитал-турнир «». Мы были ключевым ИБ-партнером мероприятия, поэтому пока все увлеченно смотрели соревнования, мы не менее увлеченно ловили алерты и предотвращали ИБ-инциденты. Сейчас расскажем обо всем, что осталось за кадром.
В основу ИТ-инфраструктуры «Игр будущего» легли мощности крупных телеком-операторов («Таттелеком», «Ростелеком», «Мегафон» и «Билайн») и ЦОДа Центра информационных технологий Республики Татарстан. На базе этих ресурсов была развернута платформа турнира — отечественная система «Управление спортивным массовым мероприятием».
ИТ-инфраструктура мероприятия была разделена на пять сегментов: серверный; канал передачи данных; игровой; вещательный; локальные сети объектов. При этом архитектура сети была построена по схеме двойной звезды: у каждого объекта было два географически разнесенных канала связи от разных операторов, чтобы не допустить сбоев. В сумме в проведении «Игр будущего» было задействовано более 5000 единиц ИТ-оборудования, в том числе игрового.
Подробности ищите в видео с PHDays Fest 2
Поэтапно подход к защите «Игр будущего» выглядел следующим образом:
- Сначала мы сформировали и верифицировали перечень недопустимых событий:
- прерывание прямой видеотрансляции на стриминговых платформах;
- частичная или полная остановка проведения игровых дисциплин;
- подмена контента;
- утечка персональных данных участников мероприятия.
- Затем проанализировали архитектуру, провели харденинг инфраструктуры и сформировали требования по обеспечению кибербезопасности турнира.
- Выстроили центр противодействия киберугрозам (ЦПК), в основе которого всегда лежит почти классическая триада: технологии, процессы и эксперты.
- Провели ряд практических тренировок для всех специалистов, задействованных в защите турнира, и проверили киберустойчивость «Игр будущего» с помощью киберучений.
- Вышли на защиту мероприятия и обеспечивали полноценный мониторинг в режиме 24/7.
Забегая вперед, отметим, что команда ЦПК не допустила ни одного ИБ-инцидента со значимым ущербом. Но обо всем по порядку: из чего же состоял наш центр противодействия киберугрозам?
Технологии
Джентльменский набор СЗИ, развернутый в инфраструктуре «Игр будущего», включал в себя:
- MaxPatrol SIEM — для мониторинга событий безопасности и обнаружения инцидентов;
- MaxPatrol VM — для управления уязвимостями;
- PT Network Attack Discovery (PT NAD) — для анализа сетевого трафика и выявления вредоносной активности;
- PT Application Firewall — для защиты внешних веб-ресурсов;
- PT Sandbox — для определения и анализа вредоносных файлов;
- MaxPatrol EDR — для контроля и реагирования на конечных устройствах;
- MaxPatrol O2 — для перепроверки событий безопасности и автоматического выявления кибератак;
- Anthill IRP (внутренняя разработка SOC PT ESC) — для работы с инцидентами в режиме единого окна.
Узловая телеметрия собиралась и пересылалась в MaxPatrol SIEM исключительно агентами EDR — этот способ оказался ощутимо быстрее и эффективнее, чем традиционные методы получения журналов (syslog, WEC и др.).
Кроме того, MaxPatrol EDR позволял буквально на лету устранять фиксируемые вредоносные активности. При обнаружении ВПО на игровом ПК спортсмена, находящегося в буткемпе в одном из отелей Казани, специалистам ЦПК не нужно было врываться к людям в номера в поисках зараженного устройства :) С помощью EDR-системы мы оперативно изолировали скомпрометированные узлы буквально за пару кликов.
Периметровый трафик, очищенный от TLS, давал нам полную видимость происходящего на внешних границах инфраструктуры. Трафик снимался после прохождения NGFW — в PT NAD передавалась уже расшифрованная копия (см. рис. 3).
Процессы
Большая доля процессной подготовки пришлась на управление инцидентами. Перед нами стояло несколько нетривиальных задач:
- Реализация единой точки коммуникации по подтвержденным инцидентам между участниками процесса обеспечения кибербезопасности турнира.
- Автоматизация взаимодействия команды PT ESC со специалистами других ИТ- и ИБ-команд в рамках реагирования на инциденты.
- Интеграция со сторонней системой учета инцидентов, которой пользовалась ИБ-команда технологического операционного центра (ТОЦ) «Игр будущего».
Для решения этих задач мы скорректировали стандартный воркфлоу и внедрили в Anthill IRP новые функции:
- Система автоматически отправляла письма с данными по инцидентам на электронную почту, откуда их забирал и парсил коннектор системы учета инцидентов ТОЦ.
- По запросу оператора SOC система пересылала инциденты с комментариями в Mattermost — мессенджер, где осуществлялась оперативная коммуникация между SOC и специалистами по реагированию.
- При закрытии инцидента система забирала переписку из Mattermost и сохраняла в соответствующей карточке.
Еще до начала мероприятия процесс мониторинга и работы с инцидентами был отшлифован на командно-штабных тренировках с участием всех вовлеченных специалистов.
Эксперты
Порой у нас возникало ощущение, что к защите «Игр будущего» привлечена едва ли не добрая половина сотрудников Positive Technologies. Салют коллегам из соседних подразделений ;)
- Команда консалтинга помогала с определением недопустимых событий и реализацией процессов обеспечения безопасности турнира.
- Пентестеры провели системную работу по поиску уязвимостей и верификации недопустимых событий.
- Архитекторы и инженеры подготовили инфраструктуру и внедрили СЗИ.
- Специалисты по эксплуатации обеспечивали поддержку в режиме 24/7.
Дежурные аналитики нашего SOC 24/7 удаленно обрабатывали инциденты в IRP-системе, верифицировали сработки и занимались реагированием. Кроме того, в Казань были откомандированы эксперты из других команд PT ESC: отделов мониторинга информационной безопасности, обнаружения атак, форензики и т. д. Они работали непосредственно в ТОЦ и взаимодействовали с представителями регуляторов, организаторами, ИТ- и ИБ-партнерами турнира.
Пора переходить к самому интересному — киберугрозам!
ЦПК в действии: инциденты на «Играх будущего»
≈ 200 подтвержденных инцидентов мы выявили и купировали за время мероприятия.
> 4000 алертов команда мониторинга обработала в операционный и предоперационный периоды.
WannaCry-like
В период подготовки к турниру PT NAD зафиксировал во внутренней сети множественные попытки эксплуатации уязвимости CVE-2017-0144 (EternalBlue) и коммуникаций с бэкдорами DoublePulsar (см. рис. 8–10). Активность была замечена на узлах legacy-инфраструктуры организаторов, не имевшей прямого отношения к турниру.
С этих же устройств были выявлены попытки активного сканирования локальной сети на предмет доступных 445/SMB-портов (см. рис. 11).
Все свидетельствовало о том, что на узлах функционировало ВПО WannaCry или Petya. Эти шифровальщики распространяются по сети путем эксплуатации уязвимости CVE-2017-0144 в SMBv1 и установки бэкдора DoublePulsar на скомпрометированные устройства.
Мы оперативно изолировали зараженные узлы и перезаливали операционные системы. Плюс дополнительно проверили инфраструктуру на наличие обновлений MS17-010. Суммарно за время мониторинга наш ЦПК выявил 39 устройств, инфицированных подобным ВПО.
Отметим, что успешная эксплуатация уязвимости CVE-2017-0144 — не единственный вектор заражения узлов вредоносным ПО, использующим для распространения EternalBlue. Вредонос также может попасть в инфраструктуру из-за опрометчивых действий пользователей — например, после скачивания ПО из небезопасных источников. Поэтому даже установленный патч MS17-010 не исключает возможности заражения, хотя и предотвращает его дальнейшее распространение.
Атаки на веб-приложения
Еще до начала мероприятия наши специалисты обнаружили несколько уязвимостей, использование которых позволило бы злоумышленникам преодолеть внешний периметр и попасть в инфраструктуру «Игр будущего». Мы их устранили и взяли внешние веб-ресурсы под защиту PT Application Firewall.
Уже во время мероприятия мы ежедневно фиксировали не менее тысячи атак на внешние ресурсы «Игр будущего». Во время церемоний открытия и закрытия турнира, а также в дни финалов соревнований показатель возрастал примерно до 10 000 атак (см. рис. 12).
Наблюдаемая активность была во всех отношениях разнообразной — начиная с уровня сложности атак и заканчивая местоположением их источников. К примеру, наши продукты регулярно фиксировали агрессивные попытки автоматизированного сканирования на уязвимости (см. рис. 13–14).
Были и точечные попытки эксплуатации в ручном режиме (см. рис. 15).
При подготовке к мероприятию мы разработали специальный пакет экспертизы для MaxPatrol SIEM с правилами, основанными на событиях PT Application Firewall. Например, одно из правил срабатывало на проведение множественных веб-атак на внешние ресурсы турнира с одного IP-адреса (см. рис. 16).
Отметим, что попытки внешнего сканирования сервисов, доступных из интернета, обычно носят массовый характер, поэтому с ходу отличить целенаправленное воздействие от рядовых ботов бывает непросто. На выявление общих паттернов в отдельных атаках и определение связей между ними требуется время. Так, отражение одной любопытной целевой атаки на веб-ресурсы турнира заняло у нас несколько дней.
Расследование началось с того, что мы обнаружили факт массированного сканирования ряда периметровых сервисов (см. рис. 17).
IP-адрес источника был чистым, не имел репортов на сервисах проверки репутации и принадлежал отечественному хостинг-провайдеру.
Примечательно и то, что значения User-Agent ротировались практически в каждом новом нелегитимном запросе (мы насчитали более 1000 уникальных значений заголовка).
Мы заблокировали вредоносный адрес с помощью межсетевого экрана и забыли об этой активности. Как оказалось, ненадолго :) Уже через день мы обнаружили серию аккуратных попыток ручной эксплуатации свежих уязвимостей на одном из веб-ресурсов. Схожесть с описанным выше кейсом состояла в том, что атаки снова проводились с одного IP-адреса, но с разными User-Agent в запросах. Проверив новый IP-адрес, мы выяснили, что он тоже чистый и относится к пулу уже знакомого нам хостинга. Стало понятно, что одной блокировкой здесь не обойтись. При содействии регуляторов мы передали информацию о злоумышленниках хостинг-провайдеру и в соответствующие органы. Вскоре активность исчезла с наших радаров.
Майнеры криптовалют
Деятельность криптомайнеров нельзя назвать вредоносной в полном смысле слова: она не несет прямых угроз безопасности и не причиняет непосредственного ущерба ИТ-ресурсам. Представители этого класса ВПО часто попадают в инфраструктуру компаний вполне легально — через сотрудников, решивших подзаработать на растущем рынке криптовалют. Однако деятельность майнеров может повысить нагрузку на корпоративные вычислительные мощности, замедлить работу сервисов и привести к сопутствующим финансовым расходам. Кроме того, скрыто установленный майнер вполне может сопровождать более серьезное ВПО.
Мы тщательно отслеживали и пресекали все попытки майнинга на мощностях «Игр будущего». В PT NAD есть более 120 правил для обнаружения различных семейств майнеров, а также постоянно пополняющийся репутационный список с адресами майнинговых пулов.
Мы удалили все обнаруженные майнеры, а узлы, на которых фиксировалась их активность, дополнительно проверили на наличие другого ВПО. Суммарно за время мониторинга наш ЦПК выявил инструменты для майнинга на 18 узлах.
RAT-утилиты
На «Играх будущего» использование сервисов для удаленного управления ПК было запрещено и считалось прямым нарушением политик ИБ. Тем не менее PT NAD и MaxPatrol SIEM с завидной регулярностью фиксировали в инфраструктуре активность сразу пяти RAT-утилит: TeamViewer, AnyDesk, RMS, Ammyy Admin и Radmin (см. рис. 23–26).
Мы отработали все выявленные инциденты, удалили с узлов ПО для удаленного управления (кроме согласованных случаев) и наставили пользователей на путь истинный :) Суммарно наш ЦПК зафиксировал 17 случаев использования RAT-утилит.
Нелегитимное сетевое оборудование
Однажды PT NAD зафиксировал необычно большие объемы трафика, который шел с нескольких внутренних IP-адресов. Проанализировав сетевую активность каждого из узлов, мы обнаружили и другие аномалии: многообразие User-Agent в исходящих HTTP-сессиях, разнородные ОС, DNS-запросы и др. (см рис. 27–29).
Наши эксперты выдвинули гипотезу, что подобное поведение может быть характерно для роутеров, но IP- и MAC-адреса этих узлов в перечне инвентаризованного сетевого оборудования не значились. Не знали о них и специалисты заказчика. Тогда мы провели полноценное расследование вместе с коллегами, ответственными за реагирование. В результате мы обнаружили функционирующие на спортивных объектах коммутаторы и роутеры, которые несанкционированно установили сами пользователи либо ИТ-специалисты подрядчиков. Очевидно, ЦПК не мог отслеживать журналы с этого оборудования и, что еще важнее, трафик с сегментов, оказавшихся за NAT. Мы оперативно заблокировали нелегитимные устройства. Суммарно за время мониторинга наш ЦПК обнаружил четыре несанкционированных сетевых устройства.
***
Значимые международные мероприятия неизбежно привлекают внимание киберзлоумышленников (мы уже обеспечивали безопасность масштабных спортивных событий, в том числе Олимпиады и чемпионата мира по футболу, поэтому знаем, о чем говорим ;) ). За время турнира мы столкнулись и с фишинговым сайтом, имитировавшим портал для покупки билетов на мероприятие, и с разными видами атак из гостевых Wi-Fi-сетей (например, сетевой разведкой и брутфорсом доменных учетных записей), и с BitTorrent- и VPN-клиентами на узлах инфраструктуры. Тем не менее мы добились полного отсутствия ИБ-инцидентов со значимым ущербом на «Играх будущего».
Хотите узнать больше? Positive Hack Media выпустили документальный фильм про «Игры будущего». Enjoy!