Атаки на enterprise: сервисы Microsoft в качестве оружия

Несколько докладов на Black Hat 2017 показали, что enterprise-решения Microsoft могут служить целям злоумышленников.

Использование хакерами легитимного ПО принимает все более широкие масштабы. Несколько докладов на Black Hat 2017 показали, что «чемпионами» по полезности для атакующих могут быть enterprise-решения Microsoft.

Появление «гибридных облаков» в крупных компаниях должно сильно повлиять на принципы построения киберзащиты. Но на практике это происходит недостаточно быстро, и в системах защиты множатся «слепые зоны», которыми с успехом пользуются атакующие. Прошедшая в конце июля юбилейная хакерская конференция Black Hat показала это достаточно наглядно — целый букет исследований был посвящен тому, как стандартная офисная инфраструктура может помогать атакующим, оставаясь вне зоны видимости для большинства защитных решений.

Для финансово мотивированных хакеров, которые успешно проникли в корпоративную сеть, наибольшую трудность представляет скрытый обмен данными с зараженными машинами. Ботам нужно как-то получать команды и передавать украденную информацию, не вызывая при этом срабатываний у систем IDS и DLP. На помощь приходят сервисы Microsoft. Во-первых, они не всегда попадают под ограничения по зонам безопасности, а во-вторых, передаваемые ими данными сканируются недостаточно глубоко.

Совместное исследование Ти Миллера (Ty Miller) и Павла  Калинина (Paul Kalinin) из Threat Intelligence Pty демонстрирует, как боты в корпоративной сети могут общаться при помощи сервисов Active Directory (AD).  Поскольку все клиенты в сети (включая мобильные), а также большинство серверов должны обращаться к AD для аутентификации, сервер AD становится «центральной точкой связи», очень удобной для управления ботнетом. А наличие Azure AD, интегрированного с корпоративным сервером AD, по мнению исследователей может дать прямой доступ к ботнету из внешнего мира.

Как же пользоваться AD для управления ботнетом и извлечения данных? Принцип очень прост. По умолчанию каждый клиент в может обновлять некоторые поля на сервере AD, например, номер телефона и email пользователя. Среди доступных для записи полей есть и весьма емкие, позволяющие загрузить до мегабайта данных. Другие пользователи AD могут всю эту информацию читать — вот вам и канал связи.

Среди доступных для записи полей есть и весьма емкие, позволяющие загрузить до мегабайта данных.

В качестве рекомендаций исследователи советуют отслеживать поля в AD на предмет «регулярных и странных изменений», а также отключить пользователям возможность изменения большей части полей.

Исследователи советуют отключить пользователям возможность изменения большей части полей

Исследование Крейга Додса (Craig Dods) из Juniper networks освещает другой способ скрытого извлечения данных — при помощи сервисов Office 365.  Среди них самым популярным является OneDrive for Business, которым пользуются почти 80% клиентов онлайн-сервисов Microsoft. Для хакеров он ценен тем, что серверам Microsoft обычно доверяют, а потому не запрещают высокоскоростные соединения с ними и даже не расшифровывают идущий оттуда трафик. В результате задача хакера сводится к тому, чтобы подключить на атакованной машине диск OneDrive, используя для этого не корпоративные реквизиты пользователя. Копирование данных на него не воспринимается как попытка выхода за периметр – системы защиты считают, что это корпоративный диск. Более того, его можно подключить в невидимом для большинства приложений режиме, снижая вероятность обнаружения.  Для этого атакующему потребуется ещё два инструмента Microsoft — Internet Explorer и PowerShell. В результате бот беспрепятственно копирует данные на «собственный» диск, а атакующий спокойно скачивает эти данные из OneDrive.

Атакующий может спокойно скачать эти данные через OneDrive

Чтобы защититься от подобной атаки, по мнению Додса, нужно разрешить доступ только к собственным, корпоративным поддоменам Office 365. Также рекомендуется углубленный анализ зашифрованного трафика и анализ поведения PowerShell-скриптов в «песочнице».

Да, нужно учитывать, что обе угрозы носят чисто гипотетический характер. Чтобы использовать эти технологии, злоумышленникам сначала нужно как-то проникнуть в инфраструктуру жертвы. Однако если им это удастся, то их активность будет незаметна не только для большинства современных защитных решений, но и для неподготовленного наблюдателя. Вот почему разумно время от времени проводить анализ IT-инфраструктуры на предмет ее уязвимости. У нас, например, есть целый набор экспертных сервисов, которые позволят проанализировать, что происходит в вашей инфраструктуре с точки зрения информационной безопасности, и могут при необходимости провести проверку на проникновение.

Советы