Настроить всех против врага

Что делать если против тебя настраивают людей

Хоть мы и люди, но иногда создается ощущение, что в коллективе действует «закон джунглей». Агрессор собирает сообщников, выбирает жертву и открывает охоту. Человек подвергается насмешкам, колкостям, сплетням. Иногда ситуация заходит слишком далеко – жертву могут толкнуть или ударить. Что делать, если против тебя настраивают людей? Как перестать быть добычей и стать частью «стаи»?

Как реагировать или просто игнорировать

Кто-то скажет, из такого коллектива стоит бежать. Но где гарантия того, что в другом месте не откроется травля на «новенького»? Опять бежать? Можно до конца жизни перебирать работой и учебой. В итоге, ничего не добиться. А может, со страхом стоит вести борьбу? Ведь травят того, кто чувствует себя неуверенно и поддается насмешкам. Агрессор не может чувствовать себя сильным, если жертва не поддается.

1. Стоит выучить волшебную фразу: «Ну и?». Пусть она станет вашим заклинанием против колкостей и насмешек. Если сотрудники говорят о том, что ваша одежда вышла из моды, просто пожимайте плечами и идите дальше. Вас стараются высмеять? Реагируйте спокойно, не обращайте внимания, кивайте головой и занимайтесь дальше своими делами.

Есть лишь небольшая группа людей, к мнению которых следует прислушиваться:
• родители;
• близкие друзья;
• те, кто добился высот и может передать свой опыт.

Какое вам дело до того, что думает Петр Иванович из соседнего кабинета? Едва ли его можно назвать полностью успешным человеком. А значит, высказывания коллеги не имеют смысла.

Защита себя и своего имущества

Не всегда агрессор действует открыто. Часто человек отсиживается в безопасном месте, но сам распускает сплетни, перекрывает доступ к нужной информации, настраивает против жертвы сообщников. Такую тактику выбирают трусливые люди. Свою неуверенность они скрывают под личиной «лидера».

Помните, что быть смелым из-за угла легко. Обычно вся бравада агрессора теряется, стоит вызвать его на откровенный разговор. Сохраняйте твердость. Фальшь и волнение – не лучшие помощники в этом деле. Подойдите к обидчику и при свидетелях киньте вызов. Попросите высказать все претензии вам в глаза.

Во время разговора следует соблюдать следующие правила:
• Смотреть в межбровье. Такой взгляд тяжело переносится. Агрессору будет трудно сосредоточиться, и он начнет теряться.
• Избегайте сильной жестикуляции. Активные взмахи руками лишь покажут ваше волнение.
• Голос должен быть четким, жестким и спокойным. Не кричите, не плачьте. Проявите стойкость.

Не бойтесь обратиться за помощью. Конечно «темную» устраивать не стоит. Такие вещи наказываются законом. Но вы сами можете воспользоваться правом попросить защиты у правоохранительных органов или начальника. Всегда собирайте доказательства травли.

• сохраняйте переписку;
• не удаляйте видео-доказательства, если таковые имеются;
• найдите свидетелей, которые поддержат вас;
• научитесь носить с собой диктофон.

Если агрессор мешает работе, то обращайтесь сразу к начальству. Не жалуйтесь. Просто попросите предоставить вам всю необходимую для работы информацию. Если начальство поинтересуется, то укажите на человека, который вам мешает.

1. Всегда носите важные документы с собой или прячьте их в сейф. Рабочую информацию храните на нескольких электронных носителях. В этом случае агрессору сложнее нанести жертве серьезный вред.

Избегайте драк. Старайтесь не оставаться с агрессивным человеком наедине. Если вас ударили, то стоит обратиться в больницу и зафиксировать побои.

Стоит помнить, что уверенных в себе людей задеть невозможно. Работайте над самооценкой, обращайте меньше внимания на посторонних людей, держите компромат. В этом случае травля моментально прекратиться, а вы сможете продолжать работу в спокойной обстановке.

Следующая статья
Ещё одна история любви или как Мишка Квакин влюбился

Источник

Как противостоять толпе?

Проблема коллективного давления актуальна для определенной категории людей. Как правило это не особо поддающиеся влиянию, имеющие свое мнение и представление об окружающей действительности индивиды.
Для социума, с его твердыми понятиями и нормами, такие товарищи – как ком в горле, как медленнодействующий яд, как невероятно сильный раздражитель. Желание задавить подобную личность, на корню сломить ее волю, возникает у большинства как нечто само собой разумеющееся.
А что остается делать несчастным, пытающимся отстоять свою индивидуальность?
Прежде всего необходимо выбросить из своей все негативные мысли, вроде таких: «Меня все ненавидят, значит со мной что-то не так!», или «Нужно срочно измениться, забыть о своих идеалах». Поверьте, это не вы виноваты в том, что социум отказывается принимать вас таким, какой вы есть. Человек вообще в принципе не должен ощущать чувство вины, если его действия не приносят вреда другим людям.

А еще запомните одну простую истину: любая коллективная мысль начинается в голове ОДНОГО человека. Иными словами, в толпе всегда есть лидер, чье мнение влияет на общественное самым непосредственным образом. Этот человек чем-то похож на вас, только он нашел способ влиять на большинство.

Дальнейшая борьба с общественным мнением будет заключаться в противостоянии именно с ним. Сразу предупреждаю, легкой победы не будет. Подумайте сами: насколько волевой и сообразительный человек вам противостоит, если ему, фактически, удалось подчинить себе толпу.

Выявить неформального лидера порой бывает непросто. Не всегда он ярко проявляет себя, не всегда находится на виду. Однако есть несколько признаков, как определить соперника:

1. Его внешняя агрессия по отношению к вам будет самой минимальной, либо вы вовсе ее не заметите. Такие люди, как правило, не опускаются до прямой конфронтации, предпочитая действовать через свою многочисленную свиту.

2. Он попытается наладить с вами контакт. Подчиненные — это хорошо, однако с равными общения тоже хочется. Для него вы будете представлять больший, если хотите, спортивный интерес. Наверняка он попытается втереться к вам в доверие, а затем, постепенно, сломать и подчинить.

3. В толпе всегда происходит множество междоусобных конфликтов. Ваш настоящий враг не будет принимать в них участие, наоборот, он будет тем, кто приложит все усилия для того, чтобы эти самые конфликты погасить.

Итак, с настоящей целью разобрались. Но как бороться с человеком, которого поддерживает большинство? Здесь также есть несколько вариантов:

1. Ни в коем случае не проявляйте агрессии. Не психуйте и не распаляйтесь — позволите себе подобную слабость, сразу же станете легкой добычей. Оглянуться не успеете, как превратитесь в самого бесправного члена коллектива.

2. Попытайтесь воспользоваться методами неформального лидера — найдите соратников в отрицательно настроенной толпе. Это не так уж и сложно, поскольку контролировать всех подчиненных постоянно просто невозможно.

3. Найдите слабые места главного врага. Сделать это можно методом исключения. Попытайтесь выяснить на какие темы он общается неохотно, а какие доставляют ему явный дискомфорт.

Помните о том, что вашей основной задачей является сведение на нет конфликта с коллективом. Не нужно думать о мести, таить в сердце злобу. В любой толпе всегда можно занять нейтральную позицию.

И последний совет: взвесьте все «за» и «против». Может быть это просто не ваш коллектив? И, если есть возможность, попытайте счастья в другом.

Источник

Знай врага своего: разбираем техники атакующих на The Standoff вместе с PT NAD

Привет, Хабр! Мы продолжаем разбирать наиболее примечательные моменты майской кибербитвы The Standoff. Это отличный шанс подготовиться к новому противостоянию, которое пройдет уже 15 и 16 ноября. Еще не знаете подробностей? Читайте их в нашем блоге.

Сегодня расследуем ряд атак на периметре и внутри сети, выявленных нашей NTA-системой — PT Network Attack Discovery (PT NAD). На этот раз разберем, какие тактики и техники по матрице MITRE ATT&CK использовали атакующие для проникновения в инфраструктуру и на дальнейших этапах, и обсудим, могут ли подобные инциденты произойти в реальности.

Напомним, что все четыре дня противостояния на киберполигоне работал SOC (security operation center), в который входили команды нашего экспертного центра безопасности PT Expert Security Center. С помощью продуктов Positive Technologies мы мониторили офисы шести компаний на полигоне, детектировали подозрительную активность (в нашем случае — в сетевом трафике), отслеживали каждый шаг нападающих и верифицировали их отчеты. Это заключительная часть цикла материалов, посвященного результатам работы наших решений на The Standoff 2021. Если пропустили наши статьи, то скорее читайте о том, что интересного поймала наша песочница PT Sandbox, как межсетевой экран уровня приложений PT Application Firewall помогал защищать город от нападающих и какую секретную информацию об атаках нам поведал MaxPatrol SIEM.

Вместо предисловия

Говоря о роли NTA-системы в детектировании действий атакующих, хочется отметить, что PT Network Attack Discovery дал нам полную видимость сети и упростил процесс проверки успешности атак. При распутывании инцидентов мы могли максимально подробно отслеживать шаги нападающих, используя метаданные сессий и сырой трафик, и выявлять любую попытку проникновения в инфраструктуру компаний. В комбинации с такими продуктами, как MaxPatrol SIEM, PT Application Firewall и PT Sandbox, нам, специалистам экспертного центра безопасности PT ESC, удалось добиться максимального покрытия инфраструктуры киберполигона и отслеживать активность атакующих как в сети, так и на узлах. Кстати, в реальных инфраструктурах зачастую отсутствует стопроцентное покрытие средствами защиты, установленными на узлах. Добиться покрытия путем анализа сетевого трафика гораздо проще, так как достаточно настроить его зеркалирование с сетевого оборудования.

Давайте посмотрим, какие тактики и техники пользовались популярностью у атакующих на прошедшем The Standoff. Из всех кейсов мы выбрали наиболее интересные и чаще всего встречающиеся в реальной жизни. Чтобы разложить все по полочкам, мы «смапили» эти тактики и техники с матрицей MITRE ATT&CK. Заметим, что отбор тех или иных техник основан на многолетнем опыте PT Expert Security Center, который каждый день проводит мониторинг и анализ защищенности крупных корпоративных систем, а также занимается обнаружением, реагированием и расследованием сложных инцидентов.

Ниже будет краткий ликбез по матрице MITRE ATT&CK. Кто уже все знает — смело пропускайте раздел и знакомьтесь с результатами мониторинга PT Network Attack Discovery на прошедшей кибербитве.

Несколько слов о MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — тактики, техники и общеизвестные факты о злоумышленниках) — общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT. Эта база знаний представляет собой структурированный набор тактик и техник, используемых злоумышленниками. Она позволяет специалистам по информационной безопасности со всего мира разговаривать на одном языке.

Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности.

Итак, в базе выделяются 14 тактик, которые разделены по стадиям кибератаки:

подготовка ресурсов (resource development),

первоначальный доступ (initial access),

повышение привилегий (privilege escalation),

предотвращение обнаружения (defense evasion),

получение учетных данных (credential access),

перемещение внутри периметра (lateral movement),

сбор данных (collection),

управление и контроль (command and control),

эксфильтрация данных (exfiltration),

Для каждой тактики в базе знаний ATT&CK перечислен список техник, которые помогают злоумышленникам в достижении цели на текущем этапе атаки. Специалисты по ИБ могут использовать знания из базы, чтобы структурировать информацию об актуальных методах атак и с учетом этого построить эффективную систему безопасности. Например, по матрицам MITRE ATT&CK можно определить, к каким техникам уязвимы ресурсы организации, чтобы в перспективе устранить самые опасные проблемы. Наши внимательные подписчики, скорее всего, вспомнят, что понятие MITRE ATT&CK уже когда-то упоминалось в нашем блоге. Все верно! Мы делали цикл постов (первая, вторая, третья, четвертая и пятая части) о том, как системы анализа трафика на примере PT Network Attack Discovery обнаруживают тактики хакеров по MITRE ATT&CK. Статьи получились обстоятельными — читайте, если еще не успели.

Прежде чем мы углубимся в детали, взгляните на список тактик еще раз. Из 14 тактик мы разберем шесть — те, которые составляют основную массу всех действий атакующих. Начнем с тактики «Выполнение».

Выполнение, или Execution

Во время противостояния применение тактики Execution занимает наибольшую часть активных действий красных. Возможность выполнения команд нужна атакующим как на этапе проникновения в инфраструктуру, так и для дальнейшего распространения и реализации рисков.

В данную тактику входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Запуск вредоносного кода помогает атакующим закрепить присутствие (тактика Persistence) и расширить доступ к удаленным системам в сети, перемещаясь внутри периметра.

Что выявил PT NAD на кибербитве: атакующие использовали различные техники для выполнения команд — к примеру Scheduled Task/Job: Scheduled Task, то есть выполнение команд через создание задачи в планировщике Windows. Ниже показан один из примеров использования данной техники на The Standoff: от имени пользователя admin_ws по протоколу DCERPC была удаленно создана задача.

Выполнение команд через удаленное создание задачи в планировщике Windows

Пометка AuthLevelPktPrivacy говорит о том, что трафик DCERPC был зашифрован и в интерфейсе нам доступны только названия вызванных функций, но не их параметры. По этой причине мы не можем по трафику точно определить, какую команду запускали нападающие, но видим передачу файла с расширением .tmp в этой же сессии.

Регистрация задачи, запуск и последующее удаление

Чаще всего злоумышленники перенаправляют вывод в файл, чтобы узнать результаты выполненной команды. Данная сессия как раз такой случай, но в файле мы видим только сообщение об успешно завершенной операции.

Результат удаленно выполненной команды

Еще одна распространенная техника — System Services: Service Execution. У нее похожий механизм работы. Главное отличие в том, что удаленно создается служба Windows, а не задача.

Удаленное выполнение команд через службы Windows

Что выявил PT NAD на кибербитве: атакующие на The Standoff действовали более скрытно и не стали создавать новую службу. Вместо этого они изменили настройки уже существующей службы под названием Browser, подменив путь до исполняемого файла. Далее они отправили команду на старт измененной службы, запустив тем самым свой исполняемый файл ven.exe. После этого они восстановили первоначальные настройки службы и снова отправили команду на ее запуск.

Удаленное изменение и запуск службы

Исполняемый файл они передали на узел чуть раньше по протоколу SMB. Файл можно экспортировать из сырого трафика и проанализировать во внешней системе. Но в нашем случае у нас была настроена интеграция с другим нашим продуктом — PT Sandbox. Файл был автоматически извлечен и отправлен на анализ в песочницу. После анализа PT Sandbox обогатил информацию о файле в PT NAD. Его вердикт сигнализирует нам о том, что файл относится к категории троянов-загрузчиков.

Передача трояна-загрузчика

Windows Management Instrumentation также можно отнести к техникам, которые пользуются популярностью у атакующих. Она, как и рассмотренные выше техники, позволяет удаленно выполнять команды, используя механизм WMI.

При проведении атак одно и то же действие нападающих можно отнести к целому ряду техник. В качестве примера ниже показана сессия, в которой, помимо выполнения команд через WMI, атакующие применили проксирование трафика. Предлагаем рассмотреть его подробнее.

Итак, атакующие использовали wmiexec через SOCKS5-туннель, что можно отнести к технике Proxy: Internal Proxy тактики Command And Control по классификации MITRE ATT&CK.

Удаленное выполнение команд через WMI внутри SOCKS5-туннеля

В качестве пользователя для выполнения команд использовалась учетная запись clevergod, а для подключения к SOCKS5-прокси — учетка johncena. Среди выполненных команд обнаружена попытка загрузить файл, используя PowerShell. Таким образом, активность можно отнести к технике Command and Scripting Interpreter: PowerShell. Похоже, что достичь успешного результата у команды атакующих не получилось, и они предприняли еще одну попытку загрузки, но уже используя известный LOLBin certutil. Данная активность, в свою очередь, относится к технике Ingress Tool Transfer. Примечательно, что атакующие подготовились и зарегистрировали DNS-имя, похожее на наш домен, — ptsecurlty.ru (реальный домен компании — ptsecurity.com). Это могло усложнить защитникам анализ, поскольку подобную активность можно принять за легитимную.

Команда на загрузку исполняемого файла утилитой certutil

На скриншоте ниже мы видим реальный IP-адрес, на который перенаправлялся трафик из SOCKS5-туннеля.

Данные SOCKS5-туннеля

Выводы и наши рекомендации: выше мы рассмотрели только три способа удаленного выполнения команд, но на самом деле их гораздо больше. Их объединяет то, что все они используют легитимные механизмы инфраструктуры Windows. Из-за этого практически невозможно предотвратить использование данных техник, но можно своевременно обнаруживать нелегитимное использование этих механизмов Windows благодаря анализу сетевого трафика или анализу событий информационной безопасности во всех целевых системах.

Получение учетных данных, или Credential Access

Credential Access, так же как и Execution, является неотъемлемой частью действий атакующих для распространения по инфраструктуре.

Эта тактика включает в себя техники, нацеленные на кражу данных, которые можно использовать для аутентификации (например, имена пользователей и пароли). Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать больше записей с целью закрепления и усложняет обнаружение присутствия злоумышленников в сети.

Наиболее популярная техника среди атакующих — как в реальной жизни, так и на киберполигоне — это OS Credential Dumping: DCSync. Давайте рассмотрим ее детальнее: нападающие получают учетную запись с правами, достаточными для репликации контроллера домена, и проводят атаку DCSync, в результате которой получают данные для аутентификации пользователей домена. Вот как выглядели подобные действия одной из атакующих команд на The Standoff в интерфейсе PT NAD.

Атака DCSync

Другая команда нападающих также демонстрировала техники OS Credential Dumping, в частности OS Credential Dumping: NTDS и OS Credential Dumping: LSA Secrets.

Что выявил PT NAD на кибербитве: атакующие подключились к SCM и удаленному реестру на контроллере домена и сделали дамп LSA и NTDS. Результаты они сохранили в файл с расширением .tmp и выгрузили. Как и в предыдущей активности, команда красных получила аутентификационные данные всех пользователей домена. События такого рода означают полную компрометацию домена и позволяют атакующим почти беспрепятственно выполнять дальнейшее перемещение по инфраструктуре.

Удаленный дамп LSA и NTDS

Наши рекомендации: при обнаружении утечки аутентификационных данных пользователей следует как можно оперативнее проводить работы по блокировке и сбросу паролей. Перед атакующими открывается много возможностей с появлением у них валидных учетных данных. Вероятность пропустить атаки злоумышленников возрастает, так как действия из-под легитимных учетных записей отслеживать сложнее.

Повышение привилегий, или Privilege Escalation

Еще одним из способов получения учетных данных атакующими, помимо рассмотренных в предыдущем разделе техник, является доступ к данным LAPS — специальным LDAP-атрибутам. В результате успешного проведения этой атаки нападающие получают пароли локальных администраторов на всех узлах, на которых настроен LAPS — это техника Valid Accounts: Local Accounts тактики Privilege Escalation.

Рассмотрим аналогичную атаку на майском The Standoff: используя машинную учетную запись сервера Exchange, нападающие подключились к контроллеру домена по протоколу LDAP и запросили атрибут ms-MCS-AdmPwd для машин в домене. В этом атрибуте хранится текущий пароль локального администратора, устанавливаемый LAPS.

Дамп паролей LAPS по протоколу LDAP LDAP-запрос на получение значения атрибута ms-MCS-AdmPwd

Обладая паролем из LAPS, атакующие смогут без проблем перемещаться на интересующие их узлы. При этом они будут иметь привилегии администратора.

Подозрительности этой операции также добавляет и то, что аутентификация происходила с узла с названием kali. Такое название по умолчанию имеет наиболее популярный дистрибутив для тестирования на проникновение — Kali Linux.

Узел kali в NTLM-аутентификации

Наши рекомендации: при мониторинге следует проявлять повышенное внимание к активности учетных записей, которые имеют высокие привилегии, так как данные учетных записей являются приоритетной целью для атакующих и позволяют легко получить возможности для перемещения сразу же с высокими привилегиями.

Управление и контроль, или Command and Control

Техники Command and Control (C2 или C&C) используются для связи злоумышленников с подконтрольными системами в сети жертвы. Они позволяют атакующим сохранять доступ к нужным им системам и беспрепятственно получать нужную информацию с подконтрольных узлов. Как правило, атакующие при этом имитируют обычное поведение трафика, чтобы избежать обнаружения.

Разбирая технику Ingress Tool Transfer в одном из разделов выше, мы уже упоминали использование утилиты certutil. В следующей сессии мы видим уже непосредственно загрузку вредоносного ПО, выполненную с помощью этой утилиты.

Загрузка вредоносного ПО утилитой certutil

Если смотреть на картину кибербитвы в целом, то следует отметить, что команды атакующих использовали большое количество различных вредоносов для закрепления в инфраструктуре виртуального города. Одним из наиболее распространенных был Cobalt Strike, который использовал для соединения с управляющим сервером протокол HTTP и помещал свои данные в заголовок куки. Эту активность можно отнести к технике Application Layer Protocol: Web Protocols.

Коммуникация Cobalt Strike Beacon с управляющим сервером по протоколу HTTP

Другим способом доступа в инфраструктуру города F была техника Protocol Tunneling.

Что обнаружил PT NAD на кибербитве: проэксплуатировав уязвимость в веб-приложении, атакующие загрузили на сервер файл с функциональностью прокси — reGeorg.

Обращение к reGeorg-прокси

По активности в сессии похоже, что данный файл был найден одной из команд в момент перебора директорий, а оставить его могла другая команда.

Ответ reGeorg-прокси

Выводы: наша практика показывает, что атакующим чаще всего достаточно легко удается скрыться от антивирусных средств защиты благодаря использованию различных способов упаковки и других изменений исполняемого файла, устанавливающего соединение с управляющим сервером. Сетевую же активность скрыть сложнее, так как в случае наличия правил детектирования коммуникации с C&C, атакующим придется изменить не только клиентскую часть, но еще и серверную. Такие изменения гораздо затратнее. Это значит, что в некоторых случаях детектирование по сети может быть более успешным.

Исследование, или Discovery

Перейдем к тактике Discovery. После закрепления и получения доступа к системе злоумышленникам нужно понять, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время исследования атакующие собирают данные о системе и внутренней сети, что помогает сориентироваться в инфраструктуре и решить, как действовать дальше. Для этого зачастую используются встроенные инструменты операционных систем.

Во время четырехдневного противостояния наиболее популярным инструментом для техники Remote System Discovery была утилита для сетевого сканирования nmap.

Сканирование nmap

Некоторые команды атакующих использовали и другие методы, например запрос зон с DNS-cервера через AXFR или получение зон с контроллера домена через протокол LDAP.[AG1] [AL2] Эта информация позволяет атакующим найти в инфраструктуре интересующие их узлы для дальнейшего продвижения.

AXFR-запрос в протоколе DNS Запрос DNS-зон с контроллера домена по протоколу LDAP

Выводы и наши рекомендации: проведение разведки является неотъемлемой частью цепочки атаки. Как правило, она проводится на ранних стадиях. В случае обнаружения подобной активности рекомендуется как можно оперативнее среагировать и предотвратить дальнейшее продвижение атакующих.

Закрепление, или Persistence

Злоумышленники используют тактику закрепления для обеспечения своего постоянного присутствия в атакуемой системе. Им нужно быть уверенными, что даже после перезапуска системы или смены учетных данных их доступ к системе сохранится. Так они смогут в любое время контролировать скомпрометированную систему, продвигаться по инфраструктуре и достигать своих целей.

Самым распространенным методом закрепления во время кибербитвы The Standoff стала техника Create Account: Domain Account — атакующие с помощью привилегированных учетных записей создавали для себя дополнительные учетные записи.

Создание новой учетной записи в домене

Что обнаружил PT NAD на кибербитве: в сессии, приведенной на скриншоте ниже, мы видим, что с помощью машинной учетной записи сервера Exchange был создан пользователь kekpek.

Создание пользователя kekpek

После создания этого пользователя атакующие добавили его в группу администраторов домена и тем самым сохранили себе максимальные привилегии в домене.

Добавление пользователя в административную группу

Выводы и наши рекомендации: создание учетных записей — техника которую часто используют атакующие для сохранения доступа к системам. Рекомендуется отслеживать создание новых пользователей и аномалии в новых УЗ. Например, учетная запись может обладать паролем без срока «протухания», или ее название может не соответствовать принятому в вашей организации формату. Конечно же, особое внимание стоит уделить учетным записям, которые обладают привилегиями администратора.

Подводим итоги

В статье мы разобрали техники, которые пользовались популярностью у атакующих на прошедшем противостоянии. Инфраструктура The Standoff максимально приближена к реальной инфраструктуре любой компании. Это значит, что рассмотренные техники популярны не только в рамках киберполигона, но и в реальной жизни. Кстати, этой осенью в инфраструктуре The Standoff Moscow будут как объекты металлургии, транспорта и логистики, химической отрасли и городского хозяйства, так и энергетическая отрасль с собственными процессами.

Многое из того, что мы сегодня рассмотрели, было возможно благодаря легитимным механизмам, используемым в инфраструктуре. Из-за этого средства защиты не могут блокировать абсолютное все подобные угрозы в автоматическом режиме. Мониторинг сетевого трафика и событий в PT NAD и MaxPatrol SIEM, а также анализ файлов с почты и сетевого трафика в PT Sandbox позволяют выявить атакующих на большинстве стадий атаки и предотвратить реализацию неприемлемых рисков. Безусловно, для этого требуется получить максимальную видимость. Добиться ее с PT NAD проще всего, так как для этого необходима только копия сетевого трафика.

Автор: Алексей Леднев, заместитель руководителя отдела экспертных сервисов PT Expert Security Center

Источник