Как обнаружить скрытое перемещение злоумышленников в сети

В современной сетевой инфраструктуре практически любая кибератака оставляет следы в сетевом трафике и сопровождается перемещением атакующего между различными узлами сети. Независимо от того, идет ли речь о компрометации веб-сервера с последующим проникновением во внутренний сегмент, атаке, начинающейся с фишингового письма, сканировании сети из тестового или гостевого Wi-Fi сегмента, поиске открытых TCP/UDP портов или попытках эксплуатации известных уязвимостей операционных систем и сетевого оборудования — все эти действия неизбежно создают сетевую активность.

Именно поэтому глубокий анализ сетевого трафика является одним из наиболее эффективных способов обнаружения признаков компрометации. В отличие от традиционных средств защиты, таких как EDR или XDR, которые контролируют только устройства, на которых установлены соответствующие агенты, анализ сетевого трафика позволяет выявлять подозрительную активность даже на серверах, сетевом оборудовании, IoT-устройствах и других системах, не охваченных средствами защиты конечных точек.

Такое распространение атаки внутри сетевой инфраструктуры называется скрытым перемещением (Lateral Movement). Это этап кибератаки, во время которого злоумышленник, получив первоначальный доступ к одному устройству, начинает перемещаться по сети от узла к узлу в поисках ценных данных, критических серверов или учетных записей с повышенными привилегиями. Его цель — расширить контроль над инфраструктурой и добраться до наиболее важных ресурсов организации, оставаясь незамеченным как можно дольше.

Скрытое перемещение редко привлекает внимание само по себе. Злоумышленник, использующий штатные инструменты операционной системы, такие как SMB, RDP, WMI или PSExec, часто выглядит почти так же, как системный администратор, выполняющий повседневные задачи по администрированию. Именно поэтому традиционные средства защиты не всегда способны своевременно отличить легитимную активность от действий атакующего.

Обнаружение скрытого перемещения считается одной из важнейших задач современных систем сетевого мониторинга и NDR-решений. Его наличие является весомым признаком того, что злоумышленник уже закрепился в инфраструктуре, получил контроль над одним или несколькими хостами и пытается расширить свое влияние на другие сегменты ИТ-среды.

В этой статье рассматривается, как скрытое перемещение проявляется в сетевом трафике, на какие признаки и индикаторы следует обращать внимание, а также как системно проводить расследование подобной активности. Каждый раздел построен на примере реальных угроз и может быть использован в качестве руководства для расследования инцидентов в собственной инфраструктуре.

Приведенные расследования базируются на использовании GREYCORTEX Mendel — NDR-решения для анализа сетевого трафика. Преимуществом такого анализа является возможность выявлять угрозы без необходимости устанавливать агенты на сетевые устройства, что сразу расширяет зону контроля Системы Управления Информационной Безопасностью (СУИБ) на офисную периферию, телефонию, мобильные устройства, устройства без агентов, IoT/IIoT, HoT технологии и усиливает традиционные системы защиты, такие как EDR/XDR, NGFW, SIEM, Sandbox, Deception и другие.

Описанные сценарии обнаружения и методики расследования являются универсальными и могут применяться в любой среде, где обеспечена видимость сетевого трафика на уровне сетевой инфраструктуры.

Рассмотрим четыре распространенных протокола, которые злоумышленники используют для перемещения по сети:

• SMB (Server Message Block) — стандартный протокол Windows для совместного доступа к файлам, папкам и сетевым ресурсам.
• PSExec — инструмент удаленного администрирования, позволяющий запускать команды и программы на других компьютерах в сети.
• RDP (Remote Desktop Protocol) — протокол удаленного доступа, предоставляющий полноценный графический доступ к рабочему столу удаленной системы.
• LLMNR (Link-Local Multicast Name Resolution) — вспомогательный протокол разрешения имен в локальной сети, который используется в случаях, когда DNS не может найти нужный ресурс.

Важно понимать, что это не специализированные инструменты, которые атакующие приносят с собой. Это широко используемые сетевые протоколы и механизмы, которые являются неотъемлемой частью практически любой корпоративной инфраструктуры и активно используются операционными системами, серверами и бизнес-приложениями.

Именно их широкое применение делает эти протоколы удобным инструментом для скрытого перемещения. Рассмотрим каждый из этих протоколов, как их могут использовать злоумышленники и на что стоит обращать внимание при расследовании инцидентов ИБ.

SMB и административные ресурсы Windows

Server Message Block (SMB) является основным протоколом обмена файлами в Windows-инфраструктуре. SMB-трафик присутствует практически в каждой корпоративной сети, и именно поэтому он удобен для скрытого перемещения.

Особый риск представляет доступ к административным сетевым ресурсам Windows, в частности к ресурсу ADMIN$.

ADMIN$ — это специальный ресурс на ОС Windows, который Windows автоматически публикует через SMB и который указывает на системный каталог (как правило, C:\Windows), предоставляет доступ к системному каталогу и используется для удаленного администрирования ОС. ADMIN$ автоматически создается на всех Windows-хостах и доступен пользователям с административными правами.

То есть фактически \\SERVER\ADMIN$ — это сетевое представление папки C:\Windows на удаленном сервере.

Несмотря на то, что этот ресурс не отображается в стандартном списке сетевых ресурсов, он всегда присутствует в системе и может использоваться для копирования файлов, установки программного обеспечения и выполнения административных операций.

Этот ресурс предоставляет прямой доступ к системному каталогу Windows на удаленном компьютере. Получив доступ к нему, атакующий может копировать файлы, запускать скрипты и переносить инструменты между узлами сети, не взаимодействуя с внешним периметром безопасности.

Что можно увидеть в Mendel

Когда происходит доступ к ресурсу ADMIN$, GREYCORTEX Mendel регистрирует соответствующее событие. При анализе необходимо перейти на уровень прикладного протокола и обратить внимание на следующие параметры:

• версию протокола SMB, используемую в сессии;
• конкретный сетевой ресурс или путь к нему;
• файловые операции, связанные с этой сессией.

Активность легитимного администратора обычно отличается от действий злоумышленника. В большинстве случаев после получения доступа к ADMIN$ атакующий переходит к выполнению команд или запуску программ, что отображается в данных сетевого потока (Network flow).

Например, в ходе одного из расследований детальный анализ трафика показал выполнение python.exe через подключение к ADMIN$. Такая активность нетипична для администрирования систем и может свидетельствовать о попытке скрытого перемещения или выполнения вредоносного кода на удаленном узле.

На что обратить внимание при расследовании

• Кто инициировал подключение? Прежде всего необходимо определить источник соединения. Стоит проверить, принадлежит ли IP-адрес известному администратору, сервисной учетной записи или системе, для которой подобная активность является привычной.
• Проверить время события сопоставив с журналом плановых работ, и является ли такое время типичным для технического обслуживания систем.
• Проверить выполняемые операции, сопровождался ли доступ копированием файлов, запуском скриптов, выполнением команд или созданием новых процессов на удаленном хосте. Именно такие действия часто свидетельствуют о попытке скрытого перемещения или наличии у злоумышленника доступа к внутренним ресурсам.

Удаленное администрирование через PSExec

PSExec — это легкий инструмент удаленного администрирования из набора Microsoft Sysinternals, который позволяет запускать команды и программы на удаленных компьютерах без необходимости открывать полноценную RDP-сессию. Системные администраторы используют его для автоматизации задач, удаленного обслуживания и администрирования серверов. Злоумышленники используют этот инструмент с той же целью — для выполнения команд на скомпрометированных системах и последующего перемещения по сети.

Особенностью PSExec является то, что его активность достаточно хорошо заметна в сетевом трафике. При каждом запуске PSExec создает на целевом хосте временную службу PSEXESVC, используя протокол SMB через TCP-порт 445. Факт создания такой службы отображается в сетевых потоках и является одним из наиболее надежных индикаторов скрытого перемещения.

Что можно увидеть в Mendel

При использовании PSExec система GREYCORTEX Mendel сначала фиксирует подключение к ресурсу IPC$, после чего отображает событие создания службы PSEXESVC на целевом хосте.

IPC$ — это служебный ресурс Windows, который используется для взаимодействия процессов и удаленного администрирования. Многие инструменты управления Windows, в частности PSExec, используют его для установления служебных соединений перед выполнением команд на удаленной системе.

Детальный анализ сетевого потока позволяет увидеть команду, которая была запущена на удаленном узле. В отличие от многих зашифрованных протоколов администрирования, активность PSExec на этом уровне часто предоставляет аналитику понятные артефакты, включая информацию о выполняемых командах и их параметрах.

На что обратить внимание при расследовании

• Кто инициировал запуск PSExec? Необходимо проверить, принадлежит ли исходный IP-адрес известному администратору или серверу управления. Использование PSExec в нерабочее время или с устройств, которые ранее не выполняли административные операции, может быть признаком компрометации.
• Время выполнения работ, совпадает ли оно с регламентом выполнения технического обслуживания, запланированы ли соответствующие действия в журнале запланированных работ.
• Какая команда была выполнена? Особое внимание следует уделять командам, связанным с запуском PowerShell, CMD, загрузкой файлов, созданием новых учетных записей или изменением настроек безопасности.

Удаленный доступ через RDP

Remote Desktop Protocol (RDP) — один из самых распространенных инструментов удаленного доступа и администрирования в корпоративных сетях. Он позволяет получить полноценный графический доступ к удаленному рабочему столу компьютера или сервера так, будто пользователь работает непосредственно за ним.

В то же время RDP является одним из наиболее популярных инструментов среди злоумышленников. Получив учетные данные пользователя или администратора, атакующий может установить интерактивное подключение к любой системе, на которой включен RDP, и получить доступ ко всем ресурсам, доступным этому хосту или пользователю.

В отличие от SMB или PSExec, трафик RDP шифруется. Это означает, что аналитик не может увидеть, какие именно действия выполнялись внутри сессии. Однако даже метаданные такого подключения могут предоставить важную информацию для расследования инцидента.

Что можно увидеть в Mendel

GREYCORTEX Mendel позволяет анализировать метаданые RDP-сессии, в частности:

• IP-адрес источника подключения;
• IP-адрес целевого хоста;
• длительность RDP-сессии;
• страну происхождения подключения.

На практике длительность сессии часто является более важным показателем, чем может показаться на первый взгляд. Короткое RDP-подключение из внутренней сети не всегда выглядит подозрительным. Однако для корректного анализа необходимо рассматривать его в контексте других событий.

Особое внимание стоит уделить активности устройства до момента установления RDP-соединения. Если перед открытием сессии хост взаимодействовал с необычными системами, выполнял сетевое сканирование или получал доступ к ресурсам, с которыми ранее не работал, такая активность может быть частью более широкого сценария компрометации.

Не менее важным является анализ событий после завершения RDP-сессии. Именно на этом этапе часто становится заметным скрытое перемещение. Используя граф взаимодействий (Peer Graph), можно отследить, к каким системам начал подключаться хост после завершения сеанса удаленного доступа и появились ли новые нетипичные связи между узлами сети.

На что обратить внимание при расследовании

• Откуда было установлено подключение? Необходимо проанализировать активность исходного хоста до момента установления RDP-сессии. Стоит проверить, не предшествовали ли подключению нетипичные сетевые коммуникации, попытки доступа к необычным системам или другие признаки компрометации. Также следует оценить, является ли использование RDP характерным для этого пользователя или устройства.
• Что произошло после завершения сессии? Один из важнейших этапов расследования — анализ последующей активности хоста. Необходимо проследить цепочку подключений после завершения RDP-сеанса и проверить, не начал ли прибор устанавливать новые внутренние соединения с серверами или рабочими станциями, с которыми ранее не взаимодействовал. Именно такие новые связи часто являются признаком скрытого перемещения и попытки расширения контроля над инфраструктурой.
• Время и длительность сессии. Нужно проверить, произошло ли оно в рамках рабочего времени и соответствует ли внутренним регламентам администрирования. RDP-сессии, установленные в ночное время, выходные дни или вне согласованных окон технического обслуживания, вызывают подозрение. Очень короткие подключения могут свидетельствовать об автоматизированных действиях или проверке доступности системы, тогда как длительные интерактивные сессии могут указывать на активную работу администратора или злоумышленника внутри системы. Анализ длительности подключения всегда следует выполнять в контексте роли пользователя и характера его типичной деятельности.

Перехват учетных данных через LLMNR

LLMNR (Link-Local Multicast Name Resolution) — это вспомогательный протокол разрешения доменных имен, который используется операционной системой Windows в случаях, когда DNS не может найти нужный хост. В такой ситуации компьютер отправляет броадкаст-запрос (запрос ко всем хостам в сети) с вопросом, известно ли кому-то местонахождение нужного ресурса. Узел с соответствующим именем отправит ответ на такой запрос, точно так же как и любое другое устройство в этом сегменте сети может отправить ответ.

Именно это свойство создает риск для безопасности, а такой тип атаки называется LLMNR Poisoning. Злоумышленник может отправить ответ на LLMNR-запрос раньше легитимного узла, выдавая себя за нужный ресурс. После этого компьютер, инициировавший запрос, попытается пройти процедуру аутентификации и передаст хеш своих учетных данных. Полученный хеш может быть использован для последующих атак, компрометации учетных записей и скрытого перемещения по сети.

Особенность этой атаки заключается в том, что пользователь или система обычно не подозревают о подмене. С точки зрения операционной системы взаимодействие выглядит вполне легитимным.

Что можно увидеть в Mendel

GREYCORTEX Mendel позволяет наблюдать обе части такого обмена:

• широковещательный LLMNR-запрос на UDP-порт 5355;
• ответ на этот запрос от другого узла сети через тот же UDP-порт 5355.

В нормальной ситуации ответ поступает от устройства, которое действительно владеет запрашиваемым именем хоста.

В случае LLMNR Poisoning ответ поступает от неожиданного узла сети, который ранее не взаимодействовал с системой-инициатором запроса. Именно такие аномальные ответы могут свидетельствовать о попытке перехвата учетных данных или подготовке к дальнейшему распространению атаки внутри сети.

>

На что обратить внимание при расследовании

• Кто ответил на LLMNR-запрос? В первую очередь важно определить устройство, отправившее ответ на LLMNR-запрос. Необходимо проверить, принадлежит ли его IP-адрес хосту, который действительно должен отвечать за запрашиваемое имя, а также выяснить, существовало ли ранее сетевое взаимодействие между этими устройствами. Ответ от неизвестного узла или от хоста, который ранее не взаимодействовал с инициатором запроса, может свидетельствовать о попытке подмены и перехвата учетных данных.
• Является ли использование LLMNR характерным для вашей инфраструктуры? В первую очередь стоит выяснить, используется ли LLMNR в вашей сети вообще. Во многих организациях этот протокол централизованно отключается средствами Group Policy из-за связанных с ним рисков безопасности. Поэтому появление LLMNR-трафика само по себе может быть нетипичным событием и поводом для дополнительной проверки.

Сочетание различных методов обнаружения угроз

Скрытое перемещение редко сопровождается только одним оповещением. Основная задача аналитика — понять, связаны ли несколько событий между собой и являются ли они частью одного инцидента.

Для этого GREYCORTEX Mendel одновременно использует несколько методов обнаружения угроз:

• Анализ сетевого поведения (NBA) выявляет отклонения от обычной активности, например, подключения к новым хостам, резкое увеличение объема трафика или нетипичную длительность сессий.
• IDS с использованием Deep Packet Inspection (DPI) анализируют сетевой трафик на наличие известных сигнатур атак, вредоносных команд, эксплойтов и техник злоумышленников на L2-L7 уровнях модели OSI.
• Репутационный анализ позволяет выявлять взаимодействие с известными вредоносными IP-адресами, доменами, серверами управления (C&C) и другими объектами, связанными с киберугрозами.
• Анализ цифровых отпечатков и хешей зашифрованного трафика (JA3, JA3S, TLS Fingerprinting и другие методы) помогает выявлять вредоносные инструменты и аномальные TLS-соединения даже без расшифровки трафика.
• Анализ журналов событий (Log Processing) может использоваться как дополнительный источник данных из систем контроля доступа к сети или авторизации пользователей и предоставляет дополнительный контекст, позволяя обогащать события информацией, которая может отсутствовать в сетевом трафике.

При расследовании скрытого перемещения именно сочетание этих методов позволяет с уверенностью зафиксировать инцидент. Mendel дает возможность перейти от оповещения высокого уровня к детальному анализу сетевых метаданных в едином интерфейсе.

Например, система может одновременно зафиксировать RDP-подключение и обнаружить, что то же устройство начало взаимодействовать с внутренними хостами, к которым ранее никогда не подключалось. Именно такая корреляция событий позволяет увидеть всю цепочку скрытого перемещения, а не отдельные несвязанные между собой события.

Полная видимость цепочки событий

Скрытое перемещение — это не отдельное событие, которое можно либо обнаружить, либо пропустить. Это последовательность взаимосвязанных событий, разворачивающихся во времени и охватывающих различные протоколы, устройства и сегменты сети.

Визуализация сетевых событий, как результат анализа трафика, обеспечит механизм обнаружения не только непосредственно ключевого события, но и цепочки предшествовавших событий. Рассмотренные в статье протоколы — SMB, PSExec, RDP и LLMNR — не являются специализированными инструментами атакующих. Они используются практически в любой корпоративной сети, поэтому их анализ требует не только отдельных оповещений, но и достаточного уровня сетевой видимости, позволяющего понять, что происходило до появления инцидента и какие действия выполняла скомпрометированная система в дальнейшем.

Важно также, что полученные артефакты и метаданные не исчезают после завершения расследования. Долговременное хранение сетевых метаданных дает возможность проводить ретроспективный анализ событий спустя месяцы после инцидента — во время дополнительных расследований, аудитов безопасности или анализа последствий атаки.

Любое скрытое перемещение оставляет следы в сетевом трафике. Вопрос заключается лишь в том, располагает ли организация достаточным уровнем видимости и инструментами для того, чтобы своевременно обнаружить и правильно интерпретировать эти признаки.