Як виявити приховане переміщення зловмисників у мережі

У сучасній мережевій інфраструктурі практично будь-яка кібератака залишає сліди в мережевому трафіку та супроводжується переміщенням атакуючого між різними вузлами мережі. Незалежно від того, чи йдеться про компрометацію веб-сервера з подальшим проникненням у внутрішній сегмент, атаку, що починається з фішингового листа, сканування мережі з тестового або гостьового Wi-Fi сегменту, пошук відкритих TCP/UDP портів чи спроби експлуатації відомих вразливостей операційних систем і мережевого обладнання — усі ці дії неминуче створюють мережеву активність.

Саме тому глибокий аналіз мережевого трафіку є одним із найбільш ефективних способов виявлення ознак компрометації. На відміну від традиційних засобів захисту, таких як EDR або XDR, які контролюють лише пристрої, на яких встановлені відповідні агенти, аналіз мережевого трафіку дозволяє виявляти підозрілу активність навіть на серверах, мережевому обладнанні, IoT-пристроях та інших системах, що не охоплені засобами захисту кінцевих точок.

Таке розповсюдження атаки всередині мережевої інфраструктури називається прихованим переміщенням (Lateral Movement). Це етап кібератаки, під час якого зловмисник, отримавши початковий доступ до одного пристрою, починає переміщуватися мережею від вузла до вузла, шукаючи цінні дані, критичні сервери або облікові записи з підвищеними привілеями. Його мета — розширити контроль над інфраструктурою та дістатися до найбільш важливих ресурсів організації, залишаючись непоміченим якомога довше.

Приховане переміщення рідко привертає увагу саме по собі. Зловмисник, який використовує штатні інструменти операційної системи, такі як SMB, RDP, WMI або PSExec, часто виглядає майже так само, як системний адміністратор, що виконує повсякденні завдання з адміністрування. Саме тому традиційні засоби захисту не завжди здатні своєчасно відрізнити легітимну активність від дій атакуючого.

Виявлення прихованого переміщення вважається одним із найважливіших завдань сучасних систем мережевого моніторингу та NDR-рішень. Його наявність є вагомою ознакою того, що зловмисник уже закріпився в інфраструктурі, отримав контроль над одним або кількома хостами та намагається розширити свій вплив на інші сегменти ІТ-середовища.

У цій статті розглядається, як приховане переміщення проявляється в мережевому трафіку, на які ознаки та індикатори слід звертати увагу, а також як системно проводити розслідування подібної активності. Кожен розділ побудований на прикладі реальних загроз та може використаний як настанова для розслідуванн інцидентів у власній інфраструктурі.

Наведені розслідування базуються на використанні GREYCORTEX Mendel — NDR-рішення для аналізу мережевого трафіку. Перевагою такого аналіз є можлвивіть виявляти загорози без необхідності встановлювати агенти на мережеві пристрої, що одразу розширує зону контролю Системи Управління Інформаційною Бзепекою (СУІБ) на офісну периферію, телефонію, мобільні пристрої, пристрої без агентів, IoT/IIoT, HoT технології та підсилює традиційні системи захисту, як EDR/XDR, NGFW, SIEM, Sanbox, Deseption та інші.

Описані сценарії виявлення та методики розслідування є універсальними й можуть застосовуватися в будь-якому середовищі, де забезпечена видимість мережевого трафіку на рівні мережевої інфраструктури.

Розглянемо чотири поширені протоколи, які зловмисники використовують для переміщення мережею:

• SMB (Server Message Block) — стандартний протокол Windows для спільного доступу до файлів, папок та мережевих ресурсів.
• PSExec — інструмент віддаленого адміністрування, який дозволяє запускати команди та програми на інших комп'ютерах у мережі.
• RDP (Remote Desktop Protocol) — протокол віддаленого доступу, що надає повноцінний графічний доступ до робостом віддаленої системи.
• LLMNR (Link-Local Multicast Name Resolution) — допоміжний протокол резолвінгу імен у локальній мережі, який використовується у випадках, коли DNS не може знайти потрібний ресурс.

Важливо розуміти, що це не спеціалізовані інструменти, які атакуючі приносять із собою. Це широко використовувані мережеві протоколи та механізми, які є невід'ємною частиною практично будь-якої корпоративної інфраструктури та активно використовуються операційними системами, серверами й бізнес-додатками.

Саме їх широке застоування робить ці протоколи зручним інструментом для прихованого переміщення. Розглянемо кожен з цих протоколів, як їх можуть використовувати зловмисники та на що варто звертати увагу при розслідуванні інцидентів ІБ.

SMB та адміністративні ресурси Windows

Server Message Block (SMB) є основним протоколом обміну файлами в Windows інфраструкурі. SMB-трафік присутній практично в кожній корпоративній мережі, і саме тому він зручний для прихованого переміщення.

Особливий ризик становить доступ до адміністративних мережевих ресурсів Windows, зокрема до ресурсу ADMIN$.

ADMIN$ — це спеціальний ресурс на ОС Windows, який Windows автоматично публікує через SMB і який вказує на системний каталог (як правило C:\Windows), надає доступ до системного каталогу та використовується для віддаленого адміністрування ОС. ADMIN$ автоматично створюється на всіх Windows-хостах і доступний користувачам з адміністративними правами.

Тобто фактично \\SERVER\ADMIN$ це мережеве представлення папки C:\Windows на віддаленому сервері.

Попри те, що цей ресурс не відображається у стандартному списку мережевих ресурсів, він завжди присутній у системі та може використовуватися для копіювання файлів, встановлення програмного забезпечення та виконання адміністративних операцій.

Цей ресурс надає прямий доступ до системного каталогу Windows на віддаленому комп'ютері. Отримавши доступ до нього, атакуючий може копіювати файли, запускати скрипти та переносити інструменти між вузлами мережі, не взаємодіючи із зовнішнім периметром безпеки.

Що можна побачити в Mendel

Коли відбувається доступ до ресурсу ADMIN$, GREYCORTEX Mendel реєструє відповідну подію. Під час аналізу необхідно перейти на рівень прикладного протоколу та звернути увагу на такі параметри:

• версію протоколу SMB, яка використовується в сесії;
• конкретний мережевий ресурс або шлях до нього;
• файлові операції, пов'язані з цією сесією.

Активність легітивного адміністратора зазвичай відрізняється від дій зловмисника. У більшості випадків після отримання доступу до ADMIN$ атакуючий переходить до виконання команд або запуску програм, що відображається в даних мережевого потоку (Network flow).

Наприклад, під час одного з розслідувань детальний аналіз трафіку показав виконання python.exe через підключення до ADMIN$. Така активність є нетиповою для адміністрування систем і може свідчити про спробу прихованого переміщення або виконання шкідливого коду на віддаленому вузлі.

На що звернути увагу під час розслідування

• Хто ініціював підключення? Перш за все необхідно визначити джерело з'єднання. Варто перевірити, чи належить IP-адреса відомому адміністратору, сервісному обліковому запису або системі, для якої подібна активність є звичною.
• Перевірити час події з журналом планових робіт та чи є такий час типовим для технічного обслуговування систем.
• Перевірити виконувані операції, чи супроводжувався доступ копіюванням файлів, запуском скриптів, виконанням команд або створенням нових процесів на віддаленому хості. Саме такі дії часто свідчать про спробу прихованого переміщення чи наявності у зловмисника доступу до внутрішніх ресурвіс.

Віддалене адміністрування через PSExec

PSExec — це легкий інструмент віддаленого адміністрування з набору Microsoft Sysinternals, який дозволяє запускати команди та програми на віддалених комп'ютерах без необхідності відкривати повноцінну RDP-сесію. Системні адміністратори використовують його для автоматизації завдань, віддаленого обслуговування та адміністрування серверів. Зловмисники використовують цей інструмент з тією ж метою — для виконання команд на скомпрометованих системах та подальшого переміщення мережею.

Особливістю PSExec є те, що його активність досить добре помітна в мережевому трафіку. Під час кожного запуску PSExec створює на цільовому хості тимчасовий сервіс PSEXESVC, використовуючи протокол SMB через TCP-порт 445. Факт створення такого сервісу відображається в мережевих потоках і є одним із найбільш надійних індикаторів прихованого переміщення.

Що можна побачити в Mendel

Під час використання PSExec система GREYCORTEX Mendel спочатку фіксує підключення до ресурсу IPC$, після чого відображає подію створення сервісу PSEXESVC на цільовому хості.

IPC$ — це службовий ресурс Windows, який використовується для взаємодії процесів та віддаленого адміністрування. Багато інструментів керування Windows, зокрема PSExec, використовують його для встановлення службових з'єднань перед виконанням команд на віддаленій системі.

Детальний аналіз мережевого потоку дозволяє побачити команду, яка була запущена на віддаленому вузлі. На відміну від багатьох зашифрованих протоколів адміністрування, активність PSExec на цьому рівні часто надає аналітику зрозумілі артефакти, включаючи інформацію про виконувані команди та їх параметри.

На що звернути увагу під час розслідування

• Хто ініціював запуск PSExec? Необхідно перевірити, чи належить вихідна IP-адреса відомому адміністратору або серверу керування. Використання PSExec у неробочий час або з пристроїв, які раніше не виконували адміністративні операції, може бути ознакою компрометації.
• Час виконання робіт, чи співпадає з регламентом виконання технічного обслуговування, чи заплановані відповідні дії у журналі запланованих робіт.
• Яка команда була виконана? Особливу увагу слід приділяти командам, пов'язаним із запуском PowerShell, CMD, завантаженням файлів, створенням нових облікових записів або зміною налаштувань безпеки.

Віддалений доступ через RDP

Remote Desktop Protocol (RDP) — один із найпоширеніших інструментів віддаленого доступу та адміністрування в корпоративних мережах. Він дозволяє отримати повноцінний графічний доступ до віддаленого робочого столу комп'ютера або сервера так, ніби користувач працює безпосередньо за ним.

Водночас RDP є одним із найбільш популярних інструментів серед зловмисників. Отримавши облікові дані користувача або адміністратора, атакуючий може встановити інтерактивне підключення до будь-якої системи, на якій увімкнено RDP, та отримати доступ до всіх ресурсів, які доступні цьому хосту або користувачу.

На відміну від SMB або PSExec, трафік RDP шифрується. Це означає, що аналітик не може побачити, які саме дії виконувалися всередині сесії. Проте навіть метадані такого підключення можуть надати важливу інформацію для розслідування інциденту.

Що можна побачити в Mendel

GREYCORTEX Mendel дозволяє аналізувати метадані RDP-сесії, зокрема:

• IP-адресу джерела підключення;
• IP-адресу цільового хоста;
• тривалість RDP-сесії;
• країну походження підключення.

На практиці тривалість сесії часто є більш важливим показником, ніж може здатися на перший погляд. Коротке RDP-підключення з внутрішньої мережі не завжди виглядає підозрілим. Проте для коректного аналізу необхідно розглядати його в контексті інших подій.

Особливу увагу варто приділити активності пристрою до моменту встановлення RDP-з'єднання. Якщо перед відкриттям сесії хост взаємодіяв із незвичними системами, виконував мережеве сканування або отримував доступ до ресурсів, з якими раніше не працював, така активність може бути частиною ширшого сценарію компрометації.

Не менш важливим є аналіз подій після завершення RDP-сесії. Саме на цьому етапі часто стає помітним приховане переміщення. Використовуючи граф взаємодій (Peer Graph), можна відстежити, до яких систем почав підключатися хост після завершення сеансу віддаленого доступу та чи з'явилися нові нетипові зв'язки між вузлами мережі.

На що звернути увагу під час розслідування

• Звідки було встановлено підключення? Необхідно проаналізувати активність вихідного хоста до моменту встановлення RDP-сесії. Варто перевірити, чи не передували підключенню нетипові мережеві комунікації, спроби доступу до незвичних систем або інші ознаки компрометації. Також слід оцінити, чи є використання RDP характерним для цього користувача або пристрою.
• Що відбулося після завершення сесії? Один із найважливіших етапів розслідування — аналіз подальшої активності хоста. Необхідно простежити ланцюжок підключень після завершення RDP-сеансу та перевірити, чи не почав пристрій встановлювати нові внутрішні з'єднання з серверами або робочими станціями, з якими раніше не взаємодіяв. Саме такі нові зв'язки часто є ознакою прихованого переміщення та спроби розширення контролю над інфраструктурою.
• Час та тривалість сессії. Потрібно перевірити, чи відбулося воно в межах робочого часу та чи відповідає внутрішнім регламентам адміністрування. RDP-сесії, встановлені у нічний час, вихідні дні або поза погодженими вікнами технічного обслуговування. Дуже короткі підключення можуть свідчити про автоматизовані дії або перевірку доступності системи, тоді як тривалі інтерактивні сесії можуть вказувати на активну роботу адміністратора або зловмисника всередині системи. Аналіз тривалості підключення завжди слід виконувати в контексті ролі користувача та характеру його типової діяльності.

Перехоплення облікових даних через LLMNR

LLMNR (Link-Local Multicast Name Resolution) — це допоміжний протокол розвязання доменних імен, який використовується операційною системою Windows у випадках, коли DNS не може знайти потрібний хост. У такій ситуації комп'ютер надсилає броадкаст запит (запит до всіх хостів в мережі) з питанням, чи відомо комусь місцезнаходження потрібного ресурсу. Вузол з відповідним ім’ям надішле відповідь на такий запит, так само які і будь-який інший пристрій у цьому сегменті мережі може надіслати відповідь.

Саме ця особливість створює ризик для безпеки а такий тип атаки називається LLMNR Poisoning. Зловмисник може надіслати відповідь на LLMNR-запит раніше за легітурний вузол, видаючи себе за потрібний ресурс. Після цього комп'ютер який ініціював запит спробує пройти процедуру автентифікації та передасть хеш своїх облікових даних. Отриманий хеш може бути використаний для подальших атак, компрометації облікових записів та прихованого переміщення мережею.

Особливість цієї атаки полягає в тому, що користувач або система зазвичай не підозрюють про підміну. З точки зору операційної системи взаємодія виглядає цілком легітимною.

Що можна побачити в Mendel

GREYCORTEX Mendel дозволяє спостерігати обидві частини такого обміну:

• широкомовний LLMNR-запит на UDP-порт 5355;
• відповідь на цей запит від іншого вузла мережі через той самий UDP-порт 5355.

У нормальній ситуації відповідь надходить від пристрою, який дійсно володіє запитуваним ім'ям хоста.

У випадку LLMNR Poisoning відповідь надходить від несподіваного вузла мережі, який раніше не взаємодіяв із системою-ініціатором запиту. Саме такі аномальні відповіді можуть свідчити про спробу перехоплення облікових даних або підготовку до подальшого розповсюдження атки всередині мережі.

>

На що звернути увагу під час розслідування

• Хто відповів на LLMNR-запит? У першу чергу важливо визначити пристрій, який надіслав відповідь на LLMNR-запит. Необхідно перевірити, чи належить його IP-адреса хосту, який дійсно повинен відповідати за запитуване ім'я, а також з'ясувати, чи існувала раніше мережева взаємодія між цими пристроями. Відповідь від невідомого вузла або від хоста, який раніше не взаємодіяв із ініціатором запиту, може свідчити про спробу підміни та перехоплення облікових даних.
• Чи є використання LLMNR характерним для вашої інфраструктури? У першу чергу варто з'ясувати, чи використовується LLMNR у вашій мережі взагалі. У багатьох організаціях цей протокол централізовано відключається засобами Group Policy через пов'язані з ним ризики безпеки. Тому поява LLMNR-трафіку сама по собі може бути нетиповою подією та приводом для додаткової перевірки.

Поєднання різних методів виявлення загроз

Приховане переміщення рідко супроводжується лише одним сповіщенням. Основне завдання аналітика — зрозуміти, чи пов'язані декілька подій між собою та чи є они частиною одного інциденту.

Для цього GREYCORTEX Mendel одночасно використовує декілька методів виявлення загроз:

• Аналіз мережевої поведінки (NBA) виявляє відхилення від звичайної активності, наприклад підключення до нових хостів, різке збільшення обсягу трафіку або нетипову тривалість сесій.
• IDS з використанням Deep Packet Inspection (DPI) аналізують мережевий трафік на наявність відомих сигнатур атак, шкідливих команд, експлойтів та технік зловмисників на L2-L7 рівнях OSI моделі.
• Репутаційний аналіз дозволяє виявляти взаємодію з відомими шкідливими IP-адресами, доменами, серверами керування (C&C) та іншими об'єктами, пов'язаними з кіберзагрозами.
• Аналіз цифрових відбитків та хешів шифрованого трафіку (JA3, JA3S, TLS Fingerprinting та інші методи) допомагає виявляти шкідливі інструменти та аномальні TLS-з'єднання навіть без розшифрування трафіку.
• Аналіз журналів подій (Log Processing), може використовуватись як додаткове джерело даних із систем котролю доступу до мережі чи авторизації користувачів та надає додатковий контекст, дозволяючи збагачувати події, інформацією яка може бути відсутня в мережевому трафіку.

Під час розслідування прихованого переміщення саме поєднання цих методів дозволяє з впевненістю зафіксувати інцидент. Mendel дає можливість перейти від сповіщення високого рівня до детального аналізу мережевих метаданих в єдиному інтерфейсі.

Наприклад, система може одночасно зафіксувати RDP-підключення та виявити, що той самий пристрій почав взаємодіяти з внутрішніми хостами, до яких раніше ніколи не підключався. Саме така кореляція подій дозволяє побачити повний ланцюжок прихованого переміщення, а не окремі непов'язані між собою події.

Повна видимість ланцюжка подій

Приховане переміщення — це не окрема подія, яку можна або виявити або пропустити. Це послідовність взаємопов'язаних подій, що розгортаються в часі та охоплюють різні протоколи, пристрої й сегменти мережі.

Візаалізація мережевих подій, як результат аналізу трафіку, забезпечить механізм виявлення не тільки безпосередньо ключової події, але й ланцюжка подій які передували. Розглянуті в статті протоколи — SMB, PSExec, RDP та LLMNR — не є спеціалізованими інструментами атакуючих. Вони використовуються практично в будь-якій корпоративній мережі, тому їх аналіз потребує не лише окремих сповіщень, а й достатнього рівня мережевої видимості, який дозволяє зрозуміти, що відбувалося до появи інциденту та які дії виконувала скомпрометована система після далі.

Важливо також, що отримані артефакти та метадані не зникають після завершення розслідування. Довгострокове зберігання мережевих метаданих дає можливість проводити ретроспективний аналіз подій через місяці після інциденту — під час додаткових розслідувань, аудитів безпеки або аналізу наслідків атаки.

Будь-яке приховане переміщення залишає сліди в мережевому трафіку. Питання полягає лише в тому, чи має організація достатній уровень видимості та інструменти для того, щоб своєчасно виявити й правильно інтерпретувати ці ознаки.