01.11.2023
1 хв
1731
Як Scattered Spider здійснює хмарні атаки на фінансові та страхові компанії? Огляд кіберзагроз та способів захисту від ransomware.
Аналітики EclecticIQ дослідили атаки програм-вимагачів, спрямовані на хмарні інфраструктури у фінансовому та страховому секторах. Вони виявили, що методи, такі як автоматизоване створення фішингових сторінок, відповідають активності SCATTERED SPIDER.
Група SCATTERED SPIDER використовує телефонну соціальну інженерію, зокрема вішинг і смішинг, для отримання доступу до ІТ-служб і адміністраторів. Зловмисники часто прикидаються співробітниками для обходу систем захисту, маніпуляції MFA та направляють жертв на підроблені сторінки входу.
Ця група також купує вкрадені дані, використовує заміну SIM-карт і хмарні інструменти для підтримання доступу. Їхні атаки ускладнює виявлення, оскільки зловмисники використовують легальні функції хмарних платформ. Завдяки глибокому розумінню західного бізнесу та англомовним учасникам, SCATTERED SPIDER співпрацює з BlackCat, підвищуючи ефективність їх атак на західні компанії.
EclecticIQ розробив цикл атак для захисників, щоб пояснити процеси проникнення і запуску програм-вимагачів у хмарі, що стає все більш привабливою ціллю для кіберзлочинців.
З 2023 року до 2 кварталу 2024 року аналітики EclecticIQ відстежували атаки на адміністраторів ідентифікації в хмарних середовищах. Вони виявили, що SCATTERED SPIDER активно використовує соціальну інженерію для компрометації облікових записів користувачів у хмарних системах. Далі наведені різні тактики та інструменти, що застосовуються у цих атаках.
Витоки облікових даних є частим шляхом несанкціонованого доступу до хмарних інфраструктур. SCATTERED SPIDER користується випадковими витоками токенів автентифікації з публічних сховищ, таких як GitHub, де дані часто зберігаються в коді. Це дає зловмисникам змогу автоматизовано сканувати та отримувати доступ до хмарних систем.
Встановлено, що SCATTERED SPIDER використовує фішинг для компрометації облікових записів з високими привілеями, таких як адміністратори ІТ-служб і фахівці з кібербезпеки. Ці атаки спрямовані на хмарні платформи, зокрема Microsoft Entra ID та AWS EC2, а також SaaS-платформи, такі як Okta та VMware Workspace ONE, з використанням фішингових сторінок, які імітують портали SSO.
Група також активно застосовує смішинг, надсилаючи зловмисні посилання через SMS, щоб обійти традиційні фільтри електронної пошти та атакувати користувачів на мобільних пристроях. Основними цілями є фінансові та страхові компанії.
Атаки Smishing націлені на адміністраторів ідентифікації, змушуючи їх вводити облікові дані для VMware Workspace ONE – критичної платформи для управління доступом. Жертви отримують SMS із фальшивими посиланнями, які ведуть на фішингові сайти, призначені для викрадення даних для входу та перехоплення одноразових паролів (OTP). Це дозволяє зловмисникам обходити багатофакторну автентифікацію (MFA) та отримувати несанкціонований доступ.
Також було помічено використання на фішингових сторінках підказок, таких як запит ідентифікаційного номера співробітника та імені керівника, для підсилення соціальної інженерії в процесі вішингових дзвінків.
SCATTERED SPIDER використовує домени верхнього рівня .com і .net, перекриваючи законні домени організацій. Часто зустрічаються рядки на кшталт «ServiceNow», «hr», «corp», «dev», «okta», «sso» та «workspace». За оцінками аналітиків, SCATTERED SPIDER змінив свою тактику, перейшовши до реєстратора registrar[.]eu, щоб уникнути виявлення, замість використання звичних ASN, таких як Porkbun і NAMECHEAP.
Також спостерігаєтся продаж токенів автентифікації та облікових даних для хмарних платформ (AWS, Azure, GCP) на підпільних форумах, орієнтованих на російсько- та англомовні аудиторії.
Операції SCATTERED SPIDER використовують такі викрадачі облікових даних, як Stealc, Raccoon Stealer, Vidar Stealer і RedLine Stealer. Ці варіанти зловмисного програмного забезпечення збирають маркери автентифікації хмарних служб, які потім продаються на підпільних форумах, включаючи, але не обмежуючись ними, RussianMarket і XSS. Отримані токени надають зловмисникам безперебійний доступ до хмарних ресурсів, минаючи традиційну автентифікацію.
Stealc infostealer полює на конфігураційні файли та облікові дані AWS і Azure у системах Windows, щоб отримати доступ до хмарних ресурсів. Він також шукає кешовані маркери Azure Active Directory у файлі %LOCALAPPDATA%.IdentityService\msal.cache, дозволяючи зловмисникам обходити процеси автентифікації.
Заміна SIM-карти дозволяє кіберзлочинцям перехоплювати SMS з кодами MFA, отримуючи доступ до SaaS-платформ, таких як Okta і ServiceNow. Після компрометації облікових записів SCATTERED SPIDER націлюється на хмарні інфраструктури, як-от Microsoft Azure або AWS, створюючи віртуальні машини, що залишаються непоміченими через відсутність моніторингу та EDR. Це дозволяє зловмисникам безперешкодно переміщатися по мережах і викрадати дані.
SCATTERED SPIDER використовує хмарні інструменти, такі як консоль адміністрування Azure і фабрика даних, для віддаленого керування та збереження доступу до систем, уникаючи виявлення.
Аналітики виявили підпільний ринок на Telegram, канал HSBC Network, де молоді зловмисники з Великобританії пропонують послуги заміни SIM-карт, що дозволяє здійснювати атаки на високопривілейовані облікові записи.
Припускають, що деякі члени мережі HSBC пов’язані з SCATTERED SPIDER, базуючи це на виявленні осіб, раніше пов’язаних із цією групою, у спільнотах обміну SIM-картами на Telegram. Кіберзлочинці активно використовують чати Telegram і Discord для обміну інструментами та техніками, що покращує їхні навички та можливості.
EclecticIQ також виявили групу Developer-as-a-Service (DaaS) під назвою Telecom Enemies, яку SCATTERED SPIDER ймовірно використовувала для створення інструментів, таких як Gorilla Call Bot, що застосовується для вішингових кампаній через Google Voice.
Telecom Enemies продають послуги наборів для фішингу під назвою Suite’s (All in one) AIO. Аналітики визначили URL-адресу панелі адміністратора інструменту forward-icloud[.]com/admin/dashboard/login, який використовується як спільна платформа між суб’єктами загрози, які купили їхні послуги. Він призначений для доставки фішингових шаблонів для різних сервісів, таких як Coinbase, Gemini, Kraken, Binance, Robinhood, OKX, Trezor, Ledger, Exodus, MetaMask, Trust Wallet, Bitwarden, LastPass, Yahoo!, AOL, Microsoft/MSN, Gmail, та iCloud . Зловмисники використовують інформаційну панель AIO Suite для керування цими фішинговими кампаніями та збору токенів 2FA.
Інструменти та послуги, які пропонує Telecom Enemies, широко рекламувалися на каналах Telegram, зокрема в HSBC Network і Star Chat. Ці канали активно використовуються членами SCATTERED SPIDER, що ще більше розширює охоплення та доступність пропозицій Telecom Enemies у підпільній спільноті.
Група добре інтегрована в підпільні форуми, пропонуючи послуги співпраці та розробки за наймом. Послуги умовного депонування та посередників приймаються для полегшення безпечних транзакцій для учасників загрози.
@tempt Псевдоніми : “tempt”, “t0,” “bAS1C” Спеціалізації : використання веб-додатків та API, зворотне проектування та мережеве проникнення. AT&T, T-Mobile і Verizon особливо активно орієнтуються на операторів і мобільні додатки.
@swordartonline Псевдонім : Спеціалізації «Знання» : використання веб-додатків і API, веб-сканування та тестування проникнення в Інтернет речей.
@someonesomewheresomething Псевдоніми : “PIN,” “u0” Спеціалізації : програмування UEFI/програмного забезпечення, розробка драйверів Linux/NT і розробка шкідливих програм.
@byte_array Псевдонім : “sp0m” Спеціалізації : тестування на проникнення, використання веб-додатків та API.
Після того, як SCATTERED SPIDER отримує доступ до хмарної інфраструктури жертви через інформаційні панелі з підтримкою SSO або Microsoft 365 (M365), вони проводять розвідку для виявлення цінних даних і ресурсів.
SCATTERED SPIDER шукає в інтегрованих програмах у хмарному середовищі, зосереджуючись на різних програмах, включаючи системи управління взаємовідносинами з клієнтами (CRM), платформи керування документами, рішення для зберігання паролів, інструменти управління проектами та сховища коду. Мета полягає в тому, щоб ідентифікувати інформацію, яка може допомогти їм скомпрометувати додаткові облікові записи, підвищити привілеї або переміщатися вбік по мережі, таким чином збільшуючи їхній контроль над системами жертви.
SCATTERED SPIDER активно використовує інструменти з відкритим кодом, такі як AzureAD, ADExplorer, ADRecon і PingCastle, для збору інформації з корпоративного Active Directory (AD). Ці інструменти допомагають зловмисникам створювати знімки баз даних AD, які потім вилучаються для аналізу. Це дозволяє отримати важливі дані про корпоративну інфраструктуру та полегшує подальші атаки.
Інструменти керування паролями: ці інструменти можуть надавати доступ до збережених облікових даних, уможливлюючи подальшу компрометацію систем і облікових записів.
Інформація про мережеву архітектуру: розуміння схеми мережі та віртуальної інфраструктури допомагає зловмисникам націлитися на критичні системи та потенційно уникнути виявлення.
Інфраструктура віртуального робочого столу (VDI) і конфігурації VPN: отримання доступу до цих конфігурацій дозволяє зловмисникам встановити віддалений доступ і підтримувати постійність у мережі.
Рішення для керування привілейованим доступом (PAM): доступ до цих інструментів має вирішальне значення для зловмисників, щоб підвищити свої привілеї всередині організації, дозволяючи їм отримати доступ вищого рівня до конфіденційних систем.
Інформація про персонал: визначення ключових внутрішніх контактів може бути корисним для атак соціальної інженерії або для збору додаткової інформації, яка підтримує подальший компромет.
Крім того, SCATTERED SPIDER шукає інформацію, яка може бути використана для вимагання або для націлювання на сторонні організації, пов’язані з жертвою. Це включає:
Дані третіх осіб: доступ до даних, пов’язаних із клієнтами чи службами третіх сторін, дозволяє зловмисникам поширити свій вплив не лише на початкову жертву, потенційно скомпрометувавши додаткові організації.
Дані, що підтверджують вимагання: така інформація, як поліси страхування кібербезпеки, ідентифікаційна інформація (PII) і фінансові записи, є цінною для визначення вимог щодо викупу або здійснення фінансово мотивованих атак.
Завдяки цьому комплексному процесу розвідки SCATTERED SPIDER позиціонує себе так, щоб максимізувати вплив своїх атак як всередині організації-жертви, так і в будь-яких підключених сторонніх організаціях.
З початку 2024 року було виявлено, що SCATTERED SPIDER використовує функцію синхронізації між клієнтами (CTS) у Microsoft Entra ID (раніше Azure AD). Ця функція, яка синхронізує користувачів і групи для зручного управління кількома орендарями, використовується для отримання доступу до хмарних систем.
Зловживання CTS зазвичай має систематичний підхід, що дозволяє зловмисникам залишати постійний доступ до середовища жертви. Процес зазвичай включає:
Компрометація привілейованого облікового запису: зловмисники спочатку отримують доступ до облікового запису клієнта-жертви з достатніми привілеями для зміни налаштувань між клієнтами. Часто це роль глобального адміністратора або адміністратора безпеки.
Встановлення вхідної синхронізації: скомпрометований обліковий запис налаштовує клієнта-жертви, дозволяючи вхідну синхронізацію від клієнта, контрольованого зловмисником. Це фактично відкриває шлях для надання облікових записів користувачів із клієнта зловмисника до клієнта-жертви.
Надання зловмисних облікових записів: за наявності синхронізації зловмисник може за потреби надавати нові зловмисні облікові записи в жертві. Це забезпечує постійний доступ, навіть якщо початкові облікові записи виявлено та вимкнено.
Бічне переміщення між орендарями: якщо орендар-жертва встановив CTS з іншими орендарями, зловмисник може використати цю установку для переміщення вбік, потенційно скомпрометувавши додаткові середовища.
Зловживання CTS дозволяє зловмисникам поєднувати зловмисні дії з законними операціями, зменшуючи ймовірність виявлення. Синхронізовані облікові записи можна використовувати для виконання ряду зловмисних дій, включаючи викрадання даних і підвищення привілеїв.
Об’єднані постачальники ідентифікаційних даних у клієнтах Microsoft Entra ID та Okta дозволяють організаціям делегувати автентифікацію зовнішнім постачальникам ідентифікаційних даних (IdP), спрощуючи керування доступом до системи. Однак SCATTERED SPIDER зловживає цією функцією, щоб підтримувати постійність і підвищувати привілеї в скомпрометованих середовищах.
Методологія атаки:
Зловживання федеративними постачальниками ідентифікаційної інформації зазвичай передбачає такі дії:
Порушення облікового запису з високим рівнем привілеїв: зловмисники отримують доступ до облікового запису з повноваженнями змінювати налаштування федеративного домену, наприклад глобального адміністратора або адміністратора безпеки.
Створення зловмисного федеративного домену: скомпрометований обліковий запис використовується або для створення нового федеративного домену, або для зміни існуючого, налаштовуючи його на автентифікацію через зловмисний IdP, яким керує зловмисник.
Створення підроблених токенів автентифікації: зловмисник генерує підроблені токени Security Assertion Markup Language (SAML), тактика, відома як «Golden SAML», що дозволяє йому видавати себе за будь-якого користувача в межах клієнта, включно з користувачами з багатофакторною автентифікацією (MFA).
Підтримка постійності: зловмисник керує налаштуваннями федеративного домену, щоб забезпечити постійний доступ. Навіть якщо початковий скомпрометований обліковий запис вимкнено, федеративний домен слугує бекдором, уможливлюючи повторний вхід.
Сприяння бічному переміщенню: використовуючи довірчі відносини та налаштування федерації, зловмисники можуть переміщатися вбік між підключеними орендарями, розширюючи свій охоплення в межах хмарної інфраструктури, отримуючи доступ до конфіденційних даних або додатково збільшуючи привілеї.
Щоб підтримувати контроль над скомпрометованим середовищем, SCATTERED SPIDER використовує різноманітні інструменти віддаленого робочого столу та віддаленого моніторингу та керування (RMM), а також інструменти тунелювання протоколів і проксі. Це дозволяє їм взаємодіяти з хостами в мережі жертви та приховувати свою діяльність.
Інструменти віддаленого робочого столу та RMM : SCATTERED SPIDER розгортає ряд інструментів RMM, включаючи AnyDesk, TeamViewer, RustDesk і MeshCentral. Ці інструменти дозволяють зловмиснику встановлювати віддалені з’єднання з хостами-жертвами, сприяючи боковому переміщенню та постійному контролю.
Інструменти для тунелювання протоколів і проксі : MobaXterm, Ngrok і Proxifier використовуються SCATTERED SPIDER для встановлення з’єднань SSH і створення зворотних проксі. Ці інструменти дозволяють зловмиснику обходити мережевий захист і підтримувати присутність у середовищі жертви, часто використовуючи ці тунелі для безпечного зв’язку зі зламаними системами.
SCATTERED SPIDER використовує методи для уникнення виявлення та відключення заходів безпеки в цільових середовищах. Ці методи обходять засоби захисту підприємства, дозволяючи зловмиснику підтримувати опору та виконувати зловмисні дії з мінімальним втручанням.
Місцеві проксі-сервери : SCATTERED SPIDER використовує локальні проксі-сервери, такі як NSOCKS і Faceless, щоб приховати свою справжню IP-адресу. Ця тактика створює враження, ніби вони входять в облікові записи жертв з того ж географічного регіону, що й законний власник облікового запису, допомагаючи їм уникнути механізмів виявлення, таких як сповіщення про «неможливу подорож».
Використання інструментів захисту потерпілих : скомпрометувавши облікові записи з підтримкою SSO-доступу до інструментів виявлення та реагування на кінцеві точки (EDR), SCATTERED SPIDER отримує можливість вимикати виявлення на скомпрометованих хостах. Зловмисник також використовує функції віддаленої оболонки цих інструментів для розвідки мережі та розгортання інструментів віддаленого керування.
Вимкнення інструментів безпеки : SCATTERED SPIDER часто використовує загальнодоступні сценарії, такі як privacy-script.bat, щоб вимкнути функції Microsoft Defender і змінити параметри брандмауера Windows. Зазвичай це відбувається безпосередньо перед розгортанням програми-вимагача, щоб мінімізувати ризик виявлення.
Створення віртуальних машин : щоб уникнути виявлення та підтримувати постійність, SCATTERED SPIDER створює спеціальні віртуальні машини (ВМ) у хмарних середовищах, таких як AWS, Azure та VMware. Ці віртуальні машини використовуються як некеровані хости в мережі, що дозволяє зловмиснику створювати інструменти та віддалено отримувати доступ до інших мережевих хостів.
Правила транспортування зловмисної пошти : SCATTERED SPIDER налаштовує правила транспортування пошти в клієнтах-жертвах Microsoft 365 (M365), щоб переспрямовувати електронні листи, пов’язані з безпекою, на адреси, контрольовані зловмисниками. Це перешкоджає організації-жертві отримувати сповіщення про підозрілу активність або сповіщення системи безпеки.
Перезавантаження в безпечному режимі : зловмисник перезавантажує системи в безпечний режим за допомогою команди bcdedit, щоб вимкнути або видалити захищені служби, включаючи продукти безпеки. Цей режим дає їм більшу гнучкість для роботи в середовищі жертви без втручання.
SCATTERED SPIDER використовує різні інструменти та методи для отримання несанкціонованого доступу до облікових даних у традиційних середовищах Active Directory (AD) і хмарних системах ідентифікації, як-от Microsoft Entra ID (Azure AD). Цей доступ дозволяє зловмиснику підвищувати привілеї та підтримувати постійність в інфраструктурі жертви.
Експлуатація Cloud Identity : SCATTERED SPIDER використовує сценарії для перерахування та видалення методів багатофакторної автентифікації (MFA) зі зламаних облікових записів у Microsoft Entra ID. Скинувши MFA, зловмисник зменшує ймовірність блокування своєї діяльності за допомогою додаткових заходів автентифікації.
Дамп облікових даних : зловмисник часто використовує такі інструменти, як GoSecretsDump [ 13 ], щоб отримати хеші паролів і ключі Kerberos із контролерів домену. Зазвичай це робиться після створення знімків серверів-жертв у середовищах Azure або VMware, які потім підключаються до комп’ютерів, контрольованих зловмисниками.
Доступ до файлів cookie : щоб підтримувати доступ до хмарних служб, SCATTERED SPIDER використовує розширення браузера, такі як Cookie Quick Manager і EditThisCookie, щоб викрасти файли cookie сеансу, дозволяючи їм автентифікуватися в таких службах, як Microsoft 365 (M365), без необхідності повторного введення облікових даних.
SCATTERED SPIDER використовує різні методи вилучення даних для збору конфіденційної інформації з середовищ жертв, таких як сегмент AWS S3 і дані M365 SharePoint. Зловмисники часто використовують служби віддаленого зберігання та інструменти Extract Transform Load (ETL), щоб полегшити цей процес.
Віддалені служби зберігання : SCATTERED SPIDER часто завантажує та завантажує дані до віддалених служб зберігання, таких як відра S3, BackBlaze та інші хмарні рішення для зберігання. Зловмисник використовує такі інструменти, як S3 Browser, щоб керувати цими операціями, гарантуючи, що великі обсяги даних можуть бути викрадені з мінімальним виявленням.
Інструменти ETL : SCATTERED SPIDER використовує такі інструменти ETL, як AirByte, S3 Browser і Stitch, для синхронізації та вилучення даних із середовища жертви. Ці інструменти часто налаштовуються за допомогою скомпрометованих адрес електронної пошти для створення облікових записів, які полегшують передачу даних із внутрішніх систем, таких як ZenDesk Support і Salesforce, на контрольовані зловмисниками сервери.
Додаткові методи : також було виявлено, що SCATTERED SPIDER використовує скомпрометовані адреси електронної пошти для надсилання даних безпосередньо до облікових записів, контрольованих зловмисниками, завантаження даних жертв у сховища GitHub і використання служб обміну файлами, таких як filedropper[.]com і file[.]io для вилучати конфіденційну інформацію.
SCATTERED SPIDER зосередився на розгортанні програм-вимагачів у хмарних середовищах, в основному націлених на інфраструктуру VMware vSphere ESXi як послугу (IaaS). Їхня тактика розгортання часто автоматизована з використанням налаштованих сценаріїв для ефективного виконання програм-вимагачів.
Націлена на VMware ESXi: SCATTERED SPIDER розгортає двійкові файли програм-вимагачів AlphV на хостах ESXi. Виконання програми-вимагача автоматизовано шляхом передачі певних аргументів і націлювання на IP-адреси, визначені в конфігурації програми-вимагача.
Автоматичне розгортання через Azure : наприкінці 2023 року було помічено, що SCATTERED SPIDER використовує команду Run Azure для виконання сценаріїв оболонки, які розгортають програмне забезпечення-вимагач у клієнті Azure. Ці сценарії були розроблені для зупинки служб безпеки, завантаження виконуваного файлу програми-вимагача з хмарного сховища та виконання його, ефективно шифруючи дані жертви з мінімальним втручанням.
Постійність і контроль : щоб зберегти контроль і забезпечити успішне розгортання програми-вимагача, SCATTERED SPIDER часто змінює паролі адміністратора на гіпервізорах VMware ESXi і може вимикати інструменти безпеки перед запуском програми-вимагача. Це ускладнює відновлення жертви.
Запровадження MFA із підтримкою заміни SIM-карти: примусове використання Microsoft Authenticator зі збігом номерів, видалення SMS як опції перевірки MFA, щоб запобігти атакам із заміною SIM-карти та підвищити безпеку від звичайних TTP, які використовують зловмисники.
Застосовувати політики умовного доступу: застосовувати політики умовного доступу для обмеження доступу до критичних систем. Наприклад, він вимагає MFA для всіх користувачів і особливо для адміністраторів, забезпечуючи стійкі до фішингу типи MFA, такі як Windows Hello для бізнесу.
Багатофакторність для конфіденційних дій: обов’язкові два методи автентифікації для конфіденційних операцій, як-от скидання пароля або зміна MFA, і вимагайте відеоперевірки для підтвердження особи користувача під час таких процесів.
Обмежте дозволи облікових записів: переконайтеся, що обліковим записам користувачів з низьким рівнем привілеїв заборонено змінювати обліковий запис або політики безпеки та використовуйте окремі облікові записи адміністратора, щоб запобігти ескалації привілеїв.
Виявлення підозрілої поведінки: відстежуйте незвичайні шаблони, такі як входи з високим ризиком або зміна запитів на скидання пароля, особливо в неробочий час. Реалізуйте сповіщення про ключові дії, зокрема зміни пароля входу в Windows або неавторизовану реєстрацію пристроїв MFA.
Моніторинг активності в хмарі: відстежуйте й аналізуйте зміни хмарного середовища, наприклад модифікації брандмауера, високий вихідний трафік або незвичайну кількість викликів API, які можуть вказувати на змагальні рухи або перерахування служб.
Захищені канали зв’язку: у підозрюваних сценаріях компрометації використовуйте позасмугові канали зв’язку для критичних обмінів. Застосуйте відеодзвінки з підтвердженням особи як стандарт для операцій служби підтримки, зокрема для запитів на скидання пароля або MFA.
Обмеження доступу: вимкніть доступ SSH до хостів VMware ESXi, увімкніть режим блокування та сегментуйте інтерфейси керування ESXi, щоб мінімізувати ризики несанкціонованого доступу. Обмежте адміністративні ролі хмари за допомогою політик умовного доступу, які забезпечують безпечні методи входу та відповідність пристроїв.
Аудит і контроль: регулярно перевіряйте доменні та локальні облікові записи, зосереджуючись на виявленні та обмеженні облікових даних привілейованого облікового запису, які можуть бути використані зловмисниками.
Відстежуйте зміни в хмарі: постійно стежте за створенням нових віртуальних машин, змінами правил брандмауера та великими обсягами вихідного трафіку. Встановіть сповіщення про аномалії, які можуть сигналізувати про порушення або атаку, що триває, наприклад, перерахування адміністративних облікових записів.
Захист резервних копій: відстежуйте будь-які видалення знімків і налаштовуйте сповіщення, щоб ідентифікувати та реагувати на потенційні дії програм-вимагачів, спрямовані на видалення резервних копій для максимального збитку.
Обмежте доступ до мережі: обмежте широкий вхідний/вихідний доступ до Інтернету гіпервізорами, контролерами домену та іншими критично важливими системами. Використовуйте політики умовного доступу, щоб обмежити адміністративний доступ на основі надійних мережевих розташувань і сумісності пристрою.
Безпечні віддалені служби: вимкніть непотрібні віддалені служби та забезпечте централізований доступ через безпечні проксі-сервери, шлюзи або системи керованого віддаленого доступу, такі як VPN.
Увімкніть і відстежуйте ведення журналів: переконайтеся, що ведення журналів увімкнено для критично важливих рішень для сховищ даних і відстежуйте високий вихідний трафік, який може свідчити про спроби зловмисників викрасти дані.
Застосуйте локальне виселення: у випадках підозри на компрометацію дотримуйтеся структурованого процесу відновлення, включаючи відновлення лісу Active Directory, масове скидання паролів і ретельний перегляд списків контролю доступу (ACL), щоб усунути опори противника.
Регулярно перевіряйте домени, які перешкоджають тиражу, як-от законні домени вашої організації, особливо ті, що націлені на ваше хмарне середовище. Завчасно захищайте ці домени, щоб запобігти фішинговим атакам і тактиці соціальної інженерії.
Примусове затвердження процесів: вимагайте схвалення кількох користувачів для конфіденційних ролей, таких як глобальний адміністратор. Постійно відстежуйте створення нових привілейованих користувачів або зміни факторів автентифікації, щоб запобігти несанкціонованому підвищенню привілеїв.
Аудит партнерського додавання доступу між клієнтами: відстеження несанкціонованих або підозрілих змін налаштувань доступу клієнта в Azure AD шляхом відстеження операції, користувача-ініціатора та залучених орендарів.
Виявлення зловживань федеративними обліковими даними керованої ідентифікації: використовуйте AzureActivity або подібні журнали, щоб виявити, коли федеративні облікові дані додано до керованої ідентифікації. Шукайте операції, які вказують на створення цих облікових даних, і потенційно співвіднесіть ці події з відомими надійними джерелами чи об’єктами.
Запит на виявлення програмного забезпечення RMM : використовуйте журнали DeviceProcessEvents для виявлення процесів, пов’язаних із програмним забезпеченням віддаленого моніторингу та керування (RMM). Цей запит фільтрує події протягом визначеного періоду часу, зосереджуючись на процесах відомих постачальників програмного забезпечення RMM. Він виключає дії з пристроїв із попередньо визначеного списку виключень, а потім сортує результати за міткою часу, що дає змогу швидко ідентифікувати та досліджувати потенційно неавторизоване використання програмного забезпечення RMM.
