szukaj

05.11.2020 | 06:53

avatar

redakcja

Włamanie, wyciek i szantaż – czyli śledztwo w korpoświecie

A zapowiadał się taki spokojny dzień… Jeszcze 2 minuty temu kalendarz Mateusza był prawie idealny – dwa zoomy po godzinie każdy, spotkanie działowe i konsultacje jakiegoś dziwnego pomysłu działu marketingu. Miało być naprawdę miło.

W dni takie jak ten można było nadgonić prawdziwą pracę, zjeść normalny obiad i znaleźć chwilkę na partyjkę Quake’a z kolegami. Zbyt piękne, by mogło być prawdziwe, o czym przekonało go zaproszenie na spotkanie, które chwilę temu wpadło do skrzynki. Sam na sam z dyrektorem działu prawnego – to pachniało kolejnym firmowym śledztwem.

Niestety nie mylił się. Sprawa oczywiście była super poufna, zresztą z inną by się do niego nie zwracali. Tylko on i jego zastępca, Mariusz, mogli przeszukiwać wszystkie dyski w całym banku i monitorować zachowanie wszystkich komputerów. Długo walczyli o te uprawnienia – a teraz czasem przeklinali, że się udało. Czas jednak było zabrać się do pracy, a szykował się dłuższy projekt. Jakiś tajemniczy napastnik wysłał do członków zarządu linka prowadzącego do strony, na której po podaniu odpowiedniego hasła, także zawartego w wiadomości (i będącego obraźliwym epitetem w stosunku do prezesa), można było zobaczyć plan przejęcia konkurencyjnego banku. Co gorsza, plan był prawdziwy, a posiadało go w całej firmie może 10 osób…

Nadawca wiadomości nie pozostawiał wątpliwości. Kwota okupu była okrągła, termin krótki, a ton zdecydowany. Zadaniem Mateusza miało być ustalenie, w jaki sposób dokument trafił w ręce szantażysty. Poprosił o kopię dokumentu i listę osób, które mogły posiadać go na swoich komputerach. Gdy tylko otrzymał jedno i drugie, odpalił swoją ulubioną zabawkę – EnCase Endpoint Investigatora – i kazał szukać pliku na wszystkich bankowych komputerach.

Pierwsze wyniki pojawiły się po kilku minutach, lecz Mateusz wiedział, że na komplet przyjdzie mu poczekać dużo dłużej. Prawie wszyscy pracowali z domów i nie zawsze mieli włączone komputery. Na szczęście agent programu bez problemu kolejkował zapytania i wykonywał je, gdy tylko stacje podpinały się do firmowej sieci. Powoli na liście pojawiały się kolejne stacje, ale jak do tej pory wszyscy użytkownicy znajdowali się także na liście osób, które miały autoryzowany kontakt z dokumentem.
Nie czekając na zakończenie wyszukiwania, Mateusz zabrał się do analizy komputerów. To zadanie nie przerażało go z dwóch powodów. Po pierwsze, stacji nie było wiele – spodziewał się, że ich liczba nie przekroczy 10 sztuk. Po drugie, cieszył się, że nie musi ruszać w tournée po całej Polsce, by namierzać dyrektorów i zbierać kopie dysków i zrzuty pamięci, jak robił to w poprzedniej firmie. Nie mógł zabrać ludziom komputerów – na liście były same VIP-y, które by tego nie zdzierżyły, ale na szczęście dzięki agentom EnCase na stacjach mógł je zdalnie zdiagnozować i wyciągnąć z nich potrzebne informacje.

Zaczął od analiz list aktywnych procesów i historii połączeń do nietypowych adresów IP. Konsola EnCase Endpoint Security dzięki telemetrii pomogła szybko sprawdzić, jakie zmiany w działaniu stacji wystąpiły w ostatnich kilku tygodniach. Szczególnie interesowały go procesy, które pierwszy raz pojawiły się w ciągu ostatnich 30 dni. Miał nadzieję, że natrafi na chociażby najmniejszy ślad złośliwego oprogramowania, który pomoże ustalić sposób wykradzenia dokumentu. Choć trafił na kilka podejrzanych procesów, ostatecznie kilka godzin analiz zrzutów pamięci nie potwierdziło podejrzeń – były to aplikacje takie jak radia internetowe czy programy edukacyjne dla dzieci, na których instalację na komputerach VIP-ów wyraził kiedyś zgodę dział IT.

Dwa dni zajęło mu dokładne przejrzenie 9 stacji, które ostatecznie zaraportowały, że na ich dyskach znaleziono poszukiwany plik. Rzadko brak złośliwego oprogramowania na badanych stacjach był dla Mateusza złą wiadomością – ale tak było tym razem, bo oznaczało to więcej pracy. Sprawdził historię otwierania feralnego pliku po kolei na każdym komputerze, poszukał go w poczcie użytkowników i na dyskach sieciowych – bez rezultatów.

Był już bliski zgłoszenia przełożonym porażki, gdy dyrektor działu prawnego poprosił go o pilne spotkanie. Okazało się, że członkowie zarządu otrzymali kolejną wiadomość od szantażysty. Tym razem zawierała ona listę 50 klientów indywidualnych banku z największymi saldami na rachunkach. Szantażysta naprawdę miał dobre źródła informacji.
Mateusz otrzymał kopię pliku i wysłał kolejne zadanie za pomocą Encase Endpoint Investigatora. Tym razem jednak, oprócz wyszukiwania konkretnego pliku, zapytał także o pliki podobne. Rzadko korzystał z tej funkcji, ale coś go tknęło, że warto jednak spróbować. Godzinę później aż podskoczył z wrażenia, gdy system zaraportował trafienie na komputerze jednego z administratorów systemów. Co prawda, nie było to trafienie idealne, ale plik o dużym stopniu podobieństwa leżał w systemowym koszu. Mateusz zlecił wykonanie pełnego obraz komputera wraz ze zrzutem pamięci. Na szczęście maszyna stała na szybkim łączu, bo już kilka godzin później miał kilkanaście gigabajtów danych do analizy na swoim desktopie.
Zmodyfikowany plik był dość podobny do oryginału – zawierał jednak więcej kolumn niż ten, który trafił do skrzynek zarządu. To był dobry trop, sugerujący, że odkryty plik mógł być źródłem pliku poszukiwanego. Co więcej, w koszu Mateusz znalazł także inne poufne dane bankowe, które nie powinny znajdować się na komputerze administratora. Dopiero analiza pamięci i uruchomionych procesów pozwoliła pójść krok dalej w zlokalizowaniu źródła wycieku – drobna anomalia przyciągnęła uwagę Mateusza.

Zidentyfikowany przez niego koń trojański, wstrzyknięty do systemowych procesów i niezostawiający śladów na dysku ofiary, trafił do analizy do Mariusza, który lepiej czuł się w inżynierii wstecznej. Okazało się, że to trochę zmodyfikowana wersja jednego z narzędzi dostępnych publicznie. Modyfikacja dotyczyła komunikacji z serwerem C&C – wersja, na którą natrafili, odzywała się do centrali zaledwie raz na dobę, a do komunikacji używała zapytań DNS. Pozostało jeszcze sprawdzić logi serwera DNS, by ustalić, kiedy doszło do infekcji i zweryfikować, czy zakażone są także inne stacje. Stacja administratora została odizolowana.

Na szczęście okazało się, że włamywacz za swój cel obrał wyłącznie komputer administratora. Pierwotnym wektorem ataku był dobrze przygotowany kilkuetapowy phishing z atrakcyjną ofertą pracy i zadaniem rekrutacyjnym wymagającym uruchomienia zaciemnionego skryptu w PowerShellu. Niestety administrator skrypt uruchomił na koncie z wysokimi uprawnieniami, więc ułatwił zadanie napastnikom. Korzystając z jego konta, dostali się do zasobów sieciowych serwera zarządu i wykradli kilkadziesiąt poufnych plików, którymi następnie szantażowali kierownictwo banku.

Mateusz nigdy nie dowiedział się, jak sprawa się zakończyła. Sporządził raport, w którym opisał wszystkie swoje ustalenia i przekazał dyrektorowi działu prawnego. Wiedział jedynie, że do upublicznienia wykradzionych informacji nie doszło – takie wydarzenie na pewno nie przeszłoby w firmie bez echa. Wiedział także, że gdyby nie narzędzia EnCase, całe śledztwo mogło mu zająć kilka tygodni zamiast dni i mógł już nie natrafić na ślady przestępcy.

Mateusz się nie dowiedział, ale my wiemy. Już 24.11 podczas webinaru Adam przedstawi kilka ciekawych historii włamań, a potem opowie więcej o przestępstwach w dużych organizacjach i dlaczego korporacyjna informatyka śledcza przeżywa swój renesans w dzisiejszych czasach pracy zdalnej, które jak nigdy sprzyjają przestępcom. Zapraszamy do rejestracji – udział jest darmowy.

Powyższa historia wydarzyła się naprawdę – choć niektóre szczegóły zostały zmodyfikowane w celu ukrycia tożsamości firmy, której dotyczyła. Za jej opisanie, opublikowanie oraz poprowadzenie webinaru otrzymujemy wynagrodzenie.

Powrót

Komentarze

  • avatar
    2020.11.05 07:51 nn

    O, i takie reklamy mogę czytać! :)

    Odpowiedz
  • avatar
    2020.11.05 09:16 Obserwator

    Kiepska ta historyjka.

    Administrator otwiera maila na koncie z wysokimi uprawnieniami?
    Nie musi, Windows umieszcza w swoich systemach „wyłącznie przypadkowo” tyle dróg do eskalacji uprawnień, że wystarczy dowolne konto w systemie.

    Dlatego ja bym przypilnował żeby żaden administrator nie miał w ogóle Windowsa w kompie, tylko RH, innego (porządnie skonfigurowanego) Linuxa albo OpenBSD.
    I niech wtedy sobie fachowcy od powershella hakują długo
    i szczęśliwie, zwłaszcza mailami. xD

    Administrator używający Windowsa w robocie powinien się z nią pożegnać bez nieuzasadnionej zwłoki. :P

    Pozdro
    :P

    Odpowiedz
    • avatar
      2020.11.05 09:42 Paweł

      „Administrator używający Windowsa w robocie powinien się z nią pożegnać bez nieuzasadnionej zwłoki. :P” – także ci administrujący Windowsami? W niektórych firmach używa się desktopów z Windows 7/10, a także Windows Server. Każde oprogramowanie ma swoje wady i zalety. Owszem, w różnych proporcjach. Rolą admina jest o tym wiedzieć i odpowiednio skonfigurować swoje środowisko pracy, a nie „żegnać się bez zbędnej zwłoki”.

      Odpowiedz
      • avatar
        2020.11.09 08:06 John Sharkrat

        Admin używająca windowsa jako podstawowego systemu jest po prostu cienki.

        Odpowiedz
    • avatar
      2020.11.05 09:58 Jerzy

      To jaka wersja Linux-a pozwala konfigurować Windows Active Directory i zarządzać Domain Policies?

      Odpowiedz
      • avatar
        2020.11.05 17:25 Mało wiesz

        Każda wersja linux pozwala połączyć stacje do AD i nią zarządzać.

        Odpowiedz
        • avatar
          2020.11.05 21:59 Duży Pies

          To prawda że wystarczy Samba na Linuksie i można zarządzać Active Directory. Tylko że w tej chwili Active Directory występuje też w wersji dla Azure, nie wiem czy GNU/Linuxy to też obejmują.

          Odpowiedz
    • avatar
      2020.11.05 10:11 wojtek

      Chyba gosciu dawno Windowsa nie miales. W XP tak bylo, ale MSFT poszedl troche do przodu od tego czasu.

      Odpowiedz
    • avatar
      2020.11.05 10:16 Cezary

      „Administrator używający Windowsa w robocie powinien się z nią pożegnać bez nieuzasadnionej zwłoki” – fajnie bajka, szczególnie jak się administruję usługami Active Directory

      Odpowiedz
      • avatar
        2020.11.09 08:09 John Sharkrat

        No tak, a zarządzanie Active Directory przypomina według ciebie 10 godzinny dzień pracy w kopalni w 1850 roku?

        Odpowiedz
    • avatar
      2020.11.05 10:23 zdziwiony

      @Obserwator – Kolega tak serio czy może z Kraśnika?
      Zgadzam się z @nn – mimo, że tekst sponsorowany, to dobrze się czyta.

      Odpowiedz
    • avatar
      2020.11.05 13:18 Krzysiek

      Proponuje równierz zeby zakazac uzywania telefonow kom bo wiadomo android itd.. w zamian poczta,telegraf, gołąb lub latarka z systemem luster miedzy działami i alfabet morsa…. puknij sie w glowe.

      Odpowiedz
  • avatar
    2020.11.05 09:55 Chs

    Admin powinien z pracy wylecieć za to rozwiazywanie zadania rekrutacyjnego na służbowym kompie i do tego z uprawnieniami

    Odpowiedz
    • avatar
      2020.11.05 18:23 asdsad

      Ale zakupy na Allegro można robić na służbowym?

      Odpowiedz
      • avatar
        2020.11.09 08:10 John Sharkrat

        A nie można?

        Odpowiedz
    • avatar
      2020.11.10 12:11 Euzebiusz

      A wiesz dlaczego musiał robić na firmowym? Bo tam dostał ofertę. Gdyby chciał ją wysłać do domu mailem – zaraz przyczepiłby się administrator d/s czytania wychodzących maili z banku.

      Powinniście jeszcze na końcu dodać puentę,  że namierzonym Administratorem był Mateusz, a plik do kosza podrzucił mu zainstalowany malware.

      Historyjki powinniście publikować po przedyskutowaniu z ludźmi którzy faktycznie pracują dla banków, dopiero wtedy wyszłoby ile problemów bezpieczeństwa jest spowodowanych „odpowienimi” politykami i procedurami.

      Odpowiedz
  • avatar
    2020.11.05 10:45 Vegeta_Ssj

    „Dlatego ja bym przypilnował żeby żaden administrator nie miał w ogóle Windowsa w kompie, tylko RH, innego (porządnie skonfigurowanego) Linuxa albo OpenBSD.
    I niech wtedy sobie fachowcy od powershella hakują długo”

    Zludne poczucie bezpieczenstwa ktorym kierujesz sie piszac takie zdania narazi cie na jeszcze wieksze ryzyko niz chlodna glowa przy desktopie od Microsoftu. Kolega Adama- Borys Lacki, pokazywal bardzo fajny atak na Ubuntu. Linux sam w sobie cie nie uchroni, bo odpowiednio zmotywowany atakujacy bedzie wiedzial z czego korzystasz i odpowiednio sie do tego przygotuje. Nie zapominaj tez, ze inzynierii spolecznej obojetne z czego korzystasz.

    Odpowiedz
    • avatar
      2020.11.05 13:57 HAHA

      „Linux sam w sobie cie nie uchroni, bo odpowiednio zmotywowany atakujacy bedzie wiedzial z czego korzystasz i odpowiednio sie do tego przygotuje.”
      chyba że przygotuje się na Windowsa 10 bo nie wie że Tor Browser daje każdemu taki useragent

      Odpowiedz
    • avatar
      2020.11.09 08:14 John Sharkrat

      Powinieneś jeszcze napisać, że admin może być „wczorajszy” i córeczka mu choruje, a w drodze do pracy miał kolizję prywatnym samochodem, bo służbowy nie odpalił.
      99,9999999% ataków jest losowych, bo dają największy zysk i zajmują najmniej czasu.

      Odpowiedz
    • avatar
      2020.11.28 19:11 Obserwator

      „Zludne poczucie bezpieczenstwa ktorym kierujesz sie piszac takie zdania narazi cie na jeszcze wieksze ryzyko niz chlodna glowa przy desktopie od Microsoftu. Kolega Adama- Borys Lacki, pokazywal bardzo fajny atak na Ubuntu. Linux sam w sobie cie nie uchroni, bo odpowiednio zmotywowany atakujacy bedzie wiedzial z czego korzystasz i odpowiednio sie do tego przygotuje. Nie zapominaj tez, ze inzynierii spolecznej obojetne z czego korzystasz.”

      System operacyjny jest tylko tak bezpieczny, jak jego administrator jest kumaty i w jakim stopniu czai bazę.

      Może sobie być dziurawe i spartolone Ubuntu, ale też może być pancernie skonfigurowane Ubuntu.

      W każdym razie w Linuxie nie pakują mechanizmów kompatybilności, żeby wirusy z Windows 95 działały na ring0, jak to miało miejsce między innymi w Windows 7.

      W Linuxie też się otwiera automatycznie krytyczna dziura poprzez plik konfiguratycyjny /etc/skel/.profile, ale można ją załatać w 3 minuty bez jakichś kosmicznych antywirusów.

      Pozdro

      Odpowiedz
  • avatar
    2020.11.05 15:04 Vegeta_Ssj

    „chyba że przygotuje się na Windowsa 10 bo nie wie że Tor Browser daje każdemu taki useragent”

    User agent tor browsera jest bardzo specyficzny. Porownaj sobie user agenta zwyklego firefoxa pod win10 i user agenta tor browsera. W przypadku tor browsera nie ustalisz po user agencie systemu ale z cala pewnoscia ustalisz, ze jest to tor browser. Potem z pomoca przyjdza java script ;) Wiem wiem, wy zawsze na no scriptcie, ale praktyka pokazuje co innego to raz a dwa, ze pragne przypomniec ze zupelnie niedawno tryb „dla foliarzy” w tor browser wykonywal kod w js wiec poczucie bezpiecznestwa to najwieksza zguba xD Zawsze jest jakis spsosob, zebys kliknal. Aha- nie spotkalem korpo z tor browserem xD

    Odpowiedz
    • avatar
      2020.11.05 22:58 beef

      „W przypadku tor browsera nie ustalisz po user agencie systemu ale z cala pewnoscia ustalisz, ze jest to tor browser.”
      gdybyś to wiedział parę miesięcy temu to może by się udało namierzyć tych Rosjan z Windowsem 10

      Odpowiedz
  • avatar
    2020.11.05 15:47 jajok

    I to jest bardzo ciekawa sprawa, tzn. Pracownik ktory jest oskrazany o cos vs. korporacja ktora oskarza i ma jakies dowody.

    To rodzi szerego pytan jak takie sytuacje sie rozgrywaja. A gdyby Mateusz nie sprawdzil, ze Admin ma trojana tylko w notatce napisal „to ten gosciu to zrobil!”. Wtedy paluch jest pokazany wylacznie na Admina i mozna go ciagac, wiele wiec (moze zbyt wiele) zalezy od checi drazenia tematu przez poszukujacego.
    Kolejna sprawa sa logi. Jezeli infrastruktura zostala zinfiltrowana to skad wiadmomo, ze w ogole na logach mozna polegac? Bo w jednych logach nic nie ma, ze cos sie dzialo z innymi logami?
    Takie logi to sobie tez mozna wygenerowac samemu. A co jezeli to bedzie mistyfikacja, zeby sie kogos pozbyc z firmy bo jest niewygodny?

    To sa ciekawe sprawy.

    Odpowiedz
  • avatar
    2020.11.05 17:38 jajok

    Nalezy tez zwrocic uwage na to jakie mozliwosci obrony ma taki Admin. Wywalaja go z pracy, ida do sadu i cos twierdza. On dostepu do niczego nie ma, oni moga twierdzic rzeczy dowolne… Asymetria ogromna.

    Odpowiedz
    • avatar
      2020.11.05 22:04 Duży Pies

      „ida do sadu i cos twierdza”
      Raz że bzdura, dwa że literówki (niechlujnie napisane).
      Sąd bez opinii biegłego w takiej sprawie nic nie zrobi.
      Nie ma czegoś takiego że „ktoś coś twierdzi”, jak sobie wymyśliłeś.

      Odpowiedz
      • avatar
        2020.11.06 11:37 jajok

        Nie rzucaj sie, tylko wyjasnij jesli wiesz lepiej. Opisz prosze jak to dziala, chetnie sie dowiem na przyklad czy biegly przeprowadza jakies swoje analizy i w jakim stopniu. Firma mu wtedy daje dostep do wszystkich swoich systemow i on tam moze sprawdzac, czy dostaje tylko zrzutki z logow i musi okreslic „prawdopodobne”, „nieprawdopodobne”?

        Odpowiedz
      • avatar
        2020.11.10 12:16 Euzebiusz

        > Nie ma czegoś takiego że „ktoś coś twierdzi”, jak sobie wymyśliłeś.

        mam wrażenie że jako „Pies” nigdy nie byłeś w sądzie a nawet nie spotkałeś się z protokołem z rozprawy, gdzie standardowo pisze się: „świadek zeznał” albo „sąd nie dał wiary świadkowi”

        Swoją drogą opinie biegłych to też temat rzeka, wielu specjalistów wybucha gromkim śmiechem jak zapoznaje się z tymi „niepodważalnymi dowodami”, no ale specjalista zarabia więcej niż marszałek sejmu lub minister, a biegły ….

        Odpowiedz
  • avatar
    2020.11.05 18:00 lol

    Ja rozumiem, że artykuł sponsorowany, ale czym się ten produkt różni od któregokolwiek z EPP/EDR? Jedyna opcja jaka jest dla mnie nowością to szukanie „podobnych plików” (zgaduje, że leci to po ssdeep).

    Odpowiedz
    • avatar
      2020.11.06 00:40 Lol2lol

      Może niczym ale ten producent sponsoruje?

      Odpowiedz
  • avatar
    2020.11.06 20:34 cyklop

    > dzięki agentom EnCase na stacjach mógł je zdalnie zdiagnozować i wyciągnąć z nich potrzebne informacje

    Czyli cała operacja oparta jest na użyciu uprzednio zainstalowego na komputerach „VIP”-ów oprogramowania, które robi analizę powłamaniową i wysyła do admina?
    Krótko mówiąc: admin zdalnie kontroluje komputery ludzi zatrudnionych w firmie.
    Dobrze rozumiem?

    Odpowiedz
    • avatar
      2020.11.10 12:27 Euzebiusz

      Tak, to jest ważne w banku bo przy takim postępowaniu nie są w stanie zapobiegać incydentom, tylko zwalać winę na pracowników że nie zachowali ostrożności – za wszystko ponoszą winę pracownicy, którzy nie zachowali procedur, nie włamywacz i nie bank.

      Dlatego nic dziwnego że przy takim ryzyku związanym z pracą w banku – jego admin wolałby takie same pieniądze z pracy zarabiać w startupie, ryzyko żadne, problemy mniejsze a kasa taka sama.

      Odpowiedz
  • avatar
    2020.11.08 23:37 m

    Banki i przejęcia kasy. Trafił swój na swego.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Włamanie, wyciek i szantaż – czyli śledztwo w korpoświecie

Komentarze