Create: Update:
Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов
В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний"— проекта фонда "Сайберус".
Если вы еще не видели эфир — горячо рекомендуем посмотреть! Узнайте, какие рекомендации по реагированию дали эксперты:
А для тех, у кого мало времени, мы подготовили краткую выжимку.
📝 Напомним вводные
• Атака на компанию по производству автомобильных колес с выручкой несколько миллиардов рублей в год.
• Главная цель атаки — остановка производства через компрометацию ERP-системы на базе 1c-ERP.
• В компании:
— Только антивирус в качестве ИБ-защиты.
— Отсутствует служба ИБ.
— ИТ-специалисты умеют базово реагировать на инциденты.
— Используется Битрикс24, ERP и OWA-почта на периметре.
Первая точка входа:
• Хакеры нашли открытый .git-репозиторий с валидными логинами/паролями на одном из поддоменов.
• Получили доступ к продовому Битриксу → загрузили web-shell.
Ошибка компании:
• Заметили массовые входы в Битрикс, но не провели аудит учеток.
• Не нашли первоисточник компрометации (утечку из .git).
Фишинговая атака:
• Внутренняя рассылка с фейкового почтового ящика social@, просьба передать доступы к ERP/RDP.
• Сотрудники не передали данные, так как знали, что от этой учетки ничего приходить не должно.
Позднее обнаружение тестовых копий Битрикса:
• Затем на тестовом сервере Битрикса также был найден доступ, и он оказался уязвимым.
• Оттуда хакеры получили журналы входов пользователей с логинами/паролями.
Доступ к почте и документации:
• Через одну из компрометированных учеток хакеры получили внутреннюю инструкцию подключения к RDP.
• Узнали об открытом RDP-сервере, ранее незаметном через OSINT.
Повышение привилегий:
• С помощью дампа AD злоумышленники получили список доменных пользователей и их привилегий.
• Из дампа тестового Битрикса выбрали учетку IT-отдела с расширенными правами и повторно подключились.
Поиск чувствительной информации:
• От лица привилегированной учетки просканировали файловые шары терминального сервера.
• В папке IT-отдела нашли .xlsx-файл с сервисными учетками, включая логин/пароль локального администратора.
Отключение защиты и захват хэшей:
• Используя учетку локального администратора, остановили антивирус.
• Запустили Mimikatz, вытащили хэш доменного администратора.
Доступ к 1С:ERP и реализация цели:
• Через Pass-the-Hash подключились к серверу 1С-ERP.
• Добавили нового пользователя с правами локального администратора.
• Система с критичной базой данных была полностью скомпрометирована.
НС реализовано!
— Отсутствие сегментации (прод и тест общие логины).
— Отсутствие инвентаризации и мониторинга инфраструктуры.
— Не были изолированы тестовые системы.
— Открытые ресурсы (RDP, git-репозиторий).
— Недостаточный уровень user awareness, но в критический момент сотрудники сработали правильно.
— Стоимость полноценной ИБ в SME-сегменте чрезмерно высока (до 10% от выручки).
— Многие компании не могут позволить себе даже базовые меры ИБ.
— Нужно внедрять гибридные подходы: консультанты, opensource-инструменты.
— Security Awareness — ключевая мера на раннем этапе.
— Не обязательно иметь дорогие решения — правильная архитектура важнее бюджета.
Разбор следующего кейса в ток-шоу "Безопасная среда" пройдет уже в эту среду! Читайте подробности и обязательно присоединяйтесь
