Зловмисники та інструменти віддаленого доступу

Інструменти віддаленого керування системою/доступу до робочого столу, такі як AnyDesk, набули популярності з 2020 року. Незважаючи на те, що існує багато законних застосувань цього програмного забезпечення, зловмисники також знаходять способи використовувати його для командування та контролю у своїх кампаніях.

Немає простого способу ефективно заблокувати всі неавторизовані інструменти віддаленого керування, але безпеку можна значно покращити за допомогою поєднання правил і технічних засобів контролю.

Сповіщення про раннє попередження можна налаштувати, щоб сповістити захисників про дії програмного забезпечення для віддаленого керування, які могли обійти технічні засоби контролю.

Проблема програмного забезпечення віддаленого керування/доступу

З 2020 року використання інструментів віддаленого керування системою/доступу, таких як AnyDesk, стало популярним через вимушену роботу з дому під час пандемії COVID-19.

Ці інструменти відіграють важливу роль у цифрових функціях більшості корпорацій, незалежно від того, чи використовуються вони фахівцями служби підтримки ІТ для лагодження віддаленої системи користувача чи колегами для спільної роботи. Однак ця зручність має свою ціну. Ці інструменти надають зловмиснику можливість отримати повний дистанційний контроль над системою, їх легко завантажити та встановити, і їх дуже важко виявити, оскільки вони вважаються законним програмним забезпеченням.

Ще більше ускладнюючи завдання розпізнавання зловмисного використання цих інструментів, багато організацій намагаються боротися з «тіньовими ІТ», у яких окремі користувачі або надто проактивний ІТ-персонал можуть встановлювати неавторизовані інструменти віддаленого керування для досягнення доброї мети.

Незважаючи на те, що AnyDesk є законною програмою, вона підкреслює величезну цінність, яку можна отримати завдяки програмі безпеки, яка навмисно зосереджена на запобіганні несанкціонованому використанню цих інструментів. Потрібно зазначити, що будь-який інструмент віддаленого керування піддається ризику експлойтів. Існує кілька змін політики, технічних заходів протидії та сповіщень безпеки, які адміністратори та захисники можуть використовувати, щоб переконатися, що AnyDesk і подібне програмне забезпечення використовуються лише в законних цілях після розгортання.

Якщо можливо, інтеграція з іншими організаційними технологіями, такими як Active Directory або багатофакторна автентифікація (MFA), забезпечить додаткові рівні захисту та перевірки. Пов’язування схвалених рішень віддаленого керування з цими вже структурованими рішеннями безпеки може спростити створення «раннього попередження» про виявлення та попередження про неавторизоване підключення та використання.

Після того, як рішення про використання AnyDesk буде схвалено та підтримано організацією, інші інструменти віддаленого керування/доступу мають бути прямо заборонені політикою. В ідеалі це має супроводжуватися аудитом інвентаризації програмного забезпечення та опублікованими інструкціями щодо схваленого/не схваленого програмного забезпечення для організації. Навчання та послідовне дотримання цієї політики допоможе зменшити шум «тіньових ІТ» у середовищі та дасть захисникам мережі більше часу для дослідження справжніх аномалій.

Технічні засоби контролю

Хоча це дуже корисно, запобігти несанкціонованому використанню цих інструментів непросто. По-перше, десятки комерційно доступних інструментів віддаленого доступу ускладнюють вирішення кожного варіанту, який може використати противник. Багато з цих інструментів часто оновлюються, а це означає, що блокування виконуваних файлів за їх хеш-значенням не є таким ефективним.

Зловмисники також часто перейменовують виконувані файли, що означає, що блоки імен файлів також не будуть корисними.

Багато популярних рішень працюють через звичайні порти та протоколи, такі як порти 80 і 443, що ускладнює їх блокування на брандмауері, а розробники інструментів віддаленого доступу часто відмовляються публікувати IP-адреси своїх центральних серверів через часту зміну дозволів, що обмежує ефективність блоків статичних IP-адрес. Комбінація підходів і методів необхідна, щоб обмежити можливість зловмисника використовувати віддалений доступ/інструменти керування в будь-якому заданому середовищі.

• КОНТРОЛЬ БЕЗПЕКИ DNS

Одним із найефективніших методів виявлення, а іноді й блокування діяльності несанкціонованого програмного забезпечення для віддаленого керування/доступу є перевірка та блокування DNS-запитів, пов’язаних із цими інструментами.

Як і з усіма технічними засобами контролю, є кілька обмежень. Перше важливе застереження полягає в тому, що це працює, лише якщо DNS-запити оцінюються вашим стеком безпеки. У випадку трафіку DNS від системи домашнього користувача, який не переміщується через корпоративну мережу, активність буде невидимою. Друге важливе застереження полягає в тому, що деяке програмне забезпечення для віддаленого керування має можливості прямого однорангового зв’язку, тобто програмне забезпечення може не надсилати DNS-запит до легко ідентифікованого домену під час встановлення з’єднання.

• ЕЛЕМЕНТИ КЕРУВАННЯ БРАНДМАУЕРОМ

Незважаючи на меншу масштабованість і надійність, базове блокування IP-адрес може бути корисним для запобігання несанкціонованим віддаленим програмним підключенням. Деякі постачальники перераховують статичні IP-адреси своїх центральних серверів на своїх сайтах підтримки, які можна використовувати для контролю цього доступу. Однак IP-адреси багатьох постачальників періодично змінюються, що робить завдання дещо складним.

Інший потенційно плідний підхід до блокування трафіку брандмауером – номер порту. Хоча блокування порту не зупинить з’єднання, належним чином налаштоване сповіщення надасть захисникам раннє попередження про те, що якесь стороннє ПЗ намагається з’єднатися.

Деякі брандмауери також надають додаткові функції щодо вмісту сеансу. Брандмауери, такі як Meraki від Cisco, надають список дозволених/блокованих URL-адрес, який можна налаштувати, щоб запобігти підключенню до несанкціонованих сайтів програмного забезпечення для віддаленого керування. Cisco Meraki може надати параметри фільтрації вмісту, які можуть бути корисними для блокування сайтів віддаленого керування/доступу.

Адміністратори повинні враховувати, що елементи керування брандмауером для боротьби з несанкціонованими з’єднаннями для дистанційного керування програмним забезпеченням можуть мати непередбачувані наслідки, тому перед впровадженням їх слід ретельно протестувати та перевірити.

Перед блокуванням переконайтеся, що IP-адреси призначені для цієї програми, щоб уникнути блокування вузлів мережі доставки вмісту (CDN) або інших спільних ресурсів хмарних обчислень.

Нарешті, сегментація мережі або мікросегментація може бути корисною для блокування несанкціонованого використання програмного забезпечення для віддаленого керування. Наприклад, категоризація та організація ресурсів сервера окремо від ресурсів робочої станції може дозволити більш індивідуальні параметри щодо блокування всього непотрібного трафіку на брандмауері, включаючи той, який може бути пов’язаний із інструментами віддаленого керування. Деякі організації вже добре це роблять, інтегруючи конфігурації групової політики .

Елементи керування на основі хоста

• Windows Defender Application Control (WDAC) і AppLocker

З усіх елементів керування, WDAC і AppLocker є єдиними, які можуть запропонувати майже 100-відсотковий захист від неавторизованого виконання програмного забезпечення для віддаленого керування/доступу.

У найбезпечнішій конфігурації, яка дозволяє запускати лише попередньо схвалене програмне забезпечення, користувачі чи зловмисники не можуть запускати несподівані виконувані файли. Однак це має певну ціну, оскільки схвалений базовий рівень обслуговування програмного забезпечення може бути високим, а досвід користувача може бути дуже обмеженим, якщо їм не дозволено встановлювати програми за потреби.

WDAC і AppLocker пропонують значну гнучкість своїх політик, тому деякі організації вирішують блокувати лише свої критично важливі сервери, такі як контролери домену, що робить системні політики користувачів більш гнучкими. Цей підхід має переваги, що виходять далеко за межі простого блокування програмного забезпечення віддаленого доступу/керування, оскільки він також зупиняє виконання більшості шкідливих програм.

Майте на увазі, що хоча WDAC зараз складніше налаштувати, він має більш розширені можливості, і Microsoft позиціонує його як заміну AppLocker. На даний момент AppLocker отримує оновлення безпеки, але не оновлює нові функції.

• Блоки імен файлів реєстру

Можна заблокувати програмне забезпечення для дистанційного керування/доступу за допомогою імені файлу за допомогою ключа реєстру «DisallowRun». Однак не рекомендуємо цей підхід, за винятком заходів стримування під час реагування на інциденти, оскільки він не масштабується як профілактичний захід і його дуже легко обійти, перейменувавши виконуваний файл або змінивши реєстр.

• Блоки EDR

Майже кожен сучасний EDR може блокувати хеші файлів, що дає захисникам можливість блокувати хеші, пов’язані з інсталяторами програм дистанційного керування/доступу та/або встановленими виконуваними файлами. Однак, як і блоки GPO імен файлів, це не є масштабованим або надійним як профілактичний захід, оскільки кожна нова версія кожного дистрибутива програмного забезпечення матиме нове хеш-значення. Цей захід має обмежуватися лише стримуванням під час реагування на інцидент.

Деякі рішення EDR пропонують методи блокування вразливого або несанкціонованого програмного забезпечення, хоча й із значними застереженнями щодо обмежень цих можливостей. Ми не перевіряли ці можливості, але зазначаємо їх тут для повноти.

• Брандмауери на основі хостів

Рекомендації щодо правил брандмауера на основі хоста майже такі ж, як і для автономних брандмауерів, про які йшлося вище. Це може бути корисно, коли адміністратори очікують, що користувачі будуть переміщатися за межами корпоративної мережі, наприклад, домашні працівники поза корпоративною VPN або використовують реалізацію VPN із розділеним тунелем.

• Обмеження прав адміністратора

Обмеження дозволів адміністратора, щоб більшість користувачів не могли виконувати дії адміністратора на своєму робочому комп’ютері, наприклад інсталювати програмне забезпечення для віддаленого доступу/керування, може допомогти обмежити можливість зловмисника встановити це програмне забезпечення після початкового злому.

Застосування принципу найменших привілеїв, який включає як блокування дозволів локального адміністратора, так і обмеження дозволів облікових записів домену користувачів, вважається стандартною найкращою практикою.

• КОНТРОЛЬ NAC

Хоча рішення для контролю доступу до мережі (NAC) безпосередньо не блокують використання програмного забезпечення для віддаленого керування, вони можуть переконатися, що всі інші технічні засоби контролю працюють належним чином, перш ніж допустити кінцеву точку до мережі. Наприклад, якщо пристрій є фальшивою системою або не має EDR, NAC завадить йому приєднатися.

Ще однією перевагою рішення NAC є примусовий контроль версії програмного забезпечення за допомогою спеціальних правил. Організації можуть використовувати це, щоб переконатися, що лише схвалена версія (версії) їх схваленого інструменту віддаленого керування дозволена в мережі, безпосередньо вирішуючи загрозу зловмисника, який запроваджує в мережу старішу версію схваленого рішення зі зловмисною метою.

• Оповіщення та криміналістика

Через складність впровадження всіх цих засобів контролю правила виявлення можуть служити резервним копіюванням на випадок, якщо зловмисник знайде спосіб обійти попередні заходи пом’якшення, які ми обговорювали. Можливості для цих «трипровідних» виявлень безмежні, і команди SOC/полювання на загрози повинні постійно думати про способи їх покращення, але деякі ідеї наведено нижче.

• ЦЕНТРАЛІЗАЦІЯ

Першою передумовою для будь-яких успішних виявлень є централізоване агрегування журналів. Як мінімум, це має отримати журнали брандмауера, сповіщення EDR і журнали подій Windows для ключових серверів.

• SIEM СПОВІЩАЄ ПРО ПІДОЗРІЛІ РЯДКИ

Налаштування простого сповіщення, яке спрацьовує при спостереженні за рядками, пов’язаними з назвами продуктів програмного забезпечення для несанкціонованого віддаленого доступу/керування, може бути ефективним способом проактивного виявлення неочікуваних установок продуктів, які не були заблоковані іншим чином.

Наприклад, інсталяція MSI створить запис про подію 11707 у журналах подій Windows Application, що містить назву програмного продукту. Якби SIEM отримував і оцінював ці журнали подій, він видавав би сповіщення, тим самим сповіщаючи SOC про можливе встановлення. Це правило потрібно було б налаштувати, щоб уникнути надмірних помилкових спрацьовувань, але воно може стати цінним методом раннього виявлення.

• СПОВІЩЕННЯ SIEM ПРО БЛОКУВАННЯ БРАНДМАУЕРОМ НА УНІКАЛЬНИХ ПОРТАХ

Покращене сповіщення може знадобитися, щоб привернути увагу SOC до блокувань брандмауера, пов’язаних із трафіком віддаленого керування/доступу. Брандмауери постійно блокують трафік, зазвичай пропускаючи тисячі або мільйони пакетів на годину. Зважаючи на це, SOC не сповіщаються кожного разу, коли правило брандмауера припиняє трафік — особливо якщо правило, яке припиняє трафік, є правилом імпліцитної заборони, що блокує весь трафік, який спеціально не було дозволено. Однак, якщо внутрішній хост намагається з’єднатися через порт, призначений для програмного забезпечення віддаленого доступу/керування, це може заслуговувати на увагу з боку SOC.

Варто розглянути можливість створення правила SIEM, яке сповіщатиме про будь-яку подію блокування брандмауером, пов’язану з вихідним трафіком на певні ключові порти. Це сповіщення, хоч і вказує на те, що мережеві блоки працюють належним чином, було б хорошим свідченням того, що SOC має дослідити систему, яка створює трафік.

Рівень зусиль, необхідних для належного захисту програмного забезпечення віддаленого керування/доступу, лякає. Однак через частоту використання ворогами ці зусилля є необхідністю. У чужих руках ці інструменти служать готовим механізмом командування та контролю. Якщо організація може дозволити собі захистити своє рішення VPN, їй майже напевно слід виділити ресурси для блокування несанкціонованого програмного забезпечення віддаленого керування.

На закінчення важливо додати, що дистриб’ютор AnyDesk, компанія Ідеалсофт, надає спеціальні умови на придбання програмного забезпечення AnyDesk.