Эксперты BI.ZONE рассказали, как можно выявить атаку Zerologon

Эксперты BI.ZONE рассказали, как можно выявить атаку Zerologon

Эксперты BI.ZONE рассказали, как можно выявить атаку Zerologon

Исследователи из ИБ-компании BI.ZONE изучили опасную уязвимость Windows, получившую известность как Zerologon, и разработали несколько методов обнаружения фактов ее эксплуатации. Эксперты надеются, что использование созданных ими правил позволит также ускорить классификацию киберинцидентов.

Уязвимость Zerologon (CVE-2020-1472) была выявлена в протоколе шифрования, который использует Windows-служба Netlogon. Использование бреши позволяет автору атаки обойти аутентификацию,  повысить свои привилегии до уровня администратора домена и получить доступ на запись к базе данных Active Directory. Уязвимость затрагивает серверные ОС Windows; разработчик уже выпустил патч и опубликовал руководство для пользователей, однако злоумышленники не оставляют попыток проникнуть в сети Windows через эту лазейку.

Эксперты BI.ZONE проанализировали несколько известных концепций атаки (proof-of-concept, PoC) на Zerologon, а также эксплойты, обнаруженные в атаках, и выяснили, что все они работают в целом одинаково. На основании полученных результатов было разработано три способа обнаружения эксплойт-атаки: по событиям журналов аудита Windows, по сетевому трафику и при помощи YARA-правил.

В первом случае администратору Windows придется включить режим отладки Netlogon с помощью команды nltest /dbflag:0x2080ffff. После перезапуска служба начнет сохранять большую часть событий в файл журнала (отыскивается по пути C:\Windows\debug\netlogon.txt). Признаком атаки могут служить следующие события на контроллере домена:

  • 5805 — ошибка аутентификации сессии, доступ запрещен;
  • 5723 — ошибка установления сессии из-за отсутствия доверенного аккаунта в базе данных безопасности;
  • 4742 — изменение учетной записи компьютера контроллера домена (должно насторожить при отсутствии события 5823, говорящего о легитимной смене пароля по истечении заданного срока, либо при регистрации обоих событий с интервалом в 1 минуту).

Для эксплуатации Zerologon злоумышленники зачастую задействуют легитимный инструмент Mimikatz или пользуются виртуальной машиной под управлением ОС Kali Linux, поэтому имена mimikatz и kali в записях событий 5805 и 5723 могут более явно свидетельствовать об атаке.

Для удобства отслеживания Zerologon-событий с помощью SIEM исследователи сформулировали три правила:

  • (EventID = ’5805′ OR EventID = ’5723′) AND (Message contains ’kali’ OR Message contains ’mimikatz’)
  • when both of (EventID = ’4742′ AND TargetUserName IN «Domain_Controller_Accounts_List» AND PasswordLastSet != ’-’) and not (EventID = ’5823′) were detected on the same host within 1 minute (требует внесения списка контроллеров домена в набор Domain_Controller_Accounts_List)
  • when both of (EventID = ’4742′ AND TargetUserName IN «Domain_Controller_Accounts_List» AND PasswordLastSet != ’-’) and (EventID = ’5805′) were detected on the same host within 1 minute

Попытку эксплуатации Zerologon можно выявить и путем анализа сетевого трафика с помощью IDS или IPS. Признаком атаки в данном случае, по словам экспертов, будет служить «аномально большое количество запросов из одного источника по протоколу DCE/RPC с парами методов NetrServerReqChallenge и NetrServerAuthenticate за короткий промежуток времени». Кроме того, выдать вредоносную активность могут уникальные артефакты, но они не всегда присутствуют в трафике.

По итогам исследования было также создано YARA-правило для выявления следов эксплуатации Zerologon в памяти процесса lsass.exe. Обращение к сервису проверки подлинности локальной системы (LSASS) происходит при попытке аутентификации на контроллере домена. В результате в адресном пространстве lsass.exe остаются артефакты, которые тоже могут служить признаками атаки. В ходе тестирования созданное экспертами YARA-правило с успехом отработало на ОС Windows Server 2012 R2 и Windows Server 2016.

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru