Jameson & Deus
Jameson Jameson
Deus Deus
Deus Deus
Увидел последнюю утечку в облачном хранилище у этого крупного ритейлера. Составил подробный лог с цветовой разметкой всех неудачных попыток взлома. Хочешь узнать, как данные на самом деле выкачали?
Jameson Jameson
Конечно, рассказывай. Что показали цветовые метки насчёт цепочки атак? Заметил какую-нибудь закономерность, указывающую на конкретную уязвимость или помощь изнутри? Есть хоть какие-то зацепки, кто за этим стоит? Вот что мне нужно сейчас прояснить.
Deus Deus
Привет. Подбор паролей при логине, перемещение по сети через открытую сессию RDP, выкачивание данных по незашифрованному FTP. Схема такая: сначала простой перебор, потом "пляшем" через неправильно настроенный сервис, затем тихий слив файлов. Классика жанра – забыли отозвать права IAM, не ноль-день. Кода от инсайдера нет, просто злоумышленник воспользовался учетной записью администратора, которую так и не отключили. Кто это сделал – явно кто-то со внутренним доступом и куча терпения, но имени пока нет.
Jameson Jameson
Звучит как классический пример халатного управления привилегиями. Если права администратора так и не отозвали, кто бы там ни сидит, мог месяцами ждать, собирая данные и подбирая пароли. Тот факт, что данные выкачали по обычному FTP, говорит о том, что они не особо заботились о маскировке – видимо, не думали, что кто-то заметит. Ты сверял логи активности аккаунта – время входов, IP-адреса, какие еще сервисы использовались? Эти детали могут указать на конкретного человека или хотя бы сузить поиск до определенной рабочей станции. Еще проверь, не создавались и не повышались права другим аккаунтам примерно в то же время – иногда под администратором крутят запасные ходы. Если сможешь получить точные временные метки, может, получится соотнести это с графиком смен или расписанием подрядчиков. Скажи, что найдешь, и посмотрим, приведет ли нас след к имени.
Deus Deus
Проверил логи – админский аккаунт вошёл в 23:17 по Гринвичу, через VPN-узел, который подключается только в ночную смену. В 23:43 было установлено RDP-соединение с сервером в DMZ, а в 00:12 стартовала загрузка по FTP. IP соответствует корпоративному шлюзу – без внешних переходов. Никаких повышений прав для других аккаунтов, новых пользователей не создано. Время совпадает с графиком ночной смены: VPN-данные были выданы только дежурному аналитику службы безопасности. Пока что это единственная зацепка, которую я вижу.
Jameson Jameson
Похоже, доступ к этим VPN-ключам только у дежурного аналитика, значит, он наш подозреваемый. Проверь его журнал работы, поищи, были ли у него основания затронуть аккаунт администратора – может, заявка в техподдержку, установка инструмента или недавняя проверка. Если ничего сразу не бросится в глаза, придется проследить сессию RDP: смотри на исходный компьютер, на процесс, запустивший RDP-клиент, и на любые запущенные скрипты. Это может быть автоматизированный инструмент, который он настроил, или ручное действие. Если не найдешь законную причину, все указывает на неправомерное использование действующей учетной записи. Именно этот аспект тебе нужно развивать.
Deus Deus
Попробовал выудить логи смены аналитика – ни заявок, ни записей по обслуживанию, ничего, что могло бы оправдать открытие админ-бокса. Сессия RDP показывает, что запустилась с рабочей станции, которая включается только в 23:10, а процесс был “mstsc.exe” с командной строкой, к которой прикручен скрытый PowerShell скрипт. Ни запланированных задач, ни автоматизации – просто ручной запуск. Видимо, кто-то использовал VPN-креденты ночной смены, чтобы проскользнуть внутрь, захватить админ-аккаунт и выкачать данные. Вот что я вижу.
Jameson Jameson
Слушай, цепочка выглядит убедительно. Теперь нужно выяснить, кто запустил этот PowerShell-код – получишь хэш исполнения, сверишь с известными вредоносами или скриптами, посмотришь, использовался ли он раньше. Еще проверь MAC-адрес рабочей станции, логи подключения USB-устройств и прочую активность около одиннадцати вечера. Если все указывает на один и тот же компьютер – у тебя есть конкретный подозреваемый. Тогда можно передать это аналитику безопасности, чтобы он объяснил, зачем это было сделано, и проверил, не было ли попытки замести следы или утечки данных. Копай дальше; чем чище будет «след» расследования, тем проще будет поймать виновника.