Co tam ciekawego słychać w SOCu? odc. 1
Cześć wszystkim. Oto pierwszy artykuł z serii „Co tam w SOCu słychać ciekawego?”. W ramach tej serii będziemy opowiadać o ciekawych zdarzeniach, które wykryliśmy, przemyśleniach na temat trybu pracy zespołu Security Operations Center lub ogólnie o zdarzeniach, z których możemy wysnuć jakieś cyber-wnioski lub cyber-morał.
W niniejszym odcinku opowiem o alercie mówiącym o wykryciu nowego zaplanowanego zadania. Możliwość tworzenia zaplanowanych zadań jest bardzo korzystna na przykład z punktu widzenia administracji komputerowych stacji roboczych. Jeżeli chcemy, aby przy każdym uruchomieniu danego komputera uruchamiał się określony program bądź szereg różnych komend wiersza poleceń, to zaplanowane zadania są dla nas! Równocześnie, ta usługa jest często wykorzystywana przez adwersarzy do utrwalenia swojej obecności na danym komputerze – poprzez utworzenie zaplanowanego zadania adwersarz może odnawiać swoją obecność po każdym restarcie systemu. Z tego powodu istotne jest, aby monitorować powstawanie nowych zaplanowanych zadań i upewniać się, że tego typu działania są autoryzowane przez administratorów.
Najczęściej tego typu alerty są fałszywymi alertami, gdyż administratorzy chętnie korzystają z takich funkcjonalności, co może sprawić, że nasza czujność będzie uśpiona, kiedy pojawi się nowy alert tego typu. Podobnie było w tym przypadku, gdzie na 99% byliśmy pewni, że utworzone zaplanowane zadanie jest kolejnym skryptem mającym usprawnić pracę administratora. Mimo wszystko w tym programie nie występował ważny podpis cyfrowy. Co więcej, nie było w nim żadnego podpisu cyfrowego! Nie jest to też jakieś wielkie odstępstwo od normy, gdyż jeśli dany administrator tworzy własny program to nie jest to częstą praktyką, aby podpisywał swoje narzędzie ważnym certyfikatem (firmowym bądź kupionym..). Mimo wszystko, brak podpisu cyfrowego jest odstępstwem od wyidealizowanej normy, co mimo wszystko zapala u nas czerwone lampki, dlatego też (mimo wszystko) przygotowaliśmy raport opisujący wykryte zdarzenie. Jakie było nasze zdziwienie, kiedy – po weryfikacji – okazało się, że jednak nie jest to działanie znane administratorom? Myślę, że nie mniejsze niż zespołu administratorów, z którymi rozmawialiśmy.
Shadow IT
Czyżby to było to? Moment chwały? Wykrycie złoczyńcy działającego w firmie? Udaremnienie działań wrogich grup przestępczych? Uratowanie reputacji firmy natychmiastowym wykryciem anomalnego zdarzenia? Tak czy inaczej, po analizie przeznaczenia maszyny wirtualnej, na której wykryto zagrożenie, okazało się coś jeszcze bardziej zaskakującego. Otóż dana maszyna wirtualna została ostatnio ponownie uruchomiona po długim czasie bezczynności. Jak długim? Najprawdopodobniej bardzo długim… Okazało się, że program dodany do zaplanowanego zadania został stworzony około 10 lat temu, przez jednego z administratorów, który od dawna nie pracuje w firmie. Prawie nikt już o tym programie nie pamiętał – jego celem było dbanie o aktualizację jakiegoś innego Software (również niewykorzystywanego). Ponowne uruchomienie maszyny wirtualnej wyzwoliło podejrzany alert.
Czy ta historia ma jakiś morał? Na pewno warto wiedzieć co i gdzie znajduje się w naszej sieci, aby uniknąć przypadków tzw. Shadow IT – zasobów, które nie były dokumentowane a osoby, które nimi zarządzały odeszły z pracy. W tym przypadku detekcja zdarzenia przez SIEM oraz współpraca analityków SOC z administratorami klienta umożliwiła pozbycie się zapomnianego oprogramowania. Dbajcie o aktualizację i uważajcie na Shadow IT.
Do następnego!
Autorem artykułu jest Dawid Przyczyna inżynier SOC
Pierwsze doświadczenia zawodowe zdobywał w trakcie studiów doktoranckich z fizyki, gdzie rozwiązywał wszelkie nietypowe problemy, z którymi się spotkał zarówno w trakcie analizy danych jak i pracy laboratoryjnej. Do analizy danych wykorzystywał język Python oraz algorytmy uczenia maszynowego. Ma również doświadczenie w analizie szeregów czasowych oraz ich struktury widmowej. Pasjonuje się cyberbezpieczeństwem i rozwija swoją wiedzę w tym kierunku. Prywatnie interesuje się muzyką, ogrodnictwem oraz mindfulness.