ИТ-портал компании «Инфосистемы Джет»

История одного DLP-расследования

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера. Для того чтобы сохранить живость повествования, рассказ буду вести от первого лица. Итак, 14:00 — я сидел в своем кабинете и занимался обычной деятельностью: тестированиями на проникновение и сканированиями.

День 1.

14:01. Прозвенел звонок из соседнего отдела, который занимается внедрениями средств защиты:

— Привет! Мы внедряем DLP-систему у заказчика, а тут какая-то странная активность, похожая на массовую утечку. Ты не мог бы посмотреть?

— А как это выглядит? Можешь подробнее объяснить?

— Похоже на работу вируса. Проще тебе самому посмотреть, подойди к нам в кабинет, я покажу.

14:05. Пришел в соседний отдел. Расследование инцидента началось.

14:25. Было установлено:

  1. Утечка точно централизованная, управляемая, с более чем 30 адресов письма отправляются на один и тот же адрес «evilcorp»@ hotmail.com.
  2. Фактов отправки писем на иные внешние адреса не обнаружено.
  3. Отправлялись не все письма, а только определенные, выбираемые по определенному критерию.

14:45. Обнаружено:

  1. Отправляются только письма с вложениями, при этом отправляются и финансовая документация, и договора, и шаблоны документов.
  2. Отправляются на почту злоумышленников в ту же секунду, как были отправлены легитимному адресату.
    Судя по всему, входящая почта злоумышленниками не сканируется, только исходящая.

15:00. Журнал DLP-системы не позволял обнаружить первое письмо, судя по всему, утечка началась задолго до внедрения DLP-системы.

15:10. В поисковых системах о почтовом адресе «evilcorp»@hotmail. com ничего не найдено.

15:30. Принято решение ехать в командировку, чтобы на месте у заказчика продолжать расследование.

15:40. Куплены авиабилеты, забронирован отель, заказчик предупрежден и ожидает к 8 утра.

Итоги первого дня.

  • DLP-система однозначно обнаружила контролируемую автоматизированную утечку с более чем 30 адресов электронной почты заказчика.
  • Утечка была начата до внедрения DLP-системы и имела избирательный характер, критерий отбора неизвестен.
  • Данные, получаемые только от DLP-системы, не позволяют выполнить расследование инцидентов, принято решение организовать командировку.

День 2. Работа в «поле»

7:59. На проходной заказчика меня встретил обеспокоенный происходящим начальник отдела информационной безопасности (назовем его Куликов), повел к себе в кабинет, выспрашивая подробности по дороге. Из разговора с ним были получены следующие сведения:

  1. Все, что знает Куликов об инциденте, сообщили ему вчера мы.
  2. Подозревает, что кто-то из сотрудников мог принести вирус, так как «были такие случаи — суют свои флешки куда попало…».
  3. Обещает максимальную помощь, однако не имеет прямого влияния на IT-отдел, поэтому могут быть сложности.

8:30. По приказу Куликова мне сделана учетная запись и дан полный доступ к одному из компьютеров, с которого обнаружена утечка.

8:45. Запущен инструментальный анализ для поиска руткитов, вирусов, неизвестных служб, а также нетипичных записей в ветках реестра и объектов в автозапуске.

9:00. Был выполнен ручной анализ, включающий следующие действия:

  1. Проанализированы журналы доступа к рабочим станциям — следов нелегитимного доступа не обнаружено, целостность журналов предположительно не нарушена.
  2. Проанализированы ветки реестра, отвечающие за автоматически запуск программ, — следов вредоносного ПО не обнаружено.
  3. Проанализированы системные процессы и службы — следов вредоносного ПО не обнаружено.
  4. Проанализирована очередь в планировщике задач — следов вредоносного ПО не обнаружено.
  5. Проанализированы средства защиты хоста: антивирусное ПО обновлено, сконфигурировано верно, исключения отсутствуют, в журналах инциденты и угрозы отсутствуют, проверка хоста осуществляется еженедельно.
  6. Выполнен полнотекстовый поиск адреса злоумышленников на рабочих станциях, в том числе в ветках реестра, упоминаний адреса не обнаружено.

9:30. Инструментальный анализ был завершен, обнаружен руткит.

9:40. Руткитом оказался агент DLP-системы, ложное срабатывание, к сожалению.

9:50. На рабочей станции установлено ПО для удаленного доступа DameWare, журналы доступа которого были очищены.

Итог обследования рабочей станции.

  • Рабочая станция выглядит чистой, подозрительной  активности не обнаружено.
  • Но ведь кто-то очистил журнал DameWare! Это означало зацепку, о которой я планировал доложить руководству.

10:00. Вернулся к анализу журнала DLP-системы, за утро уже были отправлены 5 писем на адрес злоумышленников, последнее ушло минуту назад!

10:01. В кабинете у Куликова убеждаю его в том, что срочно нужен доступ к компьютеру сотрудницы, от которой 2 минуты назад ушло письмо.

10:10. Сотрудница отправлена пить кофе, доступ к машине получен.

10:40. Сотрудница вернулась, однако результат отрицательный, машина выглядит на удивление чистой, как и предыдущая.

10:41. Прошу сотрудницу открыть почтовый клиент, анализирую настройки, правила пересылки сообщений, надстройки… Ничего не обнаружено.

10:50. Сотрудница возвращается к своим должностным обязанностям, а я к журналам DLP-системы.

11:25. Закономерность в отправке писем обнаружена, на внешний адрес была отправлена следующая информация:

  1. Финансовая информация.
  2. Налоговая информация.
  3. Информация о печатях организации.
  4. Информация о расписании руководства.

А также шаблоны документов, которые по ключевым словам попадали под фильтр злоумышленников. Судя по всему, все эти документы связаны общей темой, но какой именно, без представителя заказчика разобраться невозможно. Оперативно докладываю об этом Куликову.

11:30. Возвращаюсь к сотруднице, прошу переотправить на легитимный адрес то самое письмо, которое ушло к злоумышленнику 1,5 часа назад.

11:31. В журнале DLP-системе добавлена запись, что письмо повторно ушло к злоумышленникам, хотя машина выглядит чистой.

11:32. Сотрудница заскучала и достала айфон. Спросил ее, подключена ли у нее рабочая почта на телефоне, ответ утвердительный. Появился новый вектор.

11:40. Куликов ушел на обед; ожидая его, прорабатываю иные векторы компрометации.

Версия 1. Скомпрометированы хосты высокачественными образцами вредоносного ПО, которое не обнаружено и косвенные признаки работы которого также не обнаружены:

Доводы «ПРОТИВ»:

  • Сканируется исключительно исходящая почта.
  • Следов, даже косвенных, не обнаружено.

Версия 2. Скомпрометированы мобильные устройства сотрудников с подключенной корпоративной почтой.

Доводы «ПРОТИВ»:

  • Заражение несет массовый характер.
  • Не установлено, что у всех сотрудников есть IOS.

Версия 3. Скомпрометирован почтовый сервер заказчика.

Доводы «ПРОТИВ»:

На данный момент отсутствуют.

Версия 4. Работа инсайдера в компании с правами администратора.

Доводы «ПРОТИВ»:

На данный момент отсутствуют.

12:30. Куликов вернулся с обеда, по моей просьбе вызвал случайного сотрудника из тех, ящик которого был замечен в рассылке.

12:40. Сотрудник пришел, однако у него не IOS-устройство и даже не смартфон, вычеркиваем версию с мобильными устройствами.

13:00. Инструментальные средства переданы главному системному администратору, на почтовых серверах и exchange-сервере запущена проверка.

13:40. Проверка завершена, результат отрицательный.

14:00. От ручной проверки администратор отказался. Во всем было видно, что его не заботит утечка, на сотрудничество не идет. Думаю, на это стоит обратить внимание руководства заказчика.

14:30. Вызывают на совещание высшего руководства заказчика, там сообщают следующую информацию:

  1. О крупном финансовом споре, в котором сейчас участвует заказчик.
  2. Все сотрудники, почтовые адреса которых были скомпрометированы, так или иначе связаны со спором.
  3. Все отправленные документы были связаны со спором или выглядели таковыми.

14:40. Результаты проведенных работ доложены заказчику. Запрашиваю расширение полномочий для обследования серверов и опроса администраторов. Заказчик просит сделать паузу в расследовании, так как ему, по его словам, ситуация ясна.

Вечером улетаю в Москву, ожидая, что в любой момент придется лететь обратно. Как оказалось позже, этого не потребовалось.


Найденных нами зацепок заказчику оказалось достаточно для выявления источника проблем. Как нам было сказано, проблема была решена на организационном уровне. Обеспечение ИБ — комплексный процесс. Когда-то нужно решать технические задачи, а когда-то работать с людьми.

Утечка была купирована, и больше в DLP-системе подозрительной деятельности не появлялось.


Оставьте комментарий

Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: