Выявление инцидентов и противодействие атакам на объекты критической информационной инфраструктуры

(увеличенный трафик).

Рисунок 11 – Аномальное поведение, увеличенный трафик

Зайдем на виртуальную машину AMpire_DEV2_Enterprise_UO_Admin (10.10.4.10). Откроем консоль Windows PowerShell и введем команду

«netstat». В результате можно увидеть признаки взаимодействия с нарушителем (рисунок 12). Введем команду «Get-MpPreference» и увидим,

что выключен мониторинг в реальном времени (рисунок 13).

Рисунок 12 – Признаки взаимодействия с нарушителем

71

Рисунок 13 – Настройки Windows Defender

Зайдем в реестр и заметим в папке Windows Defender ключ

DisableAntiSpyware (рисунок 14). Удалим запись в реестре. В консоли введем команду (рисунок 15) и убедимся что в папке Windows Defender нет ключа

(рисунок 16).

72

Рисунок 14 – Ключ в реестре

Рисунок 15 – Удаление записи DisableAntiSpyware в реестре

73

Рисунок 16 – Результат выполнения команды

Далее в Windows Defender перезапустим Virus & Threat Protection (рисунки 17-18) и включим Real-time Protection (рисунок 19). Защита в реальном времени (Real-time protection) – это модуль антивируса в Windows,

который предоставляет постоянную защиту вашей системы, проверяя запускаемые приложения на выполнение подозрительных действий. В

настройках вы можете указать, нужно ли выводить сообщения об опасной активности приложений на экран, и нужно ли сканировать загруженные и прикрепленные файлы. В результате включения модуля будет закрыта уязвимость (рисунок 20).

Рисунок 17 – Windows Defender

74

Рисунок 18 – Security at a glance

Рисунок 19 – Включение Real-time protection

Рисунок 20 – Закрытая уязвимость

75

3.Слабый пароль учетной записи

ВViPNet IDS NS рассмотрим события связанные с RDP подключением

кхосту AD&DNS (10.10.2.10). Необходимо смотреть именно на IP-адрес источника, так как в событиях регистрируется ответ от компьютера, к

которому идет подключение. Увидим событие высокой важности, где в названии будет ключевое слово “bruteforce” (рисунок 21).

Рисунок 21 – Событие «Брутфорс пароля администратора»

Таким образом, кто-то пытается подобрать пароль к учетной записи администратора AD&DNS. Зайдем на компьютер администратора

(10.10.2.10) и посмотрим логи в программе Event Viewer – компонент,

включенный в состав операционных систем семейства Windows (рисунок

22).

76

Рисунок 22 – Event Viewer

Найдем нужный лог, чтобы убедиться в том, что злоумышленник все-

таки получил доступ к хосту AD&DNS. Для этого следует отсортировать события по Event ID и найти три лога с Event ID 1158, среди них интересен лог с именем заканчивающимся на /admin и датой, совпадающей с событием в IDS (рисунок 23). Также найдите лог с Event ID 1149 (означает успешную аутентификацию), где прописано о успешной аутентификации пользователя

«администратор» по RDP подключению (рисунок 24).

77

Рисунок 23 – Логи в Event Viewer

Рисунок 24 – Лог с Event ID 1149

Подтвердили факт наличия атаки. Теперь закроем уязвимость, для этого на компьютере администратора поменяем пароль для учетной записи – в cmd пропишем команду “net user Administrator * ”. Необходимо ввести сложный пароль и подтвердить его (рисунок 25).

Рисунок 25 – Cмена пароля через cmd

78

В случае установки достаточно сложного пароля уязвимость будет успешно закрыта (рисунок 26).

Рисунок 26 – Закрытая уязвимость

79

Индивидуальное задание

Заполните карточку описания вектора атаки Cyber Kill Chain в

соответствии со своим вариантом (таблица 1). В результате выполнения индивидуального задания должны получиться корректно заполненные карточки описания вектора атаки, в которых содержится максимально точная и корректная информация об инциденте.

Корректное заполнения карточки инцидентов и карточек описания вектора атаки можно найти в 1-ой лабораторной работе.

Таблица 1 – Варианты

80