Когда хакеры играют в перевоплощения:
история BianLian и советы по защите
Недавно Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Австралийский центр кибербезопасности Австралийского управления радиоразведки (ASD’s ACSC) опубликовали совместное предупреждение о киберрисках с целью распространения информации об известных индикаторах компрометации (IOC) и тактиках, процедурах и методах (TTP) группы BianLian. Группа стала известной тем, что занимается вымогательством выкупа за конфиденциальные данные, которые были выявлены в ходе расследований ФБР и ASD’s ACSC.
Эта история получила огромный резонанс в среде команд кибербезопасности. Поэтому сегодня предлагаем копнуть вглубь одной из самых нашумевших угроз последнего времени — атаки хакерской группировки BianLian. Хотя она уже отметилась множеством атак на критическую инфраструктуру в США и Австралии, судя по всему, на пенсию преступники пока не собираются.
Кто такие BianLian?
Звучит как новая K-pop группа, от которой фанатеет ваша племянница — но, к сожалению, нет.
Под звонким названием BianLian прячется киберпреступная группировка, которая раньше распространяла вирус-вымогатель (ransomware), а затем перешла к двойному вымогательству: данные крадут, шифруют и угрожают опубликовать.
Работают хакеры хитро: используют легитимные средства Windows, живут в RAM и любят, когда ИБ-специалисты недосыпают.
Процесс проходит в несколько этапов. Ниже на виртуалках (Windows Server 2019 + Kali Linux) мы воссоздадим атаку, вдохновленную реальными действиями BianLian.
Этап 1: Initial Access (Первичный доступ)
Допустим, злоумышленник уже внутри сети и находит машину с открытым портом SMB. В ход идет brute force логинов и паролей:
crackmapexec smb 192.168.1.100 -u users.txt -p passwords.txt
Мы подбираем учетные данные с помощью заранее подготовленных списков. Если повезло — получаем учетку администратора. Джекпот.
✅ Initial Access — успешно.
Этап 2: Credential Dumping (Слив учетных данных)
Дальше BianLian обычно лезет в «сейф с паролями». Мы тоже не отстаем: используем легендарный инструмент из Impacket — secretsdump.py:
python3 secretsdump.py Administrator:001.1.861.291%40321droWssaP
Получаем NTLM-хэши.
✅ Credential Dumping — успешно.
Этап 3: Lateral Movement (Перемещение по периметру)
Тут в игру вступает тяжелая артиллерия:
python3 psexec.py Administrator:001.1.861.291%40321droWssaP
Impacket создаёт временный .exe-файл, закидывает его на удаленный хост и запускает через services.exe. Получаем shell с правами SYSTEM — киберэквивалент золотого ключика от всех дверей.
Идем дальше: внутри создаем нового пользователя, включаем RDP через reg.exe, открываем порты в Windows Firewall, и, конечно же, не забываем оставить backdoor.
✅ Lateral Movement — успешно.
Как поведет себя Trellix Endpoint Security на каждом этапе Cyber Kill Chain?
У нас выходит такая картина:
🎯 Что изменилось:
● crackmapexec находит пароль, но не может выполнить команды или создать сервис
● Больше нет заветной метки (Pwn3d!) — значит, Trellix блокирует удаленное выполнение кода
● Препятствует запуску cmd.exe, rundll32.exe, powershell.exe в подозрительном контексте
Как работает защита?
Access Protection блокирует удаленное создание сервисов (через SMB и WMI) и запуск критичных исполняемых файлов от подозрительных процессов.
А ведь можно еще запустить Trellix в режиме мониторинга…
Любопытно? Мы тоже так подумали. Результат:
● Антивирус видит все, но не мешает — просто наблюдает
● При попытке удаленного доступа с SYSTEM-правами срабатывает блокировка
● Временный .exe, созданный psexec.py, моментально удаляется
● Adaptive Threat Protection (ATP) включается на этапе On-Execute, анализирует файл, сверяет его с GTI (глобальная репутационная система) и удаляет вредоносный .exe
Чуть подробнее остановимся на GTI.
Представьте Google, только для вредоносных файлов. Свыше 1 миллиарда сенсоров по всему миру отправляют сигналы о новых угрозах. Файл получил плохую репутацию? GTI знает, Trellix реагирует.
Например:
⚠️ ATP/Suspect!23873bf2670c
Вирус найден: C:\Windows\RqYwLmeR.exe
Статус: Очищен.
Переходим к блокировке Backdoor’а.
В прошлом атакующий оставил след через cmd.exe, запуская:
● reg.exe ● netsh.exe ● net.exe ● net1.exe
Теперь мы задали правило: никаких запусков этих процессов через cmd.exe.
Результат нас порадует: Backdoor — отменяется, хакер — в панике.
А если бы мы просто закрыли порты?
Можно было бы и не усложнять.
Модуль файрвола Trellix позволяет закрыть SMB и RDP — и вся атака посыпалась бы в самом начале. Следите за руками:
И, конечно же, все атаки фиксируются на хосте:
И на централизованной консоли управления ePO для дальнейшего расследования:
Подытожим
Мы провели атаку в лабораторных условиях, прошли этапы Cyber Kill Chain и увидели разницу:
Этап
Без Trellix
С Trellix
Этап
Этап
Без Trellix
Без Trellix
С Trellix
С Trellix
Initial Access
✅ Успешен
⚠️ Блокируется
Этап
Initial Access
Без Trellix
✅ Успешен
С Trellix
⚠️ Блокируется
Credential Dumping
✅ Успешен
❌ Запрещён
Этап
Credential Dumping
Без Trellix
✅ Успешен
С Trellix
❌ Запрещён
Lateral Movement
✅ Shell SYSTEM
❌ Отказ в запуске
Этап
Lateral Movement
Без Trellix
✅ Shell SYSTEM
С Trellix
❌ Отказ в запуске
Backdoor
✅ Создан
❌ Запрещён
Этап
Backdoor
Без Trellix
✅ Создан
С Trellix
❌ Запрещён