Коли хакери грають у перевтілення:
історія BianLian та поради щодо захисту
Нещодавно Федеральне бюро розслідувань (ФБР), Агентство з кібербезпеки та інфраструктурної безпеки (CISA) та Австралійський центр кібербезпеки Австралійського управління радіорозвідки (ASD's ACSC) опублікували спільне попередження про кіберризики з метою поширення інформації про відомих індикаторів компрометації (IOT) та тактики, процедури й методи (TTP) групи BianLian. Група стала відомою тим, що займається вимаганням викупу за конфіденційні дані, які були виявлені в ході розслідувань ФБР та ASD's ACSC.
Ця історія отримала величезний резонанс серед команд кібербезпеки. Тому сьогодні пропонуємо заглибитися в одну з найбільш гучних загроз останнього часу — атаки хакерського угрупування BianLian. Хоча воно вже відзначилося безліччю атак на критичну інфраструктуру в США та Австралії, судячи з усього, на пенсію злочинці поки не збираються.
Хто такі BianLian?
Звучить як новий K-pop гурт, від якого сходить з розуму ваша племінниця — але, на жаль, ні.
Під дзвінкою назвою BianLian ховається кіберзлочинне угруповання, яке раніше поширювало вірус-вимагач (ransomware), а потім перейшло до подвійного вимагання: дані крадуть, шифрують і погрожують опублікувати.
Працюють хакери хитро: використовують легітимні засоби Windows, живуть у RAM та люблять, коли ІБ-фахівці недосипають.
Процес відбувається у кілька етапів. Нижче на віртуалках (Windows Server 2019 + Kali Linux) ми відтворимо атаку, на яку надихнули реальні дії BianLian.
Етап 1: Initial Access (Первинний доступ)
Припустимо, зловмисник уже всередині мережі та знаходить машину з відкритим портом SMB. У хід йде brute force логінів та паролів:
crackmapexec smb 192.168.1.100 -u users.txt -p passwords.txt
Ми підбираємо облікові дані за допомогою попередньо підготовлених списків. Якщо пощастило — отримуємо обліковий запис адміністратора. Джекпот.
✅ Initial Access — успішно.
Етап 2: Credential Dumping (Злив облікових даних)
Далі BianLian зазвичай лізе у «сейф із паролями». Ми теж не відстаємо: використовуємо легендарний інструмент з Impacket — secretsdump.py:
python3 secretsdump.py Administrator:001.1.861.291%40321droWssaP
Отримуємо NTLM-хеші.
✅ Credential Dumping — успішно.
Етап 3: Lateral Movement (Переміщення периметром)
Тут у гру вступає важка артилерія:
python3 psexec.py Administrator:001.1.861.291%40321droWssaP
Impacket створює тимчасовий .exe файл, закидає його на віддалений хост і запускає через services.exe. Отримуємо shell із правами SYSTEM — кібереквівалент золотого ключика від усіх дверей.
Йдемо далі: всередині створюємо нового користувача, вмикаємо RDP через reg.exe, відкриваємо порти у Windows Firewall, і, звичайно ж, не забуваємо залишити backdoor.
✅ Lateral Movement — успішно.
Як поводиться Trellix Endpoint Security на кожному етапі Cyber Kill Chain?
Ми отримуємо таку картину:
🎯 Що змінилося:
● crackmapexec знаходить пароль, але не може виконати команди або створити сервіс
● Більше немає заповітної мітки (Pwn3d!) — отже, Trellix блокує віддалене виконання коду
● Перешкоджає запуску cmd.exe, rundll32.exe, powershell.exe у підозрілому контексті
Як працює захист?
Access Protection блокує віддалене створення сервісів (через SMB та WMI) та запуск критичних виконуваних файлів від підозрілих процесів.
Але ж можна ще запустити Trellix у режимі моніторингу…
Цікаво? Ми також так подумали. Результат:
● Антивірус бачить все, але не заважає — просто спостерігає
● Під час спроби віддаленого доступу із SYSTEM-правами спрацьовує блокування
● Тимчасовий .exe, створений psexec.py, миттєво видаляється
● Adaptive Threat Protection (ATP) вмикається на етапі On-Execute, аналізує файл, звіряє його з GTI (глобальна репутаційна система) та видаляє шкідливий .exe
Трохи докладніше зупинимося на GTI.
Уявіть Google, лише для шкідливих файлів. Понад 1 мільярд сенсорів по всьому світу відправляють сигнали про нові загрози. Чи отримав файл погану репутацію? GTI знає, Trellix реагує.
Наприклад: ⚠️ ATP/Suspect!23873bf2670c Вірус знайдено: C:\Windows\RqYwLmeR.exe Статус: Очищений.
Переходимо до блокування Backdoor'у.
У минулому нападник залишив слід через cmd.exe, запускаючи:
● reg.exe ● netsh.exe ● net.exe ● net1.exe
Тепер ми встановили правило: жодних запусків цих процесів через cmd.exe.
Результат нас тішить: Backdoor — скасовується, хакер — у паніці.
А якби ми просто закрили порти?
Можна було б й не ускладнювати.
Модуль фаєрвола Trellix дозволяє закрити SMB і RDP — і вся атака посипалася б на самому початку. Слідкуйте за руками:
І, авжеж, всі атаки фіксуються на хості:
І на централізованій консолі управління ePO для подальшого розслідування:
Підсумуємо
Ми провели атаку в лабораторних умовах, пройшли етапи Cyber Kill Chain та побачили різницю:
Етап
Без Trellix
З Trellix
Етап
Етап
Без Trellix
Без Trellix
З Trellix
З Trellix
Initial Access
✅ Успішно
⚠️ Блокується
Етап
Initial Access
Без Trellix
✅ Успішно
З Trellix
⚠️ Блокується
Credential Dumping
✅ Успішно
❌ Заборонено
Етап
Credential Dumping
Без Trellix
✅ Успішно
З Trellix
❌ Заборонено
Lateral Movement
✅ Shell SYSTEM
❌ Відмова у запуску
Етап
Lateral Movement
Без Trellix
✅ Shell SYSTEM
З Trellix
❌ Відмова у запуску
Backdoor
✅ Створено
❌ Заборонено
Етап
Backdoor
Без Trellix
✅ Створено
З Trellix
❌ Заборонено