Ste pod kybernetickým útokom?
Náš príbeh
Česká banková inštitúcia v rámci niekoľko mesačnej analýzy sieťovej prevádzky zaznamenala anomálie, ktoré poukazovali na možnosť prítomnosti útočníka v ich sieti. Neboli si však istý, či sa jedná o false positive alebo nie a taktiež nedisponovali ani nástrojmi, ktoré by im pomohli tento problém vyriešiť. Kontaktovali teda nás, či by sme im v tejto veci nedokázali podať pomocnú ruku.
Spoločne so zákazníkom sme sa dohodli na implementácii Endpoint Detection and Response (EDR) riešenia, ktoré malo umožniť monitorovať podozrivé aktivity na koncových staniciach a serveroch a pomôcť detegovať, či má útočník prístup do niektorého z interných koncových systémov. Inštalácia sa podarila behom jedného doobedia a už poobede sme mali výsledky, ktoré nasvedčovali prítomnosť útočníka na dôležitých serveroch klienta.
Okamžite sme nastavili prísnejší detekčný režim, ktorý monitoroval sieťovú aktivitu z týchto serverov, spustené procesy a vykonávané príkazy. Vďaka týmto informáciám sme dokázali v priebehu dvoch hodín potvrdiť, že útočník na tieto servery prístup má, aké aktivity vykonáva a ako sa do systému dostal.
Dočasne sme pomocou EDR zablokovali sieťovú komunikáciu z týchto serverov a odstránili všetky pozostatky útočníka, vrátane zadných dvierok, ktoré používal na prístup do systému.
Vďaka logovaniu spustených procesov sme zistili, že útočník využíval prihlásenie cez verejne dostupné RDP, cez ktoré sa do siete po prvýkrát dostal. Odhalili sme kompromitovaný účet, ktorý bol na prihlásenie použitý a odporučili zákazníkovi zmeniť heslá a RDP službu sme prekonfigurovali tak, aby nebola z internetu dostupná.
Vďaka EDR riešeniu sme získali všetky potrebné informácie, ktoré nám pomohli pri vystopovaní útočníka a jeho odstrihnutí od všetkých napadnutých systémov. Teraz má klient EDR riešenie nasadené ako náhradu antivírusového produktu a monitoring vykonáva naše Cyber Defense Centrum.
