Державний університет телекомунікацій

Навчально-науковий інститут захисту інформації

Кафедра інформаційної та кібернетичної безпеки

SIEM системи

ЗВІТ

з лабораторної роботи на тему:

Аналітика та адміністрування SIEM-системи

Виконала: Зімич Соломія

студентка групи СЗД-32

Київ, 2023
 Метою комплексної лабораторної роботи є закріплення отриманих
знань, розвиток умінь та навичок щодо:
здійснення аналітичної роботи по дослідженню інцидентів (визначення
цілей, характерних часових показників, інструментарію, який застосовувався,
та його можливостей, уразливостей інформаційних систем, які
експлуатувалися тощо);
здійснення адміністрування SIEM-системи (за результатами проведеної
аналітичної роботи) шляхом створення відповідних кореляційних правил
механізму користувальницьких правил даної системи;
Завдання:
вибрати один із останніх кіберінцидентів та дослідити причини, які
призвели до його успішності (індикатори кіберзагроз – показники (технічні
дані), що використовуються для виявлення та реагування на кіберзагрози);
за кожним результатом аналізу конкретного кіберінциденту,
використовуючи можливості системи IBM QRadar SIEM, розробити
кореляційні правила та втілити їх у систему.

Програма-Вимагач AvosLocker
Як послуга (RaaS)
AvosLocker — це афілійована група програми-вимагача як послуги
(RaaS), яка націлена на жертв у багатьох секторах критичної інфраструктури
в Сполучених Штатах, включаючи, але не обмежуючись, сектора фінансових
послуг, критичного виробництва та державних установ.

Що сталося?
Вперше це було помічено в середині 2021 року, коли зловмисники
використовували спам-кампанії електронної пошти як початкові вектори
зараження для доставки програм-вимагачів.
 AvosLocker стверджує, що безпосередньо веде переговори про викуп, а
також публікує та розміщує викрадені дані жертв після того, як їхні філії
заражають цілі.
У результаті індикатори компрометації (IOC) AvosLocker відрізняються
між індикаторами, характерними для зловмисного програмного забезпечення
AvosLocker, і індикаторами, характерними для окремої філії, відповідальної
за вторгнення.
Як і будь-яке інше програмне забезпечення-вимагач, AvosLocker
шифрує файли на комп’ютері жертви та перейменовує їх із розширенням
[ім’я] та .avos у середовищі Windows, у середовищі Linux — «.avoslinux».
Потім зловмисники залишають певний тип повідомлення на сервері-
жертві та містять посилання на певний тип платежу або посилання на
платіжний сайт AvosLocker .onion.
Ви отримаєте повні інструкції щодо того, як сплатити викуп, у деяких
ситуаціях вам навіть може зателефонувати зловмисник і вказати, як
заплатити йому гроші за відновлення ваших файлів.

Хто є цілями атак програм-вимагачів AvosLocker?

Якщо ви думаєте, що не є жертвою, якщо не працюєте в одній із
постраждалих установ, ви помиляєтеся.
Як і всі типи шкідливих програм, жертва не вибирає, бути корпорацією
чи постійним клієнтом у себе вдома.
Наша рекомендація полягає в тому, щоб дотримуватися стандартів і
політики кібербезпеки, якщо ви працюєте в компанії, а якщо ви звичайний
користувач, будьте обережні з електронними листами, які ви отримуєте,
оскільки це найпоширеніший пункт хакерів для таких атак
Зокрема, EC3 об’єднався з національними слідчими в постраждалих
країнах, щоб розробити спільну стратегію та надав цифрову криміналістичну
підтримку, а також сприяв обміну оперативною інформацією між різними
національними організаціями, повідомляє агентство.
 Як захиститися від програми-вимагача AvosLocker?
Перш за все, дотримуйтеся вказівок і політики, якщо ви працюєте в
компанії.
Щоб пом’якшити та запобігти програмі-вимагачу AvosLocker,
організаціям необхідно:
Реалізуйте план відновлення даних, щоб підтримувати та зберігати
кілька копій конфіденційних або приватних даних і серверів у фізичному,
окремому, сегментованому та безпечному місці, наприклад на жорсткому
диску, пристрої зберігання чи хмарі.
Запровадьте сегментацію мережі та підтримуйте офлайн-резервні копії
даних, щоб забезпечити обмежене переривання роботи організації.
Регулярно створюйте резервні копії даних і захищені паролем резервні
копії в автономному режимі. Переконайтеся, що копії критично важливих
даних недоступні для зміни або видалення з системи, де зберігаються дані.
За можливості використовуйте багатофакторну автентифікацію.
Встановіть і регулярно оновлюйте антивірусне програмне забезпечення
на всіх хостах і ввімкніть виявлення в реальному часі. Встановлюйте
оновлення/виправлення операційних систем, програмного забезпечення та
мікропрограм, щойно будуть випущені оновлення/патчі.
Зосередьтеся на обізнаності та навчанні з кібербезпеки. Регулярно
проводите для користувачів тренінги щодо принципів і методів
інформаційної безпеки, а також загальних нових ризиків і вразливостей
кібербезпеки (наприклад, програми-вимагачі та фішингові шахрайства).

Джерело: https://purplesec.us/security-insights/avoslocker-ransomware/