Влияние неверного времени на отказ систем и инциденты безопасности

Время – величина, определяющая длительность протекания процессов, оно позволяет нам определять себя в направлениях «было», «сейчас», «будет». Но если живые существа могут осознавать время, его движение, то техника и инструменты не имеют данного восприятия. Следовательно, у них нет понятия единого правильного восприятия времени, у каждой техники, каждого инструмента своё «правильное» время.

При постепенном развитии компьютерных сетей возникла проблема несогласованности времени на хостах, разница во времени искусственно увеличивала время доставки сетевых пакетов, из-за чего они считались уже недействительными при получении. Для согласования времени был создан протокол NTP (Network Time Protocol). Данный протокол принёс согласование времени в сети относительно UTC, с формированием иерархии NTP-серверов.

Со временем компьютерные сети расширялись, соединялись и постепенно стали общедоступными. Изначально для работы было достаточно использовать протоколы, работающие в открытом виде, без применения методик скрытия или защиты передачи данных. Интернет вошёл в жизнь общества. Количество пользователей начало стремительно расти, появилась необходимость решения ряда вопросов по защите передаваемой информации:

точно ли, что никто кроме получателя не сможет понять передаваемую информацию?
точно ли итоговый получатель является изначально запланированным получателем?

Для ответа на данные вопросы было принято решение развивать криптографию в компьютерных технологиях.

Данное решение привело к развитию двух направлений:

криптография для передачи: для безопасной передачи данных было введено шифрование данных, что позволяло обеспечить защиту данных при передаче. В качестве обеспечения однозначного шифрования/дешифрования данных в качестве общего секрета было решено использовать время, поскольку оно уже было синхронизировано через протокол NTP;
сертификаты для подтверждения идентичности: для подтверждения конечных хостов была сформирована концепция PKI, в основе которой используются сертификаты безопасности для подтверждения идентичности. Сертификат безопасности выступает гарантом того, что владелец является тем, за кого себя выдаёт. Сертификаты безопасности имеют срок применения, а также используют в своей работе время UTC для шифрования.

Таким образом время укоренилось в компьютерных технологиях, став их неотъемлемой частью. Когда используется верное и согласованное время, всё хорошо и все системы работают штатно. Рассмотрим, к чему может привести неверное сетевое время, появившееся в результате ошибки или целенаправленного влияния.

Можно выделить следующие основные группы последствий:

сетевые сбои;
сбои отдельных хостов;
сбои отдельных приложений.

Сбои в работе сети

Несинхронизированное в сети время может привести к ошибкам взаимодействия следующего рода:

Некорректная работа контроллеров домена, состоящего из множества компьютеров: контроллеры домена во время своей работы используют время во множестве сетевых протоколов, и несогласованность домена во времени может парализовать весь домен. Первые ошибки возникнут на уровне протоколов аутентификации, работа которых связана с использованием временных меток. Неправильная аутентификация приведёт к прекращению работы инфраструктурных служб, что приведёт к отказу доступности некоторых функций домена.
Изоляция инфраструктуры: чаще всего контроллер домена выступает в качестве локального NTP-сервера инфраструктуры. Если NTP-сервер настроен неверно, он также будет реплицировать неверное время на другие устройства сети, что сделает невозможным доступ во внешнюю сеть. Для безопасности в NTP-серверах применяют безопасные версии протоколов, которые в своей работе используют временные метки.
Неправильная работа протоколов аутентификации: протоколы аутентификации используют в своей работе временные метки для повышения вероятности корректного и однозначного идентифицирования пользователя в сети. Если на конечном хосте используется неверное время, при попытках аутентификации его сессия будет считаться уже истекшей или невалидной, за счёт использования временных меток в криптографических протоколах. В качестве примера можно привести протокол Kerberos, формирование тикетов которого привязано к времени.
Использование неактуальных данных аутентификации: в доменных именах, отключённых от сети домена, последние данные, с которыми был совершён успешный вход в домен, некоторое время считаются верными и хранятся в качестве кеша. Смена времени позволит вернуть актуальность уже истекшим данным аутентификации, что может быть использовано злоумышленником.
Недоступность сетевых ресурсов: несогласованность во времени внутри сети приводит к вопросу согласования протоколов: невозможность использования безопасных сетевых протоколов приведёт либо к выбору менее защищённых протоколов, либо к невозможности установки соединения.
Истекшие сертификаты: как было описано выше, для передачи данных в сети было внедрено шифрование, использующее время UTC в своей основе. Если хост в сети имеет время, отличное от локального, его сертификаты будут считаться некорректными, что приведёт к некорректной работе сетевых протоколов.

Сбои в работе отдельных хостов

Рассмотрев обще инфраструктурные ошибки, можно перейти к аномалиям на отдельных хостах. Неправильное время отдельного хоста может сильно ограничить его связь с миром либо привести к ряду ошибок:

Ошибки работы приложений: некоторые приложения активно используют сеть Интернет во время работы или во время запуска для проверки лицензии. Такие приложения используют собственные или стандартизированные безопасные протоколы для доступа в Интернет, неправильное время хоста может привести к невозможности использования безопасных протоколов, что повлияет на работу приложений.
Ошибки в работе планировщика задач: некоторые задачи на отдельных хостах, такие как проверка доступных обновлений, создание бэкапов, настроены работать через планировщики задач по триггерам или по времени. Разовые ошибки подобного рода не являются критичными, однако при их накоплении это может привести к неприятным последствиям.
Установка локальных обновлений: если в инфраструктуре есть свой центр распределения обновлений Windows, то конечный хост с неправильным временем не сможет получать локальные обновления системы, что сделает его уязвимым.

Сбои в работе приложений

Ну и последняя линия, где возможны ошибки, возникшие из-за неправильного времени, — уровень приложений. Неправильное время конечного хоста может привести к ошибкам следующего рода:

Использование неактуальных протоколов: при инициализации сетевого соединения на уровне приложений определяется, какие сетевые проколы будут задействованы. Выбор всегда осуществляется от наиболее защищённых к менее защищённым, при условии, что все члены соединения должны поддерживать предлагаемый протокол. Все современные протоколы содержат в себе временные метки, из-за чего выбор будет осуществлён в сторону менее защищённых. В качестве примера можно привести ситуацию, когда нет возможности установить соединение через протокол FTPS (FTP over SSTL/TLS), в таком случае для передачи будет использоваться протокол FTP, протокол не шифрует данные, передавая их в открытом виде.
Ошибки синхронизации данных: подобные ошибки могут возникнуть по нескольким причинам: хост не может связаться с сервером синхронизации данных или хост не может валидировать актуальность данных. В первом случае ошибка возникает из-за невозможности установки соединения по безопасным сетевым протоколам. Во втором случае изза смены времени конечный хост не может подтвердить актуальность данных на сервере синхронизации, считая их либо устаревшими, либо более актуальными, что может привести к потере данных.
Ошибки работы лицензии программного обеспечения: при работе с коммерческими продуктами лицензия подтверждается за счёт нескольких факторов: текущая дата, время действия лицензии, подтверждение со стороны сервера лицензирования. Неактуальность одного из факторов может привести к прекращению работы лицензионного ПО.

Инциденты информационной безопасности

Разобравшись с влиянием неверного времени на инфраструктуру, можно перейти к анализу влияния на инциденты информационной безопасности.
Неверное время конечного хоста приведёт к ряду взаимосвязанных проблем:

Отправка логов событий в прошлое/будущее: SIEM-системы берут логи событий систем с помощью агентов-сборщиков. Агенты собирают данные с конечных хостов, проводя первичное обогащение событий (добавление временных меток и другой метаинформации) с последующим отправлением данных на коллектор событий. Коллектор событий собирает данные со множества устройств без их анализа, его главная задача — передать данные на обработку в SIEM-систему. Иногда коллектор производит обогащение данных (добавление служебных меток). Такой алгоритм событий приводит к возможности отправки событий в прошлое или будущее.
Обход правил безопасности: SIEM-системы анализируют трафик, поступающий с коллектора в реальном времени, с помощью правил корреляции (событие A и последующее событие B = срабатывают правила безопасности). При этом правила безопасности работают с определённым временным интервалом. В качестве примера: правило срабатывает один раз в 10 минут с анализом событий за прошедшие 10 минут. Однако из-за некорректных временных меток события не попадают во временные рамки правил безопасности SIEM или нарушается временная корреляция между взаимосвязанными событиями, что приводит к обходу правил безопасности SIEM, кратно снижая эффективность системы в зависимости от размера инфраструктуры.
Осложнённый сбор дельты событий: поскольку логи событий были отправлены по неправильной временной метке, а также на каждом этапе перемещения логов добавляются своя метаинформация и свои временные метки, возникает проблема корреляции созависимых событий, а именно дельта событий распределяется по всем временным меткам, что в разы усложняет составление таймлайна инцидента безопасности.
Повторное использование сетевых пакетов: если IT-инфраструктура не подразумевает средств одноразового и однозначного использования сетевых пакетов, злоумышленник может использовать сетевые пакеты повторно, проводя атаки рода replay. Подобные атаки направлены на перехват сетевого трафика. Проанализировав трафик, злоумышленник определяет пакет успешной аутентификации, актуализирует в нём временные метки и повторно его отправляет, тем самым успешно аутентифицируясь.

Proof of concept

Для практического доказательства возможности обхода средств мониторинга и антифорензики с помощью времени был создан стенд с SIEM-системой с подключённым к ней хостом под управлением ОС Windows.

Был смоделирован кейс: на целевом хосте было изменено время (с 13 марта 2:00 на 11 марта 2:00), что отразилось на графике событий:

Временная метка события до смены времени:

Временная метка события после смены времени:

Событие изменения времени:

Также смена времени приводит к артефактам на хосте, что может быть использовано злоумышленником для антифорензики:

Рис. 1. Появление на хосте артефактов.

В данном тесте предполагаемый злоумышленник отправил хост в будущее, что видно из расследования при форензическом анализе снятого образа хоста-жертвы. Использование данной техники злоумышленником усложнит расследование.

Итог:

В данном кейсе получилось смоделировать изменение времени конечного хоста, что повлияло на корректность работы SIEM-системы: данные с хоста пришли в «прошлое», что позволило событиям хоста обойти правила корреляции, не скрывая сам факт активности. Данная особенность средств защиты может быть использована злоумышленником в своих целях.

Защита:

Рассмотрев методы реализации угрозы, крайне важно также рассмотреть методы противостояния этой угрозе.

В данном случае наиболее простым и надёжным методом защиты будет обогащение данных. А именно, добавление дополнительных временных меток. В описываемом случае было решено добавить данные времени на каждом этапе прохождения события:

Мы можем видеть сразу несколько временных меток: event.raw.timestamp (время события с хоста источника), event.parser.timestamp (время получения события коннектором), @timestamp (время получения события ядром SIEM-системы). В данном случае @timestamp является основной временной меткой, что делает изменения времени хоста бесполезным для обхода правил корреляции SIEM-системы.

Рис. 2. Добавление дополнительных временных меток.

Выводы

Определив, как присутствует время в инфраструктуре, к каким ошибкам может привести сбой времени и как неверное имя может повлиять на инциденты информационной безопасности, необходимо определить основные методы защиты от подобных ошибок:

Использование сервисов синхронизации времени с шифрованием: использование NTP-серверов внутри инфраструктуры явная необходимость. Однако стоит отметить важность использования защищённых версий протокола NTP: NTPv4, NTS.
Создание своего NTP-сервера: исторически сложилось так, что число публичных NTP-серверов в пространстве интернет-сегмента .ru относительно небольшое, и это может стать фактом их ненадёжности. Для повышения надёжности необходимо использование своего NTP-сервера в инфраструктуре, что можно обеспечить с помощью контроллера домена, так как они поддерживают данный функционал.
Ограничение количества обращений к источникам времени: NTP-протокол уязвим для атак типа DoS и Poising, поэтому при настройке крайне важно ограничить как количество пользователей, которые могут обращаться к NTP-серверу, так и количество возможных обращений.

Источники:

[1] https://www.ntp.org/reflib/exec/
[2] https://learn.microsoft.com/ru-ru/windows-server/networking/windows-time-service/how-the-windows-time-service-works
[3] https://habr.com/ru/articles/942932
[4] https://habr.com/ru/articles/876536
[5] https://support.kaspersky.ru/xdr-expert/1.1.8/265140
[6] https://mikrotik.wiki/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B8%D1%8F:D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D1%8B:NTP

Об авторе: