Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część III: Nie ma czasu tego wszystkiego analizować, czyli konsekwencje ignorowania „szumu” w sieci

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się usługami wypuszczanymi na zewnątrz sieci, dziurawym protokołem RDP oraz powracającym jak bumerang zagadnieniem Wannacry.

Poprzednie części możńa znależć tutaj i tutaj.

W ciągu 30 lat, które upłynęły od komercjalizacji Internetu, poziom „hałasu”, który wylewa się na brzegach naszych sieci stale rośnie, zarówno pod względem objętości, jak i zaciekłości. Łagodnym skanom portów towarzyszą sondy sieciowe, które są coraz częściej powiązane z wrogim ruchem generowanym przez robaki.
Całe to „internetowe promieniowanie tła”, analogiczne do kosmicznego promieniowania tła, odpowiada za rosnącą liczbę naruszeń bezpieczeństwa wpływając na szeroki zakres usług i urządzeń internetowych.

Protokół RDP na celowniku

Negatywne wykorzystywanie protokołu Remote Desktop Protocol (RDP) – zarówno jego usługi hostowanej, jak i aplikacji klienckiej, wzrosło znacząco w 2019 r. w następstwie głośnych ataków na protokół RDP ze strony podmiotów atakujących wykorzystujących kampanie ransomware takie jak SamSam.  Wielu atakujących próbuje ponadto użyć usług RDP wykorzystując ataki typu brute force, używając list typowych haseł dostępnych w sieci.

Podstawowe ataki to tylko część problemu. Sophos zaobserwował, że niektórzy napastnicy starannie wybierają swoje cele, przeprowadzają rozpoznanie przeciwko określonym pracownikom i atakują tych pracowników atakami typu spear phishing, aby uzyskać przydatne poświadczenia, które mogą następnie wykorzystać, aby włamać się do organizacji docelowych.

W sytuacji gdy atakujący uzyskają dostęp do pojedynczego komputera, mogą użyć narzędzi takich jak Mimikatz, w celu wykrycia poświadczeń o podwyższonych uprawnieniach przekazywanych przez sieć. Posiadając poświadczenia użytkownika posiadającego uprawnienia administratora domeny zauważyć można, że osoby atakujące wykorzystują te dane do rozprzestrzeniania złośliwego oprogramowania w dużych częściach sieci internetowej, korzystając z narzędzi do zarządzania oprogramowaniem, które są nieodłączną częścią serwerów kontrolera domeny w dużych sieciach.
Ataki przy użyciu tej metodologii były rdzeniem jednych z największych i najbardziej bolesnych incydentów związanych z oprogramowaniem ransomware, które były badane w ubiegłym roku, dlatego rady dla administratorów sieci, którzy zarządzają sieciami korporacyjnymi aby unikać udostępniania połączeń RDP na punktach końcowych sieci nadal pozostają aktualne.

Usługi wystawione „na świat” zagrożone zautomatyzowanymi atakami

RDP nie jest jedyną usługą, której poszukują napastnicy. Coraz częściej przychodzi nam stawiać czoła zautomatyzowanym atakom skierowanym we wszelkiego typu usługi dostępne publicznie. W ubiegłym roku zaobserwować można było  szeroki zakres usług internetowych, które stają się coraz bardziej zagrożone, w sytuacji gdy atakujący próbują wykorzystać luki w zabezpieczeniach i w konsekwencji próbują brutalnie włamać się do serwerów baz danych, routerów domowych i modemów  kablowych, czy do sieci spiętych z urządzeniami pamięci masowej (NAS), atakom nie oparły się również systemy VoIP i cały szereg innych urządzeń „Internetu rzeczy”.
Jeden z najczęstszych ataków, jaki obecnie obserwujemy, pochodzi z sieci, które w przeszłości były hostami dla botnetów takich jak Mirai. Ataki te zwiększają się zarówno pod względem wielkości, jak i pod względem wyrafinowania, ponieważ atakujący stale dokonują drobnych udoskonaleń samych skryptów, które atakują serwery baz danych.
Szczególnie narażone są maszyny hostujące starsze wersje oprogramowania Microsoft SQL Server w domyślnej konfiguracji – znajdują się one niemal pod ciągłym atakiem. Sam mechanizm polega na użyciu złożonego, przeplatanego zestawu poleceń bazy danych, które po pomyślnym zakończeniu powodują, że serwer bazy danych zaraża się całą gamą różnych rodzajów złośliwego oprogramowania.

Dlaczego Wannacry może nigdy nie zniknąć, a Ciebie powinno to obchodzić?

Wannacry pojawił się w sieci 12 maja 2017 r. zalewając Internet i infekując komputery firm, szpitali i uniwersytetów w ataku, którego szybkość i skala  była do tej pory niespotykana. Ransomware, o którego powstanie różne źródła (w tym rządowe agencje wywiadowcze), oskarżają rząd Korei Północnej siało spustoszenie, dopóki kilku badaczy bezpieczeństwa nie odkryło pięty achillesowej w złośliwym oprogramowaniu: tak zwany kill switch (mechanizm lub czynnik przerywający działanie programuzostał przypadkowo uruchomiony, gdy jeden z badaczy, Marcus Hutchins, zarejestrował nazwę domeny internetowej, która funkcjonowała w pliku binarnym Wannacry.

Postępy  w zarażaniu Wannacry skokowo zatrzymały się, sam atak zachęcił administratorów systemów operacyjnych na całym świecie do zainstalowania poprawki bezpieczeństwa wydanej przez Microsoft, (która notabene została opublikowana kilka miesięcy wcześniej). Jak na ironię, wielu administratorów celowo powstrzymało się od instalowania aktualizacji systemu Windows z powodu obawy o zakłócenia do których rzekomo miała ta aktualizacja doprowadzić. Ta wymuszona i niczym nie poparta ostrożność pozwoliła na zainfekowanie niezabezpieczonych systemów, a w konsekwencji na dalsze rozprzestrzenianie się infekcji. Ale to nie koniec.

Kill switch wcale nie zakończył żywota Wanncry. Wręcz przeciwnie. W rzeczywistości, w ciągu zaledwie kilku dni od pierwszego ataku, nieznane osoby dokonały przypadkowych modyfikacji oryginalnej wersji Wannacry które skutecznie ominęły wrażliwą domenę. Ale to nie wszystko. Zmodyfikowane pliki binarne Wannacry zawierały błąd: skrypt, który powodował największe szkody w pierwszej kolejności – sam został uszkodzony. Oprogramowanie nie mogło już szyfrować wszystkich plików. Ale nadal mogło przenosić się na komputery, które nie zostały jeszcze załatane.

Wannacry jest w obiegu do dziś. Badacze SophosLabs raportują, że codziennie otrzymują ogromną liczbę zgłoszeń o próbach infekcji. Na dzień dzisiejszy laboratoria bezpieczeństwa otrzymują więcej alertów o Wannacry niż miało to miało to miejsce w przypadku jakiejkolwiek wcześniejszej rodziny szkodliwego oprogramowania.

Ciągłe raportowanie wykryć Wannacry zwraca uwagę na fakt, że miliony maszyn pozostają nieodporne na błąd, który został załatany ponad dwa lata temu. W tym czasie pojawiło się mnóstwo o wiele bardziej niebezpiecznych ataków. Jeśli maszyny zainfekowane Wannacry nadal są niewyleczone, są również podatne na te nowsze ataki a tym samym stanowią jeszcze większe zagrożenie.
Popularność i szybkość rozprzestrzeniania się Wannacry jest przestrogą i przypomnieniem tego, że aktualizowanie każdego punktu końcowego i komputera w sieci tak szybko, jak to możliwe, jest kluczowe, aby maszyny nie padły ofiarą epidemii ransomware.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf