Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część V: automatyzacja ataków i fałszywe działania

Zapraszam na przedostatnią część cyklu SOPHOS dotyczącą raportu bezpieczeństwa. Poprzednie części znajdują się tutaj, tutaj, tutaj i tutaj.

Automatyzacja pomaga w atakach

Atakujący używają kombinacji zautomatyzowanych narzędzi i samych użytkowników, aby coraz skuteczniej unikać wykrycia przez narzędzia służące do zapewniania bezpieczeństwa. W 2019 r. zespół operacyjny Sophos obserwował atakujących automatyzujących wcześniejsze etapy ataków, w celu uzyskania dostępu i przejęcia kontroli nad środowiskiem. Kolejnym etapem działania atakujących było zidentyfikowanie i przejęcie konkretnego użytkownika lub komputera.

Techniki unikania wykrywania przez atakujących są ciągle ulepszane, komputery atakowane są interaktywnie, przy udziale użytkownika – tym samym zmniejszana jest zależność od mniej skutecznych w pełni zautomatyzowanych metod. Po uzyskaniu dostępu osoby atakujące badają środowisko przy użyciu pasywnych i aktywnych technik – należy stworzyć topologię środowiska. Technika ta zapewnia ukrytą identyfikację kluczowych celów, takich jak administracyjne stacje robocze, stacje końcowe przechowujące dane oraz serwery kopii zapasowych.

Korzystając z legalnych narzędzi administracyjnych i innych narzędzi „z drugiego obiegu”, takich jak ping, nmap, net i nbtsat, atakujący przechodzi coraz wyżej w hierarchii dostępu do danych. Administratorzy, którzy ściśle monitorują logi, często wstępnie odfiltrowują te ruchy w narzędziach do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), ponieważ zachowania naśladują prawidłowe działania administratora i generują wiele fałszywych alarmów.

Atakowanie kopii bezpieczeństwa to dziś standard

Podczas incydentu w który zaangażowane jest oprogramowanie ransomware zawsze pada pytanie, czy możliwe jest przywrócenie danych do stanu sprzed ataku. Niestety, taktyki i procedury stosowane do kompromitowania i szyfrowania serwerów i punktów końcowych są tymi samymi metodami, których można użyć do skompromitowania automatycznych kopii zapasowych tak, aby owe kopie stały się bezużyteczne.
Atakujący zdali sobie sprawę, że w sytuacji, kiedy są w stanie zniszczyć kopie zapasowe lub uczynić je bezużytecznymi, od razu skutkuje to wyższym odsetkiem ofiar płacących okup. Organizacje skupiające się na tworzeniu kopii zapasowych i ich odzyskiwaniu, zamiast prewencyjnego i szybkiego neutralizowania zagrożeń, narażają się na ryzyko, ponieważ nie będą w stanie odzyskać danych z kopii zapasowych po atakach ransomware.

Oprogramowanie użytkowe jako malware

PowerShell i PsExec nadal są niezawodnymi narzędziami dla administratorów IT podczas wykonywania czynności administracyjnych w ich środowisku. Niestety, narzędzia te są również wykorzystywane do rozprzestrzeniania oprogramowania ransomware i do wyciągania danych danych. Wyzwaniem dla bezpieczeństwa jest określenie różnicy między złośliwym a nie-złośliwym użyciem tych narzędzi administracyjnych.

Rozproszenie kodu i skuteczne przekierowania wewnątrz złośliwych programów kierowanie są podstawą w cyber-rzemiośle. Można powiedzieć, że „łagodne złośliwe oprogramowanie” to kod, który został pomyślnie umieszczony na komputerze ofiary, wykonany, ale stało się to bez szkody dla użytkownika końcowego.  Jakiekolwiek dane dostępne dla atakującego mogą być dla niego przydatne, nie musi wykonywać czynności szkodzącym komputerom bezpośrednio.

Czy złośliwy kod/aplikacja została skutecznie zainstalowana/umieszczona na komputerze ofiary? Czy skrypt został poprawnie wykonany przy wykonywaniu zadania systemowego? Czy została nawiązana skuteczna komunikacja z serwerem włamywacza (c&c)? Czy aplikacja może być zdalnie zaktualizowana i usunięta? Sukces (lub porażka) każdej z tych czynności jest przydatny do testowania ataku i do realizowania fałszywych przekierowań wewnątrz aplikacji. Tworząc wiele możliwych aktywności wykrywanych przez aplikacje służące bezpieczeństwu, których wykrycie jest czasochłonne, ale same te aktywności nie są złośliwe, zachowanie aplikacji można zmodyfikować, aby przeprowadzić udany atak, który jest o  wiele cichszy i skuteczniejszy – aplikacja zapewniająca bezpieczeństwo skanuje potencjalnie niegroźne akcje, a złośliwa aplikacja w międzyczasie już wykonuje złośliwy kod.

Potencjalnie niechciane aplikacje są często ignorowane

Potencjalnie niechciane aplikacje (PUA) są interesujące, ponieważ są ignorowane w większości programów monitorujących bezpieczeństwo. Są niedoceniane, w porównaniu do szkód spowodowanych przez tradycyjne szkodliwe oprogramowanie. Niebezpieczeństwo związane z PUA polega na tym, że chociaż mogą wydawać się łagodne i zostać zignorowane (np. niechciana wtyczka do przeglądarki), mogą zostać aktywowane i wykorzystywane jako łącznik w dostarczaniu i złośliwego oprogramowania i ataku bez plików. W związku z faktem, że zespoły bezpieczeństwa dążą do automatyzacji oraz korzystania ze zautomatyzowanych reguł działania, ważne jest, aby nie lekceważyć cyklu życia ataku i technik stosowane przez zaawansowanych atakujących, ponieważ sama automatyzacja procedur to nie wszystko.

Jeśli chcesz dowiedzieć się więcej na temat rozwiązań SOPHOS, które pomogą ochronić Twoją organizację przed malware i innymi niebezpieczeństwami czyhającymi w sieci zajrzyj na stronę http://sophos.com.pl i na stronę https://suncapital.pl