Podkast 22T41 Scenariusz Ataku Ransomware

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to typowy scenariusz ataku Ransomware. Ataku dotyczącego zaszyfrowania danych i żądania okupu. Pierwszym elementem każdego ataku jest rozpoznanie. Czyli najpierw atakujący próbuje namierzyć jaki cel, jaka firma, będą dla niego atrakcyjne, jakie firma ma zasoby i możliwości finansowe. Tego typu elementy. Jeżeli chodzi o rekonesans to dotyczy on również infrastruktury – tego obszaru, którego ja dotykam – konkretniej infrastruktury sieciowej ale nie tylko. Oczywiście próbuje rozpoznać wszystko co ma w zasięgu.

Kolejnym krokiem po takim wstępnym rozpoznaniu jest zastanowienie się takiego atakującego jak najlepiej podejść do danego celu. Zastanawia się czy atak Phishingowy, Malware’owy czy innego rodzaju atak na konkretne osoby. Jeżeli wiemy, że atakujemy daną konkretną firmę to pierwszy jest biały wywiad. Tego typu osoby starają się zorientować kto w tej firmie pracuje, jakie ma stanowiska, co może mieć w zasięgu swoich uprawnień – bo to głównie o to chodzi – aby osiągnąć jak najwyższe uprawnienia w danej organizacji. Po to aby osiągnąć dane, które są dziś największą wartością praktycznie każdej firmy.

Załóżmy, że jest to typowy scenariusz Phishingowy. Atakujący mają namierzoną firmę, mają namierzone osoby, domenę, adresację mailową i wysyłają ten Phishing. Wystarczy tylko, że w organizacji, która ma np 10 000 osób, jedna, odpowiednia osoba kliknie w taki phishingowy mail i mają dostęp do stacji końcowej. Jeden z przykładów, które ostatnio omawiałem to był przykład kompromitacji Okta providera, tożsamości, gdzie serwisowy inżynier miał zainstalowany malware, który umożliwiał wykonywanie kodu z jego stacji. Wszystko co miał w zasięgu było narażone na taki atak. Czyli wszystkie informacje dotyczące keys’ów, wszystkich spraw, które obsługiwał i systemy, do których miał dostęp. Załóżmy więc, że w takiej firmie namierzają jakąś osobę – zapewne na początku to będzie typowy pracownik z typowym poziomem uprawnień. Więc mamy sytuację taką, że jest już jakiś malware i dostęp do stacji końcowej i dostęp do naszych zasobów firmowych ale od strony wewnętrznej. Typowy schemat, że z zewnątrz jest niebezpiecznie, czyli z internetu, a wewnątrz firmy bezpiecznie. Mamy pracowników w naszym biurze i oni są bezpieczni. To już wiadomo, że taki schemat działa.

Gdy mamy już takiego atakującego na stacji końcowej to stara się on pozyskać najpierw informacje o tym, do czego ma dostęp dany pracownik lub dana stacja. Stara się pozyskać z jednej strony możliwie dużo informacji np. czy uda mu się pozyskać login i hasło tego użytkownika lub zalogować w jakiś skuteczny sposób. Jednocześnie próbuje się zorientować do jakich systemów ma dany pracownik dostęp. Czy ma dostęp do domeny, bazy danych bądź SAP’a lub innych wartościowych z punktu widzenia atakującego systemów. Oczywiście skanuje też szerzej daną sieć, patrzy do czego ma dostęp. Nie koniecznie ten pracownik musi używać dostępu i tak dzieje się często, że dany pracownik nie używa jakiegoś Windows Serwera ale dostęp do niego ma jeśli chodzi o adresację access listy i politykę na Firewallu. Jeżeli atakujący wie do czego ma mieć dostęp bądź do czego może mieć dostęp z punktu widzenia przejętego laptopa czy komputera, to stara się skanować jakie rodzaje podatności są na tych innych systemach. Załóżmy, że jest to Windows Server nie patch’owany, stara wersja, pewnie do zastosowań testowych, laboratoryjnych bądź innych. Nikt mu się tam nie przyglądał.

Atakujący starają się pozyskać dostęp do tej stacji. Jeżeli to się uda, ma tam podatność, przez ktorą uda się wykonać zdalny kod i przejąć dostęp do tej maszyny to zaczyna się tzw. przemieszczanie w poziomie, czyli zaczyna być więcej punktów zaczepienia dla takiego atakującego, niż tylko ta pierwsza stacja, do której był pierwotnie podłączony. Oczywiście z kolejnej stacji stara się skanować wszystkie systemy, sieć, dostępne adresy IP, serwery, DNS, serwery Samby, wszystko co tylko może stara się zewidencjonować.

Jak już ma tą widoczność i widzi więcej w tej sieci to zastanawia się w którym kierunku teraz najłatwiej będzie mu wykonać kolejny atak, kolejny krok. To co jest najczęściej celem w przypadku ataków Ransomware to jest dotarcie do konta admina domenowego. Ponieważ większość zwłaszcza dużych organizacji ma domenę to wiadomo, że jeżeli uda się dojść do takiego punktu, gdzie pozyska się użytkownika i hasło, czy namiary na te dane i to będzie konto z uprawnieniami administratora domeny to w zasadzie mamy sprawę załatwioną. Mamy dostęp do wszystkich systemów i co więcej informacje o tym, jacy użytkownicy do jakich systemów mają dostęp. W związku z tym możemy sobie spokojnie planować dalsze kroki ataku.

Ale idźmy po kolei. Mamy już teraz dwa punkty zaczepienia tego atakującego i szuka on sobie dalej szuka kolejnego systemu. Znalazł trzeci system, też zapewne Windowsowy, bo takich jest najwięcej w naszych firmach i stara się pozyskać hash’e związane z hasłami. Takie hash’e też można później próbować zamienić na konkretne hasła i dzięki temu krok po kroku poszerzać swoją możliwość eksploracji danego klienta. Na tym etapie pytanie czy dany klient ma jakieś narzędzia, które pokażą, że coś się dzieje bo najczęściej tego typu interakcje trwają dość długo. Czyli to skanowanie, rozpoznanie, ewidencjonowanie pozyskanie kolejnych hostów – to są kroki, które najczęściej trwają conajmniej kilka dni, jak nie dłużej. Dzięki temu atakujący zyskuje coraz więcej informacji o infrastrukturze wewnętrznej danej sieci, danego klienta.

Jeśli uda się kolejnymi atakami uzyskać kolejne zasoby – to oczywiście jest pracochłonny proces, jeżeli miałeś kiedyś okazję zobaczyć nawet jak ktoś próbuje atakować lub pozyskać dostęp do systemu w sposób nie autoryzowany, wykorzystując jakieś podatności to jest to po prostu metoda prób i błędów. Szuka jakie usługi są uruchomione, czy na te usługi ma jakieś skrypty, które odpowiednio wykorzystują luki, czy to zostało już załatane w danym systemie czy nie. Teraz zobacz, że jeśli masz dostęp do większej ilości systemów, to szansa, że znajdziesz lukę w jednym z nich, rośnie. Czyli chodzi o to, aby powiększyć jak najbardziej swój zasób dostępnych systemów i próbować możliwie jak najwiecej ataków znanych przede wszystkim, na systemy, które mogą być nie spatchowane.

Tutaj też jest ciekawostka: najlepsze praktyki dotyczące bezpieczeństwa – łatanie dziur bezpieczeństwa jest jednym z filarów zapewnienia w każdej firmie, możliwie jak największego poziomu bezpieczeńtwa. Z drugiej strony podatności w dużych firmach jest na tysiące. W związku z tym zespoły utrzymaniowe nie są w stanie na bieżąco łatać wszyskich systemów to jest po prostu operacyjnie nie możliwe. Dlatego często jest tak, że angażuje się pewne narzędzia, które nam potrafią priorytetyzować te podatności i dzięki temu wiemy gdzie mamy jakie podatności i jak je łatać. Nie jest to kwestia tylko narzędzia do Patch Management’u, czyli do tego zarządzania Patch’ami, czyli tymi łatkami ale to też jest kwestia np. okien serwisowych, przecież te systemy najczęściej coś robią. Ich aktualizacja wymaga restartu, są to często klastry. Nie jest to tak jak z komputerem końcowym, że: dobra to odpocznę sobie chwilę, pięć minut poczekam, zaktualizuje się i mam wszystko gotowe. Z serwerami jest to niewątpliwie dużo trudniejszy proces. Tym trudniejszy, im większa firma bo więcej jest użytkowników i procesów, które dookoła korzystają z takich zasobów.

Idźmy dalej. Ten atakujący szuka sobie możliwie dużo serwerów, szuka w nich podatności, próbuje dostać się do poziomu uprawnień lokalnego administratora jeżeli się uda. Dzięki temu ma możliwość sięgnięcia do procesu, który zapamiętuje np. hasła dla wszystkich użytkowników, którzy się logowali na tym systemie i już zyskujemy kolejne dostępy, czy kolejne informacje o użytkownikach i hasłach i próbujemy te informacje dalej wykorzystywać logując się do kolejnych systemów, pozyskując kolejne zasoby. Jeżeli nam się uda dotrzeć do systemu na którym jest lub był zalogowany użytkownik z uprawnieniami administratora domenowego to sprawa jest już zmierzająca do finishu. Taki atakujący przejmuje konto administratora domenowego i to jest najczęstszy scenariusz wszystkich ataków Ransomware, czyli ataków dotyczących zaszyfrowania danych. Jeśli mamy taką sytuację a standardowo ta nasza domena jest centralnym zasobem przechowywania informacji o użytkownikach to mamy możliwość dostępu do dowolnego systemu w naszej domenie.

Większość to jednak systemy domenowe i jak mamy dostęp do takich systemów to po pierwsze możemy dokładnie powiedzieć jakie to są systemy, jakie bazy danych, jakie są używane systemy backup’owe, gdzie są te dane przechowywane, jeśli są to jak są wysyłane na zewnątrz. Jak już mamy te wszystkie dane, jest totalne rozpoznanie to ostatnim krokiem takiego ataku Ransomware jest po prostu rozpoczęcie masowego szyfrowania danych. Czyli na wszystkich systemach, które chcemy unieruchomić i taki atakujący chce przejąć możliwość odszyfrowania danych w zamian za okup to proces jest na tym etapie już trudny do zatrzymania. Są narzędzia, które potrafią wykrywać tego typu zachowania, robić back up’y, próbować później je przywracać. Widziałem ostatnio takie bardzo ciekawe urządzenie ale pytanie czy da się je zastosować w dużej skali, na wszystkich serwerach których używamy, czy to raczej będzie dotyczyło tylko stacji roboczych. Tu są różne przypadki tych ataków, w zależności od tego jakie dane, jak wartościowe są wykorzystywane, przechowywane, w jakich miejscach. Tutaj na pewno kluczem jest rozpoznanie, dostęp do odpowiedniego poziomu uprawnień i na koniec to, co widzi większość zaatakowanych firm – czyli ekran z napisem – tu możesz wpłacić okup a za to będziemy mogli odszyfrować, odzyskać te dane, które Ci właśnie zaszyfrowaliśmy. Tak to wygląda jeżeli chodzi o typowy scenariusz ataku.

Warto też powiedzieć dwa słowa o tym, jak w związku z tym się bronić. Po pierwsze warto się zapoznawać z bieżącymi trendami, jeżeli chodzi o to w jaki sposób atakowane są dzisiejsze systemy. Ransomware jest jednym z wyników takich ataków ale oczywiście może być wariant tego typu infiltracji dający nie tyle zaszyfrowanie danych, co pozyskujący w sposób niezauważony te dane dla osób czy atakujących, którzy są zainteresowani jakimiś bardzo interesującymi danymi, najczęściej z różnych powodów nie publicznymi.

Pierwszy element jest to zabezpieczanie się w kontekście dostępu. Jedną z dobrych praktyk jest planowanie całej infrastruktury w sposób, który minimalnie udostępnia zasoby dla użytkowników w sposób, który jest wymagany minimalnie do realizowania funkcji, które dany pracownik powinien robić. Z punktu widzenia np. infrastruktury sieciowej jest trend Zero Trust Network Access. Udostępniamy dany zasób użytkownikowi ale tylko w konkretnym zakresie, który jest potrzebny dla jego roli. Jeżeli nastąpi tego typu atak i np. jego stacja zostanie przejęta to wiemy że on miał dostęp tylko do tych konkretnych systemów. Już jest nam łatwiej ograniczyć dalsze kroki – blokowania, ograniczenia dostępu, analizy wydarzeń – do części systemów.

Kolejnym krokiem są bardziej rozwinięte systemy analizowania tego co się działo i jest to olbrzymi temat, bardzo ciekawy – jakie nowe systemy mogą nam pomóc wizualizować dany etap czy historię ataku i to, w którym miejscu się obecnie znajduje ten, który ten atak wykonuje. Jest to bardzo kluczowa informacja, oprócz tego, że możemy sobie historycznie badać, co było to najbardziej nam najczęściej zależy na tym, że jak dostaniemy jakąś informację, że atak jest na pewnym etapie wykonywany, np. rekonesansu, to jesteśmy w stanie zablokować dalsze kroki. Tu też są ciekawe narzędzia, które tego typu kroki pozwalają podjąć. Natomiast nic nie zastąpi świadomości administratora przede wszystkim i to jest tak, jak z budowaniem zamku. To jak zaplanujesz sobie architekturę bezpieczeństwa jest kluczem. Jak zbudujesz sobie zamek, który ma wysokie mury, ma podwójną warstwę i odpowiednich strażników dookoła to jest Ci łatwiej odeprzeć atak, który przyjdzie z nienacka niż jak masz sobie swoją wioskę z małą palisadą i nagle się okazuje, że zaatakował Cię ktoś a Ty jesteś zupełnie nie przygotowany. To jest dokładnie tak samo. Czyli pytanie jakimi narzędziami się wyposażyć, żeby być możliwie przygotowanym, jak zabezpieczyć swoją infrastrukturę, systemy, dostęp do laptopów stacji końcowych użytkowników.

Na każdy z tych tematów można długo mówić. Dzisiaj nie będę każdego etapu rozwijał. Natomiast ważne jest to, żeby próbować robiąc zmianę w architekturze, robić ją w sposób, który umożliwia ograniczenie dostępu do zasobów. Taki pierwszy z brzegu klasyczny przykład to jest tworzenie sieci DMZ’owych, w założeniu takich, które potrafią przyjąć ruch z zewnątrz, jeśli go potrzebujemy ale jednocześnie nie ma możliwości z takiego DMZ’u dostać się do środka przez samego Firewalla. Oczywiście to jest jeden z przykładów zakładający przede wszystkim zabezpieczenie się od sieci publicznych. Natomiast ten Phishing o którym wspomniałem i większość ataków dzisiaj przeprowadzanych jest jednak od strony wewnętrznej. Tutaj bardziej idziemy w stronę systemów NAC’owych i Network Access Control, ograniczanie dostępu, monitorowanie końcówek, posiadanie wiedzy na temat tego co się łączy do naszej siecią którym miejscu się łączy. To są podstawy całkowite do tego, żeby budować tą swoją architekturę przede wszystkim sieciową. Ja się zajmuję głównie tą częścią, która oczywiście gdzieś tam za chwilę podłącza systemy wszelakiego typu. Natomiast jedno jest pewne – podatności na systemach różnego typu zawsze będzie mnóstwo. To wynika ze schematu pisania kodu i z tego jak bardzo rozbudowany ten kod jest, jak bardzo bazuje na różnych gotowych bibliotekach. Więc tutaj spokojnie można przyjąć, że w najbliższym przewidywalnym czasie podatności nam nie zabraknie. Jeśli nie znasz jakiś podatności w systemach rozbudowanych to raczej można przyjąć, że po prostu nikt nie bada tych systemów pod kątem bezpieczeństwa niż to, że one są bezpieczne i nie mają podatności. Widziałem już wiele razy taki przykład, że dany producent, który wszedł w taką aktywną ścieżkę badania bezpieczeństwa swoich systemów czy rozwiązań. Cyklicznie potem publikuje różne biuletyny bezpieczeństwa, które mówią: tu znaleźliśmy podatność, tu znaleźliśmy, tak po prostu w dzisiejszym świecie jest i warto sobie z tego zdawać sprawę.

Na dziś to tyle, dziękuję Ci za uwagę, jeżeli masz jakieś pytania to pisz w komentarzu. Widzimy się już za tydzień!