VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 16 min 36 sek zpět

SolarWinds je další z mnoha, písnička ale stále stejná: Supply Chain Attack

17 Prosinec, 2020 - 17:24

V posledních dnech se objevila spousta článků o sofistikovaných hackerských útocích na společnosti jako FireEye či SolarWinds a v návaznosti na to i o útoku na americká ministerstva. Všechno pak spojuje pojem “Supply Chain Attack“, tedy způsob, jakým byl útok veden…

Supply Chain Attack

Nebudu opakovat informace, které se dočtete například na Lupa.cz, pouze se zaměřím na pojem “Supply Chain Attack“. V českém překladu to znamená něco jako útok na dodavatelský řetězec, což asi k pochopení příliš nestačí. Pointa je, že se útočníci snaží nabourat do infrastruktury IT společnosti, jejíž software se využívá i u skutečného cíle útoku.

V tomto konkrétním případě tak byla skutečným cílem útoku americká ministerstva a software společnosti SolarWinds posloužil pouze jako zadní vrátka, neboť je ve státní správě hojně využíván.

Jeden útok, mnoho obětí

Výhodou pro útočníky je, že jakmile získají kontrolu třeba jen nad jednou takovou IT společnosti, automaticky se jim otevírá mnoho dveří ke všem jejich zákazníkům. Zároveň může být supply chain attack vhodnou cestou v případě, že je zabezpečení cíle útoku silné z venku. Útok skrze něco, co už roky bez problémů uvnitř sítě běží a stalo se její nedílnou součástí (zde aplikace SolarWinds), nikdo nečeká.

Může se nám to stát i doma

Připomeňme, že supply chain attack se může dotknout i běžného smrtelníka. I na viry.cz se psalo například o kompromitaci aplikace CCleaner na čištění počítače (tehdy verzi pod nadvládou útočníků používalo přes 2 miliony lidí!) či ASUS Live Update (odhaduje se přes 1 milion PC, kde běžela kompromitovaná verze).

Obrana?

Jak se supply chain útokům bránit? No vlastně nevím. Pokud totiž bude úspěšný, ani se o něm nedozvíme, případně se o něm dozvíme pozdě (jako nyní z médií). Mít počítač bez software a bránit tak podobným útokům, to je asi k ničemu. Malé firmy a domácí uživatele může uklidnit fakt, že patrně nebudou cílem špionáže. Musíme ale doufat, že se někdo touto metodou nerozhodne distribuovat ransomware. Ten si totiž nevybírá…

The post SolarWinds je další z mnoha, písnička ale stále stejná: Supply Chain Attack appeared first on VIRY.CZ.

Kategorie: Viry a Červi

V osobní péči útočníků

8 Prosinec, 2020 - 09:02

Stále větší množství útoků, při kterých jsou od obětí vyžadovány peníze, se děje v režimu “osobní péče útočníků”. Útoků se tak aktivně účastní lidé / hackeři na druhé straně barikády. Způsobené je to patrně tím, že běžný útok ransomware, který je hromadně distribuován na širokou základnu uživatelů (formou phishingové kampaně, …), nesklízí takové úspěchy jako v minulosti. Může k tomu vést například i toto…

  • Došlo k významnému posunu detekce havěti typu ransomware ze strany antivirů a dalších bezpečnostních řešení (detekce exploitů, monitoring aktivit v PC, sledování podezřelých operací na souborovém systému, …).
  • Stouplo povědomí o problematice ransomware. Sem tam už někdo ví, že není úplně dobré na všechno klikat a všemu věřit.
  • Potenciální oběti zjistily, že zálohování dat není až zase taková zbytečnost.
Konkurence

Individuální útoky navíc dokážou způsobit značný mediální rozruch (útok na nemocnici či známou společnost) a vzhledem k tomu, že za nimi stojí celé organizované skupiny, které si prokazatelně konkurují, tak i vyvolat sérii dalších významných “úlovků”.

Vzdálená plocha v hlavní roli

Nejoblíbenějším vstupním bodem je přitom služba RDP (TCP 3389), tedy vzdálená plocha. Kolem této služby se bohužel motá několik exploitů, nazvaných jako DejaBlue, BlueKeep či EternalBlue a možnost brute force útoků pro prolomení hesel. Pokud tak nedochází k pravidelné aktualizaci operačního systému, nedej bože je do internetu vystrčen Windows 7 či starší, je zde vysoké riziko úspěšného útoku. Při něm pak dochází k eskalaci oprávnění bez interakce uživatele. Útočníkům přišla vhod i současná situace kolem COVID19, kdy řada lidí pracuje z domova a služba RDP se stala první volbou pro zajištění vzdáleného přístupu zaměstnanců do firmy.

Tak co ukradneme?

Jakmile je útočník uvnitř firemní sítě, další postup je zcela v jeho režii. Nástroje jako mimikatz, lazagne, psexec či užití služeb AD, WMI, …, vede k tomu, že útočníci mají celou síť dokonale zmonitorovanou a pod kontrolou. S plnými právy není problém provádět hromadnou vzdálenou odinstalaci bezpečnostních produktů či naopak vzdálenou instalaci nástrojů či rovnou ransomware na koncové stanice. Toto ale představuje závěrečnou fázi útoku. Ještě předtím je zajímavější vypátrat úložiště záloh, tyto znehodnotit a především pak exfiltrovat (odcizit) citlivá data společnosti. Tuto fázi nazýváme perzistence, kdy se útočníci snaží v síti vydržet co nejdéle a využít toho například pro stažení veškerých dat společnosti (know-how, citlivé informace, …).

A co si za to řekneme?

Jak už bylo psáno v některé z předchozích novinek, z pohledu útočníka je pak ideální požadovat výkupné hned 2x, za obnovu zašifrovaných dat a následně za nezvěřejnění ukradených dat. Zatímco s prvním výkupným je můžeme poslat do háje v případě existujících záloh, u druhého to je horší.

A jak to nakonec dopadne?

Jisté je, že platit za nezvěřejnění odcizených dat je nesmysl. Podle KrebsonSecurity nemá oběť žádnou jistotu, že útočník data smaže. Výzkum ukazuje, že řada obětí našla svá data veřejně online i přesto, že zaplatily. Je potřeba počítat s tím, že data nebudou skutečně smazána a budou prodána, nebo použita k dalšímu vydírání. Ukradená data ve skutečnosti drží několik hráčů zapojených do útoku a pokud zaplatí jednomu, tak ten v lepším případě smaže pouze jím drženou kopii a oběť může být v budoucnu vydírána někým jiným. Též se stává, že jsou data omylem, či úmyslně zveřejněna ještě předtím, než oběť stihne reagovat na nabídku výpalného.

The post V osobní péči útočníků appeared first on VIRY.CZ.

Kategorie: Viry a Červi