Adwertorial
Wspólnym mianownikiem przyczyn penetracji infrastruktury jest błąd ludzki, dlatego najczęstszym wektorem ataku jest phishing lub inna forma inżynierii społecznej. Przedstawiamy symulację cyberataku na organizację z wykorzystaniem phishingu oraz to, jak możemy im zapobiec dzięki rozwiązaniu XDR firmy ESET.
Atakujący przygotowuje się do ataku. Za pomocą np. MSFVenoma generuje payload, który da mu reverse shella na porcie 53., dzięki czemu złośliwy ruch będzie trudniejszy do wykrycia. W następnej kolejności na porcie 80. uruchamia prosty serwer HTTP, z którego na komputer ofiary będą pobierane złośliwe pliki. Oprócz tego włącza Metasploita – popularny framework służący do testów penetracyjnych i łamania zabezpieczeń systemów teleinformatycznych. Konfiguruje połączenie i ustawia nasłuch. Gdy wszystko jest gotowe, atakujący czeka na przychodzące połączenie z maszyny ofiary.
PO STRONIE ATAKUJĄCEGO
Atak rozpoczyna się od wysłania do ofiary e-maila. Napastnik, aby brzmieć wiarygodnie i zachęcić ofiarę do otwarcia zawartości, podszywa się pod bank, którego ofiara jest klientem, i informuje, że przesłany załącznik zawiera wykaz transakcji z konta. Załącznikiem jest tak naprawdę spakowany dokument Worda z zawartym makrem. Jego zadaniem jest pobranie z serwera hostowanego przez atakującego i wykonanie wygenerowanego wcześniej payloadu shell.dat.
Ofiara pobiera załącznik, rozpakuje archiwum, a następnie otwiera zawarty w nim plik. Po wykonaniu nawiąże on połączenie zwrotne (reverse shell) z maszyną atakującego. To właśnie reverse shell jest najczęściej pożądaną przez atakujących formą komunikacji, ponieważ oprogramowanie zabezpieczające, takie jak IDS czy firewall, nie jest w stanie go wykryć. Dla tych systemów dane wychodzące będą wyglądały jak normalny ruch HTTPS.
Gdyby endpoint ofiary był objęty pełną ochroną i wszystkie dostępne funkcje zabezpieczające ESET byłyby włączone, a bazy wirusów aktualne, atak zakończyłby się na tym etapie. Antywirus usunąłby zagrożenie zaraz po rozpakowaniu archiwum. Po wykonaniu payloadu u atakującego pojawia się połączenie zwrotne. W przypadku braku jakiejkolwiek ochrony cyberprzestępca w momencie uzyskania reverse shella może bez przeszkód poleceniem Meterpretera upload umieścić na komputerze ofiary np. skrypt, który zaszyfruje wszystkie jej dane. Z poziomu interaktywnej powłoki atakujący skanuje sieć Nmapem. Ze skanu wynika, że na jednej z maszyn otwarty jest port 3389 z usługą RDP do zdalnego pulpitu administratora, na który atakujący za pomocą Hydry przeprowadza atak słownikowy. Jednym ze sposobów odparcia tego typu ataków jest wprowadzenie odpowiednich zabezpieczeń w rodzaju rate limitingu (ograniczenia szybkości żądań). Gdy Hydra znajdzie pasujące hasło, atakujący loguje się przez RDP na konto Administratora. Uruchamia terminal i poleceniem curl pobiera ransomware’a, który szyfruje pliki ofiary oraz wyświetla informację z żądaniem okupu. Spójrzmy teraz na atak z perspektywy obrońcy.
ANALIZA ADMINISTRATORA
Po otrzymaniu informacji o podejrzanej aktywności specjalista ds. bezpieczeństwa loguje się do systemu XDR (Extended Detection and Response). W panelu zarządzania sprawdza, jakie detekcje aktualnie wyświetlają się w panelu. Plik pobrany przez atakującego został uznany za szkodliwy i zakwalifikowany jako file coder, czyli aplikacja szyfrująca. Obrońca zabija jej proces, a następnie sprawdza, jakich zmian dokonał atakujący, przeglądając poprzednie alarmy. Dzięki tej analizie rozpoznaje łańcuch ataku i wie, że sesja zdalnego pulpitu nie była miejscem, przez które atakujący uzyskał dostęp do wewnętrznych systemów. Bezpośrednim punktem wejścia było otwarcie zainfekowanego pliku z rozszerzeniem .docm i uruchomienie zaszytego w nim makra. Obrońca zabija kolejno procesy uruchomione przez atakującego, co spowoduje rozłączenie napastnika i zakończenie ataku.
OBRAZ PO BITWIE
W przedstawionym scenariuszu prześledziliśmy symulację ataku z trzema możliwymi zakończeniami. Dzięki temu możemy się przekonać, że tylko w pełni chroniony za pomocą zaktualizowanego rozwiązania antywirusowego wspartego narzędziem XDR endpoint może odeprzeć prawie wszystkie ataki i zatrzymać lawinę, którą wywołuje ludzki błąd. Producenci stale ulepszają swoje oprogramowanie, dlatego na bieżąco aktualizujmy zarówno nasze oprogramowanie, jak i systemy operacyjne.
Zobacz symulację cyberataku na organizację
Więcej informacji
Bartosz Różalski – Senior Product Manager ESET w DAGMA Bezpieczeństwo IT
rozalski.b@dagma.pl
www.eset.pl