Trh IT outsourcingu i nadále vykazuje celosvětově silný růst – tyto služby jsou stále populárnější. Ale spolu s výhodami, jako je úspora času a zdrojů, delegování vedlejších úkolů vytváří nové výzvy z hlediska bezpečnosti informací. Poskytnutím přístupu ke své infrastruktuře společnostem třetích stran (poskytovatelům služeb nebo dodavatelům) zvyšují podniky riziko útoků na důvěryhodné vztahy – T1199 v klasifikaci MITER ATT&CK.
V roce 2023 se kybernetické útoky na základě důvěryhodného vztahu zařadily mezi tři nejčastěji používané vektory útoků. Při takových útocích útočníci nejprve získají přístup do sítě poskytovatele služeb a poté, pokud se jim podaří získat aktivní přihlašovací údaje pro připojení k síti cílové organizace, proniknou do cílové infrastruktury. Ve většině případů jsou dodavateli malé a střední podniky, které jsou méně chráněny než velké podniky. I proto poskytovatelé IT služeb přitahují pozornost útočníků.
Vektor důvěryhodných vztahů je pro útočníky atraktivní, protože jim umožňuje provádět rozsáhlé útoky s výrazně menším úsilím než jiné vektory. Útočníci potřebují pouze získat přístup do sítě poskytovatele služeb, aby vystavili všechny své klienty kybernetickému riziku, bez ohledu na jejich velikost nebo odvětví. Útočníci využívající legitimní připojení navíc často zůstávají bez povšimnutí, protože jejich akce v rámci infrastruktury postižené organizace vypadají jako akce zaměstnanců poskytovatele služeb. Podle statistik z roku 2023 pouze jedna ze čtyř postižených organizací identifikovala incident v důsledku zjištění podezřelé aktivity (spuštění hackerských nástrojů, malwaru, síťových skenerů atd.) ve své infrastruktuře, zatímco zbytek zjistil, že byly infiltrovány prostřednictvím třetí strana pouze po úniku dat nebo zašifrování.
Jak je nastaven přístup mezi cílovou organizací a poskytovatelem služeb
Jakýkoli způsob připojení dodavatele k systémům cílové organizace – i ten nejbezpečnější způsob – je potenciálním vstupním bodem pro narušitele.
Zákaznická společnost však často poskytuje poskytovateli služeb poměrně široký přístup ke svým systémům, včetně:
- přidělování různých systémů pro provádění operací;
- vydávání přístupů pro připojení k infrastruktuře;
- vytváření doménových účtů.
Komunikace mezi poskytovatelem služeb a klientem nejčastěji probíhá prostřednictvím VPN připojení a služeb Remote Desktop Protocol (RDP). Přístup se nastavuje pomocí certifikátu nebo páru login/heslo a ve vzácných případech je přidána vícefaktorová autentizace. Po narušení infrastruktury poskytovatele služeb mohou vetřelci získat uživatelské účty nebo certifikáty vydané cílovou organizací a připojit se tak k jejich systémům.
Mnoho společností se uchyluje k používání nástrojů pro vzdálenou správu, jako je AnyDesk nebo Ammyy Admin. Většina těchto nástrojů umožňuje automatický přístup pomocí přihlašovacího jména/hesla, ale jsou zranitelné vůči útokům hrubou silou. Kromě toho, pokud jsou špatně nakonfigurovány, tyto nástroje umožňují připojení z libovolných IP adres/systémů, pokud máte platná pověření.
Přístup k interní infrastruktuře lze také organizovat pomocí protokolů SSH nebo RDP a seznamu povolených IP adres. S touto metodou není nutné se připojovat k VPN, ale bezpečnostní rizika výrazně rostou (například možnost útoků hrubou silou).
Zároveň je pro organizace obtížné sledovat, jak poskytovatelé služeb splňují bezpečnostní zásady. Dodavatelé mohou například ukládat pověření pro připojení k síti cílové organizace v prostém textu ve veřejných adresářích nebo v podnikových informačních systémech, jako je Jira nebo Confluence, o čemž klientská bezpečnostní služba nemusí vědět.
Jak útočníci získají přístup do sítě poskytovatele služeb
Při vyšetřování incidentů neustále zaznamenáváme použití různých počátečních útočných vektorů k získání přístupu k infrastrukturám IT outsourcingových společností. Podívejme se na tři nejoblíbenější, které tvoří více než 80 % všech počátečních útočných vektorů.
Nejběžnější metodou počátečního kompromisu je zneužití zranitelnosti aplikací přístupných z internetu. K průniku do infrastruktury tak útočníci nejčastěji využívali zranitelnosti v Microsoft Exchange, Atlassian Confluence, CMS Bitrix a Citrix VDI.
Druhou nejoblíbenější metodou je použití kompromitovaných přihlašovacích údajů. Při každém třetím incidentu, kde byl použit tento vektor, útočníci brutálně vynutili hesla pro služby přístupné z externí sítě: RDP, SSH a FTP. V jiných případech použili data, která byla ukradena před začátkem incidentu.
Zaokrouhlení prvních tří je cílený phishing. Útočníci pokračují ve zdokonalování svých vícekrokových schémat a metod sociálního inženýrství, přičemž k pronikání do sítě často využívají přiložené dokumenty a archivy obsahující malware.
Vývoj útoku
Vyšetřováním incidentů souvisejících s útoky na důvěryhodné vztahy jsme identifikovali nejzajímavější taktiky a techniky útočníků. Uvádíme je zde v pořadí, v jakém se objevují v procesu útoku. V incidentech, na kterých jsme pracovali, lze útočníky rozdělit do dvou skupin podle použité taktiky a techniky: říkejme jim skupina A a skupina B.
Ne. | událost | Popis |
1 | Získání přístupu k poskytovatelům služeb | Ve většině případů začal hack zneužíváním zranitelností v softwaru přístupném z internetu (Initial Access, Exploit Public-Facing Application, T1190). |
2 | Zajištění stálosti v infrastruktuře poskytovatele služeb | Útočníci ve skupině A v této fázi používali výhradně tunelovací nástroj Ngrok. Instalovali jej do infrastruktury poskytovatele služeb jako službu. Kompromitován byl pouze segment Windows (Persistence, technika Create or Modify System Process: Windows Service, T1543.003). |
Útočníci ve skupině B zpočátku používali pro persistenci zadní vrátka, která byla později použita k načtení a spuštění Ngroku nebo utility pro vzdálenou správu AnyDesk. V důsledku toho byly ohroženy jak segmenty Windows, tak Linux. Útočníci použili následující zadní vrátka:
V některých incidentech bylo Ngrok vytrvalosti dosaženo pomocí plánovače úloh. |
||
3 | Akce po ohrožení přihlašovacích údajů pro připojení k cílovým organizacím | Skupina A, která objevila přihlašovací údaje pro připojení k VPN tunelu klientů poskytovatele služeb, pronikla do jejich infrastruktury ve stejný den: útočníci se připojili k systémům přiděleným zhotoviteli prostřednictvím protokolu RDP pomocí účtů přidělených zaměstnancům zhotovitele (Initial Access, Valid Účty: Domain Accounts, T1078.002), zavedené persistence pomocí nástroje Ngrok (pravděpodobně v případě ztráty přístupu k VPN) a po několika měsících se vrátily do infrastruktury nových obětí. Mezi počátečním přístupem k cílové organizaci a zjištěním útoku mohly uplynout až tři měsíce. |
Skupina B, setrvala v infrastruktuře poskytovatele služeb a po několika měsících se vrátila, aby provedla útoky na své klienty. Mezi počátečním přístupem k dodavateli a objevením útoku mohly uplynout až tři měsíce. | ||
4 | Akce útočníků v systémech přidělených poskytovateli služeb v cílové organizaci | Systémy přidělené poskytovateli služeb v cílové organizaci se staly vstupním bodem pro útočníky. Během vyšetřování incidentů byly na těchto systémech nalezeny stopy po spuštění mnoha nástrojů:
|
5 | Laterální pohyb v síti cílové organizace | Pro laterální pohyb v rámci sítě cílové organizace útočníci použili protokol RDP (Lateral Movement, Remote Services: Remote Desktop Protocol, T1021.001). |
6 | Sběr dat z pracovních stanic a serverů cílové organizace | V některých incidentech útočníci z obou skupin shromáždili data z pracovních stanic a serverů (Collection, Data from Local System, T1005), zabalili je do archivů (Collection, Archive Collected Data: Archive via Utility, T1560.001) a nahráli je do externího souboru, sdílení zdrojů (Exfiltration, Exfiltration Over Web Service, T1567). |
7 | Plnění cílů útoku | Ve většině případů útočníci spustili ransomware v infrastruktuře cílové organizace (Impact Data, Encrypted for Impact, T1486). Stojí za zmínku, že k distribuci ransomwarových souborů v infrastruktuře byly často používány skupinové zásady nebo vzdálené vytváření služeb Windows. Méně často se distribuce a realizace prováděly ručně. |
Útočníci používají nástroje pro tunelování (Command and Control, Protocol Tunneling, T1572) nebo software pro vzdálený přístup (Command and Control, Remote Access Software, T1219) z několika důvodů:
Za prvé tím odpadá potřeba VPN, která je nutná pro připojení k systému v cílové infrastruktuře přes protokol RDP, jak to dělají zaměstnanci dodavatele. Útočníci jsou často aktivní mimo pracovní dobu a správně nakonfigurovaný monitoring může vystrašit bezpečnostní personál při detekci VPN připojení v liché hodiny z podezřelých IP adres (například těch, které patří k veřejným anonymizačním službám). Pokud je taková aktivita detekována, budou příslušné účty s největší pravděpodobností zablokovány a v důsledku toho útočníci ztratí přístup k infrastruktuře.
Pomocí tunelování a obslužných programů pro vzdálený přístup mohou útočníci získat bezpečnou oporu v cílovém systému. AnyDesk vám umožňuje zaregistrovat tento software jako službu. Viděli jsme několik možností, jak nastavit persistenci pomocí nástroje Ngrok:
Typ spuštění | Příkazy |
Jako službu | Spuštění služby ngrok.exe –config ngrok.yml |
Ručně | ngrok.exe config add-authtoken ngrok.exe tcp 3389 |
Jako úkol | ngrok.exe tcp 3389 (ověřovací data byla nastavena ručně před navázáním stálosti provedením následujícího příkazu: ngrok.exe config add-authtoken) |
Za druhé, použití takových nástrojů je pro útočníky pohodlné. Přítomnost zadních vrátek v síti jim poskytuje neomezený přístup k vnitřní infrastruktuře; není však vždy pohodlné interagovat s napadeným systémem tímto způsobem, takže útočníci se obracejí na nástroje. Přesměrováním portu RDP přes Ngrok nebo připojením přes AnyDesk je útočník schopen snáze interagovat s napadeným systémem.
Za třetí, takové nástroje je poměrně obtížné sledovat. Ngrok a AnyDesk jsou legitimní nástroje; nejsou antivirovými nástroji detekovány jako malware a často se používají k legitimním účelům. Navíc umožňují útočníkům skrýt IP adresu zdroje připojení v napadeném systému.
Například u běžného připojení RDP v protokolu Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx uvidíme události připojení (ID 21) nebo události opětovného připojení (ID 25), kde bude IP adresa útočníka uvedena v pole zdroje připojení (externí IP adresa, pokud je systém dostupný z internetu, nebo interní IP adresa jiného kompromitovaného systému). V případě připojení RDP přes obslužný program pro tunelování bude hodnota zdrojového připojení v protokolu ::%16777216 – nenese žádné informace o připojovacím systému. Ve většině případů bude tento artefakt pouze indikovat připojení prostřednictvím nástroje pro tunelování.
AnyDesk vytváří své vlastní protokoly. Mezi nejužitečnějšími pro vyšetřování incidentů jsou connection_trace.txt a ad.trace/ad_svc.trace, jak jsou pojmenovány ve Windows. Protokol connection_trace.txt umožňuje rychle identifikovat připojení k analyzovanému systému a jejich typ (uživatel, token, heslo). Pokud útočníci použili AnyDesk a v protokolu je uveden typ připojení Token a Password, lze usuzovat, že útočník nastavil automatické připojení pomocí hesla a se spuštěným AnyDesk se může kdykoli znovu připojit k systému. Protokol ad.trace/ad_svc.trace obsahuje informace o ladění, které umožňují určit IP adresu, ze které bylo navázáno připojení. Je však třeba poznamenat, že útočníci často mažou protokoly AnyDesk, takže je téměř nemožné odhalit stopy jejich připojení.
Plnění cílů útoku
Konečné cíle útoků na poskytovatele služeb a cílové organizace se mohou lišit. Například:
- Zajistit stálost v infrastruktuře dodavatele a zůstat co nejdéle nedetekován, abyste získali přístup k infrastruktuře svých klientů.
- Zůstaňte nezjištěni co nejdéle, abyste získali důvěrné informace (průmyslová špionáž).
- Exfiltrujte co nejvíce dat a nasaďte ransomware nebo stěrač do infrastruktury organizace, abyste paralyzovali její aktivity. Tento scénář jsme pozorovali u většiny útoků na cílové organizace.
Rada na závěr
Praxe ukazuje, že útočníci, kteří zůstali neodhaleni, obvykle zůstali v infrastruktuře cílové organizace až tři měsíce a podařilo se jim získat kontrolu nad kritickými servery a hostiteli v různých segmentech sítě. Teprve poté přistoupili k šifrování dat. To je dostatečná doba na to, aby oddělení informační bezpečnosti odhalilo incident a reagovalo na akce útočníků.
Výsledky našich šetření incidentů ukazují, že v drtivé většině případů antivirová řešení detekovala škodlivou aktivitu, ale antivirovým verdiktům nebyla věnována náležitá pozornost. Proto, pokud máte interní tým pro reakci na incidenty, udržujte je ve střehu prostřednictvím školení a kybernetických cvičení; pokud jej nemáte, přihlaste se k odběru služeb reakce na incidenty od poskytovatele, který může zaručit potřebnou úroveň služeb prostřednictvím příslušné smlouvy SLA.
Útoky prostřednictvím důvěryhodných vztahů je poměrně obtížné odhalit, protože:
- Připojení k VPN cílové organizace ze sítě poskytovatele služeb jsou v raných fázích iniciována z legitimních IP adres.
- Útočníci používají legitimní přihlašovací údaje k připojení k systémům v rámci infrastruktury cílové organizace (a jinak).
- Útočníci při svých útocích stále častěji využívají legitimní nástroje.
Přesto je možné při dodržení určitých pravidel tyto útoky odhalit. Poskytovatelům služeb a jejich klientům jsme dali dohromady doporučení, která pomohou včas odhalit útoky na důvěryhodné vztahy nebo se jim úplně vyhnout.
Pokud jste poskytovatel IT služeb:
- Zajistěte správné uložení pověření vydaných pro připojení k infrastruktuře vašich klientů.
- Nastavte logování připojení z vaší infrastruktury do klientské infrastruktury.
- Okamžitě nainstalujte aktualizace softwaru nebo použijte další ochranná opatření pro služby na perimetru sítě.
- Implementujte robustní politiku hesel a vícefaktorové ověřování.
- Sledujte používání legitimních nástrojů, které by mohli útočníci zneužít.
Pokud vaše organizace využívá služeb IT outsourcingových společností:
- Když poskytovatelům služeb povolujete přístup do vaší infrastruktury, poskytněte jim časově omezený přístup pouze k nezbytným hostitelům.
- Monitorujte připojení VPN: který účet byl autorizován, v jakém čase a z jaké IP adresy.
- Implementujte robustní zásady hesel a vícefaktorové ověřování pro připojení VPN.
- Omezte privilegia účtů vydávaných poskytovatelům služeb za použití zásady nejmenšího privilegia.
- Na třetí strany připojující se k interní infrastruktuře použijte stejné požadavky na zabezpečení informací jako na hostitele ve vnitřní síti.
- Identifikujte situace, kdy se pro přístup k systémům v rámci infrastruktury používají řetězce různých účtů. Například pokud se zaměstnanci poskytovatele služeb připojí k VPN pomocí jednoho účtu a poté se ověří pomocí RDP pomocí jiného účtu.
- Sledujte používání nástrojů pro vzdálený přístup a tunelování nebo jiných legitimních nástrojů, které by mohli útočníci použít.
- Zajistěte detekci následujících událostí v rámci sítě: skenování portů, hesla doménových účtů bruteforcing, názvy domén bruteforcing a místní účty.
- Věnujte zvláštní pozornost aktivitám ve vaší infrastruktuře mimo pracovní dobu.
- Zálohujte svá data a zajistěte, aby vaše zálohy byly chráněny stejně přísně jako vaše primární aktiva.
Klíčové taktiky a techniky MITER ATT&CK používané při útocích na důvěryhodný vztah
Taktika | Technika | ID techniky |
Počáteční přístup | Využijte aplikaci pro veřejnost | T1190 |
Počáteční přístup | Důvěryhodný vztah | T1199 |
Počáteční přístup | Platné účty: Doménové účty | T1078.002 |
Vytrvalost | Vytvořit nebo upravit systémový proces: Služba Windows | T1543.003 |
Vytrvalost | Hijack Execution Flow: Dynamic Linker Hijacking | T1574.006 |
Vytrvalost | Naplánovaná úloha/úloha: Naplánovaná úloha | T1053.005 |
Přístup k pověření | Dumping pověření OS | T1003 |
Objev | Zjišťování síťových služeb | T1046 |
Objev | Zjištění účtu: Účet domény | T1087.002 |
Objev | Vzdálené zjišťování systému | T1018 |
Laterální pohyb | Vzdálené služby: Protokol vzdálené plochy | T1021.001 |
Sbírka | Data z místního systému | T1005 |
Sbírka | Archivace shromážděných dat: Archivace pomocí nástroje | T1560.001 |
Příkaz a ovládání | Protokolové tunelování | T1572 |
Příkaz a ovládání | Software pro vzdálený přístup | T1219 |
Exfiltrace | Exfiltrace přes webovou službu | T1567 |
Údaje o dopadu | Zašifrováno pro dopad | T1486 |