Hacking Team Breach: A Cyber ​​Jurassic Park – Microsoft Security

Paleontologia este studiul stiintific al vietii animalelor disparute de mult. Paleontologii fac ipoteze despre comportamentul diferitelor specii de dinozauri, uneori bazate pe cateva fosile si oase colectate. Ne putem imagina cat de mult au fost capabili sa invete daca au avut sansa sa observe cateva turme vii de dinozauri.

Raspunsul la incidente (IR) este echivalentul cibernetic al paleontologiei. In majoritatea cazurilor, expertii IR sunt chemati mult timp dupa ce a avut loc incalcarea. Se gasesc cautand mici „oase” cibernetice medico-legale si apoi incearca sa le lipeasca pentru a reasambla amenintarile facute de actor pe mediul victimei.

Aceasta este ceea ce este atat de unic in raportul recent publicat despre incalcarea echipei de hacking, scris chiar de actorul amenintator. Este un cont foarte unic, disponibil public, de prima mana, despre partea atacantului unui atac vizat. Prin urmare, acest raport ar trebui analizat cu atentie, deoarece serveste o oportunitate de invatare de neegalat pentru comunitatea de securitate.

Hacking Team Breach in a Nutshell

Potrivit site-ului propriu al Hacking Team, misiunea companiei este de a „oferi tehnologii ofensive [cibernetice] eficiente, usor de utilizat, comunitatilor de aplicare a legii si de informatii din intreaga lume”.

Pe 5 iulie 2015, contul Twitter al Hacking Team a fost compromis pentru a publica un anunt de incalcare a datelor impotriva sistemelor informatice ale Hacking Team. Mesajul initial scria „Deoarece nu avem nimic de ascuns, publicam toate e-mailurile, fisierele si codul sursa …” si furniza link-uri catre peste 400 de gigaocteti de date, inclusiv presupuse e-mail-uri interne, facturi si cod sursa.

Incalcarea a avut un impact negativ mare asupra afacerii echipei Hacking, deoarece a expus cateva informatii comerciale extrem de confidentiale despre relatia echipei Hacking cu clientii sai, impreuna cu date financiare si proprietate intelectuala sensibila, cum ar fi vulnerabilitatile Zero-Day utilizate de companie pentru a-si infecta clientii. ‘tinte.

Diavolul sta in detalii

Raportul atacatorilor arunca lumina asupra Tacticii, Tehnicilor si Procedurilor (TTP) specifice:

1. Recunoastere a retelei externe: atacatorul a descoperit dispozitive de retea orientate spre internet, inclusiv un dispozitiv de retea incorporat vulnerabil
2. Acces intern la retea : atacatorul a exploatat o vulnerabilitate de zero zile intr-un dispozitiv de retea incorporat pentru a-si actualiza firmware-ul. Firmware-ul actualizat a inclus:
   1. Un backdoor care a permis atacatorului sa acceseze reteaua interna a echipei de hacking fara a fi nevoie sa reutilizeze de fiecare data vulnerabilitatea de zero zile.
   2. Diverse instrumente de hacking, care permit atacatorului sa atace in continuare reteaua interna. In special, includerea unui proxy SOCKS a permis atacatorului sa lanseze atacuri de retea interna din instrumentele gazduite pe un computer pe internet.
3. Recunoastere interna a retelei : utilizand scanerul NMAP (unul dintre instrumentele din firmware-ul actualizat) atacatorii au gasit un server de stocare conectat la retea (NAS), care a permis un acces neautentificat la continutul sau.
4. Acreditari compromise : cu proxy-ul SOCKS, atacatorul a reusit sa incarce de la distanta discul serverului de e-mail Exchange pe care s-a facut backup pe serverul NAS. In siguranta masinii sale externe, atacatorul a analizat discul folosind cateva instrumente criminalistice pentru a descoperi o parola a unui utilizator de domeniu, care este un administrator local pe serverul Exchange.
5. Acreditarile compromise de administratorul domeniului : cu acreditarile de administrator local compromise, atacatorul a putut sa se conecteze la serverul Exchange si sa descarce toate e-mailurile. Folosind instrumentul Mimikatz, atacatorul a reusit sa extraga acreditari suplimentare din memoria serverului Exchange, inclusiv acreditarile de administrator de domeniu (prezentate mai jos).

   Figura 1 Acreditari compromise gasite pe serverul Exchange

6. Dominarea domeniului : folosind acreditarile de administrator de domeniu, atacatorul a putut extrage chei suplimentare de pe serverul Active Directory (AD), inclusiv puternica cheie KRBTGT pentru a obtine persistenta asupra domeniului victimei. In plus, atacatorul a abuzat de mecanismul central de configurare a politicii de grup, servit de pe serverul AD, pentru a slabi o anumita configuratie firewall de computer.
7. Miscare laterala: cu omnipotentele acreditari de administrare a domeniului, atacatorul a reusit sa copieze de la distanta (prin proxy SOCKS) toate hard diskurile masinilor.

   Cu toate acestea, codul sursa al Hacking Team se afla intr-o retea separata. Prin urmare, atacatorul trebuia sa se mute pe computerul administratorului de retea care avea acces la acesta. Folosind protocolul WMI (dupa dezactivarea setarilor firewall personale restrictive cu o actualizare de politica de grup necinstita) atacatorul a obtinut acces la acel computer si a obtinut acces la codul sursa.

8. Exfiltrare: atacatorul a trimis datele prin internet, deoarece masina de administrare a retelei era conectata direct la internet.

   Figura 2 Atacatorii au postat capturi de ecran pe contul Twitter deturnat al echipei de hackeri, descriind desktopul de administrare a retelei in timpul exfiltrarii

Chei de luat

• Presupunem incalcarea: inca o data ne reamintim ca aparatorii trebuie sa dezvolte o mentalitate de „asumare a incalcarii”. Apararile perimetrale vor esua intotdeauna in cazul unui atacator dedicat – fiecare dispozitiv, server, aplicatie, punct final sau utilizator incorporat este o suprafata de atac. In cele din urma, unul dintre ei va avea o vulnerabilitate sau va fi configurat gresit.

  Prin urmare, companiile trebuie sa isi reechilibreze portofoliul de securitate pentru a pune accent pe apararea retelei lor interne.

• Atacatorii Modus Operandi urmeaza sa utilizeze acreditari compromise: atacatorii au folosit acreditari compromise pentru a castiga persistenta retelei si pentru a se deplasa lateral in retea pentru a ajunge la destinatie din punctul de infectie initial. Prin urmare, partea defensiva trebuie sa se concentreze pe protejarea identitatii utilizatorilor sai si a altor conturi (computere, servicii etc.). O astfel de protectie poate fi aplicata prin detectarea utilizarii anormale a conturilor si prin aplicarea autentificarii cu mai multi factori (MFA).
• Atacatorii Modus Operandi NU trebuie sa utilizeze programe malware: pe tot parcursul raportului lor, atacatorii subliniaza ca se abtin sa lase urme pe disc. Pentru a face acest lucru, ei:
  • Operati din memoria serverelor rar bootabile pentru a obtine persistenta fara disc.
  • Instalati exploitarea pe un dispozitiv de retea incorporat care nu poate fi scanat de solutiile traditionale anti-malware
  • Utilizati proxy-uri interne de retea pentru a-si gazdui instrumentele pe internet, departe de accesul la solutii anti-malware si a-si tunela atacul prin retea.
• Protejarea sistemului de gestionare a identitatii (IDM) este esentiala : utilizand acreditari de administrator de domeniu compromise, atacatorii au accesat sistemul IDM al victimei, Active Directory, pentru a obtine chei suplimentare, inclusiv puternica cheie KRBTGT pentru a obtine persistenta asupra domeniului victimei. Cu aceleasi acreditari compromise, atacatorii au abuzat de mecanismul central de configurare a politicii de grup, servit de pe serverul AD, pentru a slabi o anumita configuratie a computerului. Prin urmare, partea defensiva nu trebuie doar sa isi pastreze igiena Active Directory prin patch-uri si intariri regulate, ci sa ia in considerare si monitorizarea acesteia. Acesta este un ghid prudent de urmat pentru orice sistem de gestionare a identitatii, fara a se limita la Active Directory.
• Migrarea in cloud : unele dintre caile de atac exploatate de atacator ar fi putut fi blocate cu o anumita configuratie si corectie. Cu toate acestea, migrarea catre un serviciu bazat pe cloud (SaaS) gestionat corespunzator poate scuti IT-ul de a avea grija de astfel de treburi, poate reduce suprafata de atac a organizatiei si, astfel, poate imbunatati pozitia de securitate. Ar fi fost mult mai dificil accesul la copiile de rezerva si la infrastructura serverului, ceea ce ar fi contribuit la prevenirea acestei incalcari.

Tal Be’ery

Senior Manager Research Security