Kako sve više ljudi radi na daljinu, IT odjeli moraju upravljati uređajima distribuiranim u različitim gradovima i zemljama oslanjajući se na VPN-ove i alate za daljinsko praćenje i upravljanje (RMM) za administraciju sistema.
Međutim, kao i svaka nova tehnologija, RMM alati se takođe mogu zlonamjerno koristiti. Akteri prijetnje mogu uspostaviti veze s uređajem žrtve i pokrenuti komande, eksfiltrirati podatke i ostati neprimećeni.
Ovaj tekst će pokriti primjere iz stvarnog svijeta RMM eksploatacije i pokazati vam kako zaštititi svoju organizaciju od ovih napada.
Šta su alati za RMM?
Softver RMM pojednostavljuje upravljanje mrežom, omogućavajući IT profesionalcima da daljinski rješavaju probleme, instaliraju softver i otpremaju ili preuzimaju datoteke na ili sa uređaja.
Nažalost, ova veza nije uvijek sigurna i napadači mogu koristiti zlonamjerni softver da povežu svoje servere s uređajem žrtve. Kako ove veze postaju lakše otkriti, grupe ransomware-as-a-service (RaaS) morale su prilagoditi svoje metode.
U većini cyber incidenata koje je Varonis istraživao prošle godine, RaaS bande su koristile tehniku poznatu kao Living off the Land, koristeći legitimne IT alate za dobijanje daljinske kontrole, neotkrivene navigacije mrežama i krađu podataka.
RMM alati omogućavaju napadačima da se stapaju i izbjegnu otkrivanje. Oni i njihov promet se obično “ignoriraju” sigurnosnim kontrolama i organizacijskim sigurnosnim politikama, kao što je stavljanje aplikacija na bijelu listu.
Ova taktika takođe pomaže da skripte klincima — kada se povežu, naći će sve što im treba već instalirano i spremno za njih.
Naše istraživanje identificiralo je dvije glavne metode koje napadači koriste za manipulaciju RMM alatima:
- Zloupotreba postojećih RMM alata: Napadači dobijaju početni pristup mreži organizacije koristeći prethodno postojeće RMM alate. Oni iskorištavaju slabe ili zadane akredative ili ranjivosti alata kako bi dobili pristup bez pokretanja otkrivanja.
- Instaliranje novih RMM alata: Napadači instaliraju svoje omiljene RMM alate tako što prvo dobiju pristup mreži. Koriste phishing e-poruke ili tehnike društvenog inženjeringa da prevare žrtve da nesvjesno instaliraju RMM alat na svoju mrežu.
U nastavku su uobičajeni RMM alati i RaaS grupe:
Uobičajeni RMM alati i RaaS grupe
Primjeri iz stvarnog svijeta RMM eksploatacije
Tokom nedavne istrage, naš tim za Managed Data Detection and Response (MDDR) analizirao je podatke organizacije i pronašao, u PowerShell istoriji kompromitovanog uređaja, dokaze o RMM alatu nazvanom “KiTTY”.
Ovaj softver je bio modificirana verzija PuTTY-a, dobro poznatog alata za kreiranje telnet i SSH sesija sa udaljenim mašinama. Budući da je PuTTY legitiman RMM alat, nijedan sigurnosni softver organizacije nije podigao nikakvu crvenu zastavu, tako da je KiTTY bio u mogućnosti da kreira obrnute tanele preko porta 443 da izloži interne servere AWS EC2 kutiji.
Varonis tim je izvršio opsežnu analizu. Otkrili su da su sesije AWS EC2 kutije koristeći KiTTY bile ključne za otkrivanje onoga što se dogodilo, kako je to urađeno i — što je najvažnije — koje su datoteke ukradene.
Ovaj ključni dokaz bio je prekretnica u istrazi i pomogao je da se uđe u trag čitavom lancu napada. Takođe je otkrio sigurnosne nedostatke organizacije, kako ih riješiti i potencijalne posljedice ovog napada.
Strategije zaštite RMM alata
Razmislite o implementaciji sljedećih strategija kako biste smanjili šansu da napadači zloupotrebe RMM alate.
Pravila kontrole aplikacije
Ograničite svoju organizaciju da koristi više RMM alata nametanjem politike kontrole aplikacija:
- Uvjerite se da su RMM alati ažurirani, zakrpljeni i dostupni samo ovlaštenim korisnicima s omogućenim MFA
- Proaktivno blokirajte ulazne i odlazne veze na zabranjenim RMM portovima i protokolima na perimetru mreže
Jedna od opcija je kreiranje politike kontrole aplikacija Windows Defendera (WDAC) pomoću PowerShell-a koja stavlja aplikacije na white listu na osnovu njihovog izdavača. Važno je napomenuti da kreiranje WDAC politika zahtijeva administrativne privilegije, a njihovo implementiranje putem grupnih politika zahtijeva administrativne privilegije domene.
Kao mjeru predostrožnosti, trebali biste testirati politiku u modu revizije prije nego što je implementirate u načinu provedbe kako biste izbjegli nenamjerno blokiranje potrebnih aplikacija.
- Otvorite PowerShell sa administratorskim privilegijama
- Kreiranje nove politike:Možete kreirati novu politiku pomoću cmdleta New-CIPolicy. Ovaj cmdlet uzima putanju do direktorija ili datoteke, skenira ga i pravi politiku koja dozvoljava svim datotekama na toj putanji, kao što su izvršne i DLL datoteke, da se pokreću na vašoj mreži.Na primjer, ako želite dozvoliti sve što potpisuje izdavač određene aplikacije, možete slijediti primjer u nastavku: New-CIPolicy -FilePath “C:\Path\To\Application.exe” -Izdavač na nivou -UserPEs -Fallback Hash -Omogući -OutputFilePath “C:\Path\To\Policy.xml” U ovoj naredbi, -FilePath specificira putanju do aplikacije, -Level Publisher znači da će politika dozvoliti sve što je potpisao isti izdavač kao i aplikacija, a -UserPEs znači da će politika uključivati izvršne datoteke korisničkog načina.-Fallback Hash znači da ako datoteka nije potpisana, politika će to dozvoliti na osnovu njenog hash-a, -Enable znači da će politika biti omogućena, a -OutputFilePath specificira putanju na kojoj će politika biti spremljena.
- Pretvorite politiku u binarni format: WDAC politike moraju biti raspoređene u binarnom formatu. Politiku možete konvertovati pomoću cmdlet ConvertFrom-CIPolicy: ConvertFrom-CIPolicy -XmlFilePath “C:\Path\To\Policy.xml” -BinaryFilePath “C:\Path\To\Policy.bin”
- Postavite politiku: Politiku možete implementirati koristeći konzolu upravljanja grupnim politikama (GPMC). Da biste to učinili, morate kopirati .bin datoteku u direktorij \Windows\System32\CodeIntegrity na svakom računaru na kojem želite da implementirate politiku. Zatim morate da podesite postavku politike Konfiguracija računara → Administrativni predlošci → Sistemski Device Guard → Primeni postavku politike kontrole aplikacija Windows Defender-a na Omogućeno i podesite opciju Koristi kontrolu aplikacija Windows Defender-a da biste zaštitili svoj uređaj na prinudno.
Stalno praćenje
Pratite svoj mrežni promet i zapise, posebno u vezi s RMM alatima. Razmislite o implementaciji usluga kao što je Varonis MDDR, koji pruža nadzor mreže 24x7x365 i analizu ponašanja.
Obuka korisnika i podizanje svijesti
Obučite svoje zaposlene da identifikuju pokušaje krađe identiteta i efikasno upravljaju lozinkama, jer je manipulacija korisnicima uobičajen način na koji napadači dobijaju pristup vašoj mreži. Podstaknite prijavljivanje sumnjivih aktivnosti i redovno testirajte svoj tim za cyber sigurnost kako biste identifikovali potencijalne rizike.
Smanjite rizik bez preuzimanja.
Kako tehnologija napreduje, daje prednost i braniocima i napadačima, a RMM alati samo su jedan primjer potencijalnih prijetnji s kojima se organizacije suočavaju.
Naša misija u Varonisu je zaštititi ono što je najvažnije: vaše podatke. Naša sveobuhvatna platforma za sigurnost podataka kontinuirano otkriva i klasifikuje kritične podatke, uklanja izloženost i zaustavlja prijetnje u realnom vremenu uz automatizaciju koju pokreće umjetna inteligencija.
Radoznali ste da vidite koji bi rizici mogli preovladavati u vašem okruženju? Nabavite Varonis Data procjenu rizika danas.
Naša besplatna procjena traje samo nekoliko minuta da se postavi i odmah daje vrijednost. Za manje od 24 sata imat ćete jasan pogled na podatke koji su najvažniji, zasnovan na riziku, i jasan put do automatiziranog popravljanja.
Napomena: Ovaj se članak prvobitno pojavio na Varonis blogu, a napisao ga je Tom Barnea, stručnjak za sigurnost u Varonisu.
Izvor:THe Hacker News