Strategie efficaci per la gestione delle vulnerabilità di Zero-Day

12 settembre 2023

Ora che il polverone della zero-day MOVEit Transfer si è un po' posato, potrebbe essere il momento giusto per fare un passo indietro e valutare il nostro attuale approccio alla gestione del rischio associato alla minaccia particolarmente fastidiosa delle giornate zero. Perché, se l'attuale tendenza è indicativa, non si fermeranno tanto presto.

Analisi delle tendenze Zero-Day con i dati del Patch Tuesday di Microsoft

Per trovare un punto di riferimento per una linea di tendenza degli zero-day , abbiamo scavato nei dati del Patch Tuesday di Microsoft, perché è una delle poche fonti affidabili che li traccia e li riporta. E per nostra fortuna, i dati grezzi sono accessibili pubblicamente tramite la MSRC Security Updates Guide. Abbiamo quindi scaricato i dati degli ultimi quattro anni e mezzo per estrarne alcune informazioni.

Nota: Gli aggiornamenti di sicurezza che sono specificamente associati alle vulnerabilità possono essere trovati nella scheda "Vulnerabilità" o andando direttamente al link Vulnerabilità. Sfortunatamente, le capacità di filtraggio di questa scheda sono limitate, quindi abbiamo dovuto scaricare i dati in Excel per raggiungere i dati più importanti. Fortunatamente, il sito offre un semplice pulsante di download che consente di esportare i dati.

Comprendere la classificazione Zero-Day di Microsoft

Quindi, cosa segnala Microsoft come "zero-day"? Nella Guida agli aggiornamenti di sicurezza MSRC non vengono indicati esplicitamente gli "zero-day". Tuttavia, fornisce una classificazione che indica se la vulnerabilità è stata sfruttata in modo diffuso prima del rilascio dell'aggiornamento di sicurezza. Inoltre, viene indicato se la vulnerabilità è stata divulgata pubblicamente, il che rappresenta un'utile misura di quanto l'industria sia stata informata in merito alla vulnerabilità specifica. Una vulnerabilità sfruttabile senza una patch disponibile soddisfa il nostro standard per essere qualificata come zero-day ai fini di questo rapporto.

Esame delle tendenze e delle divulgazioni delle vulnerabilità Zero-Day

Costruendo un semplice grafico di quante vulnerabilità sono state segnalate come sfruttate e quante di queste vulnerabilità sono state divulgate pubblicamente negli ultimi quattro anni e mezzo, possiamo notare un aumento piuttosto sorprendente del numero di zero-days nel 2021. Anche il numero di divulgazioni pubbliche aumenta, ma non in proporzione al numero di vulnerabilità sfruttate, il che è piuttosto preoccupante:

Grafico che rappresenta il numero di vulnerabilità segnalate come sfruttate anno per anno dal 2019 al 2023 — *Grafico che rappresenta il numero di vulnerabilità segnalate come sfruttate anno per anno*

A prima vista, sembra che ci sia un po' di sollievo, dato che la tendenza sembra diminuire rispetto al massimo del 2021, ma al tasso attuale di 17 vulnerabilità sfruttate a poco più di metà del 2023, è ragionevole aspettarsi che siamo sulla buona strada per tornare al massimo del 2021.

Mentre il numero di zero-days può sembrare piccolo rispetto al numero totale di vulnerabilità segnalate annualmente, è l'aumento percentuale a partire dal 2021, rispetto agli anni precedenti, che è notevolmente preoccupante. Inoltre, più della metà delle vulnerabilità non sono state divulgate pubblicamente, il che significa che per queste vulnerabilità i difensori non hanno la possibilità di implementare mitigazioni in attesa di una patch.

L'entità del danno che un attore di minacce può infliggere con un solo zero-day può essere sostanziale quando si verificano le giuste circostanze. Ogni zero-day aggiuntivo aumenta le probabilità di raggiungere la tripletta dei sogni di un attore delle minacce: una vulnerabilità accessibile, d'impatto e, soprattutto, pervasiva tra i suoi target demografici.

Convalida delle tendenze Zero-Day con i dati del Project Zero di Google

Confronto tra fonti di dati

Ovviamente, i dati relativi agli zero-day utilizzati sopra si riferiscono a un solo fornitore, quindi abbiamo deciso che sarebbe stata una buona idea esaminare altri punti di dati per assicurarci che i rapporti sugli zero-day di Microsoft siano adeguatamente rappresentativi del quadro generale e, a quanto pare, lo sono. Il grafico che segue è tratto dai dati forniti dal Project Zero di Google e dai dati di monitoraggio degli "0-days In-the-Wild".

Grafico che rappresenta il conteggio Zero-day anno per anno nel Project Zero di Google "0-days In-the-Wild" dal 2019 al 2023 — *Grafico che rappresenta il conteggio Zero-day anno per anno nel Progetto Zero di Google "0-days In-the-Wild".*

Tendenze parallele nei dati di Google

Come per i dati Microsoft puri, i dati di Google "0-days In-the-Wild" mostrano un drastico salto nel 2021, un leggero ritracciamento nel 2022 e un aumento nel 2023 che sembra essere in linea con il dato del 2021. Sarebbe logico concludere che la tendenza è allineata perché i dati di Google sugli 0day sono fortemente influenzati dal numero di vulnerabilità di Microsoft, ma non è del tutto così. Ad esempio, nel 2023, i dati di Microsoft mostrano 17 "zero-day" mentre le vulnerabilità Microsoft rappresentano solo 10 "0days" nei dati di Google. Nel 2022, il numero era di 11 rispetto ai 20 "zero-day" segnalati da Microsoft. A prescindere dalle discrepanze di registrazione nelle due diverse fonti, la tendenza sembra confermarsi.

Correlazione tra attacchi ransomware e vulnerabilità Zero-Day

Esaminando i dati, abbiamo avuto la sensazione che un'altra tendenza potesse allinearsi a questa. Abbiamo quindi consultato il rapporto State of Ransomware di BlackFogper ottenere alcune statistiche sul numero di attacchi ransomware segnalati pubblicamente:

grafico che mostra il numero di zero day e ransomware segnalati nel tempo dal 2019 al 2023 — *Grafico che mostra il numero di Zero-Days e Ransomware segnalati nel tempo dal 2019 al 2023*

Nota: Blackfog non dispone di dati per il 2019, quindi abbiamo assegnato a quell'anno lo stesso valore del 2020 per non alterare significativamente l'aspetto del grafico. I link ai rapporti di Blackfog sono inclusi alla fine di questo documento.

Come si nota nel primo grafico, con 250 segnalazioni pubbliche di ransomware nei sette mesi del 2023, è ragionevole aspettarsi che la tendenza raggiunga almeno il massimo precedente di 376 segnalazioni.

Anche se non si riflette nel grafico precedente, vale la pena notare che le segnalazioni mese per mese degli incidenti ransomware segnalati nel 2020 sono state relativamente stabili fino a settembre, quando il numero di segnalazioni è aumentato del 66% rispetto al mese precedente ed è rimasto elevato per il resto dell'anno. (Per una rappresentazione mese per mese degli attacchi ransomware, consultare il rapporto di Blackfog per il 2020 ).

Abbiamo trovato interessante il fatto che il picco alla fine del 2020 abbia preceduto un salto così drammatico nel numero di segnalazioni di zero-day nel 2021.

Sfruttare l'intelligenza artificiale per difendersi dagli exploit Zero-Day

Nella migliore delle ipotesi, i dati sopra riportati sono solo un'interessante correlazione, ma illustrano un punto importante: Le tendenze mostrano un aumento costante sia delle segnalazioni di zero-day che delle divulgazioni pubbliche di attacchi ransomware. Se considerati insieme, rappresentano una situazione logica ma preoccupante per i difensori della sicurezza informatica: è ragionevole supporre che un gruppo di aggressori altamente motivati continui a possedere un gran numero di armi sofisticate con cui compiere i propri misfatti.

Se queste tendenze persistono, la difesa da attacchi quasi impossibili da prevenire diventerà un pilastro della normale routine di un'organizzazione di cybersecurity. Per questo motivo, un metodo affidabile per rilevare gli aggressori che utilizzano exploit zero-day sarà una necessità per i team che intendono avere successo in questa impresa. È qui che l'intelligenza artificiale può cambiare le carte in tavola. Integrando le strategie di prevenzione esistenti con un'intelligenza artificiale basata sulla scienza che utilizza una serie di tecniche di apprendimento automatico specializzate per individuare i comportamenti degli aggressori, indipendentemente dagli strumenti che utilizzano per perseguire i loro obiettivi, i team di cybersecurity possono avvalersi di un segnale affidabile e a basso rumore che li avvisa della presenza di un aggressore prima che questi raggiunga gli obiettivi desiderati. Noi di Vectra AI lo chiamiamo Attack Signal Intelligence^TM.

Caso di studio dell'exploit Zero-Day di MOVEit Transfer

Sfruttamento di CVE-2023-34363

Prendendo come esempio lo zero-day di MOVEit Transfer(CVE-2023-34363), la Cybersecurity & Infrastructure Security Agency (CISA) ha riferito ufficialmente che la banda del ransomware CL0P, alias TA505, è stata osservata sfruttare la vulnerabilità per posizionare una web shell "LEMURLOOT" sull'host vittima per mantenere la persistenza. Il rapporto CISA descrive LEMURLOOT come dotato delle seguenti funzionalità:

Recuperare le impostazioni di sistema di Microsoft Azure, Azure Blob Storage, l'account Azure Blob Storage, la chiave Azure Blob e Azure Blob Container utilizzando la seguente query:

Enumerare il database SQL sottostante.
Memorizza una stringa inviata dall'operatore e poi recupera un file con un nome corrispondente alla stringa dal sistema MOVEit Transfer.
Creare un nuovo account privilegiato di amministratore con un nome utente generato in modo casuale e i valori LoginName e RealName impostati su "Health Check Service".
Eliminare un account con i valori LoginName e RealName impostati su 'Health Check Service'.

Utilità limitata dell'accesso iniziale

Sebbene queste capacità siano utili per stabilire e mantenere la persistenza sull'host preso di mira, non contribuiscono in modo significativo al raggiungimento di un obiettivo più significativo, come la richiesta di un riscatto all'organizzazione vittima. Di conseguenza, l'attaccante deve intraprendere altre azioni per raggiungere i propri obiettivi.

Nota: sono stati osservati casi in cui cl0p ha utilizzato un altro zero-day per l'accesso iniziale senza eseguire alcuna azione successiva nell'ambiente di destinazione, ma è ragionevole concludere che il danno inflitto in questi attacchi è stato limitato.

Rapporti CISA sul set di strumenti di CL0P

La CISA ha inoltre segnalato l'uso da parte del CL0P di una moltitudine di altri strumenti costruiti appositamente per estendere l'accesso nell'ambiente delle vittime:

DifettosoAmmy/FlawedGrace Trojan ad accesso remoto (RAT): Raccoglie informazioni e tenta di comunicare con il server Command and Control (C2) per consentire il download di componenti malware aggiuntivi[T1071],[T1105].
SDBot RAT: Propaga l'infezione sfruttando le vulnerabilità e rilasciando copie di se stesso in unità rimovibili e condivisioni di rete[T1105]. È anche in grado di propagarsi se condiviso attraverso reti peer-to-peer (P2P). SDBot viene utilizzato come backdoor[T1059.001] per consentire l'esecuzione di altri comandi e funzioni nel computer compromesso. Questo malware utilizza l'application shimming per persistere ed evitare il rilevamento[T1546.011].
Truebot: Un modulo downloader di primo livello in grado di raccogliere informazioni sul sistema e scattare schermate[T1113], sviluppato e attribuito al gruppo di hacker Silence. Dopo la connessione all'infrastruttura C2, Truebot può essere istruito a caricare codice shell[T1055] o DLL[T1574.002], scaricare moduli aggiuntivi[T1129], eseguirli o cancellarsi[T1070]. Nel caso di TA505, Truebot è stato utilizzato per scaricare i segnalatori FlawedGrace o Cobalt Strike .
Cobalt Strike: Utilizzato per espandere l'accesso alla rete dopo aver ottenuto l'accesso al server Active Directory (AD)[T1018].

Rilevamento e monitoraggio del trasferimento MOVEit Zero-Day con Vectra AI

Tutti gli strumenti sopra descritti condividono la funzionalità comune di fornire una certa misura di comando e controllo all'host di destinazione. Vectra AI dispone di diversi algoritmi progettati specificamente per rilevare i tunnel nascosti, come l'algoritmo Hidden HTTPS Tunnel, in grado di rilevare i tunnel nascosti nel traffico crittografato senza dover decifrare la sessione HTTPS.

I trigger di rilevamento diVectra AI per i tunnel nascosti‍

Un host interno sta comunicando con un IP esterno utilizzando HTTPS e un altro protocollo è in esecuzione sopra le sessioni HTTPS.
Si tratta di un tunnel nascosto che coinvolge una sessione lunga o più sessioni brevi in un periodo di tempo più lungo che imita il normale traffico Web crittografato
Quando è possibile determinare se il software di tunneling è basato su console o gestito tramite un'interfaccia utente grafica, tale indicatore sarà incluso nel rilevamento.
Il punteggio della minaccia è determinato dalla quantità di dati inviati attraverso il tunnel.
Il punteggio di certezza è determinato dalla combinazione tra la persistenza delle connessioni e il grado di corrispondenza tra il volume e la tempistica delle richieste osservate e i campioni di addestramento.

Oltre alla funzionalità di comando e controllo, il Trojan SDBot Remote Access ha la capacità di auto-propagarsi nell'ambiente di destinazione sfruttando le vulnerabilità. In questo scenario, l'algoritmo di replica automatica di Vectra AIsi attiva, consentendo ai team di cybersicurezza di identificare l'"host zero" e di seguire la progressione dell'infezione.

I trigger di rilevamento di Vectra AI per la replica automatizzata

Un host interno sta inviando payload molto simili a diversi obiettivi interni.
Questo può essere il risultato di un host infetto che invia uno o più exploit ad altri host nel tentativo di infettarli.
Il punteggio di certezza è determinato dal numero di host mirati e dal rilevamento di un propagatore a monte.
Il punteggio della minaccia è determinato dal numero di host presi di mira e dal numero di exploit diversi, in particolare exploit su porte diverse.

Trasformare il rilevamento delle minacce Zero-Day con l'intelligenza artificiale

Come illustrato negli esempi specifici di cui sopra, i TTP comuni degli aggressori offrono ampie opportunità di rilevare la presenza dell'avversario prima che l'obiettivo desiderato sia raggiunto. Ma le opportunità non si traducono automaticamente in risultati. I comportamenti descritti possono essere difficili da rilevare con le soluzioni tradizionali basate sulle firme, soprattutto quando si tratta di exploit zero-day e altre fonti come i registri degli eventi di Windows non hanno il contesto necessario per distinguere i comportamenti che probabilmente sono azioni amministrative approvate da quelli insoliti e potenzialmente dannosi.

Quando vengono impiegate funzionalità di rilevamento basate sull'intelligenza artificiale, i comportamenti possono essere osservati con una lente diversa. "Questa sessione HTTPS presenta uno schema di comunicazione indicativo di un comando e controllo esterno?". È una domanda a cui si può rispondere con l'intelligenza artificiale. "Questa chiamata WMI potrebbe favorire l'accesso di un aggressore attraverso l'ambiente ed è insolito che questa combinazione di host/utente effettui questa chiamata WMI?". Anche a queste domande si può rispondere con l'intelligenza artificiale. "Questo trasferimento di payload è un caso isolato tra due sistemi o assomiglia a un modello più ampio di payload inviati a molti sistemi, indicativo della diffusione di un worm ?". Anche questa è una domanda a cui si può rispondere in modo affidabile con l'intelligenza artificiale.

Al contrario, cercare di utilizzare l'intelligenza artificiale (o qualsiasi altra tecnica di rilevamento delle minacce) per rilevare lo sfruttamento di una vulnerabilità precedentemente sconosciuta non è attualmente possibile in modo da non generare un volume proibitivo di dati da analizzare. Invece, concentrandoci sui comportamenti degli aggressori successivi alla compromissione, possiamo produrre un segnale di attacco molto affidabile, che sia al tempo stesso poco rumoroso e altamente efficace.

Quindi, piuttosto che basare la vostra strategia zero-day sulla speranza di poter applicare una patch prima che un attaccante la scopra, prendete in considerazione la possibilità di adattare la vostra strategia alla mentalità della compromissione presunta: È molto probabile che nel nostro ambiente sia presente una vulnerabilità zero-day in questo momento e se un aggressore la utilizza per accedere alla nostra rete, saremo pronti e in grado di rilevarne la presenza con capacità di rilevamento post-compromissione basate sull'intelligenza artificiale.

Esplorazione delle capacità di rilevamento avanzato di Vectra AI

Questo è solo un piccolo esempio degli algoritmi di rilevamento basati sull'intelligenza artificiale integrati nella piattaforma Detect di Vectra AI. Per una rassegna più completa delle capacità di rilevamento, consultate l'articolo della knowledgebase Understanding Vectra AI e per una panoramica della piattaforma, iniziate con il nostro Attack Signal Intelligence^TM . Se desiderate un tour personalizzato, contattate il vostro partner tecnologico preferito per una presentazione del nostro team.

‍

--- Riferimenti...

NIST

Dettaglio CVE-2023-34362

Microsoft

Guida all'aggiornamento della sicurezza MSRC

Google

Nebbia nera

CISA

#StopRansomware: La banda del ransomware CL0P sfrutta la vulnerabilità CVE-2023-34362 MOVEit

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

DOMANDE FREQUENTI

Che cos'è una vulnerabilità zero-day ?

Una vulnerabilità zero-day è una falla del software sconosciuta al fornitore e priva di patch, che la rende sfruttabile dagli aggressori.

Quali sono le tendenze delle vulnerabilità zero-day ?

Le tendenze mostrano un aumento degli exploit zero-day , con picchi significativi in alcuni anni, come analizzato dai dati di Microsoft e Google.

Qual è la correlazione tra ransomware e exploit zero-day ?

L'aumento delle vulnerabilità zero-day è correlato all'aumento degli attacchi ransomware, il che indica un potenziale collegamento.

Che cos'è l'exploit zero-day di MOVEit Transfer?

L'exploit zero-day di MOVEit Transfer comporta una vulnerabilità che consente agli aggressori di ottenere un accesso persistente ai sistemi.

Quali sono gli indicatori chiave di un exploit zero-day ?

Gli indicatori chiave includono traffico di rete insolito, tunnel nascosti e comportamenti inaspettati del sistema.

Come può l'intelligenza artificiale aiutare a difendersi dagli exploit zero-day ?

L'intelligenza artificiale aiuta a rilevare i comportamenti anomali, a identificare i tunnel nascosti e ad automatizzare i processi di rilevamento delle minacce.

In che modo Microsoft classifica le vulnerabilità zero-day ?

Microsoft classifica le vulnerabilità come zero-day se vengono sfruttate in natura prima del rilascio di una patch.

Come possono le organizzazioni rilevare gli exploit zero-day ?

Le organizzazioni possono utilizzare strumenti di rilevamento delle minacce basati sull'intelligenza artificiale per identificare comportamenti insoliti indicativi di exploit zero-day .

Che cos'è l'exploit zero-day di MOVEit Transfer?

Le difese basate sull'intelligenza artificiale sono più efficaci in quanto sono in grado di rilevare modelli e comportamenti che le difese tradizionali basate sulle firme potrebbero non notare.

In che modo Vectra AI rileva e risponde agli exploit zero-day ?

Vectra AI utilizza l'apprendimento automatico e l'analisi comportamentale per rilevare e rispondere agli exploit zero-day in tempo reale.