Nel mio ultimo blog ho parlato di un cliente del settore finanziario che effettuava pen test e di come ho aiutato il team blu a individuare il team rosso mentre effettuava un attacco. Oggi sono di nuovo qui con un'altra storia dalla trincea.
Questa volta, ho lavorato con un cliente del settore manifatturiero che mi ha recentemente ingaggiato. Come in precedenza, questo cliente preferisce rimanere anonimo per tenere all'oscuro i criminali informatici delle sue nuove capacità di sicurezza. Per rimanere al passo con i tempi, organizza abitualmente esercitazioni di red team.
Uno degli aspetti più difficili da individuare per trovare gli aggressori nascosti all'interno della rete è quando i loro comportamenti si confondono con quelli degli utenti normali. Se fossi un attaccante, la prima cosa che cercherei sono gli strumenti di amministrazione della rete, perché sono affidabili per impostazione predefinita.
Comprendere la differenza tra il comportamento dell'aggressore e il comportamento accettabile dell'utente diventa un esercizio per individuare le sfumature tra i due e fornire un contesto più ampio su cos'altro è associato e su come i comportamenti delle minacce progrediscono nel ciclo di vita dell'attacco.
È ancora più difficile individuare i comportamenti degli aggressori quando questi hanno accesso a strumenti di sicurezza già in esecuzione sulla rete. Ad esempio, uno strumento di distribuzione del software come Microsoft SCCM è assolutamente legittimo in un'azienda. Ma crea un rumore che sembra l'esecuzione remota di file, che è esattamente ciò che farebbe un aggressore.
Gli strumenti di sicurezza devono creare dei filtri per rimuovere il rumore. Tuttavia, è probabile che si tratti di un attacco se la macchina inizia a eseguire azioni di comando e controllo non attendibili. La maggior parte degli strumenti finisce per non notare questo comportamento dell'attaccante perché ha già filtrato lo strumento come rumore. Gli aggressori sanno come funzionano questi strumenti di sicurezza.
In una recente esercitazione di pen-test con un nostro cliente del settore manifatturiero, il team rosso ha acquisito di nascosto l'accesso a uno scanner Nessus, normalmente utilizzato dal team blu per cercare risorse esposte.
Il team blu mi ha insegnato presto a conoscere lo scanner Nessus, in modo che potessi imparare come viene usato e da chi. Al team sicurezza piace sapere quando si verificano le scansioni e non vuole che io interpreti le scansioni di Nessus come attacchi perché rappresentano un comportamento approvato.
Questo non farebbe altro che aumentare il lavoro dei miei colleghi analisti della sicurezza. Il mio compito è quello di filtrare il rumore in modo che possano concentrarsi su indagini più approfondite sugli incidenti, sulla risoluzione dei problemi e sull'apprendimento di come garantire che la rete possa adattarsi.
Man mano che il pen-test procedeva, ho notato diversi comportamenti di ricognizione e movimento laterale provenienti dallo scanner Nessus, che si sono verificati in una sequenza che non avevo mai visto prima.
Ho subito concluso che una persona non autorizzata aveva requisito lo scanner Nessus.
I primi comportamenti degli aggressori che ho rilevato sono stati i classici controlli delle porte IP e le scansioni delle porte. Poi ho notato un'ampia serie di scansioni darknet interne contro intervalli di IP che il team di sicurezza non avrebbe normalmente analizzato.
Per risparmiare tempo, ho messo in relazione i comportamenti di attacco e le informazioni contestuali, in modo che il team blu potesse vedere che il team rosso stava cercando di individuare gli host in intervalli di subnet che non esistevano in precedenza sulla rete.
Ho continuato a monitorare l'attività di scansione della rete. Sebbene i comportamenti di ricognizione fossero sospetti, ho assegnato un punteggio di minaccia medio perché non ho visto comportamenti associati più avanti nel ciclo di vita dell'attacco che indicassero che un aggressore si era spinto più in profondità nella rete.
Dopo un po' di tempo di scansione, ho notato che il team rosso aveva scoperto una serie di server con database vulnerabili e un altro con password di amministrazione deboli. Ho visto rapidamente il team rosso passare alla fase di movimento laterale del ciclo di vita dell'attacco, che comprendeva SQL injection, repliche automatiche e un attacco a forza bruta contro le password degli amministratori.
In tempo reale, ho messo in relazione tutti questi comportamenti dell'attaccante con l'host utilizzato dal red team e con i server del data center che hanno compromesso. Osservando gli attacchi attraverso il loro ciclo di vita, li ho riassegnati con un punteggio di minaccia critica e un livello di certezza elevato.
I miei colleghi del team blu, persone proprio come voi, hanno agito rapidamente per isolare il team rosso e fermarlo prima che potesse passare a fasi di attacco più dannose come l'esfiltrazione dei dati.