Nel mio ultimo blog ho parlato di un cliente del settore finanziario che ha eseguito un test di penetrazione e di come ho aiutato il team blu a individuare il team rosso mentre sferrava un attacco. Oggi torno con un altro racconto dal fronte.
Questa volta ho lavorato con un cliente nel settore manifatturiero che mi ha recentemente assunto. Come in precedenza, questo cliente preferisce rimanere anonimo per non rivelare ai criminali informatici le sue nuove capacità di sicurezza. Per rimanere al top, esegue regolarmente esercitazioni di red team.
Una delle parti più difficili nel trovare gli aggressori nascosti all'interno della tua rete è quando i loro comportamenti si confondono con quelli degli utenti regolari. Se fossi un aggressore, la prima cosa che cercherei sarebbero i tuoi strumenti di amministrazione di rete, perché sono considerati affidabili per impostazione predefinita.
Comprendere la differenza tra il comportamento degli aggressori e quello accettabile degli utenti diventa un esercizio volto a individuare le sfumature tra i due e fornire un contesto più ampio su ciò che è associato e su come i comportamenti minacciosi progrediscono nel ciclo di vita dell'attacco.
È ancora più difficile individuare i comportamenti degli aggressori quando questi hanno accesso a strumenti di sicurezza già in esecuzione sulla rete. Ad esempio, uno strumento di distribuzione software come Microsoft SCCM è del tutto legittimo in un'azienda. Tuttavia, genera rumore che assomiglia all'esecuzione remota di file, esattamente ciò che farebbe un aggressore.
Gli strumenti di sicurezza devono creare filtri per rimuovere il rumore. Tuttavia, se la macchina inizia a eseguire azioni di comando e controllo non attendibili, probabilmente si tratta di un attacco. La maggior parte degli strumenti finisce per non rilevare questo comportamento dell'autore dell'attacco perché ha già filtrato lo strumento come rumore. Gli autori degli attacchi conoscono il funzionamento di questi strumenti di sicurezza.
Nel recente esercizio di pen testing con il nostro cliente del settore manifatturiero, il red team ha acquisito segretamente l'accesso a uno scanner Nessus che veniva normalmente utilizzato dal blue team per cercare risorse esposte.
Il team blu mi ha insegnato fin dall'inizio come funziona lo scanner Nessus, così ho potuto imparare come e da chi viene utilizzato. Il team di sicurezza desidera sapere quando vengono eseguite le scansioni e non vuole che io interpreti le scansioni Nessus come attacchi, poiché rappresentano un comportamento approvato.
Questo comporterebbe solo più lavoro per i miei colleghi analisti della sicurezza. Il mio compito è quello di filtrare il rumore di fondo, in modo che possano concentrarsi su indagini più approfondite sugli incidenti, risolvere i problemi e imparare come garantire che la rete sia in grado di adattarsi.
Man mano che il test di penetrazione procedeva, ho notato diversi comportamenti di ricognizione e movimento laterale provenienti dallo scanner Nessus, che si sono verificati in una sequenza che non avevo mai visto prima.
Ho immediatamente concluso che una persona non autorizzata avesse preso il controllo dello scanner Nessus.
I primi comportamenti degli aggressori che ho rilevato erano classici sweep delle porte IP e scansioni delle porte. Ho poi notato una vasta serie di scansioni interne della darknet su intervalli di IP che il team di sicurezza normalmente non avrebbe scansionato.
Per risparmiare tempo, ho correlato i comportamenti di attacco e le informazioni contestuali in modo che il team blu potesse vedere che il team rosso stava cercando di individuare host in intervalli di sottoreti che prima non esistevano sulla rete.
Ho continuato a monitorare l'attività di scansione della rete. Sebbene i comportamenti di ricognizione fossero sospetti, ho assegnato un punteggio di minaccia medio perché non ho riscontrato comportamenti associati nella fase successiva del ciclo di vita dell'attacco che indicassero che l'autore dell'attacco si fosse addentrato più a fondo nella rete.
Dopo aver eseguito la scansione per un po' di tempo, ho notato che il team rosso aveva scoperto una serie di server che eseguivano database vulnerabili e un altro con password amministrative deboli. Ho visto rapidamente il team rosso passare alla fase di movimento laterale del ciclo di vita dell'attacco, che includeva SQL injection, replica automatizzata e un attacco brute-force contro le password amministrative.
In tempo reale, ho correlato tutti questi comportamenti degli aggressori all'host utilizzato dal red team e ai server nel data center che hanno compromesso. Mentre osservavo gli attacchi compiere il loro ciclo di vita, li ho riassegnati con un punteggio di minaccia critico e un livello di certezza elevato.
I miei colleghi del team blu, persone proprio come te, hanno agito rapidamente per isolare il team rosso e fermarlo prima che potesse passare a fasi di attacco più dannose, come l'esfiltrazione dei dati.