Recentemente, Kasperky Labs ha rivelato di essere stata vittima di un sofisticato attacco informatico, che ha chiamato Duqu 2.0. Il team di Kaspersky Labs ha pubblicato un'analisi dettagliata di Duqu 2.0 che vale la pena di leggere.
La minaccia originale di Duqu
La minaccia originale Duqu era una famiglia di malware che la maggior parte dei ricercatori ritiene sia stata creata da uno stato-nazione ed è collegata al famigerato worm Stuxnet. Mentre Stuxnet è stato utilizzato per danneggiare le centrifughe utilizzate per arricchire l'uranio, il Duqu originale sembrava più intenzionato a sorvegliare e raccogliere informazioni all'interno di una rete compromessa.
L'analisi di Kaspersky fornisce alcuni spunti molto interessanti sull'attacco e, a mio avviso, mostra chiaramente il ruolo critico dei sistemi basati sul comportamento nel rilevare gli attacchi avanzati.
Come il framework Duqu originale, Duqu 2.0 fa largo uso di vulnerabilità zero-day per compromettere i sistemi delle vittime iniziali. Da questa compromissione iniziale, gli aggressori sono stati in grado di fare quanto segue:
- Eseguire una ricognizione interna per mappare la topologia della rete interna.
- Utilizzare una tecnica di attacco Kerberos chiamata "pass-the-hash" per diffondersi lateralmente all'interno della rete.
- Elevare i loro privilegi a un account di amministratore di dominio.
- Utilizzare i privilegi di amministratore del dominio per distribuire pacchetti MSI per infettare altri host.
Anomalie rilevate da Vectra
Questi passaggi calcolati sono esattamente i tipi di comportamenti che Vectra rileva in tempo reale e senza bisogno di firme o elenchi di reputazione di terze parti.
- Scansioni Darknet interne e scansioni delle porte - Questi rilevamenti di Vectra rivelano la mappatura della rete interna da parte di un aggressore e l'identificazione dei servizi disponibili su qualsiasi host appena trovato.
- Attività del client Kerberos - Questo rilevamento rivela una serie di attacchi, come l'uso di credenziali rubate e attacchi pass-the-hash che hanno permesso agli aggressori di muoversi lateralmente all'interno della rete Kaspersky. Sebbene esistano molte varianti di pass-the-hash, Vectra è in grado di identificare il comportamento fondamentale che hanno in comune.
- Replicazione automatica - Questo rilevamento rivela un particolare host che propaga payload simili in tutta la rete, come i pacchetti MSI dannosi utilizzati per infettare altri host.
Sebbene questi rilevamenti facciano luce su diversi punti, è anche importante vedere il quadro generale. Per molti versi, Duqu 2.0 è molto simile all'originale. Attaccanti sofisticati che conoscono le vulnerabilità zero-day infettano silenziosamente un host e si diffondono e spiano la rete. È molto probabile che questo schema continui a ripetersi, anche se la prossima volta con una nuova vulnerabilità zero-day .
Gli aggressori più sofisticati lanciano sempre nuove vulnerabilità. Ma i loro obiettivi e le loro azioni fondamentali, una volta entrati nella rete, tendono a rimanere sorprendentemente costanti.
Gli aggressori si orientano in una rete, aumentano i privilegi e si diffondono attraverso la rete. Questi comportamenti sono direttamente osservabili dai prodotti che monitorano attentamente le reti interne. Se non iniziamo ad applicare modelli di sicurezza che si concentrino su questi comportamenti, il seguito assomiglierà molto all'episodio che abbiamo già visto.