Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Violazione di LastPass: la prospettiva della piramide del dolore

14 marzo 2023
Kat Traxler
Principal Security Researcher
Violazione di LastPass: la prospettiva della piramide del dolore

Negli ultimi mesi gli esperti di sicurezza informatica hanno reagito prontamente ai dettagli della violazione di LastPass. Sono stati pubblicati articoli di opinione che affrontano le misure correttive fondamentali per i clienti e muovono critiche meritate alla comunicazione dell'incidente. Nel dibattito pubblico è mancata una discussione sugli indicatori che possono essere ricavati dalle varie comunicazioni di LastPass. In questo blog cercherò di delineare le informazioni contenute nei comunicati di LastPass ed elencare gli indicatori degli aggressori, inquadrando la discussione nella Piramide del Dolore.

Questo articolo intende seguire fedelmente il consiglio fornito dall'autore della Piramide del dolore, David Bianco: "Ogni volta che ricevi nuove informazioni su un avversario (che si tratti di APT1/Comment Crew o di qualsiasi altro attore di minacce), esaminale attentamente alla luce della Piramide del dolore. Per ogni paragrafo, chiediti: 'C'è qualcosa qui che posso usare per rilevare l'attività dell'avversario e dove si colloca nella piramide?'"

La piramide del dolore per Cloud

La Piramide del Dolore è un modello concettuale per classificare l'efficacia dei controlli investigativi. Descritta per la prima volta da David Bianco nel 2013, il termine "Dolore" si riferisce al dolore che un controllo investigativo infliggerà all'avversario. Più si sale nella piramide, maggiore sarà il dolore che un aggressore proverà nell'adattarsi e nell'evitare necessariamente le capacità investigative del difensore. La piramide del dolore riconosce che non tutti gli indicatori di compromissione (e quindi le capacità investigative) sono uguali. Alcuni indicatori sono banali da modificare ed eludere per un aggressore, mentre altri comportamenti sono fondamentali per il loro obiettivo dichiarato e non possono essere alterati così facilmente.

Alla base della piramide si trovano indicatori semplici come indirizzi IP e valori hash. Ciò include cloud basati sull'indirizzo IP di origine o sulla firma dello strumento di attacco. I difensori potrebbero trovare un certo conforto nell'implementare rilevamenti mirati agli indicatori situati nella parte bassa della piramide del dolore, ma devono essere consapevoli della semplicità con cui è possibile eluderli.

All'apice della Piramide del Dolore si trovano gli indicatori fondamentali per il modo in cui un aggressore raggiunge i propri obiettivi. Si tratta delle tattiche, tecniche e procedure (TTP) che sono difficili o impossibili da modificare per l'autore della minaccia. Immaginate una suite di rilevamento che rileva le chiamate API coinvolte nel trasferimento di dati da un cloud affidabile. Questo indicatore sarebbe impossibile da modificare per un aggressore, a meno che non fosse in grado di sfruttare meccanismi sconosciuti e non documentati del cloud per trasferire i dati.

Nel mezzo si trovano gli indicatori che un avversario potrebbe modificare o evitare di mostrare con una certa difficoltà. Nell'analisi del cloud, questo livello include modelli di eventi che indicano una compromissione iniziale. L'individuazione e l'enumerazione di un cloud si effettuano più semplicemente interrogando direttamente cloud e lasciando una traccia di indicatori sul cloud . Tuttavia, questi indicatori possono essere evitati e le stesse informazioni possono essere raccolte tramite intelligence open source o raccogliendo informazioni dalla documentazione interna.

Comunicazioni LastPass Intel

Analizziamo le informazioni contenute nelle comunicazioni pubbliche di LastPass, prestando particolare attenzione agli indicatori degli aggressori che hanno preso di mira i dati cloud . Sebbene queste comunicazioni contengano numerosi dettagli interessanti sulla posizione protettiva e difensiva di LastPass, questo post si concentra sull'evidenziare i possibili comportamenti degli aggressori.

1° incidente: ha comportato il furto dei repository sorgente e della documentazione tecnica.

"L'autore della minaccia ha utilizzato servizi VPN di terze parti per nascondere l'origine della propria attività durante l'accesso all'ambiente di sviluppo cloud e ha sfruttato tale accesso per impersonare l'ingegnere software. Grazie a questo approccio, è riuscito a "intrufolarsi" nell'ambiente di sviluppo on-demand tramite la nostra VPN aziendale e una connessione dedicata all'ambiente di sviluppo cloud. Ciò è stato possibile grazie all'autenticazione riuscita dell'ingegnere software con credenziali di dominio e MFA. Non è stata identificata né richiesta alcuna escalation dei privilegi".
  • Ciò indica che l'ambiente di sviluppo cloud disponeva di connettività ibrida ed era disponibile per gli utenti autenticati nel dominio all'interno dello spazio IP aziendale.
  • Qualsiasi controllo investigativo mirato a indirizzi IP insoliti o noti come dannosi avrebbe probabilmente ignorato l'autore della minaccia che utilizzava la VPN aziendale quando proveniva endpoint dell'ingegnere software, tuttavia se la connessione non fosse stata stabilita al di fuori della workstation, sarebbero stati possibili controlli per prevenire o rilevare una connessione VPN insolita.

Secondo incidente: ha comportato il furto dei backup dei caveau dei clienti contenenti dati crittografati e non crittografati, seed di password monouso e segreti API utilizzati nelle integrazioni di terze parti.

"A causa dei controlli di sicurezza che proteggono e garantiscono la sicurezza delle installazioni del data center locale di LastPass, l'autore della minaccia ha preso di mira uno dei quattro ingegneri DevOps che aveva accesso alle chiavi di decrittazione necessarie per accedere al servizio cloud ".
  • Gli autori del rapporto sembrano indicare che l'autore della minaccia abbia scelto di prendere di mira i dati archiviati nel cloud che quelli locali a causa dei controlli di sicurezza meno rigorosi.
"Nello specifico, l'autore della minaccia è riuscito a sfruttare credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di cloud condiviso, il che inizialmente ha reso difficile per gli investigatori distinguere tra l'attività dell'autore della minaccia e l'attività legittima in corso".
"Per accedere alle risorse di archiviazione cloud, in particolare al bucket S3... I servizi di archiviazione crittografati cloud ospitano i backup dei dati dei clienti LastPass e dei dati crittografati del vault."
  • Mettendo insieme queste frasi, possiamo dedurre che gli oggetti AWS S3 sono stati consultati dall'autore dell'attacco utilizzando credenziali valide e rubate.
"Per accedere alle risorse di archiviazione basate su cloud, in particolare ai bucket S3 protetti con crittografia AWS S3-SSE, AWS S3-KMS o AWS S3-SSE-C, l'autore della minaccia doveva ottenere le chiavi di accesso AWS e le chiavi di decrittografia generate da LastPass."
  • Se per accedere alle risorse di archiviazione cloud era necessaria una chiave di accesso AWS e tale accesso è stato effettivamente effettuato, possiamo concludere che un utente IAM è stato compromesso e utilizzato per accedere agli oggetti archiviati in S3, poiché si tratta dell'unico soggetto IAM a cui possono essere assegnate chiavi di accesso.
  • Dato che i dati consultati erano backup cloud , possiamo presumere che l'identità compromessa fosse destinata a essere utilizzata in scenari di ripristino di emergenza.
".....l'autore della minaccia ha sfruttato una vulnerabilità nel software di terze parti, ha aggirato i controlli esistenti e alla fine ha avuto accesso agli ambienti di sviluppo non produttivi e di archiviazione di backup.4"

Violazione di LastPass: opportunità Cloud e risposta Cloud

Considerando ciò che sappiamo sul valore dei diversi indicatori, come possiamo mappare i possibili indicatori della violazione di LastPass sulla Piramide del Dolore?

Indicatori relativamente "indolori"

Questi indicatori sono facili da eludere per un avversario, tendono a produrre rilevamenti veri positivi altamente affidabili, ma difficilmente determinano un intervento tempestivo da parte del team addetto alla sicurezza, poiché non illustrano l'impatto sulle cloud .

  • Accesso Cloud da posizioni insolite che ha portato al rilevamento di spostamenti improbabili.
    → È improbabile che il primo incidente sarebbe stato rilevato cercando questo indicatore, ma è possibile che il secondo incidente abbia prodotto alcuni segnali.

Indicatori della piramide media

Un avversario potrebbe riuscire a evitare l'uso di questi indicatori con una certa difficoltà, ma è comunque improbabile che riceva un intervento tempestivo da parte di un team addetto alla sicurezza, poiché tali indicatori tendono a non illustrare l'impatto sulle cloud .

  • Attività di ricognizione
    → Una volta ottenute credenziali valide, l'autore dell'attacco potrebbe aver sfruttato le cloud per enumerare le proprie autorizzazioni e/o elencare e descrivere gli oggetti S3. Tuttavia, durante il primo incidente è stata sottratta una grande quantità di documentazione tecnica. È possibile che tutte le informazioni necessarie fossero contenute in tale documentazione e che l'autore dell'attacco non abbia dovuto svolgere ulteriori attività di ricognizione sul cloud.

Indicatori piramidali principali

L'autore della minaccia non sarebbe in grado di evitare di lasciare questi indicatori e raggiungere comunque i propri obiettivi, come l'esfiltrazione dei dati. Modificare questi indicatori per evitare il rilevamento richiederebbe l'utilizzo di un'API o di una tecnica sconosciuta. I rilevamenti basati su questi indicatori sono in grado di attirare rapidamente l'attenzione del team addetto alla sicurezza.

  • Movimento di oggetti S3 verso destinazioni sospette
    → I dati sono stati spostati da archivi dati autorizzati cloud a posizioni controllate dagli aggressori. Questo trasferimento rappresenta un'opportunità per creare rilevamenti relativi al movimento dei dati verso posizioni sconosciute, non affidabili o esterne.
  • Accesso a grandi volumi di oggetti S3
    → Dalle comunicazioni di LastPass possiamo dedurre che grandi volumi di dati sono stati trasferiti sfruttando la velocità e la scalabilità delle Cloud AWS Cloud . L'accesso a grandi volumi di dati è un indicatore che si trova al vertice della piramide del dolore ed è un segnale per rilevare il recupero di dati sospetti.

Esistono diversi indicatori di compromissione che possono essere ricavati dalla violazione di LastPass e mappati su tutti i livelli della Piramide del Dolore. Sebbene sia utile fornire una copertura di rilevamento a tutti i livelli, è importante riconoscere che i risultati possono variare. Il rilevamento cloud da indirizzi IP sconosciuti o non attendibili sarà facile da eludere per un aggressore, mentre il rilevamento delle TTP relative a movimenti e accessi sospetti ai dati sarà probabilmente una metodologia di rilevamento collaudata.

Domande frequenti