Volt Typhoon: I LOLBins fanno sul serio

Il recente annuncio di Microsoft sull'attività di "Volt Typhoon" riporta sotto i riflettori la realtà degli attori delle minacce persistenti. Non è sempre la distruzione dei dati vista negli attacchi ransomware a rappresentare una minaccia per le organizzazioni, ma piuttosto gli attori che mantengono l'accesso continuo sono spesso ancora più pericolosi.

Gli obiettivi di questi gruppi di minaccia sono ben pianificati e ben finanziati dalle agenzie che li supportano. Inoltre, poiché mantenere l'accesso è un obiettivo chiave per questi gruppi, l'attività tende a seguire tecniche più furtive per rimanere nascosta e mimetizzata, oltre ad avere periodi di quiescenza. In passato, come consulente per la risposta agli incidenti, ho persino osservato attori statali mantenere l'accesso a un ambiente per più di dieci anni.

Rivelazione di Microsoft sugli attacchi alle infrastrutture critiche del Volt Typhoon

Mercoledì²⁴ maggio, Microsoft ha reso noti i dettagli degli attacchi alle infrastrutture nazionali critiche degli Stati Uniti perpetrati da un aggressore sponsorizzato dallo Stato cinese, identificato come Volt Typhoon. Questa campagna ha visto anche il rilascio di un flash separato da parte del Joint Cybersecurity Advisory board, che include l'NSA, il CISA e l'NCSC come membri.

Attacchi APT furtivi e tecniche di "vita in libertà".

Dal primo attacco APT1, alla compromissione di Piriform CCleaner, agli attacchi di Solarflare contro le build di SolarWinds che hanno portato a una compromissione di massa, e molti altri ancora, una cosa è chiara: gli aggressori altamente motivati e competenti troveranno sempre un modo per compromettere una rete e, quando lo faranno, faranno di tutto per rimanere nascosti.

In tutti questi esempi, gli aggressori hanno "vissuto sul territorio" e hanno utilizzato strumenti integrati per ottenere una presenza duratura e difficile da rilevare sulle reti.  

Sfide nell'individuazione di minacce furtive e strategiche

Le minacce invisibili che operano sottotraccia possono spesso essere più dannose, in quanto i loro obiettivi sono tipicamente più strategici e comportano conseguenze maggiori. Un aspetto fondamentale è che l'utilizzo di credenziali legittime e di tecniche di vita in loco rende ancora più difficile l'individuazione dell'attività. Spesso gli attori non installano malware o altri strumenti di hacking comunemente utilizzati, ma si affidano a ciò che è già presente nell'ambiente di destinazione per condurre attività di spionaggio e altre attività nefaste come l'esfiltrazione dei dati. Anche se vengono utilizzati nuovi strumenti, spesso si tratta di strumenti opensource o legittimi che difficilmente fanno scattare un allarme da parte del software di rilevamento Endpoint . Ciò pone un maggiore accento sul rilevamento di queste attività in base al comportamento osservato, il che è impegnativo poiché è probabile che l'attività si svolga legittimamente all'interno dell'ambiente di un'organizzazione. Tutto questo per dire che il rilevamento si baserà maggiormente sui comportamenti normali appresi e sui metodi per portare alla ribalta le deviazioni, laddove si riferiscono a tecniche di attacco, per le indagini.  

Persistenza e sottigliezza nelle tattiche di Volt Typhoon

I metodi utilizzati per ottenere e mantenere l'accesso nei rapporti di Volt Typhoon non sono nuovi, in quanto tecniche simili sono state utilizzate per molti anni da altre campagne di spionaggio sponsorizzate dallo Stato. Detto questo, gli attori delle minacce APT sono ancora una minaccia per la sicurezza di un'organizzazione e continueranno a esserlo, quindi è fondamentale rafforzare i rilevamenti delle loro attività.  

Analisi delle tecniche di spionaggio di Volt Typhoon

Nella campagna Volt Typhoon , possiamo osservare una ripartizione simile del comportamento "atteso" degli attori delle minacce di spionaggio:  

Compromissione iniziale > Ricognizione in diretta e movimento laterale > Preparazione delle informazioni per l'esfiltrazione attraverso i canali C2

In particolare, dai rapporti redatti da Microsoft e dagli avvisi di JCA si evince il seguente comportamento di Volt Typhoon  

• Gli attacchi provenivano da dispositivi SOHO (Small Office Home Office) che erano stati compromessi e poi utilizzati per proxyare il traffico verso gli obiettivi. In questo modo si mascherano gli attacchi in arrivo e l'infrastruttura C2 dietro spazi di indirizzi IP residenziali.
• Gli aggressori hanno utilizzato credenziali compromesse per accedere ai sistemi degli obiettivi. Questo maschera l'attività dell'attaccante, in quanto non viene sfruttata l'infrastruttura esterna o i sistemi Web esposti per prendere piede nell'ambiente.
• Una volta ottenuto l'accesso all'ambiente di destinazione, gli aggressori non hanno utilizzato malware per ottenere persistenza e un canale di comando e controllo. Si sono invece affidati a strumenti integrati per creare tunnel proxy e solo in rare circostanze hanno fatto ricorso a strumenti come Fast Reverse Proxy (frp) o EarthWorm.  
• Gli aggressori hanno utilizzato strumenti Windows integrati per la ricognizione degli ambienti e raramente hanno utilizzato strumenti di attacco o binari sospetti (come PSExec) per eseguire comandi e raccogliere dati.

Anche senza conoscere l'origine di questo attacco e la sua natura di sponsorizzazione statale, queste tattiche e procedure indicano già un'operazione altamente motivata e qualificata.  

Sebbene gli obiettivi dell'aggressore non siano al momento chiari, questo segue lo schema di precedenti attacchi sponsorizzati dallo Stato. Gli attori delle minacce altamente competenti possono essere motivati dal guadagno monetario o dalla notorietà sotto forma di compromissione di obiettivi di alto valore, Volt Typhoon sembra seguire i modelli tradizionali di spionaggio.

Comprendere e rispondere ai LOLBin e ai Volt Typhoon IOC  

Di fronte ad attaccanti così intimidatori, cosa possiamo fare noi difensori? La natura stessa dei LOLBin (Live Off the Land Binaries) e il loro utilizzo in attacchi di tipo spionistico rendono difficile la stesura di un elenco completo di IOC. Mentre il CSA e il blog di Microsoft condividono gli hash SHA256 e le stringhe da cercare nel vostro ambiente, la maggior parte di questi file sono strumenti esistenti che sono contrassegnati come dannosi in strumenti come VirusTotal o sono utili solo quando si eseguono attività di risposta agli incidenti e forensi.  

Le sfide delle compromissioni dei dispositivi SOHO

La cosa migliore che i difensori possono cercare di fare è comprendere le motivazioni e le pratiche di base di questi tipi di attaccanti per andare a caccia di minacce nei propri ambienti. A tal fine, analizziamo i punti precedenti e discutiamo alcune nozioni di base per la caccia alle minacce che potremmo implementare al fine di illuminare le attività dannose.  

Gli attacchi provenivano da dispositivi SOHO (Small Office Home Office) che erano stati compromessi e poi utilizzati per proxyare il traffico verso gli obiettivi. In questo modo si mascherano gli attacchi in arrivo e l'infrastruttura C2 dietro spazi di indirizzi IP residenziali.

Questo punto comporta alcune sfide. In primo luogo, vale la pena notare che l'attacco proviene da uno spazio pubblico di indirizzi IP; ciò non significa che tutti coloro che dispongono di una connessione a banda larga debbano eseguire un processo completo di risposta agli incidenti APT, ma è necessario assicurarsi che gli strumenti di amministrazione remota disponibili sulla maggior parte dei router commerciali non siano disponibili su Internet. In quanto potenziale bersaglio di APT che si muovono attraverso questi dispositivi SOHO, i difensori dovrebbero studiare metodi per rilevare l'attività di sign on per utenti fidati ma da posizioni non fidate o sconosciute. Ciò può avvenire esaminando i registri o investendo in funzionalità di rilevamento che possano aiutare a identificare questi comportamenti potenzialmente dannosi e insoliti per l'ambiente.  

Il ruolo delle credenziali compromesse nella strategia di Volt Typhoon

Se si verifica un accesso da un dispositivo o da un indirizzo IP sconosciuto per un utente, servizi come Spur.us possono aiutare a identificare l'utilizzo dell'indirizzo IP e indirizzare i difensori verso un giudizio su un evento specifico. È inoltre possibile che diversi utenti effettuino l'accesso dallo stesso dispositivo in rapida successione, il che potrebbe indicare un comportamento dannoso.

Gli aggressori hanno utilizzato credenziali compromesse per accedere ai sistemi degli obiettivi. Questo maschera l'attività dell'attaccante, in quanto non viene sfruttata l'infrastruttura esterna o i sistemi Web esposti per prendere piede nell'ambiente.

Come per il punto precedente, anche questo riguarda l'utilizzo di credenziali compromesse per prendere piede nell'ambiente di destinazione. Sebbene molti dei consigli precedenti siano ancora validi, ci sono anche altri punti più specifici da considerare.  

Una volta che un attaccante si trova all'interno di un ambiente, ha bisogno di accedere agli host dell'ambiente e toccherà i servizi (servizi Kerberos SPN) nell'ambiente che potenzialmente causeranno allarmi nell'ambiente. I difensori devono individuare attività insolite degli account nella rete, tra cui, a titolo esemplificativo e non esaustivo  

• Account a basso privilegio che accedono a host sconosciuti ad alto privilegio, come controller di dominio o server di Exchange.
• Account ad alto privilegio che si collegano a host a basso privilegio e accedono a servizi ad alto privilegio, ad es: Un amministratore di dominio, collegato a un portatile HR, che si connette ad Active Directory per interrogare i criteri.  
• Account utente che accedono a host che non sono chiaramente collegati, ad es: Un funzionario finanziario che accede a un host appartenente al supporto informatico.  

Analisi dell'uso di strumenti rari e tunnel proxy nelle strategie di attacco

Questi tipi di rilevamento possono essere automatizzati con gli strumenti corretti, ma possono servire come buona base di riflessione per determinare se un host o un account è stato utilizzato in una potenziale violazione.  

Una volta ottenuto l'accesso all'ambiente di destinazione, gli aggressori non hanno utilizzato malware per ottenere persistenza e un canale di comando e controllo. Si sono invece affidati a strumenti integrati per creare tunnel proxy e solo in rare circostanze hanno fatto ricorso a strumenti come Fast Reverse Proxy (frp) o EarthWorm.  

È facile osservare questo comportamento e credere che il blocco dell'accesso agli strumenti Earthworm o FRP sia sufficiente a fermare gli aggressori. Tuttavia, questo è stato osservato solo in rari casi. Nella maggior parte dei casi, gli aggressori hanno utilizzato strumenti di Windows integrati. Un esempio è il comando netsh.exe portproxy. Questo comando è limitato ai prodotti Windows Server e consente all'utente di creare un proxy su un host per inoltrare le comunicazioni a un altro host dell'ambiente. I casi in cui ciò si è verificato rispetto al semplice utilizzo di credenziali valide sono stati comunque minimi, pertanto la convalida dell'account e delle credenziali deve essere effettuata in ordine di priorità.  

I difensori dovrebbero cercare alcuni artefatti, sia sulla rete che nella memoria degli host.

Esaminare l'uso degli strumenti integrati di Windows per la ricognizione

Sulla rete, i difensori devono cercare connessioni in entrata a porte rare. Il traffico in entrata nell'ambiente dovrebbe essere ragionevolmente statico e ben compreso, quindi le connessioni in entrata agli host su porte sconosciute possono servire come punto di partenza per indagare su una potenziale compromissione. Nei rari casi in cui è stato utilizzato un software proxy off the shelf, gli aggressori hanno codificato le seguenti porte per connettersi alla loro infrastruttura C2: 8080, 8443, 8043, 8000 e 10443. Queste porte, tuttavia, sono ben note per i proxy Internet commerciali e potrebbero costringere un difensore a inseguire troppi falsi positivi per essere il punto di partenza di un'indagine.  

Gli aggressori hanno utilizzato strumenti Windows integrati per la ricognizione degli ambienti e raramente hanno utilizzato strumenti di attacco o binari sospetti (come PSExec) per eseguire comandi e raccogliere dati.

Quest'ultimo punto è uno dei più difficili da individuare per i difensori. Sebbene sia possibile trovare attività legate all'uso di LOLbins, è difficile distinguere questo traffico da quello del normale lavoro quotidiano.  

Volt Typhoon era noto per l'utilizzo di strumenti come ping.exe per la ricognizione dell'ambiente di rete, pertanto gli host che hanno eseguito ping sweep della rete possono far scattare meccanismi di rilevamento interni, sia che si tratti di prodotti per il rilevamento e la risposta della rete, sia che si tratti di honeypots che non dovrebbero essere toccate, i ping sweep tendono a essere rumorosi. Hanno anche utilizzato wmic per eseguire operazioni remote sugli host di destinazione utilizzando il servizio WMI (Windows Mangement Instrumentation). Di conseguenza, le raccomandazioni di cui sopra relative alla ricerca di attività di login sospette si applicano anche in questo caso. Ad esempio, l'uso di wmic può causare la creazione di un ID 4624 del registro eventi di Windows, con un tipo di accesso per l'account pari a 3 (Rete).  

Se si utilizza una soluzione di monitoraggio in grado di esporre le named pipe sulla rete, è possibile che WMIC venga utilizzato per avviare processi in remoto. Tuttavia, queste named pipe e i metodi associati sono abbastanza generici e saranno osservati in tutta la rete con la normale attività. Tuttavia, quelli a cui prestare veramente attenzione sono quelli che provengono da account con privilegi elevati, verso host con privilegi elevati. In particolare, occorre prestare molta attenzione a IWbemServices::ExecMethod, una funzione che in genere consente di impartire comandi remoti tramite WMI.  

Vigilare contro le minacce sponsorizzate dallo Stato come il Volt Typhoon

Gli attacchi contro le infrastrutture critiche sono sempre una prospettiva spaventosa, soprattutto quando gli attori della minaccia coinvolti sono operatori di spionaggio sponsorizzati dallo Stato e altamente capaci. Tuttavia, in qualità di difensori, dobbiamo ricordarci di fare affidamento sui nostri principi di appartenenza alla squadra blu. Le compromissioni possono accadere e dobbiamo essere pronti ad affrontarle quando si verificano. Dobbiamo avere una buona conoscenza della nostra rete e delle operazioni all'interno della rete, sia attraverso strumenti in grado di rivelare attività insolite, sia semplicemente conoscendo a fondo la base di utenti e i loro ruoli lavorativi.  

Solo perché qualcuno si collega da un indirizzo IP domestico, non significa che tutto vada bene. Il lavoro a domicilio e quello ibrido comportano un numero sempre maggiore di lavoratori remoti, ma questo non è un motivo per abbassare la guardia. Considerate la località dell'utente, i potenziali scenari di viaggio impossibili e gli schemi di accesso consolidati per quell'utente.  

Vivere in modo autonomo è una tecnica preziosa e furtiva, che non scomparirà tanto presto, soprattutto quando l'obiettivo dell'attore della minaccia è lo spionaggio. Come difensori e amministratori, dobbiamo capire come gli strumenti che utilizziamo quotidianamente possano essere rivolti contro di noi per compromettere le nostre reti e dobbiamo sapere come individuare quelle attività che, a prima vista, possono sembrare normali, ma che non reggono sotto esame.  

Attacchi di questo tipo, al massimo livello, non si fermeranno tanto presto, dobbiamo essere pronti e riscaldati prima che ci colpiscano la prossima volta.

Per informazioni su come queste minacce si manifestano nella piattaforma di rilevamento delle minacce di Vectra, leggete il nostro articolo di supporto.