Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Superfici di attacco

Zero-Day Attacchi ai dispositivi del bordo della rete: Perché l'NDR è importante

28 novembre 2024
Lucie Cardiet
Responsabile marketing prodotti
Zero-Day Attacchi ai dispositivi del bordo della rete: Perché l'NDR è importante

Le vulnerabilità Zero-day nei dispositivi edge di rete stanno rapidamente diventando uno dei mezzi più sfruttati per entrare nelle reti aziendali. Un recente avviso delle agenzie di sicurezza informatica dell'alleanza Five Eyes (Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda) evidenzia questa tendenza allarmante, segnando un cambiamento rispetto agli anni precedenti. Per la prima volta, la maggior parte delle 15 vulnerabilità più sfruttate sono state inizialmente sfruttate come zero-day, tra cui falle critiche in Citrix NetScaler, VPN Fortinet e router Cisco. I rapporti hanno rivelato che gli avversari, compresi presunti attori di Stati nazionali, hanno utilizzato queste vulnerabilità per compromettere migliaia di dispositivi, ottenendo un accesso persistente e impiantando webshell per un controllo a lungo termine.

Questa impennata sottolinea una "nuova normalità" preoccupante, in cui gli aggressori danno la priorità allo sfruttamento delle vulnerabilità zero-day appena divulgate per infiltrarsi nelle reti.

L'implementazione di soluzioni di Network Detection and Response (NDR) è essenziale per rilevare le attività successive alla compromissione e mitigare i rischi associati a questi attacchi sofisticati.

L'intensificarsi del panorama delle minacce

Gli aggressori si concentrano sempre più sui dispositivi edge di rete come punti di ingresso nelle reti aziendali. Questi dispositivi sono obiettivi interessanti perché spesso si trovano al confine tra reti fidate e non fidate e la loro compromissione può garantire agli aggressori un punto d'appoggio all'interno della rete.

Gli esempi che seguono evidenziano la tendenza crescente degli exploit zero-day che prendono di mira questi sistemi critici:

  • Palo Alto Zero-Days: consente l'esecuzione di codice remoto non autenticato, dando di fatto agli aggressori il pieno controllo del firewall senza alcuna autenticazione preliminare.
  • Violazioni Ivanti (Pulse Secure): Le vulnerabilità di bypass dell'autenticazione hanno permesso agli aggressori di infiltrarsi nelle reti senza essere scoperti.
  • Exploit di Citrix ADC: Le vulnerabilità di esecuzione di codice remoto hanno portato a violazioni significative in ambienti aziendali.
  • SonicWall Zero-Days: Sono state sfruttate vulnerabilità non patchate per compromettere dispositivi di accesso remoto sicuri.
  • Vulnerabilità Fortinet: Sono state sfruttate falle critiche zero-day per ottenere il controllo dei sistemi firewall Fortinet, minando le difese di rete.
  • Vulnerabilità di F5 BIG-IP: Vulnerabilità critica nell'esecuzione di codice da remoto sfruttata per ottenere il controllo amministrativo dei dispositivi, con conseguente potenziale compromissione della rete.
Cronologia delle principali vulnerabilità e rivelazioni degli ultimi anni.
Cronologia delle principali vulnerabilità e rivelazioni degli ultimi anni.

Questi casi dimostrano che anche i dispositivi di sicurezza affidabili possono diventare delle passività. Quando gli aggressori violano questi sistemi, possono manipolare o disattivare le funzioni di sicurezza, rendendo inefficaci i controlli tradizionali.

I limiti dei dispositivi edge compromessi

Gli strumenti di sicurezza tradizionali spesso non sono in grado di rilevare attività dannose provenienti da dispositivi affidabili come i firewall. Poiché questi dispositivi sono considerati sicuri per impostazione predefinita, i comportamenti anomali possono passare inosservati. Una volta compromessi, questi dispositivi possono essere utilizzati impunemente per fare da pivot all'interno dell'organizzazione, diventando potenti strumenti per gli aggressori per intensificare le loro attività.

La compromissione di un dispositivo edge di rete, come un firewall, mina le fondamenta stesse della sicurezza di rete. Gli aggressori possono manipolare o disattivare le funzioni di sicurezza, alterare le configurazioni e accedere ai dati sensibili memorizzati nel dispositivo. Ad esempio, dopo aver sfruttato CVE-2024-3400, gli aggressori sono stati in grado di:

  • Scaricare le configurazioni del firewall: Acquisizione di informazioni sull'architettura di rete, sugli intervalli di indirizzi IP e sui meccanismi di autenticazione.
  • Raccogliere le credenziali: I firewall e i servizi di accesso remoto spesso contengono credenziali privilegiate per il dominio e altri servizi organizzativi. Queste credenziali possono essere estratte e utilizzate per l'escalation dei privilegi, consentendo agli aggressori un accesso più profondo ai sistemi critici.
  • Disattivare la registrazione e gli avvisi: Impedisce il rilevamento sopprimendo le notifiche di sicurezza.
Se volete saperne di più sui dettagli tecnici della vulnerabilità CVE-2024-3400, sul suo impatto sulle varie versioni di PAN-OS e sull'urgenza degli sforzi di patch in corso, guardate il nostro Threat Briefing.

Attività post-compromesso: cosa succede dopo

Una volta entrati nella rete, gli aggressori si impegnano tipicamente in diverse attività successive alla compromissione:

1. Ricognizione

Gli aggressori mappano la rete interna per identificare le risorse di valore e i sistemi critici. Analizzano l'architettura di rete, identificano le strutture di Active Directory e individuano i server o i database con informazioni di alto valore.

Esempio: Nell'attacco di SolarWinds, gli aggressori hanno utilizzato la ricognizione per mappare gli ambienti Active Directory delle organizzazioni colpite, identificando gli account privilegiati e le risorse sensibili da colpire.

2. Raccolta di credenziali

Gli aggressori estraggono le credenziali per aumentare i privilegi e ottenere un accesso più profondo alla rete. Ciò comporta spesso l'acquisizione di password memorizzate, l'utilizzo di strumenti di dumping delle credenziali o il furto di credenziali da configurazioni di sistemi compromessi.

Esempio: Midnight Blizzard, un gruppo di minacce sofisticate, ha utilizzato phishing e le malware per rubare credenziali ad alto livello di privilegio, garantendo loro l'accesso a sistemi di posta elettronica e ambienti cloud sensibili.

3. Movimento laterale

Gli aggressori utilizzano protocolli come SMB, RDP e WinRM per spostarsi tra i sistemi, aumentando la loro posizione all'interno dell'organizzazione. Sfruttano le relazioni di fiducia e i controlli di accesso deboli per diffondersi verso obiettivi di alto valore.

Esempio: Durante l'attacco del ransomware WannaCry, gli aggressori hanno sfruttato la vulnerabilità EternalBlue in SMB per propagarsi lateralmente attraverso le reti, infettando numerosi endpoint.

4. Esfiltrazione dei dati

Gli aggressori raccolgono e trasferiscono i dati sensibili fuori dalla rete, spesso criptandoli o inviandoli a server esterni sotto il loro controllo. I dati rubati possono essere utilizzati per estorsioni, venduti sul dark web o sfruttati per ulteriori attacchi.

Esempio: Il gruppo di ransomware Clop ha sfruttato la vulnerabilità di MOVEit Transfer per rubare dati sensibili a centinaia di organizzazioni, utilizzandoli poi per estorcere alle vittime minacce di esposizione pubblica.

5. Stabilire la persistenza

Gli aggressori creano backdoor per mantenere l'accesso continuo alla rete compromessa, assicurandosi di poter tornare anche dopo gli sforzi di bonifica. Questa persistenza può includere webshell, impianti malware o account manipolati.

Esempio: Nel 2023, gli attori delle minacce hanno sfruttato unavulnerabilità zero-day nelle appliance Citrix NetScaler ADC (CVE-2023-3519) per impiantare webshell. Queste webshell fornivano un accesso persistente, consentendo agli aggressori di eseguire il discovery dell'Active Directory della vittima e di raccogliere ed esfiltrare dati.

Nel caso di un exploit del firewall, gli aggressori sfruttano il dispositivo compromesso per avviare connessioni a più sistemi interni, puntando ai controller di dominio, alle chiavi di protezione dei dati di backup e alle workstation degli utenti.

L'imperativo del rilevamento e della risposta di rete (NDR)

Considerando questi attacchi sofisticati, affidarsi esclusivamente alle misure di sicurezza tradizionali è insufficiente. Le organizzazioni hanno bisogno di un mezzo indipendente e completo per rilevare le attività dannose che bypassano o provengono da dispositivi compromessi. È qui che il Network Detection and Response (NDR) diventa fondamentale.

Perché la NDR è essenziale

  • Rilevamento indipendente delle minacce: L'NDR opera separatamente dalla sicurezza endpoint e dai dispositivi compromessi, garantendo una visibilità continua.
  • Analisi comportamentale: Analizzando i modelli di traffico di rete, l'NDR può identificare anomalie indicative di ricognizione, movimento laterale e altre attività dannose.
  • Rilevamento rapido: Le soluzioni NDR come Vectra AI utilizzano modelli avanzati di apprendimento automatico per rilevare le minacce in tempo reale, riducendo al minimo la finestra di opportunità per gli aggressori.
  • Copertura completa: L'NDR monitora tutto il traffico di rete, comprese le comunicazioni est-ovest (interne) spesso sfruttate durante i movimenti laterali.

Come Vectra AI rileva le attività post-compromissione

La piattaformaVectra AI è specificamente progettata per identificare, investigare e rispondere alle minacce che hanno eluso o provengono da infrastrutture di sicurezza compromesse. Vectra AIAttack Signal Intelligence sfrutta l'intelligenza artificiale (AI) e l'apprendimento automatico (ML) avanzati per analizzare il traffico di rete in tempo reale e rilevare sottili segnali di comportamento dannoso.

Il nostro Attack Signal Intelligence rileva:

  • Comportamento amministrativo sospetto: Rileva l'uso insolito di protocolli amministrativi come WinRM, SSH e RDP. Se un dispositivo, ad esempio un firewall, avvia improvvisamente connessioni ai sistemi interni utilizzando questi protocolli, un comportamento non osservato in precedenza,ectraVectra AI lo segnala come sospetto.
  • Esecuzione remota sospetta: Monitora le attività di esecuzione remota utilizzando strumenti come PowerShell Remoting e PsExec. Le anomalie nell'uso di questi strumenti da parte di fonti inaspettate sono indicative di movimenti laterali.
  • Analisi dell'accesso ai privilegi: Analizza i modelli di autenticazione Kerberos per rilevare accessi anomali a servizi e host. Se un dispositivo compromesso inizia ad accedere a servizi o host con cui non ha mai interagito prima, in particolare quelli che richiedono privilegi elevati, Vectra AI lo identifica come una potenziale minaccia.

Un esempio: il rilevamento di un exploit del firewall

Nello scenario in cui gli aggressori sfruttano una vulnerabilità del firewall:

  • Rilevamento del traffico anomalo: Vectra AI rileverebbe l'avvio da parte del firewall di connessioni insolite a sistemi interni utilizzando protocolli amministrativi.
  • Identificazione dell'abuso di credenziali: L'uso di credenziali raccolte per accedere a servizi critici farebbe scattare avvisi basati su deviazioni dai normali schemi di autenticazione.
  • Triage guidato dall'AI: Vectra AI AI-driven triage: triage automatico delle minacce rilevate, riducendo il rumore ed evidenziando gli incidenti più critici per una risposta immediata, consentendo indagini più rapide ed efficaci.
  • Prioritizzazione guidata dall'AI: La prioritizzazione di Vectra AI garantisce che queste minacce critiche siano portate all'attenzione immediata dei team di sicurezza per un'azione rapida. Guardate la nostra infografica su come gli attaccanti ibridi vanno oltre l'Endpoint.

Oltre il rilevamento: l'importanza di una risposta rapida

Il rilevamento è solo il primo passo. Una risposta rapida è fondamentale per contenere le minacce e minimizzare i danni.

Le capacità di risposta di Vectra AI

  • Azioni automatiche: Vectra AI può disabilitare automaticamente gli account utente compromessi o isolare gli host interessati, limitando la capacità dell'attaccante di muoversi lateralmente.
  • Integrazione con l'ecosistema della sicurezza: Funziona senza problemi con gli strumenti di sicurezza esistenti, come i firewall e le piattaforme di protezione endpoint , per applicare i criteri di sicurezza.
  • Approfondimenti praticabili: Fornisce un contesto dettagliato e raccomandazioni per aiutare i team di sicurezza nelle attività di indagine e correzione.

Gli attacchi Zero-day rivolti ai dispositivi edge di rete rappresentano una minaccia significativa e in continua evoluzione. Una volta che gli aggressori compromettono questi dispositivi, possono navigare all'interno della rete senza essere individuati, rendendo inefficaci le misure di sicurezza tradizionali. A volte le misure proattive non sono sufficienti, quindi l'implementazione di una soluzione NDR come Vectra AI è essenziale:

  • Rilevamento delle attività successive alla violazione: Identificare i comportamenti dannosi che si verificano dopo la violazione iniziale.
  • Mantenere la visibilità della sicurezza: Garantire un monitoraggio continuo anche quando le difese primarie sono compromesse.
  • Consentire una risposta rapida: Facilitare un'azione rapida per contenere e rimediare alle minacce. Rimanete al passo con le minacce oltre i confini. Richiedete oggi stesso una demo per scoprire come potete rilevare e rispondere agli attacchi, anche quando le vostre difese primarie sono compromesse.

Rimanete al passo con le minacce oltre i confini. Richiedete oggi stesso una demo per scoprire come potete rilevare e rispondere agli attacchi, anche quando le vostre difese primarie sono compromesse.

DOMANDE FREQUENTI