Archiwa atak - Henwar

„Rozpylanie haseł” tzw. „password spayring” nie jest niczym nowym. Takie wykorzystanie logowań pomaga atakującym uniknąć wykrycia przez tradycyjne kontrole bezpieczeństwa. Atakujący próbują dopasować hasło do usługi poprzez złamanie niedługich i nieskomplikowanych kombinacji znaków alfanumerycznych. Chociaż obroną przed takim rodzajem ataku stało się tzw. podwójne uwierzytelnienie, czyli poświadczenie logowania poprzez drugi kanał komunikacji (two-factor authentication – 2FA), to jednak w ostatnich dniach stało się to niewystarczające. Dlaczego?

Właściciel uwierzytelnionego mechanizmem 2FA już wcześniej konta może z czasem „pójść na skróty” i dodać swój autoryzowany uprzednio sposób logowania jako zaufany czyli sprzęt, swoją geolokalizację, kanał komunikacji, komputer lub adres logowań. Zaufana lista „upośledza” drogę podwójnej autoryzacji poprzez zatwierdzenie pytania „- Czy chcesz aby w przyszłości nie pytać Cię o hasło na tym urządzeniu?”, „- Czy dodać urządzenie do zaufanych?”.

Zazwyczaj „rozpylanie haseł” poprzez próby dopasowania ich w krótkich i nieskomplikowanych ciągach znaków, powoduje blokady systemów logowań, które ostrzegają zespoły bezpieczeństwa IT. Jednak obecna kampania jest skierowana w szczególności do nieinteraktywnych logowań czyli logowań systemowych, w części zautomatyzowanych i poświadczonych wcześniej jako zaufane. Co to oznacza i dlaczego stało się tak niebezpieczne i „skuteczne” z punktu widzenia autorów ataku?

Podczas każdej próby logowania na konto usług IT np. poczty lub hostingu na serwerze dostępnym z sieci Internet, który zabezpieczony jest mechanizmem podwójnej autoryzacji (two-factor authentication 2FA) system generuje alerty bezpieczeństwa uwierzytelniające logowanie na np. innym urządzeniu niż komputer (chociażby smartfon należący do właściciela lub administratora konta z zainstalowany tzw. autentykatorem do generowania poświadczeń). Jeżeli wcześniej atakowane konto posiadało zatwierdzoną, zaufaną autentykację a proste i nieskomplikowane hasło zostało uprzednio, dodatkowo skompromitowane (złamane), to taka sytuacja umożliwia atakującym działanie bez uruchamiania obrony mechanizmu 2FA lub zasad dostępu warunkowego, nawet w wysoce zabezpieczonych środowiskach. Takim celem stał się uznawany za bezpieczny system poczty Microsoft Office365. System nie broni się jednak sam. Właściciele kont sami dostarczają powodów do wykorzystania zaufanych mechanizmów poświadczeń.

W ostatnim czasie atakujący za cel obrali sobie konta Microsoft 365 głównie w organizacjach świadczących usługi finansowe, ubezpieczenia, usługi dla ludności i biznes korzystający z masowej wysyłki wiadomości e-mail tzw. „newsletter”. Sygnały o atakach dochodzą do specjalistów IT również z sektorów takich jak opieka zdrowotna, rząd i obrona, technologia, usługi chmurowe oprogramowania oraz edukacja i badania. To spory zasięg ogromnej kampanii botnet.

Uważa się, że teraźniejszy atak ma duży impakt, ponieważ omija na swój sposób nowoczesną obronę i prawdopodobnie jest to czyn chińskiego rządu.

Jakie kroki należy wykonać? Jakie działania prewencyjne są niezbędne?

Właściciele zabezpieczonych hasłami i mechanizmem 2FA kont jak i administratorzy i zespoły bezpieczeństwa IT winni niezwłocznie przejrzeć nieinteraktywne dzienniki logowania pod kątem nieautoryzowanych prób dostępu w celu wyłączenia starszych protokołów uwierzytelniania poświadczeń. Ponadto powinno się monitorować ewentualnie skradzione dane uwierzytelniające powiązane z organizacjami i wdrażać zasady dostępu warunkowego 2FA tam gdzie go jeszcze nie ma. Bezwzględnie należy zmienić hasła dostępowe do usług na minimum 24-ro znakowe ciągi kombinacji liczb, wielkich i małych liter oraz znaków specjalnych. Warto przejrzeć listy urządzeń zaufanych w usługach i poświadczyć ich uwierzytelnienie ponownie już po zmianie hasła na silniejsze. Niezbędnym krokiem jest również wyczyszczenie używanej przeglądarki Internet poprzez usunięcie „ciasteczek” (cookies) z pamięci cache oraz usunięcie wszelkich, zapamiętanych uprzednio haseł i loginów (na wszystkich używanych urządzeniach).

Nie należy „chodzić na skróty” i unikać zapamiętywania haseł w przeglądarkach Internetowych. Warto weryfikować co pewien czas listę zaufanych urządzeń i ją aktualizować poprzez zmianę haseł na silniejsze. Konieczne jest używanie długich i trudnych do odgadnięcia słownikowego poświadczeń, najlepiej stworzonych w tym celu przez generator losowy. W przeciwnym razie, skompromitowane hasła poprzez ominięcie systemu podwójnej autentykacji w przypadku poczty Microsoft Office365 mogą umożliwić atakującym przejęcie konta pocztowego w celu np. wysyłki niechcianych wiadomości typu „spam”, które w ostatecznym rozrachunku zablokują konto pocztowe poprzez działania prewencyjne administratorów serwera. Brak komunikacji poprzez zablokowane konta to możliwy, nie jedyny skutek ataku. Przejęte konto e-mail może posłużyć do podszycia się pod tożsamość jego właściciela.

Źródło: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet

Rekomendacje w związku z zagrożeniem na Ukrainie.

25 lutego 2022

Tag: atak

Każdy z nas codziennie jest narażony na zagrożenia w cyberprzestrzeni, ale są momenty, gdy czujność trzeba jeszcze dodatkowo wzmocnić. W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Jeśli do tej pory Twoja firma nie testowała nigdy procedury przywracania kopii zapasowych, to jest to właściwy moment na zrobienie tego.

Rekomendacje dla obywateli

* Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.

* Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.

* Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.

* Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.

* Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.

* Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:

* Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.

* Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.

* Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.

* Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.

* Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.

* Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.

* Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.

* Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.

* Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.

* Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.

* Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.

* W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.

* Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.

* Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.

* Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.

* Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:

* CSIRT GOV — administracja rządowa i infrastruktura krytyczna,

* CSIRT MON — instytucje wojskowe,

* CSIRT NASK — wszystkie pozostałe.

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

* Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.

* Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.

* Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.

* Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Miejsce na przypisy