Kategorie
bezpieczeństwo IT

Potężny botnet atakuje Microsoft Office365

„Rozpylanie haseł” tzw. „password spayring” nie jest niczym nowym. Takie wykorzystanie logowań pomaga atakującym uniknąć wykrycia przez tradycyjne kontrole bezpieczeństwa. Atakujący próbują dopasować hasło do usługi poprzez złamanie niedługich i nieskomplikowanych kombinacji znaków alfanumerycznych. Chociaż obroną przed takim rodzajem ataku stało się tzw. podwójne uwierzytelnienie, czyli poświadczenie logowania poprzez drugi kanał komunikacji (two-factor authentication – 2FA), to jednak w ostatnich dniach stało się to niewystarczające. Dlaczego?


Właściciel uwierzytelnionego mechanizmem 2FA już wcześniej konta może z czasem „pójść na skróty” i dodać swój autoryzowany uprzednio sposób logowania jako zaufany czyli sprzęt, swoją geolokalizację, kanał komunikacji, komputer lub adres logowań. Zaufana lista „upośledza” drogę podwójnej autoryzacji poprzez zatwierdzenie pytania „- Czy chcesz aby w przyszłości nie pytać Cię o hasło na tym urządzeniu?”, „- Czy dodać urządzenie do zaufanych?”.

Zazwyczaj „rozpylanie haseł” poprzez próby dopasowania ich w krótkich i nieskomplikowanych ciągach znaków, powoduje blokady systemów logowań, które ostrzegają zespoły bezpieczeństwa IT. Jednak obecna kampania jest skierowana w szczególności do nieinteraktywnych logowań czyli logowań systemowych, w części zautomatyzowanych i poświadczonych wcześniej jako zaufane. Co to oznacza i dlaczego stało się tak niebezpieczne i „skuteczne” z punktu widzenia autorów ataku?


Podczas każdej próby logowania na konto usług IT np. poczty lub hostingu na serwerze dostępnym z sieci Internet, który zabezpieczony jest mechanizmem podwójnej autoryzacji (two-factor authentication 2FA) system generuje alerty bezpieczeństwa uwierzytelniające logowanie na np. innym urządzeniu niż komputer (chociażby smartfon należący do właściciela lub administratora konta z zainstalowany tzw. autentykatorem do generowania poświadczeń). Jeżeli wcześniej atakowane konto posiadało zatwierdzoną, zaufaną autentykację a proste i nieskomplikowane hasło zostało uprzednio, dodatkowo skompromitowane (złamane), to taka sytuacja umożliwia atakującym działanie bez uruchamiania obrony mechanizmu 2FA lub zasad dostępu warunkowego, nawet w wysoce zabezpieczonych środowiskach. Takim celem stał się uznawany za bezpieczny system poczty Microsoft Office365. System nie broni się jednak sam. Właściciele kont sami dostarczają powodów do wykorzystania zaufanych mechanizmów poświadczeń.


W ostatnim czasie atakujący za cel obrali sobie konta Microsoft 365 głównie w organizacjach świadczących usługi finansowe, ubezpieczenia, usługi dla ludności i biznes korzystający z masowej wysyłki wiadomości e-mail tzw. „newsletter”. Sygnały o atakach dochodzą do specjalistów IT również z sektorów takich jak opieka zdrowotna, rząd i obrona, technologia, usługi chmurowe oprogramowania oraz edukacja i badania. To spory zasięg ogromnej kampanii botnet.

Uważa się, że teraźniejszy atak ma duży impakt, ponieważ omija na swój sposób nowoczesną obronę i prawdopodobnie jest to czyn chińskiego rządu.

Jakie kroki należy wykonać? Jakie działania prewencyjne są niezbędne?


Właściciele zabezpieczonych hasłami i mechanizmem 2FA kont jak i administratorzy i zespoły bezpieczeństwa IT winni niezwłocznie przejrzeć nieinteraktywne dzienniki logowania pod kątem nieautoryzowanych prób dostępu w celu wyłączenia starszych protokołów uwierzytelniania poświadczeń. Ponadto powinno się monitorować ewentualnie skradzione dane uwierzytelniające powiązane z organizacjami i wdrażać zasady dostępu warunkowego 2FA tam gdzie go jeszcze nie ma. Bezwzględnie należy zmienić hasła dostępowe do usług na minimum 24-ro znakowe ciągi kombinacji liczb, wielkich i małych liter oraz znaków specjalnych. Warto przejrzeć listy urządzeń zaufanych w usługach i poświadczyć ich uwierzytelnienie ponownie już po zmianie hasła na silniejsze. Niezbędnym krokiem jest również wyczyszczenie używanej przeglądarki Internet poprzez usunięcie „ciasteczek” (cookies) z pamięci cache oraz usunięcie wszelkich, zapamiętanych uprzednio haseł i loginów (na wszystkich używanych urządzeniach).

Nie należy „chodzić na skróty” i unikać zapamiętywania haseł w przeglądarkach Internetowych. Warto weryfikować co pewien czas listę zaufanych urządzeń i ją aktualizować poprzez zmianę haseł na silniejsze. Konieczne jest używanie długich i trudnych do odgadnięcia słownikowego poświadczeń, najlepiej stworzonych w tym celu przez generator losowy. W przeciwnym razie, skompromitowane hasła poprzez ominięcie systemu podwójnej autentykacji w przypadku poczty Microsoft Office365 mogą umożliwić atakującym przejęcie konta pocztowego w celu np. wysyłki niechcianych wiadomości typu „spam”, które w ostatecznym rozrachunku zablokują konto pocztowe poprzez działania prewencyjne administratorów serwera. Brak komunikacji poprzez zablokowane konta to możliwy, nie jedyny skutek ataku. Przejęte konto e-mail może posłużyć do podszycia się pod tożsamość jego właściciela.


Źródło: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet

Kategorie
bezpieczeństwo IT

Rekomendacje w związku z zagrożeniem na Ukrainie.

25 lutego 2022

Każdy z nas codziennie jest narażony na zagrożenia w cyberprzestrzeni, ale są momenty, gdy czujność trzeba jeszcze dodatkowo wzmocnić. W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Jeśli do tej pory Twoja firma nie testowała nigdy procedury przywracania kopii zapasowych, to jest to właściwy moment na zrobienie tego.

Rekomendacje dla obywateli

* Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.

* Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.

* Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.

* Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.

* Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.

* Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:

* Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.

* Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.

* Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.

* Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.

* Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.

* Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.

* Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.

* Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.

* Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.

* Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.

* Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.

* W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.

* Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.

* Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.

Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.

* Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:

CSIRT GOV — administracja rządowa i infrastruktura krytyczna,

CSIRT MON — instytucje wojskowe,

CSIRT NASK — wszystkie pozostałe.

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

* Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.

* Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.

* Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.

* Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Miejsce na przypisy

Przejdź do treści