Hur man identifierar de verkliga problemen – istället för att fokusera på att upptäcka incidenter

Få angripare nöjer sig med enkla och snabba ”smash & grab”-attacker nuförtiden, oavsett om det var vad de hade i siktet från början. Om det finns en möjlighet att etablera en långvarig närvaro – så kan du räkna med att det är precis vad de kommer att göra.

Författare: F-Secure Sverige
Datum: 03.03.2017
Lästid: 10 Minuter

I min förra artikel skrev jag att det ofta tar månader, rentav år, innan ett intrång upptäcks. Jag gav också några tips och råd för hur man kan göra för att upptäcka intrång snabbare, och uppmanade läsaren till att inte avstå från att söka för att man är rädd för vad man kommer att upptäcka.

Men om man gör så, om man följer mitt råd, så kommer man snart till nästa utmaning – vad gör man när man upptäckt ett intrång. Vad gör man när man hittar en angripare på nätverket, en angripare som kan ha varit på plats i flera månader eller till och med i flera år?

De flesta attacker är opportunistiska

En typisk opportunistisk hacker ser till att exfiltrera data – lyfta ut information – från det nätverk vederbörande lyckats ta sig in på i princip omedelbart efter ett lyckat intrång. Lösenord, intressanta filer och grundläggande information om systemet samlas ihop och laddas upp till en server någonstans på andra sidan internet för mellanlagring. I de flesta fall kommer en korrekt konfigurerad och uppdaterad endpoint-lösning att upptäcka och förhindra att det händer.

basic-opportunistic-threat

Den ”andra sidan internet” är en liten referens till det faktum att den server som cyberbrottslingarna utnyttjar här ligger utanför lokala rättskipares räckvidd. Brottslingarna utnyttjar att geografiska gränser inte betyder något på internet – inte i ett försök att hålla sig undan upptäckt, utan för att hålla sig bortom lagens långa arm när de faktiskt blir upptäckta.

Att bli upptäckt är alltså närmast något som de opportunistiska hackarna räknar med. Det är med i beräkningarna från start och när det väl sker är det ingen större grej. Det betyder bara att man inte kan realisera ytterligare intäktsmöjligheter just där, och att man tillfälligt tappar kontrollen över några av sina ”tillgångar”. Det är inget som de inte kan kompensera för genom att hitta ett annat system, eller genom att helt enkelt gå tillbaka till något annat system de tagit sig in i igen. Dessutom är det så att det är så sällsynt, att företag och organisationer inser att allt inte står rätt till att cyberbrottslingarna knappast ser risken att bli upptäckta som något större existentiellt hot.

…men även opportunistiska hackare har flyt ibland

Om det första steget i en attack är lyckosamt så följer de flesta hackare upp sin första stöld av information med att etablera en mer långvarig närvaro i systemet. Och varför skulle de inte, när de väl klarat av att ta sig in utan upptäckt, luta sig tillbaka – slänga upp fötterna på något mjukt – och stanna kvar ett tag?´

Att ha tillgång till offrets datorer öppnar upp nya möjligheter till ännu mer avancerade bedrägerier, som att kringgå de tvåfaktorautentiseringslösningar som de flesta banker och nätbutiker använder. En långvarig närvaro ger tillgång till sessioner, inte bara data, och gör det alltså möjligt för cyberbrottslingarna att försöka sig på mer utstuderade former av brottslighet. Dagens brottslingar tvekar inte över att exploatera svagheter i bankernas interna transaktionssystem för att stjäla miljontals euro, istället för att nöja sig med de fjuttiga tusenlappar de kan komma över genom att ge sig på enskilda individer.

På senare tid har ransomware blivit alltmer populära i de här kretsarna. Det beror inte på att cyberbrottslingar helt plötsligt upptäckt allt kul de kan göra med stark kryptering. Det beror på att dark web tillsammans med oreglerade elektroniska valutor gjort det möjligt för dem att ägna sig åt mer långsiktig utpressning, risken för upptäckt är så låg att de vågar vara envisa och påstridiga nog att deras offer frivilligt betalar pengar för att få tillbaka tillgång till sin information. Brottslingarna kanske rentav ser det som att de inte stjäl alls, utan att de genomför en affärstransaktion som båda parter är likaledes nöjda med.

Det faktum att opportunistiska hackare till stor del förlitar sig på slumpen när de väljer ut sina måltavlor betyder inte att de inte utgör ett tydligt och allvarligt hot mot din verksamhet. Om du inte kan upptäcka intrång snabbt, och inte klarar av att samla ihop bevis och relevant information tillräckligt snabbt så är risken stor att det inte kommer att gå att ta reda på vilken information de kommit i kontakt med och hur det kan komma att skada din verksamhet, din affär eller dina kunder.

Under GDPR så kommer en organisations oförmåga att svara på den typen av frågor inte att ses på med blida ögon.

En del brottslingar har tålamod nog att vägra att ge upp

De mer målmedvetna hackarna – de som är noggranna med att välja sina måltavlor – kommer att anstränga sig betydligt mer för att undvika upptäckt. De har ett tydligt uppdrag och de befinner sig på precis den plats de behöver vara för att slutföra det. Dessa angripare är ofta nationalstater och hackare som ägnar sig åt företagsspionage. En hackare med ett mål kan inte klippa alla band och hoppa vidare till nästa. De värdesätter således möjligheten att stanna kvar i det fördolda mycket högre än kortsiktiga vinster.

Det första de gör efter att de tagit sig in på ett nätverk är alltså inte att skyffla över en massa information till en server någonstans. Tvärtom, de smyger försiktigt runt och försöker sätta sig in i den främmande miljön. Våra experter ser ofta hur de ganska fritt ägnar sig åt avancerat spaningsarbete som att lista tillgängliga tjänster och scanna efter sårbarheter utan att vara rädda för att bli flaggade av systemet, blockerade eller för att åka fast. Även om deras ansträngningar skulle upptäckas så är risken stor att det skulle misstas för alla opportunistiska hackare som konstant genomför liknande aktiviteter – internets motsvarighet till kosmisk bakgrundsstrålning.

Angriparna förväntar sig att systemen har antivirusprogram, så de undviker att använda sig av skadlig kod. De förväntar sig att det finns ett system för upptäckt av intrång (IDS), men de kan ofta ignorera dem genom att helt enkelt röra sig med lätta steg – särskilt eftersom många struntar i att uppdatera reglerna för IDS-systemen, eller ens bryr sig om att hålla koll på loggarna.

Om den serverbaserade säkerhetslösningen, eller det gatewaybaserade skyddet, misslyckas med att blockera leveransen av attackverktyg in i de utsatta systemen så kommer angriparen i de flesta fall att få en fribiljett rakt förbi de flesta säkerhetskontroller som kan finnas på plats – och som egentligen ska stoppa dem. De säkrar sin position genom att ta över taktiska platser på nätverket, de skapar en tålig command och control-struktur i flera lager, som gör det möjligt för dem att dölja sin kommunikation med omvärlden och skyddar dem från att bli av med samtliga positioner på nätverket i ett svep om de skulle bli upptäckta.

När de väl tagit sig in så finns det inte längre något behov av att använda skadlig kod eller säkerhetsluckor, det räcker med att utnyttja det som står dem till buds. Genom att dra nytta av existerande affärs- och systemadministratörsverktyg – och genom att åka snålskjuts på legitima användare (eller utge sig för att vara dem) – blir angriparen så gott som osynlig för de flesta traditionella säkerhetskontroller. Även om deras handlingar hamnar i loggarna så kan angriparen mer eller mindre ta för givet att ingen kommer att läsa dem.

I ett slag av ödets ironi så är det så att när angriparen väl tagit sig in så kommer deras uppkopplingar till command och control-servern att flyta rakt genom brandväggen – krypterad och allt, vilket gör sådant som filtrering av trafik och inspektion av datapaket mer eller mindre oanvändbara. Av bekvämlighets- och prestandaskäl så accepterar de flesta brandväggar ”vänligt inställd” trafik utan att ens logga det.

Bortsett från detta kommer en angripare i det här läget med stor sannolikhet att försöka ta det så lugnt som möjligt. De skulle inte ta den risk som det innebär att pumpa ut all information på högsta hastighet. Istället kommer hackare av den här kalibern att bida sin tid, identifiera och studera människor, maskiner och system som de stöter på. Vid det här laget vet de redan hur det defensiva säkerhetsarbetet är organiserat och hur systemadministratörerna arbetar – mycket av det som händer sen hänger på hur försiktiga de är, och hur noggranna de är med att inte bli upptäckta.

Angriparna kan plantera falska bevis för att det skett ett typiskt opportunistiskt angrepp för att frustrera systemadministratörerna och lägga ut falska spår som leder in i återvändsgränder. De kommer också att sätta upp bakdörrar som låter dem komma och gå som de vill – och återvända om de skulle bli utkastade. Det kan vara värt att upprepa att angriparnas trafik kommer att se helt ofarlig ut, som att den kommer från en vänlig källa och således får ett frikort rakt genom alla lager av perimeterskydd som finns på plats.

Först nu är de redo att göra det de tagit sig in på nätverket för att göra. Om de är vänliga nog så smyger de runt i sin jakt på värdefull information och flyttar ut den utan att göra något större väsen av sig. Om de är lagom elaka så kommer de – när de bestämmer sig för att göra det – se till att systemadministratörerna inte längre kan komma åt informationen och på så sätt uppmärksamma dem på vad som skett. Om de är helt och hållet genomruttna så kommer de så kommer de att i det fördolda göra små förändringar i informationen och plantera små sabotage på olika platser som kan aktiveras senare.

De kan såklart välja att göra alla dessa saker också, det beror helt och hållet på vad som passar deras uppdrag.

I korthet: De flesta organisationer kommer att upptäcka intrånget först när den målmedvetna hackaren bestämt sig för att det är dags för dem att få reda på vad som skett.

Att ignorera varningssignalerna, eller att VÄLJA att ignorera dem

Jag har flera gånger bevittnat hur systemadministratörer tittar på uppenbara bevis på att deras system varit utsatta för riktade attacker, bara för att vifta bort det och ”rensa” de drabbade maskinerna. Det är förnekelse i sin allra renaste form. Vilket tecken som helst på att det varit en opportunistisk aktivitet räcker för att man ska nöja sig och inte undersöka det hela närmare, eller ta reda på mer om hur det kunde hända.

Jag slutar aldrig förvånas av att det finns människor som inte känner en djup glädje och tillfredsställelse av att jaga cyberspioner och främmande makter – de flesta verkar faktiskt föredra att fortsätta med sin vanliga verksamhet som om inget har hänt!

defenders-dilemma
Kommer du ihåg diskussionen om försvararens dilemma från mitt förra blogginlägg?

De som arbetar med penetrationstester på vårt CSS-team har berättat om flera incidenter där de mer eller mindre tvingats sätta upp virtuella post-it-lappar på systemadministratörens skärm för att de ska förstå – och bli påminda om – att de har ovälkommet besök i sina system och att angriparna just där och då gör sitt bästa för att uppnå sina mål.

Så det är bara att konstatera att uppfattningen bland angriparna just nu är att när de väl kommit in kan de göra i princip vad som helst utan att bli upptäckt.

Så sorgligt ser läget ut just nu.

Och för att göra det hela ännu värre så samarbetar de målmedvetna hackarna med andra cyberbrottslingar. Det finns en marknad för tillgång till servrar och datorer på myndighets- och företagsnätverk som tidigare hackats. Om en målmedveten hackare verkligen vill dölja sina spår och göra det ännu svårare att hitta dem så finns det inget bättre sätt än att åka snålskjuts på de brott som begåtts av opportunistiska hackare.

De är ihärdiga, men vi viker inte ner oss

Allt detta kanske känns som lite för mycket att ta in – och lite för mycket att hantera. Men det finns saker som kan underlätta för dig – big data-analys och hot-information och -analys kan, om de används på rätt sätt, flagga avvikelser i nätverket utan att antalet falsklarm blir betungande. De utgör båda grundpelare i ett effektivt MDR-system (Managed Detection and Response).

Vår egen MDR-lösning har dessutom fördelen av ett team experter som håller koll på läget – med bemanning dygnet runt, året runt. Många organisationer har inte resurser nog att sätta ett team på en enskild del av verksamheten, vilket gör att tjänsten kan fungera som en ovärderlig räddare i nöden för systemadministratörer och IT-chefer som redan har fullt upp.

attackers-dilemma1

I mitt nästa inlägg kommer jag att titta närmare på hur företag kan skapa en verkligt fientlig systemmiljö, som gör livet så svårt som möjligt för angripare som försöker göra ett opåkallat besök på nätverket.

//Erka Koivunen, @ekoivune

 

[FOTO: Kelvin_Kevin Gan, Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s