Questo articolo fa parte di una serie che mira a educare i professionisti della sicurezza informatica sulle lezioni apprese dalle vittime di violazioni. Ogni lezione includerà semplici consigli, molti dei quali non richiedono alle aziende di acquistare alcuno strumento.
Come notato nel Sophos Active Adversary Playbook 2021, i cyber criminali stanno puntando su strumenti comunemente utilizzati dagli amministratori IT e dai professionisti della sicurezza, rendendo più difficile l’identificazione di azioni sospette. Molti di questi strumenti vengono rilevati dai prodotti di sicurezza come “applicazioni potenzialmente indesiderate” (o PUA/PUP/RiskWare/RiskTool) e sono necessari per l’uso quotidiano da parte dei team IT. I difensori devono porsi due domande importanti: (1) Tutti i miei utenti devono poter utilizzare queste utilità? (2) Queste utilità devono poter di funzionare su tutti i dispositivi?
Che cos’è una PUA?
Analizziamo cos’è una “applicazione potenzialmente indesiderata” e come usarla al meglio in sicurezza. Gli strumenti di amministrazione forniti in bundle con un sistema operativo, come PowerShell, offrono vari modi per automatizzare e gestire i dispositivi in una rete. Esistono anche strumenti aggiuntivi e di terze parti che vengono spesso utilizzati per estendere funzionalità come la scansione delle porte, l’acquisizione di pacchetti, lo scripting, il monitoraggio, i tool di sicurezza, compressione e archiviazione, la crittografia, il debug, i test di penetrazione, l’amministrazione di rete e l’accesso remoto. La maggior parte di queste applicazioni viene eseguita con accesso a livello di sistema o root.
Se installate e utilizzate internamente dal tuo team IT, queste applicazioni sono strumenti utili. Se installate e utilizzate da chiunque altro, sono considerate applicazioni potenzialmente indesiderate (PUA) e sono spesso contrassegnate come tali da affidabili soluzioni di sicurezza degli endpoint. Per consentire loro di utilizzare questi strumenti senza ostacoli, molti amministratori aggiungono semplicemente quelli che utilizzano a un elenco di esclusione globale o di autorizzazioni nella configurazione della sicurezza degli endpoint. Purtroppo, questo metodo di esclusione consente anche l’installazione e l’utilizzo degli strumenti da parte di persone non autorizzate, spesso senza alcun tipo di monitoraggio, avviso o notifica.
PUA problematiche
Alcune delle PUA più comuni trovate e utilizzate dagli avversari includono:
- PSExec – “…un leggero sostituto telnet che consente di eseguire processi su altri sistemi, completo di piena interattività per le applicazioni console, senza dover installare manualmente il software client. Gli usi più potenti di PSExec includono l’avvio di prompt dei comandi interattivi su sistemi remoti e strumenti di abilitazione remota come IpConfig che altrimenti non hanno la capacità di mostrare informazioni in merito ai sistemi remoti.
- PSKill: può “uccidere i processi su sistemi remoti. Non è nemmeno necessario installare un client sul computer di destinazione per utilizzare PSKill per terminare un processo remoto.”
- Process Hacker: uno strumento di monitoraggio delle risorse, che viene spesso utilizzato per terminare il software di sicurezza e di logging.
- Anydesk/TeamViewer/RDPWrap o qualsiasi strumento progettato per l’accesso remoto, in particolare via Internet, può essere utilizzato da un autore di minacce.
- GMER: costruito come strumento anti-rootkit, gli autori delle minacce sfruttano le sue capacità per “sganciare” il processo di sicurezza.
- 7Zip/GZip/WinRar: gli strumenti di compressione vengono utilizzati dagli avversari per combinare, ridurre ed esfiltrare i dati, di solito per estorsioni.
- Strumenti Nirsoft: una raccolta di strumenti per il recupero della password, la disinstallazione del software e la possibilità di eseguire strumenti da riga di comando senza visualizzare un’interfaccia utente.
- IOBit – ha potenti capacità di disinstallazione ed è spesso usato per rimuovere software di sicurezza.
- ProcDump: uno strumento di debug in grado di eseguire il dump della memoria su disco, consentendo a un autore di minacce di mostrare i dati in memoria, come le credenziali.
Utilizzo delle PUA da parte di malintenzionati
La configurazione della policy di sicurezza per consentire le PUA deve essere gestita con attenzione. L’esclusione di qualsiasi cosa esporrà gli strumenti agli amministratori IT e agli autori delle minacce allo stesso modo e non avrai visibilità sull’uso del tool, sull’intento o sul contesto.
Se uno strumento è stato escluso, un autore di minacce può comunque tentare di installarlo e utilizzarlo anche se non è già presente su un particolare dispositivo. L’insieme di tecniche avversarie note come “living off the land” coinvolge gli autori delle minacce che utilizzano funzionalità e strumenti preesistenti per evitare il rilevamento il più a lungo possibile. Esse consentono ai cyber criminali di svolgere attività di discovery, accesso alle credenziali, escalation dei privilegi, evasione della difesa, persistenza, spostamento laterale, raccolta ed esfiltrazione senza che venga sollevata una sola bandiera rossa.
Quando l’avversario è pronto a schierare l’ultima fase dell’attacco (ad esempio, il payload del ransomware) è troppo tardi; i tuoi strumenti di sicurezza sono già stati disabilitati (da PSKill o IOBit?), è stato ottenuto un alto livello di accesso alle credenziali (da GMER o ProcDump?), i tuoi dati sono già stati trasferiti al dark web (in file 7Zip?) e il malware preposizionato su sistemi chiave pronto per l’esecuzione (da PSExec?). Più PUA riescono a trovare gli aggressori, maggiore è la superficie di attacco con cui possono lavorare.
Consentire le PUA nella tua organizzazione
Il primo passaggio consiste nell’esaminare le attuali esclusioni globali. Devono essere lì? C’è un motivo valido per l’esclusione o è semplicemente “sempre stato così”? Conduci alcune ricerche sul motivo per cui il prodotto di sicurezza ha rilevato la PUA in primo luogo: potrebbe essere utilizzato in modo dannoso? Le esclusioni devono davvero essere applicate a TUTTI i server e i dispositivi degli utenti finali? Lo strumento di amministrazione è ancora necessario o possiamo utilizzare una funzione integrata? Hai bisogno di più di un tool diverso per ottenere lo stesso risultato?
La nostra raccomandazione è quella di consentire le PUA su una base molto controllata: un’applicazione specifica, macchine specifiche, tempi specifici e utenti specifici. Ciò può essere ottenuto tramite una policy con l’esclusione richiesta, che viene applicata e quindi rimossa secondo necessità. Qualsiasi utilizzo non previsto di PUA rilevato dovrebbe essere esaminato in quanto potrebbe indicare che un autore di minacce ha accesso al tuo ambiente.