I segreti di un security analyst: indagare su un incidente

I suggerimenti di security analyst esperti per aiutarti a indagare sugli incidenti

Questo articolo fa parte di una serie che svela i segreti dei nostri operatori di sicurezza. In questo secondo appuntamento ci concentreremo sulle indagini, a partire dalla nostra ricerca sulle vulnerabilità di Microsoft Exchange.

Se guardiamo indietro agli ultimi mesi, un “evento di sicurezza significativo” potrebbe essere una delle numerose vulnerabilità e tecniche di attacco di Microsoft Exchange che sono state scoperte dai ricercatori della sicurezza; ad esempio gli attacchi “Hafnium“, ProxyLogon, ProxyShell, ProxyOracle, ProxyToken, ecc. Queste vulnerabilità potrebbero garantire a un malintenzionato l’accesso a livello di SISTEMA autenticato o pre-autenticato a un server Microsoft Exchange. Questo a sua volta può mettere le aziende in una posizione difficile in quanto non è particolarmente complicato per un cyber criminale passare dall’accesso a livello di SISTEMA su Exchange Server a un controllo elevato e persistente sull’intera rete.

Noi, nel nostro ruolo di difensori, sappiamo che, sfortunatamente, ci sono un numero enorme di server Microsoft Exchange che non sono stati sufficientemente aggiornati per coprire queste vulnerabilità (dovreste sempre assicurarvi che tutti i vostri server e applicazioni aziendali siano interamente aggiornati per evitare questo tipo di minacce) e quindi il team MTR si è impegnato in una missione per verificare se c’erano clienti non solo vulnerabili, ma anche in una situazione in cui avrebbero potuto essere attaccati .

In primo luogo, il nostro team di security analyst Sophos Managed Threat Response (MTR) aveva bisogno di identificare quale dei nostri clienti meritasse ulteriori indagini. Ciò ha comportato l’identificazione di quale dei nostri clienti rientrava in un sottoinsieme di criteri:

  • Esecuzione di una versione vulnerabile di Microsoft Exchange
  • Esecuzione di una versione vulnerabile senza patch di Microsoft Exchange
  • La porta 443 aperta a Internet

Dopo aver ristretto il gruppo tramite questi criteri a un elenco di possibili bersagli, dovevamo scoprire se qualcuno di loro fosse già stato l’obiettivo di un attacco. Le tecniche per eseguire questa operazione variano a seconda della particolare vulnerabilità di Exchange oggetto di indagine in quel momento; tuttavia, nel caso di ProxyShell, l’innesco era l’esistenza di una webshell sconosciuta o dannosa sul sistema o una casella di posta che era stata rinominata con un’estensione .aspx.

Il team di Sophos MTR raccoglie i runbook per ogni minaccia o autore unico riscontrati. Il vantaggio in questo modo è che, invece di dover effettuare ricerche estese al momento di un attacco, si può entrare subito in azione. Come parte del ciclo OODA menzionato in precedenza, il team osserva l’attività dannosa intrapresa durante ogni indagine e proprio per questo può continuare a migliorare e a far evolvere questi runbook, popolandoli con informazioni salienti come:

  • TTP (tattiche, tecniche e procedure) comuni o specifiche per questo particolare attacco o minaccia
  • IOC rilevanti (Indicatori di compromissione)
  • Proof of concept noti per gli exploit legati alle vulnerabilità aperte
  • Query di ricerca delle minacce utili quando si ha a che fare con questo tipo di attacchi

Nel caso di ProxyShell i TTP sono mostrati di seguito mappati al Framework MITRE ATT&CK:

Tattica ID della tecnica Nome della tecnica
Ricognizione T1595.002 Scansione attiva
T1591 Raccolta di informazioni sull’organizzazione delle vittime
T1593 Ricerca di Siti Web/Domini aperti
Accesso iniziale T1190 Exploit di un applicazione rivolta al pubblico
Esecuzione T1059.001 Interpretazione di comandi e script: PowerShell
Persistenza T1136 Creazione di un profilo
T1078 Account validi
Evasione della Difesa T1574.001 Hijack Execution Flow: DLL Search Order Hijacking
Accesso alle credenziali T1003 Dump delle credenziali del sistema operativo
T1552 Credenziali non sicure
Movimento Laterale T1210 Sfruttamento di servizi remoti
Impatto T1486 Dati crittografati per l’impatto

 

Tutte queste informazioni possono essere ricercate utilizzando la protezione degli endpoint Sophos e i sensori MTR a disposizione dei nostri operatori. Usando questo tool, è possibile avviare una caccia completa alle minacce per seguire la pista delle prove e la cronologia sulle macchine. Durante la sua attività su una macchina, l’agente endpoint di Sophos Intercept X archivia una grande quantità di informazioni che possono essere utilizzate per identificare se si è verificato qualcosa oltre la creazione della webshell dannosa nello stesso lasso di tempo o anche prima nel ciclo di vita della violazione. Dall’esame di varie metodologie di pensiero, come MITRE ATT&CK e la Cyber Kill Chain, sappiamo che gli aggressori lasceranno tracce lungo la catena di eventi che possono essere ulteriormente investigate.

Il team può seguire questo percorso per identificare se sulla rete sono presenti altri strumenti utilizzati da un utente malintenzionato e se si sono verificati ulteriori compromissioni o azioni dannose. Può quindi agire su qualsiasi elemento di riparazione direttamente tramite la protezione dell’endpoint Sophos o tramite il cliente per qualsiasi cosa che richieda la configurazione direttamente nella sua proprietà.

A tutti i clienti di Sophos MTR sono garantite ricerche di minacce guidate 24 ore su 24, 7 giorni su 7, con rilevamento e risposta gestiti. Se identifichiamo una minaccia, agiremo (all’interno della preferenza di risposta alla minaccia MTR) per contenere e neutralizzare l’attacco attivo assicurando che l’autore della minaccia venga espulso dalla rete. Lavoreremo anche instancabilmente per ripristinare il controllo e l’ordine sulla rete il prima possibile poiché sappiamo che per i nostri clienti, che si trovano nel mezzo di un potenziale incidente, il tempo è denaro quando non è possibile concludere affari a causa di un’interruzione o violazione.

Inoltre, nell’attuale clima in cui i cyber criminali sono al top dei loro attacchi, i difensori e i clienti devono assicurarsi di avere gli strumenti, le persone e le risorse per proteggersi. Come parte di ciò, una strategia di Incident Response è un must; indipendentemente dal fatto che sia autogestito o esternalizzato a un fornitore come Sophos MTR.

Per saperne di più sul servizio Sophos MTR, visita il nostro sito web o leggi i nostri casi di studio e le nostre ricerche.

 

Lascia un commento

Your email address will not be published.