Nejčernější hrozba, které se v IT bezpečnosti bojím

Mám dojem, že rok 2017 je pro mne v oblasti bezpečnosti IT určitým způsobem přelomový. Zatím jsem stihl přijít o iluze a značně přehodnotit nejčernější scénář, co se v síti může stát. Je možné, že některým mé postřehy pomohou. Proto jsem se rozhodl podělit o informace, které mi způsobily několik bezesných nocí.

Kritické zero-day chyby jako běžná součást života

Vždy jsem tak nějak tušil, že v SW je spousta vážných neobjevených chyb. To, co se ale dostalo na světlo s leakem od Shadow Brokers, mě zarazilo. Bezpečnostní chyba ve všech verzích MS Windows i MS Windows Server (od Windows XP, Windows Server 2000 až po Windows 10 a Windows Server 2016), která umožňovala na dálku převzít „vládu“ nad PC/serverem, aniž by uživatel musel poskytnout součinnost.

Představte si, že máte univerzální klíč ke všem dveřím na světě. Veřejně ani nevíme, jak dlouho měla NSA informaci o této chybě a exploit k dispozici. Do té doby si mohli dělat, co chtěli, a jednoduše napadat/ovládat počítače po celém světě. Kdyby měl někdo pocit, že s Linuxem je na tom lépe, tak v SAMBA serveru se našla podobně kritická chyba, které se začalo říkat „SambaCry“.

Podobných chyb se již v minulosti našlo více a další se ještě najdou. Zvláště, když skupina Shadow Brokers, která získala exploity od NSA, vytvořila privátní „klub“. V rámci tohoto klubu dostávají předplatitelé každý měsíc přístup k informacím o chybách a zero-day exploitům, které mohou ihned použít k útokům na jiné systémy. Přičemž na chyby, co budou zneužívat, nebudou hned existovat opravy (tzn. ani pravidelné aktualizace nás neuchrání). To nás opět staví o jeden velký krok dozadu za útočníky. Uvědomil jsem si, že musím nově přemýšlet o každém SW/HW jako o děravém a zahrnout to do svých „návrhů a řešení“ sítí.

Chytřejší a agresivnější malware

WannaCry

Delší dobu mi přišlo, že malware (viry, červi, trojské koně) je poměrně amatérsky napsán. Často se nedokáže pořádně šířit, je „nekompatibilní“ (padá nebo selže), nevyužívá plně potenciálu a nepáchá příliš velké škody. Jako kdyby jej psali „začátečníci“, přičemž v kyberkriminalitě je spousta profesionálů (často lepších než na „straně dobra“).

S příchodem WannaCry se však můj názor změnil. Až na školáckou chybu s pseudo kill switchem (podle mě to byla jen technologie pro detekci sandboxu) to byl zajímavý malware. Primární infekce sítě tímto virem byla skrze e-mail (tzn. nic převratného) a bylo nutné, aby uživatel přílohu e-mailu spustil. To bylo ještě stádium, kterému se dalo dobře bránit (antiviry, e-mailové politiky, AppLocker, Software restriction policy). Nicméně, pokud jej uživatel spustil, byl virus schopen eskalovat svá oprávnění využitím EternalBlue exploitu. Následně se pokusil zreplikovat na všechna PC v síti pomocí EternalBlue exploitu a nakonec zašifroval všechna data, ke kterým se dostal.

Nejzajímavější je ta část šíření v rámci vnitřní sítě pomocí EternalBlue exploitu. V podstatě stačilo nemít aktualizovaný PC/server a pokud na něm nebyl vhodný IPS, tak byl ihned kompromitován. Čím více počítačů bylo napadeno, tím rychleji se virus v síti šířil. To znamená, že za 30 minut od spuštění viru prvním uživatelem jste mohli mít síť s několika stovkami počítačů a serverů kompletně zašifrovanou.

Pokud jste měli zálohy na nějakém síťovém nebo lokálním disku, na který napadený PC/server viděl, byli jste i bez záloh. Což je situace, do které se nikdo z nás nechce dostat. Obnovit firmu do normálního provozu, když musíte reinstalovat stovky počítačů a obnovit terabajty dat, zabere víc jak 1 den.

NotPetya

Tento malware byl podobný jako WannaCry. Používal stejnou metodu šíření v síti (tzn. EternalBlue). Navíc si ale stáhnul na pomoc další a to Mimikatz, díky kterému dokázal vyčítat hesla z paměti a OS Windows. Tzn. mít aktualizované Windows nestačilo k tomu, abyste byli v bezpečí. Pokud na infikovaném PC/serveru byla nějaká uložená hesla k naplánovaným úlohám, službám nebo zde byl přihlášen uživatel s právy přístupu na další stanice (stačí i odpojené RDP), tak se virus dokázal dostat dál. Pokud se mu podařilo dostat k přístupům doménového administrátora, síť kompletně padla.

Tentokrát jsme měli na aktualizace Windows okolo dvou měsíců, než se objevil WannaCry a začal se šířit. Stejně se našla velká řada firem, co počítače aktualizované neměla. Nyní si představte, že by byla obdoba na aktualizace pouze týden nebo se začal virus s exploitem šířit ještě dříve než aktualizace.

Čeho se tedy bojím?

Bojím se toho, že se objeví malware nebo hackerská skupina, která bude využívat zranitelností/exploitů, na které nejsou aktualizace. Následně budou šifrovat veškerá data, ke kterým se dostanou. Můžeme se tomu všichni snažit zabránit vrstvenou bezpečností (restrikce, IPS, AV, behaviorální AV, školení uživatelů), ale 100% to asi nikdy nebude. Otázka pak zní: přežijí to vaše zálohy, nebo ne?

A věřte mi, že já rozhodně nechci nikdy žádnému zákazníkovi do očí říkat, že jsme přišli o jeho data. Naštěstí se nám zatím daří spíš opačné – zachraňovat data firmám, které nejsou našimi zákazníky. Viz například článek Ransomware 1: Obnova dat aneb štěstí v neštěstí.

Zároveň jsme s kolegy vymysleli technologie a postupy, které ochrání zálohy našich zákazníků proti cryptovirům a ransomware.

Diskuze k článku

Radek

12. 05. 2020 v 18:47

Zdravim,..takova otazka…pokud maji stanice pripojenou sitovou jednotku (zapamatovne heslo) a vy ji rucne odpojujete a pripojujete jen podle potreby, jsou v pripade napadeni PC taky pro ten ransomware dostupny ty odpojeny jednotky kdyz je heslo ulozene, ale jednotky nepripojene? Diky

Odpovědět

Odpovědět

Martin Haller

13. 05. 2020 v 09:19

Dobrý den Radku, je to tak 50/50 – záleží jaký ransomware to bude (resp. jakou má funkcionalitu). Běžně totiž ransomware vytahuje veškerá uložená hesla ze systému a skenuje celou síť. Následně se snaží připojit na sdílené disky každého zařízení na které narazí. Principiálně se na to (že je disk odpojen) tedy spolehnout nemůžete spolehnout.

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA