Co dokážou hackeři s ransomware ve vaší firemní síti
Jen za listopad se na nás obrátilo 6 firem, které řešily ransomware ve firemní síti. Ransomware jim na síť nasadili hackeři ručně. Tedy místo běžného ransomware, který přijde e-mailem a někdo na něj klikne, se v těchto případech jednalo vyloženě o hacknutí firmy hackerem a následnou ruční distribuci malware.
Počet útoků je zhruba 3x vyšší, než je běžné. Pomalu bych řekl, že i hackeři si potřebují „vydělat“ na bohatého Ježíška, tak sází přesčasy. 😊
Firmy, které nás oslovují, se často nachází ve velmi tíživé situaci, protože:
- nemají data (občas ani zálohy),
- netuší, kudy útok přišel (tzn. vše se může znovu opakovat),
- nevědí, zdali je/není hacker ještě v síti (hrozí, že se situace ještě zhorší),
- nedokáží určit, co vše bylo kompromitováno,
- neví, zdali jsou v síti ponechány backdoory (útočník se může vrátit).
Málokterý IT specialista by přitom o své síti řekl, že je špatně zabezpečená. Většinou si myslí, že mají vše v pořádku (nejspíše proto, že se jim za posledních 10 let nic nestalo). 😊 O to více jsou pak zaraženi, jak jejich síť po útoku ransomware dopadla. Dle rozhovorů soudím, že primárním problémem je neznalost, čeho všeho je takový hacker schopen a jak pracuje (pokud pominu občasnou profesní zkostnatělost, nebo nezájem o svůj obor).
Proto bych se s vámi rád podělil o své zkušenosti z řešení hackerských útoků. Pro upřesnění kontextu dodávám, že píši o běžných kriminálních hackerských skupinách vydělávajících skrze ransomware. Nikoliv o APT skupinách (jejich zájmy i modus operandi jsou odlišné). 😊
Čeho jsou hackeři schopni
Hackeři přemýšlí. Na rozdíl od spamového ransomware (myšlen ransomware, který se šíří mailem a „jediné“, co po spuštění udělá, je, že zašifruje všechna data, na která dosáhne). Jsou tak schopni reagovat na zjištěné informace, různě je kombinovat, improvizovat a ovládat neznámé aplikace. Z tohoto důvodu jsou jejich útoky mnohem ničivější. Protože zatímco spamový ransomware nepozná váš zálohovací systém, hacker s tím nemá problém a je vcelku jedno, jaký software používáte (vždy se ovládají obdobně, a navíc se jmenují jako „backup cokoliv“).
Hackeři vědí, že pokud má firma zaplatit výkupné, musí přijít nejen o data, ale i o zálohy. Proto po nich často cíleně jdou a smažou/zašifrují je taky. To řada správců nečeká, takže nemá připravený scénář pro tuto situaci (proto o tom píši, aby se to vědělo. 😊
Útočí v noci a o víkendech
Hackeři, se kterými se setkávám, jsou nejčastěji z východu – Rusko, Asie (dle nalezených artefaktů a odhalených IP adres). Nejspíše kvůli malé pravděpodobnosti, že je někdo někdy dostane před spravedlnost (záměrně neútočí v rámci své země/spřátelených zemí).
Nejčastěji útočí během noci (k čemuž jim pomáhá i jiná časová zóna) a o víkendech. Podle mne z toho důvodu, že většina firem v té době nepracuje, nebo má omezený personál. A tak je malá pravděpodobnost, že je v síti někdo včas zahlédne (ať jejich přítomnost, nebo postupné šifrování dat). Většinou mají do pár hodin hotovo.
Jak se do sítě dostávají
Pořád bych řekl, že platí, že si hackeři svou oběť nevybírají podle toho „kdo“ jste, nýbrž zdali u vás máte „trendy“ zranitelnost (něco, co aktuálně zneužívají). Kvalifikačním kritériem proto „být hacknut“ je tedy nejčastěji:
- objevená chyba na veřejně dostupné službě,
- uniklé přihlašovací údaje (z nějaké hacknuté služby třetí strany),
- spear phishing,
- backdoor v e-mailu,
- nebo můj favorit – útok skrze partnerskou organizaci (hackeři se naučili útočit na IT outsourcingové firmy – o tom snad napíšu příští článek).
VPN není překážka
Mnoho firem se snaží neustále chránit svůj perimetr – rozhraní mezi vnitřní sítí a internetem. Je to potřeba, ale není to samospásné. Hackeři totiž VPN klienty ovládají také.😊 Běžně se stává, že se hacker se získanými přihlašovacími údaji připojí na VPN a útočí z ní.
Případně pokud se jim podaří propašovat do sítě backdoor, tak nejčastěji komunikují po HTTPS protokolu. Ten bývá zpravidla povolen. A jelikož se jedná o šifrované spojení, tak do jeho obsahu router nevidí (pokud nemá nějakou formu SSL inspekce).
V cizí síti se zorientují za pár desítek minut
Možná si říkáte, že vaše síť je natolik komplikovaná, že jen zorientovat se v ní zabere několik hodin času. Jenže cílem hackera není „zdokumentovat vám rackovou skříň“ , ale rychle identifikovat důležité servery/zařízení. Tím, že je tohle jejich denní chleba, dokážou to udělat za pár desítek minut.
U VPN typu split tunneling rovnou získají vnitřní IP rozsahy od VPN serveru. Vždy se ale mohou obrátit na přidělené DNS servery, z LDAPu si zjistit název domény a pak se doptat na adresy všech DC serverů. Tím získají pár subnetů, co se v síti používá.
Následuje rychlý sken sítě – ping + vybrané porty (telnet, SSH, HTTP, HTTPS SMB, LDAP, MSSQL, RDP). Získají rychlý přehled o tom, co kde běží včetně názvů zařízení (SMB, banner jiného protokolu, nebo reverse DNS). Z názvové konvence již odtuší, co je jaké zařízení a jaká je jeho důležitost.
Jak hacknou první počítač
Nejčastěji se na první počítač dostanou s přihlašovacími údaji, které použili již k VPN. Na jaká zařízení údaje fungují, jim ověří software za pár minut (např. CrackMapExec). Další jednoduchou a rychlou cestou jsou neaktualizovaná zařízení, která jsou exploitovatelná skrze EternalBlue, nebo BlueKeep (Zranitelnosti RDP – BlueKeep a DejaBlue).
Možností také je stáhnout seznam uživatelů z AD (stačí na to běžný domain user účet) a zkusit password spraying, nebo wordlist password guessing. Občas si správci poznačí heslo k účtu do políčka „description“, které je však veřejně čitelné. 😊 Toto jsou však více teoretické věci. Tedy ne proto, že by byly složité nebo nefungovaly. Hackeři však v naprosté většině případů, co jsem viděl, získali první počítač/server s postupy výše.
Postupné ovládnutí sítě
Na každém zařízení, kam se hackeři dostanou, se snaží najít další přístupové údaje, které by jim pomohly ovládnout další části sítě. Standardně k tomu využívají Mimikatz (vyčítá hesla z paměti pro aktuálně přihlášené uživatelé, uložená hesla ve správci pověření a hashe lokální uživatelských účtů), nebo WebBrowserPassView (vyčítání hesel uložených v prohlížeči).
Stejně tak projdou soubory, které mají uživatelé na ploše/v dokumentech, nainstalované programy, … a pokud najdou něco zajímavého jako VNC, přihlášený TeamViewer, otevřeného správce hesel, tak toho využijí. Stačí jim to k ovládnutí celé Active Directory.
Ransomware se blíží a na data míří
Jakmile mají dostatečnou kontrolu nad celou sítí, začnou se připravovat na nasazení ransomware do sítě. Vytipují si proto zařízení/servery, ze který ransomware pustí. Ten zašifruje data na daném zařízení a následně na všech síťových discích, na které ransomware uvidí a bude mít právo zápisu (včetně administrative sharů – tzn. C$ a další). Avšak stále ještě musí vyřešit 2 problémy – antivirus a spuštěné systémy.
Protože je jejich ransomware často profláknutý, antiviry jej detekují. Což se hackerům samozřejmě nehodí. Hackeři se často snaží ze serverů/stanic, na kterých ransomware pustí, antivirus nejprve odinstalovat, rozbít, udělat si výjimku. Vzácností není, že pokud narazí na centrální konzoli antiviru, nechají ho hromadně odinstalovat v celé síti.
Zbývá postarat se o běžící systémy (SQL databáze, mailové servery, virtuální servery, zálohovací systémy). Protože ty mají často datové soubory otevřené a uzamčené pro sebe a ransomware by je nemohl zašifrovat. Hackeři často tyto služby zastavují a vypínají jejich automatické spuštění.
Vypnutím služeb přestane řada věcí fungovat. Hackerům hrozí, že si jich někdo všimne a jejich útok zastaví. Proto nyní hrají o čas. Většinou hackeři ransomware spouští z více míst, aby se zašifrovalo co nejvíce dat a šifrování pokračovalo i v případě odstavení jednoho z napadených serverů.
TIP Z PRAXE. Jako vedlejší efekt výše uvedeného postupu se může stát, že se některá data zašifrují vícekrát. V takovém případě je nutné o tom s útočníky rovnou na začátku jednat, jinak budete platit výkupné na několikrát. 😉
Co všechno ještě umí
Pokud jste správci sítě, možná vám už nyní běhá mráz po zádech. Nicméně útočníci mají ještě pár triků v rukávu.
Častokrát si během útoku udělají na pár zařízení backdoor a sledují, jak se vaší síti daří. Problém nastane, když v tuto chvíli začnete obnovovat. Buď se vám začnou obnovená data znovu šifrovat. Nebo, pokud se hackeři ještě nedostali v síti všude, mohou využít vaší neopatrnosti. A jakmile se začnete připojovat do různých systémů (např. zálohovacího), abyste začali obnovovat, ukradnou vaše přihlašovací údaje a dokončí svou práci.
Obdobně pokud během pohybu po vaší síti zjistí, že používáte nějaký monitorovací systém, formu vzdálené správy, nebo máte přihlašovací údaje k jiným sítím, nejspíše toho využijí. Dle aktuálních trendů hackeři útočí na MSP (IT outsourcingové firmy), protože jednou hacknutou firmou se dostanou k desítkám či stovkám zákazníků. Ve světě se to děje čím dál častěji a rád bych tomuto tématu věnoval příští článek.
Závěr
Útočníkům se často platí výkupné a oni se díky tomu profesionalizují a stále zlepšují. Proto ani my, obránci, nesmíme zaspat a musíme se snažit být krok před nimi.
Pokud se zamýšlíte nad obranou, koukněte i na technologie a postupy, které používáme u nás a našich zákazníků (o většině jsem již psal článek). Budu rád, když vám pomohou:
- Díky standardizaci a monitorovacímu systému máme menší množství technologií, které lépe uhlídáme, bezpečněji nastavíme a snižujeme pravděpodobnost, že se někde objeví zapomenuté, nezabezpečené/neaktualizované zařízení.
- Díky tierování máme u sebe i zákazníků rozsegmentovaná prostředí, abychom ztížili případný pohyb hackera v síti, a víme, jaké systémy potřebují vyšší formu zabezpečení.
- V sítích děláme nejen restrikce, ale snažíme se mít i monitorovací/detekční mechanismy (viz životní cyklus bezpečnosti), které nás včas upozorní na problém a zpětně pomohou vypátrat způsob průniku do sítě a všechna zasažená zařízení.
- Zálohy provádíme více technologiemi a snažíme se je udělat tak, aby se nedaly ze sítě zákazníka smazat/modifikovat.
- Na každé zařízení se snažíme mít unikátní a dostatečně dlouhé heslo. Neztratit se v heslech nám pomáhá systém na správu hesel.
- A hlavně, protože nás práce baví, snažíme se dělat věci pořádně a neustále se vzdělávat.😊
Souhlasíte s článkem? Máte podobou zkušenost, nebo se setkáváte s odlišným chováním hackerům, než co popisuji? Máte další nápady na obranu? Těším se na vaše komentáře pod článkem. 👇
🎄 Přeji Vám krásné a klidné vánoční svátky a ať se v novém roce drží bezpečnostní incidenty od vašich sítí dál. 🎄
Martin Haller
PS: Hackeři vylepšili svoji strategii a nově vydírají, že pokud nezaplatíte, zveřejní ukradená data. Viz nový článek o ransomware a zveřejnění dat. Nebo si přečtěte „Jak hackeři napadají firmy skrze jejich IT dodavatele„. Proč hackovat každou firmu zvlášť, když se stejným úsilím můžete hacknout dodavatelský řetězec a dostat se tak k desítkám/stovkám firem zdarma?
Diskuze k článku
Petr Chasák
15. 12. 2019 v 08:19
Je to asi noční můra každého správce…
Přemýšlím udělat aspoň týdenní zálohu kritických systémů na NASku, která bude vyplá a schedulerem se zapne vždy jen např. ve středu v 17:00. Poté na ni poběží zálohy. A ve čtvrtek ráno se zase schedulerem vypne a nebude dostupná ze sítě.
Odpovědět
Martin Haller
15. 12. 2019 v 15:45
Cesta to je :). Jen během toho období, kdy bude ta NAS spuštěná, bude zranitelná. Stejně tak archivní zálohy budou průměrně 3,5 dne staré. Pokud to však není v daných případech problém tak je to fajn automatizovaná záležitost.
Odpovědět
Jarda
29. 12. 2019 v 15:27
Já mám na NASu neveřejné složky a zálohy z veřejných složek do neveřejných dělá firmware NASu (NAS má funkci backup plan, stejně tak má i funkci restore podle zvoleného data). Do neveřejných složek má přístup pouze firmware NASu, takže zálohy jsou v bezpečí.
Odpovědět
Martin Haller
29. 12. 2019 v 17:06
To zní dobře. My to děláme obdobně :).
Odpovědět
Daniel
05. 02. 2020 v 14:58
Díky moc za zajímavé články z praxe 🙂 Jak píše Jarda o veřejných a neveřejných složkách – to mi přijde jako skvělé řešení. Můžete mi napsat, který výrobce NASu má tuto funkcionalitu?
Odpovědět
Martin Haller
05. 02. 2020 v 16:46
Myslím, že Jarda zmiňuje Synology. QNAP to ale podle mne bude mít taky :).
Odpovědět
Daniel
21. 02. 2020 v 11:23
Mohl by jste mě „nakopnout“ jak na to? Možnosti NASu jsem prošmejdil, ale jak vytvořit neveřejné složky je mi stále záhadou. Díky moc 🙂
Odpovědět
Martin Haller
21. 02. 2020 v 14:04
Při obraně záloh proti ransomware jde hlavně o snapshotování, nebo zálohování do nesdílených svazků:
https://blog.qnap.com/protecting-your-nas-from-ransomware/
nebo
https://www.synology.com/cs-cz/solution/ransomware
Odpovědět
wattar
15. 12. 2019 v 11:46
Neustále přicházím do kontaktu s lidmi (z různých škol atd.), kde zálohy neřeší vůbec, ale opravdu vůbec. Ideální je zálohování „3-2-1“, ale zákazníci často reagují, že na to nemají budget, takže se vždy snažím, aby si dotyčný uvědomil, jakou finanční hodnotu jeho data mají a co se stane, když o ně přijde – to pomáhá na 100% 🙂
Ohledně NAS, jen pro zajímavost (nevím, jak jste na to vy ostatní), tak za ty léta od různých značek typu Netgear a Synology apod. jsem nakonec došel a už zůstal u QNAPu – super výkon a za slušné peníze, kde vždy při instalaci nastavuji Snapshoty právě kvůli ransomware. Plus teď už jen čekám, až vydají jejich nový systém s názvem „hero“ (jejich QTS linux systém se ZFS), to bude pecka.
Odpovědět
Martin Haller
15. 12. 2019 v 15:52
Když nemají na zálohy (které podle mne nejsou většinou zase tak drahé), tak je otázka, jestli do toho vůbec jít – nakonec se totiž o ztrátu dat bojí víc jejich správci, než samotný zákazník :(.
S těmi NAS máme podobné zkušenosti. My jsme hodně dlouho dělali Synology, ale Btrfs, který umožňuje snapshotování je problematický (dochází k zpomalování FS a ztrátě volné kapacity v řádu desítek procent). Synology o tom nemluví a ani s tím nechce nic dělat (nevím jestli je to problém jejich implementace nebo Btrfs obecně) :(. Takže teď také přecházíme ke QNAPu :).
Odpovědět
Ladislav Hrňa
02. 01. 2020 v 13:52
Co říkáte na kombinaci Robocopy /MIR a OneDrive + jednou za půl roku komplet data na externí disk do sejfu? 😀 Jinak to řešení NAS je zajímavé máme Synology a budu potřebovat nové, takže zkusím QNAP 🙂
Odpovědět
Martin Haller
02. 01. 2020 v 14:12
Nevýhoda robocopy je, že s ním zazálohujete jenom část dat, nikoliv celý server. Tzn. pro obnovení je pak potřeba nejdřív vše nainstalovat, správně nastavit a pak teprve můžete obnovit dat – což je časově náročné a po X letech už si nikdo nemusí pamatovat jak co bylo nastavené/nainstalované. Musíte si tedy zvážit zdali tohle pro vás není problém (případně jestli je to jen sekundární zálohování).
Já mám nejradši zálohovat vždy celé servery – obnova je nejrychlejší a člověk při ní nezjistí, že někdo začal dávat data i do složky, se kterou se nepočítalo :).
Externí disk + sejf je fajn. Jen těch disků mějte radši víc, pro případ že se rozbije, nebo se na něm objeví nečitelné sektory.
Odpovědět
Ladislav Hrňa
03. 01. 2020 v 06:23
S ručním nahozením serveru počítám v případě napadení, jinak systém je zálohován bokem když se „rozbije“. Data jsou zálohována všechna, takže to není potřeba řešit. A je nás 10, ne 50.
Odpovědět
Martin Haller
03. 01. 2020 v 08:27
Ok 🙂
Odpovědět
Roman
05. 01. 2020 v 20:56
Už jsem párkrát přemýšlel, jestli s tím máte zkušenosti, jak se chová server ve stavu kdy je zašifrovaný. Například spouští se dal úlohy task scheduleru? Děkuji za odpověď 🙂
Odpovědět
Martin Haller
05. 01. 2020 v 23:05
To záleží. Ransomware nešifruje systémové programy/soubory (patřící windows). Takže systém normálně nabootuje a i vcelku funguje. Problém je však v tom, že data aplikaci (někdy i aplikace samotné) jsou zašifrované.Takže odpověď je:
* plánovač úloh jako takový funguje
* cíle úloh (akce – programy/skripty co se pouští) jsou však již většinou nedostupné – takže se neprovedou.
Odpovědět
N/A Field
01. 04. 2020 v 22:51
Jen kdyz nad tim tak premyslim, neni vetsina utoku z Ruska a Ciny ve skutecnosti treba z uplne druheho konce sveta? Preci jen, pronajmout VPS za Bitcoiny lze v kterekoliv zemi a „zcela prekvapive“ bych si vybral na miste nekoho v Evrope / USA prave tyto, asi hlavne cinu z vyse zminenych duvodu, Koneckoncu, staci tam jen nechat bezet tunel na zarizeni.
Odpovědět
Martin Haller
02. 04. 2020 v 09:32
Klidně to tak být může, kdo ví :).
Svůj názor stavím na:
– Artefakty, které zůstávají na napadených zařízeních mají azbukou psané komentáře.
– Skupiny jako Maze, Sodinokibi se objevují na ruských fórech a vyhýbají se útoků na cíle v Rusku a post sovětských zemích.
– Co se týče VPN, tak právě často vidíme že útočí skrze IP adresy z jiných zemí – hlavně IP patřící různým společnostem poskytujícím VPS.
Odpovědět
Marek
24. 04. 2020 v 09:56
Dobry den a diky za clanek. Jen se chci ujistit – Mimikatz stale funguje i na posledni Win10 se vsemi zaplatami? Mel jsem za to, ze prave od urciteho buildu win10 uz hesla v plain textu v pameti nejsou. Diky za potvrzeni nebo vyvraceni.
Odpovědět
Martin Haller
24. 04. 2020 v 10:08
Jj, mimikatz stále funguje i na Windows 10 (1909 plně uptodate). Jediné co, už pár let není defaultně v cache čisté heslo (plaintext). Nicméně, stále je možné přečíst NTLM hash a Kerberos TGT – obojí k útokům v síti stačí. Stejně tak, si útočník zpětně můžeš zapnout wdigest a počkat na příští uživatelovo přihlášení (k plaintext heslu se pak dostane). Částečně pomoct může asi Credentials Guard (https://isc.sans.edu/forums/diary/Mitigations+against+Mimikatz+Style+Attacks/24612/).
Odpovědět
Daniel
09. 09. 2022 v 13:07
Zdravím vás Martine, přemýšlím zda nezakázat funkci WOL na počítačích uživatelů. Předpokládám, že je v případě Ransomware snadno zneužitelná. Jakou máte zkušenost vy? Díky 🙂
Odpovědět
Martin Haller
10. 09. 2022 v 09:31
Dobrý den, dobrý dotaz. My jsme cca u dvou případů viděli, že si útočníci před nasazením ransomware spustili část počítačů právě skrze WOL. Takže z tohohle úhlu pohledu by to mít smysl mohlo.
Na druhou stranu, stěžejní je, zdali se jim podaří získat práva doménového administrátora, nebo ne (či se je správci podaří dřív odhalit). Bez DA si sice počítače pustí, ale nic jim neprovedou. A když mají DA, tak hlavní škoda vzniká na serverech (tam jsou standardně všechna data a potřebné služby).
Jde tedy o to, jak moc pracné by bylo všechny počítače přenastavit, zdali jsou na nich data, zdali byste je v případě problému stejně přeinstalovával, nebo ne.
Odpovědět