Co dokážou hackeři s ransomware ve vaší firemní síti

20
Co dokážou hackeři s ransomware ve vaší firemní síti

Jen za  listopad se na nás obrátilo 6 firem, které řešily ransomware ve firemní síti. Ransomware jim na síť nasadili hackeři ručně. Tedy místo běžného ransomware, který přijde e-mailem a někdo na něj klikne, se v těchto případech jednalo vyloženě o hacknutí firmy hackerem a následnou ruční distribuci malware.

Počet útoků je zhruba 3x vyšší, než je běžné. Pomalu bych řekl, že i hackeři si potřebují „vydělat“ na bohatého Ježíška, tak sází přesčasy. 😊

Firmy, které nás oslovují, se často nachází ve velmi tíživé situaci, protože:

  • nemají data (občas ani zálohy),
  • netuší, kudy útok přišel (tzn. vše se může znovu opakovat),
  • nevědí, zdali je/není hacker ještě v síti (hrozí, že se situace ještě zhorší),
  • nedokáží určit, co vše bylo kompromitováno,
  • neví, zdali jsou v síti ponechány backdoory (útočník se může vrátit).

Málokterý IT specialista by přitom o své síti řekl, že je špatně zabezpečená. Většinou si myslí, že mají vše v pořádku (nejspíše proto, že se jim za posledních 10 let nic nestalo). 😊 O to více jsou pak zaraženi, jak jejich síť po útoku ransomware dopadla. Dle rozhovorů soudím, že primárním problémem je neznalost, čeho všeho je takový hacker schopen a jak pracuje (pokud pominu občasnou profesní zkostnatělost, nebo nezájem o svůj obor).

Proto bych se s vámi rád podělil o své zkušenosti z řešení hackerských útoků. Pro upřesnění kontextu dodávám, že píši o běžných kriminálních hackerských skupinách vydělávajících skrze ransomware. Nikoliv o APT skupinách (jejich zájmy i modus operandi jsou odlišné). 😊

Čeho jsou hackeři schopni

Hackeři přemýšlí. Na rozdíl od spamového ransomware (myšlen ransomware, který se šíří mailem a „jediné“, co po spuštění udělá, je, že zašifruje všechna data, na která dosáhne). Jsou tak schopni reagovat na zjištěné informace, různě je kombinovat, improvizovat a ovládat neznámé aplikace. Z tohoto důvodu jsou jejich útoky mnohem ničivější. Protože zatímco spamový ransomware nepozná váš zálohovací systém, hacker s tím nemá problém a je vcelku jedno, jaký software používáte (vždy se ovládají obdobně, a navíc se jmenují jako „backup cokoliv“).

Hackeři vědí, že pokud má firma zaplatit výkupné, musí přijít nejen o data, ale i o zálohy. Proto po nich často cíleně jdou a smažou/zašifrují je taky. To řada správců nečeká, takže nemá připravený scénář pro tuto situaci (proto o tom píši, aby se to vědělo. 😊

Útočí v noci a o víkendech

Hackeři, se kterými se setkávám, jsou nejčastěji z východu – Rusko, Asie (dle nalezených artefaktů a odhalených IP adres). Nejspíše kvůli malé pravděpodobnosti, že je někdo někdy dostane před spravedlnost (záměrně neútočí v rámci své země/spřátelených zemí).

Nejčastěji útočí během noci (k čemuž jim pomáhá i jiná časová zóna) a o víkendech. Podle mne z toho důvodu, že většina firem v té době nepracuje, nebo má omezený personál. A tak je malá pravděpodobnost, že je v síti někdo včas zahlédne (ať jejich přítomnost, nebo postupné šifrování dat). Většinou mají do pár hodin hotovo.

Jak se do sítě dostávají

Pořád bych řekl, že platí, že si hackeři svou oběť nevybírají podle toho „kdo“ jste, nýbrž zdali u vás máte „trendy“ zranitelnost (něco, co aktuálně zneužívají). Kvalifikačním kritériem proto „být hacknut“ je tedy nejčastěji:

  • objevená chyba na veřejně dostupné službě,
  • uniklé přihlašovací údaje (z nějaké hacknuté služby třetí strany),
  • spear phishing,
  • backdoor v e-mailu,
  • nebo můj favorit – útok skrze partnerskou organizaci (hackeři se naučili útočit na IT outsourcingové firmy – o tom snad napíšu příští článek).

VPN není překážka

Mnoho firem se snaží neustále chránit svůj perimetr – rozhraní mezi vnitřní sítí a internetem. Je to potřeba, ale není to samospásné. Hackeři totiž VPN klienty ovládají také.😊 Běžně se stává, že se hacker se získanými přihlašovacími údaji připojí na VPN a útočí z ní.

Případně pokud se jim podaří propašovat do sítě backdoor, tak nejčastěji komunikují po HTTPS protokolu. Ten bývá zpravidla povolen. A jelikož se jedná o šifrované spojení, tak do jeho obsahu router nevidí (pokud nemá nějakou formu SSL inspekce).

V cizí síti se zorientují za pár desítek minut

Možná si říkáte, že vaše síť je natolik komplikovaná, že jen zorientovat se v ní zabere několik hodin času. Jenže cílem hackera není „zdokumentovat vám rackovou skříň“ , ale rychle identifikovat důležité servery/zařízení. Tím, že je tohle jejich denní chleba, dokážou to udělat za pár desítek minut.

U VPN typu split tunneling rovnou získají vnitřní IP rozsahy od VPN serveru. Vždy se ale mohou obrátit na přidělené DNS servery, z LDAPu si zjistit název domény a pak se doptat na adresy všech DC serverů. Tím získají pár subnetů, co se v síti používá.

Následuje rychlý sken sítě – ping + vybrané porty (telnet, SSH, HTTP, HTTPS SMB, LDAP, MSSQL, RDP). Získají rychlý přehled o tom, co kde běží včetně názvů zařízení (SMB, banner jiného protokolu, nebo reverse DNS). Z názvové konvence již odtuší, co je jaké zařízení a jaká je jeho důležitost.

Cyberattack - brack glass
V případě potřeby zahajte plán B… 😃🔨
Zdroj: https://www.linkedin.com/company/the-cyber-security-hub/

Jak hacknou první počítač

Nejčastěji se na první počítač dostanou s přihlašovacími údaji, které použili již k VPN. Na jaká zařízení údaje fungují, jim ověří software za pár minut (např. CrackMapExec). Další jednoduchou a rychlou cestou jsou neaktualizovaná zařízení, která jsou exploitovatelná skrze EternalBlue, nebo BlueKeep (Zranitelnosti RDP – BlueKeep a DejaBlue).

Možností také je stáhnout seznam uživatelů z AD (stačí na to běžný domain user účet) a zkusit password spraying, nebo wordlist password guessing. Občas si správci poznačí heslo k účtu do políčka „description“, které je však veřejně čitelné. 😊 Toto jsou však více teoretické věci. Tedy ne proto, že by byly složité nebo nefungovaly. Hackeři však v naprosté většině případů, co jsem viděl, získali první počítač/server s postupy výše.

Postupné ovládnutí sítě

Na každém zařízení, kam se hackeři dostanou, se snaží najít další přístupové údaje, které by jim pomohly ovládnout další části sítě. Standardně k tomu využívají Mimikatz (vyčítá hesla z paměti pro aktuálně přihlášené uživatelé, uložená hesla ve správci pověření a hashe lokální uživatelských účtů), nebo WebBrowserPassView (vyčítání hesel uložených v prohlížeči).

Stejně tak projdou soubory, které mají uživatelé na ploše/v dokumentech, nainstalované programy, … a pokud najdou něco zajímavého jako VNC, přihlášený TeamViewer, otevřeného správce hesel, tak toho využijí. Stačí jim to k ovládnutí celé Active Directory.

Ransomware se blíží a na data míří

Jakmile mají dostatečnou kontrolu nad celou sítí, začnou se připravovat na nasazení ransomware do sítě. Vytipují si proto zařízení/servery, ze který ransomware pustí. Ten zašifruje data na daném zařízení a následně na všech síťových discích, na které ransomware uvidí a bude mít právo zápisu (včetně administrative sharů – tzn. C$ a další). Avšak stále ještě musí vyřešit 2 problémy – antivirus a spuštěné systémy.

Protože je jejich ransomware často profláknutý, antiviry jej detekují. Což se hackerům samozřejmě nehodí. Hackeři se často snaží ze serverů/stanic, na kterých ransomware pustí, antivirus nejprve odinstalovat, rozbít, udělat si výjimku. Vzácností není, že pokud narazí na centrální konzoli antiviru, nechají ho hromadně odinstalovat v celé síti.

Zbývá postarat se o běžící systémy (SQL databáze, mailové servery, virtuální servery, zálohovací systémy). Protože ty mají často datové soubory otevřené a uzamčené pro sebe a ransomware by je nemohl zašifrovat. Hackeři často tyto služby zastavují a vypínají jejich automatické spuštění.

Vypnutím služeb přestane řada věcí fungovat. Hackerům hrozí, že si jich někdo všimne a jejich útok zastaví. Proto nyní hrají o čas. Většinou hackeři ransomware spouští z více míst, aby se zašifrovalo co nejvíce dat a šifrování pokračovalo i v případě odstavení jednoho z napadených serverů.

TIP Z PRAXE. Jako vedlejší efekt výše uvedeného postupu se může stát, že se některá data zašifrují vícekrát. V takovém případě je nutné o tom s útočníky rovnou na začátku jednat, jinak budete platit výkupné na několikrát. 😉

Co všechno ještě umí

Pokud jste správci sítě, možná vám už nyní běhá mráz po zádech. Nicméně útočníci mají ještě pár triků v rukávu.

Častokrát si během útoku udělají na pár zařízení backdoor a sledují, jak se vaší síti daří. Problém nastane, když v tuto chvíli začnete obnovovat. Buď se vám začnou obnovená data znovu šifrovat. Nebo, pokud se hackeři ještě nedostali v síti všude, mohou využít vaší neopatrnosti. A jakmile se začnete připojovat do různých systémů (např. zálohovacího), abyste začali obnovovat, ukradnou vaše přihlašovací údaje a dokončí svou práci.

Obdobně pokud během pohybu po vaší síti zjistí, že používáte nějaký monitorovací systém, formu vzdálené správy, nebo máte přihlašovací údaje k jiným sítím, nejspíše toho využijí. Dle aktuálních trendů hackeři útočí na MSP (IT outsourcingové firmy), protože jednou hacknutou firmou se dostanou k desítkám či stovkám zákazníků. Ve světě se to děje čím dál častěji a rád bych tomuto tématu věnoval příští článek.

Závěr

Útočníkům se často platí výkupné a oni se díky tomu profesionalizují a stále zlepšují. Proto ani my, obránci, nesmíme zaspat a musíme se snažit být krok před nimi.

Pokud se zamýšlíte nad obranou, koukněte i na technologie a postupy, které používáme u nás a našich zákazníků (o většině jsem již psal článek). Budu rád, když vám pomohou:

  • Díky standardizaci a monitorovacímu systému máme menší množství technologií, které lépe uhlídáme, bezpečněji nastavíme a snižujeme pravděpodobnost, že se někde objeví zapomenuté, nezabezpečené/neaktualizované zařízení.
  • Díky tierování máme u sebe i zákazníků rozsegmentovaná prostředí, abychom ztížili případný pohyb hackera v síti, a víme, jaké systémy potřebují vyšší formu zabezpečení.
  • V sítích děláme nejen restrikce, ale snažíme se mít i monitorovací/detekční mechanismy (viz životní cyklus bezpečnosti), které nás včas upozorní na problém a zpětně pomohou vypátrat způsob průniku do sítě a všechna zasažená zařízení.
  • Zálohy provádíme více technologiemi a snažíme se je udělat tak, aby se nedaly ze sítě zákazníka smazat/modifikovat.
  • Na každé zařízení se snažíme mít unikátní a dostatečně dlouhé heslo. Neztratit se v heslech nám pomáhá systém na správu hesel.
  • A hlavně, protože nás práce baví, snažíme se dělat věci pořádně a neustále se vzdělávat.😊

Souhlasíte s článkem? Máte podobou zkušenost, nebo se setkáváte s odlišným chováním hackerům, než co popisuji? Máte další nápady na obranu? Těším se na vaše komentáře pod článkem. 👇

🎄 Přeji Vám krásné a klidné vánoční svátky a ať se v novém roce drží bezpečnostní incidenty od vašich sítí dál. 🎄

Martin Haller

PS: Hackeři vylepšili svoji strategii a nově vydírají, že pokud nezaplatíte, zveřejní ukradená data. Viz nový článek o ransomware a zveřejnění dat. Nebo si přečtěte „Jak hackeři napadají firmy skrze jejich IT dodavatele„. Proč hackovat každou firmu zvlášť, když se stejným úsilím můžete hacknout dodavatelský řetězec a dostat se tak k desítkám/stovkám firem zdarma?

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

  1. Je to asi noční můra každého správce…

    Přemýšlím udělat aspoň týdenní zálohu kritických systémů na NASku, která bude vyplá a schedulerem se zapne vždy jen např. ve středu v 17:00. Poté na ni poběží zálohy. A ve čtvrtek ráno se zase schedulerem vypne a nebude dostupná ze sítě.

  2. Neustále přicházím do kontaktu s lidmi (z různých škol atd.), kde zálohy neřeší vůbec, ale opravdu vůbec. Ideální je zálohování „3-2-1“, ale zákazníci často reagují, že na to nemají budget, takže se vždy snažím, aby si dotyčný uvědomil, jakou finanční hodnotu jeho data mají a co se stane, když o ně přijde – to pomáhá na 100% 🙂
    Ohledně NAS, jen pro zajímavost (nevím, jak jste na to vy ostatní), tak za ty léta od různých značek typu Netgear a Synology apod. jsem nakonec došel a už zůstal u QNAPu – super výkon a za slušné peníze, kde vždy při instalaci nastavuji Snapshoty právě kvůli ransomware. Plus teď už jen čekám, až vydají jejich nový systém s názvem „hero“ (jejich QTS linux systém se ZFS), to bude pecka.

    • Když nemají na zálohy (které podle mne nejsou většinou zase tak drahé), tak je otázka, jestli do toho vůbec jít – nakonec se totiž o ztrátu dat bojí víc jejich správci, než samotný zákazník :(.

      S těmi NAS máme podobné zkušenosti. My jsme hodně dlouho dělali Synology, ale Btrfs, který umožňuje snapshotování je problematický (dochází k zpomalování FS a ztrátě volné kapacity v řádu desítek procent). Synology o tom nemluví a ani s tím nechce nic dělat (nevím jestli je to problém jejich implementace nebo Btrfs obecně) :(. Takže teď také přecházíme ke QNAPu :).

  3. Co říkáte na kombinaci Robocopy /MIR a OneDrive + jednou za půl roku komplet data na externí disk do sejfu? 😀 Jinak to řešení NAS je zajímavé máme Synology a budu potřebovat nové, takže zkusím QNAP 🙂

    • Nevýhoda robocopy je, že s ním zazálohujete jenom část dat, nikoliv celý server. Tzn. pro obnovení je pak potřeba nejdřív vše nainstalovat, správně nastavit a pak teprve můžete obnovit dat – což je časově náročné a po X letech už si nikdo nemusí pamatovat jak co bylo nastavené/nainstalované. Musíte si tedy zvážit zdali tohle pro vás není problém (případně jestli je to jen sekundární zálohování).
      Já mám nejradši zálohovat vždy celé servery – obnova je nejrychlejší a člověk při ní nezjistí, že někdo začal dávat data i do složky, se kterou se nepočítalo :).

      Externí disk + sejf je fajn. Jen těch disků mějte radši víc, pro případ že se rozbije, nebo se na něm objeví nečitelné sektory.

  4. Už jsem párkrát přemýšlel, jestli s tím máte zkušenosti, jak se chová server ve stavu kdy je zašifrovaný. Například spouští se dal úlohy task scheduleru? Děkuji za odpověď 🙂

    • To záleží. Ransomware nešifruje systémové programy/soubory (patřící windows). Takže systém normálně nabootuje a i vcelku funguje. Problém je však v tom, že data aplikaci (někdy i aplikace samotné) jsou zašifrované.Takže odpověď je:
      * plánovač úloh jako takový funguje
      * cíle úloh (akce – programy/skripty co se pouští) jsou však již většinou nedostupné – takže se neprovedou.

  5. Jen kdyz nad tim tak premyslim, neni vetsina utoku z Ruska a Ciny ve skutecnosti treba z uplne druheho konce sveta? Preci jen, pronajmout VPS za Bitcoiny lze v kterekoliv zemi a „zcela prekvapive“ bych si vybral na miste nekoho v Evrope / USA prave tyto, asi hlavne cinu z vyse zminenych duvodu, Koneckoncu, staci tam jen nechat bezet tunel na zarizeni.

    • Klidně to tak být může, kdo ví :).

      Svůj názor stavím na:
      – Artefakty, které zůstávají na napadených zařízeních mají azbukou psané komentáře.
      – Skupiny jako Maze, Sodinokibi se objevují na ruských fórech a vyhýbají se útoků na cíle v Rusku a post sovětských zemích.
      – Co se týče VPN, tak právě často vidíme že útočí skrze IP adresy z jiných zemí – hlavně IP patřící různým společnostem poskytujícím VPS.

  6. Dobry den a diky za clanek. Jen se chci ujistit – Mimikatz stale funguje i na posledni Win10 se vsemi zaplatami? Mel jsem za to, ze prave od urciteho buildu win10 uz hesla v plain textu v pameti nejsou. Diky za potvrzeni nebo vyvraceni.

Leave a Reply