Relevant Threat Update of Week: Cisco, Gamaredon e Exchange
Gamaredon APT Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo. ID G0047 CVSS 9 Exploitation vector Network “Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.“ – Attack MITRE – Group Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT. Cisco SD-WAN vManage Classificazione: CVE-ID CVE-2020-26073 CVSS Reserved (NIST) Exploitation vector Network Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili. In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno. Microsoft Exchange Server OWA GetWacUrl “Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).” – Wikipedia CVE-ID CVE-2020-17143 CVSS 8.8 Exploitation vector Network Attualmente non sono presenti dal portale Microsoft exploit specifici. In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso. LECS SOC Team Alessio
LECS VS Malware type: Ransomware
LECS VS Ransomware La definizione: Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito. Impatto ed evoluzione L’ impatto che tale minaccia può avere sui sistemi (e sui dati) può essere devastante, e purtroppo lo è nella stragrande maggioranza dei casi, statistiche alla mano. Cifrare i dati comporta blocchi operativi devastanti ed esosi in termini economici per un azienda. Cosa giustifica tale “successo” di questa minaccia, è l’ unione del fattore capillarizzazione dell’IT, smart work e 4.0. Tale estensione ha permesso un ingrandimento della superficie d’attacco ed un correlato numero sempre maggiore di possibili vittime di attacchi social engineering. Difatti, il principale vettore di attacco preferito attualmente è il phishing in ogni sua forma (vishing, whaling, spear…) ma ovviamente non si escludono molti altri vettori, come P2P illegale, webpage compromesse, ed in certi casi anche periferiche fisiche come le chiavette USB e memorie di massa, fino ad arrivare agli approcci gestionali aziendali “BYOD”. Analisi tecnica da un punto di vista del network security L’impatto di un ransomware su un singolo client è indubbiamente pericoloso, ma considerando l’ipotesi (realistica) di un’infezione di rete e quindi infezione massiva di n device significa un blocco completo operativo di intere infrastrutture, compiuto nel giro di pochi minuti. I ransomware sono malware evoluti, difatti portano con loro una serie di algoritmi che eseguono strategiche operazioni in relazione alla kill-chain. Lo scopo infatti è infettare quanti più host possibili per diminiure la possibilità di recupero ed aumentare le probabilità che il riscatto venga pagato. Pertanto non si limitano a compromettere solo i file del primo host, ossia il “paziente zero” ma anche tutti i backup in LAN, shared fodler di altri host, database, fino a raggiungere criticità di Directory AD e sistemi Cloud in alcuni casi. La Kill Chain La catena di attacco di un ransomware è ben definita e segue specifiche operazioni per arrivare al “Pay Day”. -Thanks: CyberVPN LECS VS Advanced Ransomware Ovviamente il primo step, è quello dell’infezione. Come anticipato nel paragrafo precedente i vettori principali sono mail di Phishing e tutto ciò che riguarda l’interazione diretta con l’utente esposto a social engineering. Quindi email, link malevoli e molto altro sono i preferiti dai cyber criminali, questo perché l’utente medio purtroppo cade molto spesso nella trappola nel phishing dando inizio allo step 1. Generalmente sono file PDF o documenti di varia natura, inclusi compressi (zip, 7z…), che una volta aperti danno inizio all’infezione. Gli attacchi via phishing, non solo fanno si che la minaccia abbia successo ma agevola tutte le manovre di bypassing/evasion da parte della minaccia. Questo perché è chiaramente più articolato mettere in piedi un attacco ad-hoc contro i PPS – servizi e protocolli- o addirittura attacchi alla supply-chain con un malware sviluppato a misura. Con una mail si bypassano le misure di sicurezza molto più facilmente. La mail infatti bypassa e sfugge completamente alle comuni misure di sicurezza perimetrali, arrivando direttamente all’ host target per dare il via alla sua esecuzione e quindi, all’inizio dell’infezione. A questo punto, dovremmo affidarci a sistemi di protezione endpoint locali, come gli antivirus. Come mai allora spesso non riescono a fermare queste minacce? I ransomware odierni sfruttano tecniche avanzate di obfuscation ed evading per compromettere il sistema senza fare trigger di sistemi di protezione, pertanto è molto complesso fare la detection di un codice cifrato che lavora in background, e proprio per questo siamo già entrati nella terza fase della kill-chain. Analizzando a fondo un malware del genere, ci si rende conto della complessità ed articolazione delle operazioni che possono eseguire. Al contrario di quanto si può pensare, questa minaccia su un piano tecnico non si limita a cifrare, difatti integra molti altri svariati algoritmi, ognuno con un target operazionale ben preciso e di diversa natura. Procedure e script di C2C (command & control), scanning, privilege escalation e molto altro permetto alla stessa cyber threat di progredire nei sistemi sia locali che di rete per arrivare al goal finale di compromissione totale. Una volta preso il possesso della macchina infatti, la minaccia eseguirà movimenti laterali sul network al fine di trovare ulteriori bersagli per importanza più delicati e sensibili, come file server AD o LAN storage di backup (come i NAS), mettendo completamente sotto scacco un’ intera azienda una volta infettati. Questi ransomware possono portare con sé anche strumenti di exploit specifici per certi PPS per continuare l’ infezione, come è accaduto per il famosissimo Emotet ed in molti altri casi. Proprio qui inizia ad interviene il sistema LECS, l’ultimo baluardo di cyber defence. Durante questi movimenti laterali, la minaccia esce “allo scoperto”, perdendo parzialmente la sua natura stealth in localhost per muoversi sull’ infrastruttura di rete. Infatti già nelle prime fasi di movimento laterale, il malware genera un traffico interno, in relazione alle scansioni e tentativi di connessione ad host interni, invisibili ai firewall perimetrali, e pertanto può agire indisturbato sull’intera subnet finchè non trova nuovi elementi, e possiamo parlare anche di interi giorni. Grazie alla cooperazione degli algoritmi proprietari brevettati Specto e Tiresia, la detection effettuata in realtime permette di spezzare la catena di attacco immediatamente, salvaguardando completamente ciò che deve essere protetto ad ogni costo, analizzando la morfologia del traffico. La tecnologia Raises di intervento arrivando fino al livello 1 dello stack, e lavorando quindi in un piano parallelo di azione rispetto alle comuni contromisure fa tendere il fattore efficacia al 100%. Infatti un sistema Airgapped fisicamente, blocca ogni tentativo di evasione da parte del ransomware e bloccando definitivamente l’accesso al segmento di rete. La forza del timing Già la semplice ricognizione di scansione eseguita da un ransomware del genere viene fermata, applicando la contromisura Raises, bloccando quindi la diffusione in TUTTA
Relevant Threat Update of Week: Apache & Lazarus APT and SonicWall SMA 100
Come LECS supporta sistemi firewall SonicWall SMA 100 Vulns CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Alcuni firewall SonicWall della serie 100 con firwmare < 10.2.1.2-24sv , firmware < 10.2.0.8-37sv e firmware < 9.0.0.11-31sv sono soggetti a vulnerabilità di tipo “iniezione di codice” che comporterebbe una grave violazione del perimetro. Questo può potenzialmente portare l’attaccante autenticato in remoto a prendere il controllo dell’ appliance SMA 100. Dettagli approfonditi: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20038 Il sistema LECS, controllando il traffico di rete in real-time attua tutte le contromisure necessarie ad impedire che un cracker possa prendere il controllo del firewall qualora il firmware risultasse non ancora aggiornato alle versioni nuove. Apache Spark Exploit (Apache Log4j component) “Apache Spark è un framework open source per il calcolo distribuito sviluppato dall’AMPlab della Università della California e successivamente donato alla Apache Software Foundation.” – Wikipedia Classificazione: CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Log4shell porta con se un numero elevato exploit “correlati”. Nello specifico questo exploit, di tipo RCEn (remote code execution) purtoppo ad oggi non ha ancora una patch specifica, pertanto è necessario monitorare costantemente il servizio. Il framework LECS riconosce i tentativi di sfruttamento di questa pericolosa variante di minaccia impedendo e bloccando la minaccia. New Lazarus APT IOC LECS riconosce svariati IOC basati su IP di connessioni remote verso server C2. “Lazarus Group (also known by other monikers such as Guardians of Peace or Whois Team[1][2][3]) is a cybercrime group made up of an unknown number of individuals run by the North Korean state.” – Wikipedia Il sistema reputazionele di LECS basato su IOC sicuri, permette di evitare data-breach o avere la rete sotto scacco dell’attaccante, bloccando le connessioni verso server di C2. LECS SOC Team Alessio