Sicurezza informatica e attacchi ransomware: cosa sono, tipologie e come difendersi
Nel settore della sicurezza informatica, gli attacchi ransomware sono di casa, e per questo è importante sapere di cosa si tratta e come tutelarsi. La parola ransomware tradotta letteralmente dell’inglese vuol dire ‘virus del riscatto’, e di fatto è proprio questo che avviene: dei virus e malware aggrediscono i nostri dispositivi e ne impediscono l’utilizzo. Tutto può tornare alla normalità pagando un riscatto. Nel mirino di questi attacchi informatici finiscono molte aziende, e l’epilogo generalmente è un riscatto o la diffusione on line di una parte dei dati, spesso pubblicati sul sito della cyber gang responsabile dell’attacco. Ma adesso vediamo bene insieme cosa sono gli attacchi ransomware, le tipologie e come difendersi. Cosa sono gli attacchi Ransomware Il virus ransomware è un tipo di malware, e viene utilizzato per ‘infettare’ un dispositivo (pc, tablet, smartphone, etc) e rendere i file in esso contenuti inaccessibili, e per questo si parla infatti di attacchi ransomware. La finalità è quella di estorcere denaro se la vittima vuole tornare padrone dei suoi contenuti che, grazie alla cifratura, sono diventati inutilizzabili. E come avviene la richiesta di riscatto? Invece del nostro sfondo, sul dispositivo appare un avviso il cui mittente sembra un’organizzazione di sicurezza (come la polizia) e viene chiesto del denaro per ottenere una password che rilascerà l’accesso ai contenuti, e sempre più spesso il pagamento avviene nel Dark Web. L’importo del riscatto molto spesso è elevato: in certi casi ha raggiunto milioni di dollari e viene richiesto in criptovalute; nel 2021 ad esempio ad Acer, di cui tutto conosciamo l’importanza nel settore informatico, sono stati chiesti 50 milioni di dollari. Come funzionano gli attacchi Ransomware Un ransomware si diffonde mediante attacchi di: PHISHING: Forma di adescamento nella quale grazie a una truffa telematica vengono rubati informazioni e dati. Per la sicurezza informatica è una delle minacce più note CLICKJACKING Pagine trasparenti che vengono collocate sopra alla pagina reale; l’utente, senza saperlo, compie attività come download di file o invio di informazioni, mentre vengono intercettati i tasti permuti per ottenere informazioni come credenziali bancarie o documenti. Tipologie di Ransomware I tipi di ransomware sono principalmente tre: CRYPTOR: Si attiva quando l’utente apre un file come un allegato e-mail che però ha al suo interno un virus. In questo modo ogni file sul pc viene criptato con estensioni ‘strane’ come .wcry o caratteri randomici. BLOCKER: Il virus simula il blocco di un computer o un dispositivo mobile. L’utente vedrà un messagiio con una richiesta di pagamento. WIPER: il cui fine è distruggere i dati in modo irreversibile Le 10 righe dell’oggetto più frequentemente utilizzate negli attacchi sono: Richiesta, Seguito, Urgente/Importante, Sei disponibile?/ Sei alla tua scrivania?, Stato del pagamento, Ciao ,Acquistare, Fattura in scadenza, Deposito diretto, Spese, Libro paga. I marchi invece principalmente utilizzati sono WhatsApp, Google, LinkedIn, Amazon, FedEx, Roblox, PayPal e Apple. Facebook e Instagram. Come difendersi dagli attacchi Ransomware Per tutelarsi da questi attacchi, occorre: fare molta attenzione prima di scaricare e installare file nel pc; valutare chi è il mittente e in che tipo di sito stiamo navigando scegliere un antivirus con un modulo anti-ransomware dedicato scegliamo un client di posta elettronica che abbia moduli di sicurezza aggiornare sempre all’ultima versione il nostro sistema operativo utilizziamo un browser sicuro e aggiornato (Google Chrome) Ricordiamoci sempre che la sicurezza informatica non deve essere solo pensata per proteggere le grandi aziende: i dispositivi Lecs nascono proprio affinché anche i dati delle piccole imprese e dei professionisti siano debitamente protetti. Alessio
Sicurezza informatica: la vera sfida dell’era digitale
Con il termine di sicurezza informatica -molte volte sostituito con quello di cybersecurity- si intendono tutti quei mezzi il cui scopo è proteggere i sistemi, le reti e i dati dal danno digitale. E in un mondo in cui qualsiasi informazione su persone e aziende viene custodita su supporti tecnologici, la sfera digitale diventa automaticamente il terreno di guerra fra chi deve garantire riservatezza, integrità e disponibilità dei dati, e chi invece vuole appropriarsene per vari motivi, di solito politici o economici. Alcuni dati sulla sicurezza informatica Ad esempio il 2022 si è concluso con un numero di attacchi rilevati pari a 12.947: numero che in sé potrebbe dirci poco, ma corrisponde a più del doppio dei 5.334 dell’anno prima. Le persone indagate ammontano a 334 rispetto alle 187 del 2021. Gli alert diramati l’anno scorso sono stati 113.226: più di 300 al giorno. La figura dell’hacker, tanto raccontata nei film, dipinto con felpe nere overs size e col cappuccio a coprire il volto e immerso in una giungla di codici incomprensibili, è diventata realtà, e quello che fa non è più al limite del fantastico, ma verità nuda e cruda. E non pensiamo nemmeno che il bersaglio degli attacchi hacker siano solo le grandi aziende; stringendo la questione, chi detiene i dati sensibili è come un cassetto che custodisce le nostre vite e identità: se la serratura del cassetto salta, ad essere rapiti siamo proprio noi. Di fatto i dispositivi che possono essere violati sono computer, server, dispositivi mobili, reti e sistemi elettronici: tutti questi elementi devono quindi essere oggetto di sicurezza informatica ai massimi livelli, e occorrono impegno, costanza e ricerca affinchè le aziende (sia di grandi dimensioni, che PMI, che siano nel settore pubblico o privato) possano garantire la sicurezza informatica dei dati che hanno. E da parte delle imprese l’attenzione nei confronti delle problematiche derivanti da attacchi hacker sta aumentando sempre di più, mentre anche il settore legislativo sta compiendo il proprio percorso volto alla tutela dei cittadini. Come ha dichiarato Alessandro Piva, Direttore dell’Osservatorio Cybersicurity & Data Protection: “Il primo passo è stato compiuto: le organizzazioni hanno posto le basi per rendere la cybersecurity un elemento chiave per il loro business, intraprendendo un percorso strutturato verso una nuova fase. Le organizzazioni non devono abbassare la guardia, ma muoversi elaborando una strategia a lungo termine per la sicurezza informatica”. I tre principi della sicurezza informatica- CIA Gestire, proteggere e mettere in sicurezza in modo corretto i dati informatici, vuol dire agire secondo tre principi fondamentali della sicurezza informatica: Confidenzialità Integrità Disponibilità Vediamole nel dettaglio. Sicurezza Informatica: Confidenzialità dei dati Per confidenzialità dei dati si intende la garanzia che i dati rilasciati da persone o aziende saranno protetti dal potenziale accesso e utilizzo da parte di chi non ne è autorizzato. Questo deve essere garantito sempre, non solo in una fase di cessione e acquisizione del dato, ma anche nelle fasi successive (utilizzo e scambio in una rete di connessione). Possiamo affermare che la confidenzialità è indispensabile per garantire quella privacy a cui ognuno di noi tiene tanto; se la confidenzialità non viene mantenuta, il danno non è solo per la società che doveva proteggere il dato, ma anche per la privacy, appunto, dell’individuo. Al fine di garantire la confidenzialità dei dati, i metodi più usati sono: CRITTOGRAFIA, usata per l’autenticazione, costituita da nome utente e password CODICI PIN BIOMETRIA, come l’impronta digitale In termini più ampi e al di là del singolo individuo, quando pensiamo a tutti i dati da proteggere non possiamo dimenticare quelli finanziari, di sicurezza a livello nazionale, economici, sanitari e di molti altri contesti che fanno parte integrante della società. Sicurezza Informatica: Integrità dei dati informatici Per integrità dei dati intendiamo la garanzia che i dati non vengano in alcun modo modificati o cancellati da chi non sia autorizzato a farlo. Questo comprende ovviamente anche variazioni di carattere accidentale. Per la sicurezza informatica e il mantenimento dell’integrità dei dati è necessario attuare delle policy di autenticazione ben delineate: di questo fanno parte le password, che tutti noi adoperiamo per accedere a dispositivi tecnologici e servizi on line, ma che vengono utilizzate anche a livello aziendale. La scelta della password deve essere ragionata, e anche il suo utilizzo deve essere altrettanto attenzionato. Fra le cause principali di attacchi informatici rientra proprio il cattivo utilizzo delle password da parte degli utenti. Sicurezza Informatica: Disponibilità dei dati Il terzo e ultimo principio della sicurezza informatica riguarda la disponibilità dei dati: con questo si intende la possibilità di poter accedere ai dati da parte di chi ne è autorizzato. A questo scopo è necessario che non vi sia un’interruzione nel periodo di tempo in cui il dato viene utilizzato, né a seguito di un attacco informatico e nemmeno a causa di altri eventi, comprese le calamità naturali. Fra le misure più efficaci per avere disponibilità dei dati, ricordiamo: Ridondanza, failover e Raid Strutture di controllo di rete e server Piano di ripristino dei dati e di continuità aziendale in caso di privazione dei dati Scopri i dispostivi Lecs per la tua sicurezza informatica Tipi di minacce per la sicurezza informatica Come abbiamo già detto quindi, la sicurezza informatica è ciò che occorre per fronteggiare gli attacchi hacker e qualsiasi tipo di minaccia informatica. Partiamo dal presupposto che lo scopo di un attacco Hacker sia quello di sottrarre i dati per poi chiedere un riscatto; i dati che vengono rubati possono essere divulgati nel dark web ed essere utilizzati per scopi illegali. Pensiamo ad esempio alla sottrazione del numero della carta di credito; anche se non siamo esperti di sicurezza informatica e crediamo che non ci sia nulla di troppo interessante nelle nostre vite, per gli ‘esperti degli attacchi’ non è proprio così. Vediamo insieme alcuni tipi di minacce informatiche. Malware E’ un software che si muove nella rete, violandola e sfruttandone la vulnerabilità. E’ ovviamente dannoso e può essere usato per sottrarre dati di varia natura, comprese e-mail e password. Se
NEW UPDATE: Aggiornamento alla UI Reseller
Per tutti i clienti Reseller che hanno la Dashboard abilitata, dal 05/04/2022 è disponibile una nuova funzionalità di visualizzazione: Tiresia Intelligent Engine oltre ad altre ottimizzazioni UI. Changelog: Tiresia è il motore a valle di ottimizzazione intelligente della detection di LECS, con il preciso scopo di migliorare e sensibilizzare il rilevamento delle minacce eseguendo specifici matching tra la rete locale d’installazione e feed proprietari e globali di Intelligence. Proprio per questo è possibile avere immediatamente nella Dashboard, appena sotto i grafici, il report di quanto l’algoritmo sta monitorando, evidenziandolo tra tutti i LOG. Nuova Categoria “Minacce Gravi”: Nel menù laterale della Dashboard, si trova una modifica alla visualizzazione e classificazione dei pattern di LECS. Qui, sono riportati i LOG critici che hanno innescato la contromisura di LECS. Nel caso di LECS+, si attua la contromisura energetica, mentre nel caso del LECS normale, la contromisura procedurale. E’ contestuale anche l’invio di una mail di notifica immediata in questi casi. Nuova Categoria “Anomalie” (da Bassi): In questa categoria si trovano tutte le anomalie rilevate, utili per network debug o monitoraggi di protocolli e movimenti specifici all’interno della rete. Q&A Nei casi riportati nella tabella di Tiresia, LECS è intervenuto? Lo scopo di Tiresia Intelligent Engine è quello di fornire un’evidenza specifica di criticità che richiedono di essere analizzate a fondo rispetto ad altre. Dove trovo i LOG di quanto LECS è intervenuto con la contromisura? Nella voce di menù laterale “Minacce Gravi” sono riportate le minacce dove LECS è intervenuto con la contromisura elettrica (LECS+) o procedurale (LECS). #StaySafe Alessio
Relevant Threat Update of Week: Cisco, Gamaredon e Exchange
Gamaredon APT Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo. ID G0047 CVSS 9 Exploitation vector Network “Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.“ – Attack MITRE – Group Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT. Cisco SD-WAN vManage Classificazione: CVE-ID CVE-2020-26073 CVSS Reserved (NIST) Exploitation vector Network Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili. In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno. Microsoft Exchange Server OWA GetWacUrl “Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).” – Wikipedia CVE-ID CVE-2020-17143 CVSS 8.8 Exploitation vector Network Attualmente non sono presenti dal portale Microsoft exploit specifici. In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso. LECS SOC Team Alessio
LECS VS Malware type: Ransomware
LECS VS Ransomware La definizione: Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito. Impatto ed evoluzione L’ impatto che tale minaccia può avere sui sistemi (e sui dati) può essere devastante, e purtroppo lo è nella stragrande maggioranza dei casi, statistiche alla mano. Cifrare i dati comporta blocchi operativi devastanti ed esosi in termini economici per un azienda. Cosa giustifica tale “successo” di questa minaccia, è l’ unione del fattore capillarizzazione dell’IT, smart work e 4.0. Tale estensione ha permesso un ingrandimento della superficie d’attacco ed un correlato numero sempre maggiore di possibili vittime di attacchi social engineering. Difatti, il principale vettore di attacco preferito attualmente è il phishing in ogni sua forma (vishing, whaling, spear…) ma ovviamente non si escludono molti altri vettori, come P2P illegale, webpage compromesse, ed in certi casi anche periferiche fisiche come le chiavette USB e memorie di massa, fino ad arrivare agli approcci gestionali aziendali “BYOD”. Analisi tecnica da un punto di vista del network security L’impatto di un ransomware su un singolo client è indubbiamente pericoloso, ma considerando l’ipotesi (realistica) di un’infezione di rete e quindi infezione massiva di n device significa un blocco completo operativo di intere infrastrutture, compiuto nel giro di pochi minuti. I ransomware sono malware evoluti, difatti portano con loro una serie di algoritmi che eseguono strategiche operazioni in relazione alla kill-chain. Lo scopo infatti è infettare quanti più host possibili per diminiure la possibilità di recupero ed aumentare le probabilità che il riscatto venga pagato. Pertanto non si limitano a compromettere solo i file del primo host, ossia il “paziente zero” ma anche tutti i backup in LAN, shared fodler di altri host, database, fino a raggiungere criticità di Directory AD e sistemi Cloud in alcuni casi. La Kill Chain La catena di attacco di un ransomware è ben definita e segue specifiche operazioni per arrivare al “Pay Day”. -Thanks: CyberVPN LECS VS Advanced Ransomware Ovviamente il primo step, è quello dell’infezione. Come anticipato nel paragrafo precedente i vettori principali sono mail di Phishing e tutto ciò che riguarda l’interazione diretta con l’utente esposto a social engineering. Quindi email, link malevoli e molto altro sono i preferiti dai cyber criminali, questo perché l’utente medio purtroppo cade molto spesso nella trappola nel phishing dando inizio allo step 1. Generalmente sono file PDF o documenti di varia natura, inclusi compressi (zip, 7z…), che una volta aperti danno inizio all’infezione. Gli attacchi via phishing, non solo fanno si che la minaccia abbia successo ma agevola tutte le manovre di bypassing/evasion da parte della minaccia. Questo perché è chiaramente più articolato mettere in piedi un attacco ad-hoc contro i PPS – servizi e protocolli- o addirittura attacchi alla supply-chain con un malware sviluppato a misura. Con una mail si bypassano le misure di sicurezza molto più facilmente. La mail infatti bypassa e sfugge completamente alle comuni misure di sicurezza perimetrali, arrivando direttamente all’ host target per dare il via alla sua esecuzione e quindi, all’inizio dell’infezione. A questo punto, dovremmo affidarci a sistemi di protezione endpoint locali, come gli antivirus. Come mai allora spesso non riescono a fermare queste minacce? I ransomware odierni sfruttano tecniche avanzate di obfuscation ed evading per compromettere il sistema senza fare trigger di sistemi di protezione, pertanto è molto complesso fare la detection di un codice cifrato che lavora in background, e proprio per questo siamo già entrati nella terza fase della kill-chain. Analizzando a fondo un malware del genere, ci si rende conto della complessità ed articolazione delle operazioni che possono eseguire. Al contrario di quanto si può pensare, questa minaccia su un piano tecnico non si limita a cifrare, difatti integra molti altri svariati algoritmi, ognuno con un target operazionale ben preciso e di diversa natura. Procedure e script di C2C (command & control), scanning, privilege escalation e molto altro permetto alla stessa cyber threat di progredire nei sistemi sia locali che di rete per arrivare al goal finale di compromissione totale. Una volta preso il possesso della macchina infatti, la minaccia eseguirà movimenti laterali sul network al fine di trovare ulteriori bersagli per importanza più delicati e sensibili, come file server AD o LAN storage di backup (come i NAS), mettendo completamente sotto scacco un’ intera azienda una volta infettati. Questi ransomware possono portare con sé anche strumenti di exploit specifici per certi PPS per continuare l’ infezione, come è accaduto per il famosissimo Emotet ed in molti altri casi. Proprio qui inizia ad interviene il sistema LECS, l’ultimo baluardo di cyber defence. Durante questi movimenti laterali, la minaccia esce “allo scoperto”, perdendo parzialmente la sua natura stealth in localhost per muoversi sull’ infrastruttura di rete. Infatti già nelle prime fasi di movimento laterale, il malware genera un traffico interno, in relazione alle scansioni e tentativi di connessione ad host interni, invisibili ai firewall perimetrali, e pertanto può agire indisturbato sull’intera subnet finchè non trova nuovi elementi, e possiamo parlare anche di interi giorni. Grazie alla cooperazione degli algoritmi proprietari brevettati Specto e Tiresia, la detection effettuata in realtime permette di spezzare la catena di attacco immediatamente, salvaguardando completamente ciò che deve essere protetto ad ogni costo, analizzando la morfologia del traffico. La tecnologia Raises di intervento arrivando fino al livello 1 dello stack, e lavorando quindi in un piano parallelo di azione rispetto alle comuni contromisure fa tendere il fattore efficacia al 100%. Infatti un sistema Airgapped fisicamente, blocca ogni tentativo di evasione da parte del ransomware e bloccando definitivamente l’accesso al segmento di rete. La forza del timing Già la semplice ricognizione di scansione eseguita da un ransomware del genere viene fermata, applicando la contromisura Raises, bloccando quindi la diffusione in TUTTA
Relevant Threat Update of Week: Apache & Lazarus APT and SonicWall SMA 100
Come LECS supporta sistemi firewall SonicWall SMA 100 Vulns CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Alcuni firewall SonicWall della serie 100 con firwmare < 10.2.1.2-24sv , firmware < 10.2.0.8-37sv e firmware < 9.0.0.11-31sv sono soggetti a vulnerabilità di tipo “iniezione di codice” che comporterebbe una grave violazione del perimetro. Questo può potenzialmente portare l’attaccante autenticato in remoto a prendere il controllo dell’ appliance SMA 100. Dettagli approfonditi: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20038 Il sistema LECS, controllando il traffico di rete in real-time attua tutte le contromisure necessarie ad impedire che un cracker possa prendere il controllo del firewall qualora il firmware risultasse non ancora aggiornato alle versioni nuove. Apache Spark Exploit (Apache Log4j component) “Apache Spark è un framework open source per il calcolo distribuito sviluppato dall’AMPlab della Università della California e successivamente donato alla Apache Software Foundation.” – Wikipedia Classificazione: CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Log4shell porta con se un numero elevato exploit “correlati”. Nello specifico questo exploit, di tipo RCEn (remote code execution) purtoppo ad oggi non ha ancora una patch specifica, pertanto è necessario monitorare costantemente il servizio. Il framework LECS riconosce i tentativi di sfruttamento di questa pericolosa variante di minaccia impedendo e bloccando la minaccia. New Lazarus APT IOC LECS riconosce svariati IOC basati su IP di connessioni remote verso server C2. “Lazarus Group (also known by other monikers such as Guardians of Peace or Whois Team[1][2][3]) is a cybercrime group made up of an unknown number of individuals run by the North Korean state.” – Wikipedia Il sistema reputazionele di LECS basato su IOC sicuri, permette di evitare data-breach o avere la rete sotto scacco dell’attaccante, bloccando le connessioni verso server di C2. LECS SOC Team Alessio
LECS VS RCE: Eternal Blue
EternalBlue Vulns. CVE-2017-0144, meglio nota come “EternalBlue” è una vulnerabilità con score CVSSv2: 9.3 ossia, il praticamente quasi il massimo in termini di impatto. E’ critica non solo per l’impatto che può avere sul sistema, ma ovviamente sulla larga diffusione. Considerando che attacca il protocollo SMB, possiamo semplificare indicando che è pertanto vulnerabile tutto ciò che è condiviso in rete mediante questo protocollo. Evoluzione della minaccia: La prima disclosure avviene nella fine del 2017, ma non si limita qui. Infatti troviamo recenti revisioni. I sistemi affetti sono Microsoft Windows 2000, XP, 7, 8, 10 (fino alla build 16) Microsoft Server 2000, 2003, 2008, 2008 R2, 2012. Breve analisi della minaccia EternalBlue, nelle sue varianti, affligge pertanto i sistemie che utilizzando condivisioni basate su protocollo SMBv1. La sua pericolosità è dettata anche dal fatto che non richiede un intervento utente come ad esempio avviene negli altri vettori di attacco come il phishing via mail. Questo vulnerabilità pertanto viene sfruttata in RCE (Remote Code Execution), attaccando direttamente il servizio vulnerabile. Come anticipato, la diffusione è molto ampia, nonostante gli ultimi sistemi abbiano subito il patching, rimangono ad oggi molti sistemi che non sono aggiornati. Pertanto nonostante i moderni sistemi come Windows 11 abbiamo già la patch di sicurezza necessaria, rimangono ad oggi molti sistemi che per retrocompatibilità o semplice mancanza di aggiornamenti non eseguiti utilizzano ancora il protocollo SMBv1 o versioni di sistemi operativi datate. Cosa provoca Questa falla permette quindi di prendere il controllo iniettando una shellcode in esecuzione. Non solo attaccanti “fisici” ma anche molte minacce APT (Advanced Persistent Threat) hanno sfruttato e sfruttano questa vulnerabilità per prendere il controllo del sistema bersaglio. E’ possibile quindi prendere il controllo, avviare comandi, fare pivoting e movimenti laterali in modo indisturbato all’interno della rete. Ricordiamo inoltre che sfruttare questa falla porta molto spesso ad accessi di tipo privilegiati in termini di controllo del sistema remoto, con tutti i vantaggi da un punti di vista della persistenza e semplicità di infezione dei vari servizi. Cosa fare Microsoft ha rilascato diversi bulletin in relazione a questa vulnerabilità, che trovate qui sotto: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 Qui infatti troviamo le diverse versioni dei sistemi vulnerabili e le relative patch o hotfix. Ovviamente tra i principali consigli, c’è quello di aggiornare il sistema operativo alla più recenti versioni, non solo per EternalBlue ma anche per molte altre vulnerabilità ancora presenti in sistemi datati. LECS VS EternalBlue L’algoritmo intelligente Specto, conosce già bene la minaccia, identificandola e classificandola immediatamente. Il posizionamento strategico del device o Virtual Appliance LECS, permette di identificare questa minaccia che si muove nella rete. Ma già nelle prime fasi della Kill-Chain può identificare la minaccia. Durante la ricognizione di una minaccia che vuole trovare host vulnerabili si genera un particolare traffico di rete che LECS già in questa primo step identifica immediatamente. Questo fa sì che si aumenti la soglia di trigger per minacce in quel contesto, mettendo il device in “allerta” ed inviando la notifica relativa all’amministratore. Diciamo che non è detto che tale servizio aperto permetta di sfruttare la falla, dipende da molti altri fattori. Pertanto l’attaccante può andare in “ricognizione avanzata” verso il target, testando la vulnerabilità di un numero elevato di host, per trarre maggior vantaggio in breve tempo. Anche in questa fase, non direttamente collegata quindi rispetto alla prima, LECS identifica il tentativo di ricerca SMB per EternalBlue. Qualora avvenga questo tentativo espressamente chiaro e finalizzato, LECS interviene immediatamente con la contromisura in base al tipo di appliance fisico o virtuale. Non solo, ovviamente anche nel caso statisticamente sfavorevole, ma praticamente devastante dove l’attaccante vada a “colpo sicuro” sul target, evitando scansioni, LECS blocca immediatamente il traffico, evitando quindi non solo che la minaccia completi il suo ciclo. Questo fa si che non solo si quindi che si vada a spezzare la kill-chain, ma evita che la minaccia si muova lateralmente, Impendendo quindi proliferazione ed infezioni ulteriori. Ricordiamo infatti che queste RCE possono essere pericolosissimi vettori di ulteriori malware come ransomware, in quanto permettono di aprire un canale diretta con la rete bersaglio e muoversi liberamente. Con EternalBlue infatti si potrebbe benissimo fare del pivot, ovvero sfruttare l’ host già compromesso per entrare ancora più all’interno della rete, muovendosi contro bersagli molto meno protetti come gli IoT e creando una pericolosissima persistenza difficilmente (se non impossibile) identificabile se non con una misura come LECS, che agisce indistintamente anche contro le altre forme nella quale la minaccia cibernetica può trasformarsi nei casi più gravi e di difficile detection. In blu le fasi dove LECS interviene automaticamente in caso di EternalBlue. La mancanza di misure di controllo all’interno di un’area, avrebbe quindi causato un danno devastante in quanto nessun sistema avrebbe identificato la minaccia, permettendogli quindi di agire in modo indisturbato in milioni di reti aziendali e private. Salvaguardare una rete aziendale da gravi danni semplicemente collegando un device alla rete, è esattamente la nostra mission. Threat Hunting Team Roberto CamerinesiRicercatore appassionato di sicurezza informatica. Certificato eCCPT, eNDP, Sophos. Sviluppatore ed hacker etico, con la missione di estendere la CyberSecurity ovunque. Ideatore del progetto LECS.
LOG4J2 VULNERABILITY “LOG4SHELL” VS LECS
Apache Vulns. CVE-2021-44228, meglio nota come “log4shell” è una vulnerabilità con score CVSSv3: 10 ossia, il massimo livello Critical.E’ critica non solo per l’impatto che può avere sul sistema, ma ovviamente sulla sua estrema diffusione.Tanto per fornire un idea, parliamo di circa 1,2 miliardi di applicativi vulnerabili di ogni genere. Attenzione all’evoluzione Difatti CVE-2021-45046, secondo il NIST: “È stato rilevato che la correzione per l’indirizzo CVE-2021-44228 in Apache Log4j 2.15.0 era incompleta in alcune configurazioni non predefinite.” Breve analisi della min Log4shell affligge un componente specifico basato su Java, nello specifico di Log4j, nelle sue versioni 2.0 fino alla 2.14.1, che utilizza l’interfaccia JNDI (Java Naming and Directory Interface) per la gestione dei LOG. Nello specifico, durante la fase di generazione dei LOG, sono utilizzati tag ben specifici, e proprio grazie a questo vettore che è possibile innescare l’esecuzione di codice arbitrario sfruttando queste stringhe non gestite.Siamo quindi nel pieno della classificazione di minacce RCE, ovvero “remote code execution”.Infatti log4shell non necessita di autenticazioni o interventi dall’interno del sistema bersaglio e siamo ben lontani dal phishing ed dagli attacchi mirati all’utente: qui infatti l’attaccante mira direttamente all’infrastruttura, sparando quasi a colpo sicuro.Eseguire exploit di questa vulnerabilità apre scenari di attacco incredibilmente efficaci.Difatti potrebbe essere sfruttati di Actor Threat impotranti per mettere a segno colpi nel giro di poco tempo, compromettendo il sistema prima che vengano patchati, con una facilità quasi disarmante.Ad esempio, nulla vieta ad un malware ben progettato di sfruttare questa vulnerabilità in autonomia e procedere a generare reverse shell su altri server ed effettuare una proliferazione massiva di infezione ed accessi a livelli interni della rete, prima maggiormente raggiungibili. Cosa fare Direttamente si può provare su sistemi linux: sudo egrep -I -i -r ‘$({|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^n]+’ /var/log oppure qualora fosse offuscato: sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’ Su sistemi Windows invece, riportiamo una guida: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/ LECS, grazie agli aggiornamenti rapidi e modulati pensati da Tiresia, permette di supportare attivamente ed efficacemente la mitigazione la minaccia sia in termini di detection e contro futuri prossimi pattern di attacco che possano sfruttare che in termini di proliferazione. Andiamo nel dettaglio.Di base la CVE infatti è relativa alla vulnerabilità, poi come viene sfruttata rimandiamo chiaramente èall’abilità dell’attaccante ed al modo di muoversi all’interno di una rete compromessa.Durante la kill-chain di un attacco, le minacce evolvono e lasciano tracce “laterali”.Pertanto il sistema LECS, è efficace in due sensi contemporaneamente, sia nella detection diretta che in quella indiretta.Difatti in ambienti LAN, durante la ricognizione, scansioni contro porte web e web ssl sono già un primo monito di ricognizione.Questo perché ovviamente per innescare lg4s, è necessario avere servizio http ed https attivi.Questo già innesca immediatamente allarmi. Ora, l ‘attaccante trovando un server Apache tenterà l’invio della richiesta malformata. Tale richiesta è generalmente identificabile tramite la regex (rif. GitHub – log4shell): \${(\${(.?:|.?:.?:-)(‘|”|)*(?1)}*|[jndi:lapsrm]('|"|)}*){9,11} al quale LECS rilevando tale pattern specifico, attiva immediatamente la contromisura. Questo fa si che non solo si va a spezzare la kill-chain, ma evita che la minaccia si muova lateralmente, impendendo quindi proliferazione ed infezioni ulteriori.Ricordiamo infatti che queste RCE possono essere pericolosissimi vettori di ulteriori malware come ransomware, in quanto permettono di aprire un canale diretta con la rete bersaglio e muoversi liberamente.Con log4shell si potrebbe benissimo fare del pivot, ovvero sfruttare l’ host già compromesso per entrare ancora più all’interno della rete, muovendosi contro bersagli molto meno protetti come gli IoT e creando una pericolosissima persistenza difficilmente (se non impossibile) identificabile se non con una misuracome LECS, che agisce indistintamente anche contro le altre forme nella quale la minaccia cibernetica può trasformarsi nei casi più gravi e di difficile detection. In blu le fasi dove LECS interviene automaticamente in caso di log4shell. Roberto CamerinesiRicercatore appassionato di sicurezza informatica. Certificato eCCPT, eNDP, Sophos. Sviluppatore ed hacker etico, con la missione di estendere la CyberSecurity ovunque. Ideatore del progetto LECS.