Upozorenje (TA18-276A)

Upotreba rigorozne kontrole ovlašćenja da bi se ublažila zloupotreba mreža od poverenja

Pogođeni sistemi

Mrežni sistemi

Pregled

Ovo tehničko upozorenje se odnosi na zloupotrebu odnosa u pouzdanim mrežama i naknadnu neovlašćenu upotrebu legitimnih ovlašćenja od strane aktera Napredne postojane pretnje (APT – Advanced Persistent Threat). Ono ustanovljava taktike, tehnike i postupke (TTP) aktera APT-a i opisuje najbolje prakse koje bi se mogle koristiti kao pomoć protiv svake od njih. Odgovori na svaki TTP uređeni su u skladu sa ključnim funkcijama Nacionalnog instituta za standarde i tehnologiju (NIST) CiberSecurity Framework: zaštita, otkrivanje, reagovanje i oporavak.

Opis

APT akteri koriste više mehanizama da bi došli do legitimnih korisničkih ovlašćenja za upotrebu odnosa u pouzdanim mrežama kako bi proširili neovlašćeni pristup, održali postojanost i izvlačili podatke iz ciljanih organizacija. Predložene najbolje prakse za administratore koje ublažavaju ovu pretnju uključuju reviziju ovlašćenja, evidencije daljinskog pristupa i kontrolu privilegovanog pristupa i daljinskog pristupa.

Uticaj

Učesnici APT-a sprovode zlonamerne aktivnosti protiv organizacija koje imaju pouzdane odnose sa mrežom na kojoj postoje potencijalni ciljevi, kao što su matična kompanija, povezani partner ili ugovoreni pružalac usluga (MSP). Učesnici APT-a mogu da koriste legitimna ovlašćenja za proširenje neovlašćenog pristupa, održavanje postojanosti, izvlačenje podataka i vršenje drugih operacija, dok se pojavljuju kao ovlašćeni korisnici. Korišćenje legitimnih ovlašćenja za eksploataciju pouzdanih mrežnih odnosa takođe omogućava APT akterima pristup drugim uređajima i drugim pouzdanim mrežama, što omogućava upad visokog nivoa postojanosti i prikrivanja.

Rešenje

Preporučene najbolje prakse za ublažavanje ove pretnje uključuju strogo upravljanje poverljivim i privilegovanim pristupom, kao i kontrolu daljinskog pristupa i reviziju legitimnih evidencija daljinskog pristupa. Iako ove mere imaju za cilj onemogućavanje inicijalnih vektora napada i širenja zlonamerne aktivnosti, ne postoji nijedan pojedinačan dokazani odgovor na opasnosti.

Upotreba strategije dubinske odbrane verovatno će povećati šanse da se namere protivnika uspešno zadržavaju dovoljno dugo kako bi mrežni branitelji stigli da otkriju i reaguju pre nego što akter pretnje uspešno stigne do svog cilja. Svaka organizacija koja za pružanje usluga koristi MSP treba unutar mreže preduzeća u okviru svoje organizacije da prati interakcije MSP-a, kao što su korišćenje naloga, privilegija i pristupa poverljivim ili vlasničkim informacijama. Organizacije takođe treba da osiguraju mogućnost preispitivanja svoje bezbednosti i nadgledanja svojih informacija koje se nalaze na MSP mrežama.

Tehnike aktera postojanih pretnji i odgovarajuća pomoć

Sledeća tabela prikazuje tehnike koje koriste APT akteri i odgovarajuće reagovanje koje mrežni branitelji mogu da sprovode.

PretnjaPomoć
Priprema
– Dodeljivanje operativne infrastrukture, kao što su adrese Internet protokola (IP adrese).

– Prikupljanje ciljnih ovlašćenja za legitimni pristup.

Zaštitita:

– Naučite korisnike da nikada ne pritisnu na neželjene veze ili otvore priloge u e-pošti koje nisu tražili.

– Sprovedite program obaveštavanja i obuke.

Otkrivanje:

– Koristite višekorisničke servise za zaštitu od pretnji za fajlove, Sistem domenskih imena (DNS), URL adrese (Uniform Resource Locators), IP adrese i adrese e-pošte.

Angažovanje
– Upotreba legitimnog daljinskog pristupa, poput virtuelnih privatnih mreža (VPN) i protokola za udaljenu radnu površinu (RDP).

– Upotreba pouzdane veze među mrežama.

Zaštita:

– Omogućite snažne filtere za neželjenu poštu kako biste sprečili da pecačka e-pošta dođe do krajnjih korisnika.
– Autentifikujte ulaznu e-poštu koristeći Sender Policy Framework; Autentifikacija poruka, izveštavanje i usklađenost na osnovu domena; i DomainKeys Identified Mail za sprečavanje prevara e-poštom.
– Sprečite spoljašnji pristup preko RDP sesija i zahtevajte VPN pristup.
– Sprovodite multi-faktorsku autentifikaciju i politike za zaključavanje naloga za odbranu od napada grubom silom.

Otkrivanje:

– Koristite poznate višekorisničke servise protiv pretnji za fajlove, DNS, URL adrese, IP adrese i adrese e-pošte.
– Skenirajte svu dolaznu i odlaznu e-poštu kako biste otkrili pretnje i filtrirali izvršne programe.
– Pratite sve neobične aktivnosti svih daljinskih autentifikacija iz pouzdanih mreža ili provajdera.

Reagovanje i oporavak:

– Resetujte akreditive, uključujući sistemske naloge.
– Pređite na multifaktorsku autentifikaciju i smanjite upotrebu sistema zasnovanih na lozinkama, koji su podložni krađama, falsifikovanju i ponovnoj upotrebi ovlašćenja u više sistema.

Prisustvo
Izvršavanje i unutrašnja izviđanja:

– Pisanje na disk i izvršavanje zlonamernih programa i alata na hostovima.
– Upotreba interpretiranih skriptova i pokretanje komandi u shell-u za popisivanje naloga, lokalne mreže, operativnih sistema, softvera i procesa za unutrašnje izviđanje.
– Mapiranje dostupnih mreža i skeniranje povezanih ciljeva.

Bočno kretanje:

– Upotreba daljinskih usluga i prijavljivanje na daljinu.
– Upotreba legitimnih ovlašćenja za bočno kretanje ka hostovima, kontrolerima domena i serverima.
– Pisanje na udaljene deljene fajlove, kao što su administrativni deljeni resursi Windowsa.

Pristup ovlašćenjima:

– Pronalaženje ovlašćenja, kopiranje fajlova i lozinki za krekovanje.

Zaštitita:

– Upotrebite antivirusno rešenje, koje takođe ima za cilj sprečavanje špijunskog-a i reklamnog softvera.
– Sprečite izvršavanje neovlašćenog softvera, kao što je Mimikatz, pomoću bele liste aplikacija.
– Uvedite PowerShell mitigacije i, u novijim verzijama PowerShell-a, omogućite funkcije nadzora i bezbednosti.
– Sprečitei neovlašćeni spoljašnji pristup preko RDP sesija. Sprečite radne stanice da direktno komuniciraju sa drugim radnim stanicama.
– Razdvojite administrativne privilegije internih naloga administratora od privilegija naloga koje koriste pouzdani provajderi usluga.
– Omogućite detaljno praćenje i analizu sesija.

Otkrivanje:

– Pratite sve udaljene autentifikacije pouzdanih mreža ili provajdera usluga.
– Otkrijte neusklađenosti uparivanjem ovlašćenja koja se koriste unutar internih mreža sa onima koja se koriste na spoljašnjim sistemima.
– Evidentirajte upotrebu komandi sistemskih administratora, kao što su net, ipconfig i ping.
– Tražite sumnjivo ponašanje u evidencijama.
– Koristite upoređivanje sa belom listom ili baznim pokazateljima kako biste u Windows dnevnicima događaja i mrežnom saobraćaju nadgledali kada korisnik mapira povlašćene administrativne deljene resurse na Windows sistemu.
– Koristite poznate višekorisničke servise za otkrivanje pretnji za fajlove, DNS, URL adrese, IP adrese i adrese e-pošte.

Reagovanje i oporavak:

– Resetujte akreditive.
– Nadgledajte naloge povezane sa provaljenim abnormalnim ponašanjem, uključujući neobične veze sa nestandardnim resursima ili pokušaje podizanja privilegija, popisivanje ili izvršavanje neočekivanih programa ili aplikacija.

Efekat
– Zadržavanje pristupa pouzdanim mrežama tokom prikupljanja podataka iz mreža žrtava.
– Sažimanje i pozicioniranje podataka za buduće izvlačenje u arhivi ili na nekonvencionalnim lokacijama da bi se izbeglo otkrivanje.
– Slanje preko komandnih i kontrolnih kanala pomoću alata za prenos podataka (npr., PuTTI zaštitnog kopiranja klijenta [PSCP], Robocopy).
Zaštitita:

– Sprečite izvršavanje neovlašćenog softvera, kao što su PSCP i Robocopy.

Otkrivanje:

– Nadgledajte upotrebu alata za arhiviranje i kompresiju.
– Nadgledajte u izlaznom saobraćaju neobično ponašanje, kao što su nepravilne izlazne veze, pogrešno formirani ili neuobičajeno veliki paketi, ili rafali podataka, da biste otkrili signalizaciju i povlačenje.

Detaljna uputstva za ublažavanje

Upravljanje ovlašćenjima i kontrola privilegovanog pristupa

Kompromitovanje akreditiva legitimnih korisnika automatski akteru pretnji obezbeđuje pristup mrežnim resursima koji su dostupni tim korisnicima i pomaže da se napadač skrivenije kreće kroz mrežu. Usvajanje i sprovođenje politike snažnih lozinki može da smanji sposobnost igrača da ugrozi legitimne naloge; prelazak na višefaktorska rešenja za autentifikaciju dodatno povećava teškoće. Osim toga, nadgledanje prijava korisničkih naloga – uspešnih ili neuspešnih – i raspoređivanje alata i usluga za otkrivanje nedozvoljene upotrebe ovlašćenja može pomoći braniteljima mreže da prepoznaju potencijalno zlonamerne aktivnosti.

Napadači redovno ciljaju privilegovane naloge jer ne samo da oni omogućavaju veći pristup resursima visoke vrednosti u mreži, već omogućavaju i lakše bočno kretanje i često obezbeđuju mehanizme kojima akter krije svoje aktivnosti. Privilegovani pristup se može kontrolisati tako što se obezbedi da ti pristupi budu dodeljeni samo onim korisnicima kojima su potrebne veće privilegije, u skladu sa principom minimalnih privilegija, ograničavanje upotrebe tih privilegovanih naloga na slučajeve kada su povišene privilegije potrebne za određene zadatke. Takođe je važno pažljivo upravljati i pratiti lokalne administratorske i MSP naloge jer oni po definiciji funkcionišu sa povišenim privilegijama i često se zaborave nakon početnog konfigurisanja.

Ključni način da se kontrolišu povlašćeni nalozi je izolovanje i kontrola privilegija administratora (admin). Sva administrativna ovlašćenja treba strogo kontrolisati, ograničiti na funkciju, ili čak ograničiti na određeno vreme. Na primer, samo administratorski nalozi posvećeni radnoj stanici treba da budu u stanju da upravljaju radnom stanicom. Serverski nalozi, kao što su opšti, SQL ili administratori e-pošte, ne bi trebalo da imaju administratorski pristup radnim stanicama. Jedino mesto na kojem sme da se koristi ovlašćenje administratora domena (DA) ili entitetskog administratora (EA) je na kontroleru domena. Na svim drugim uređajima treba iz grupe lokalnih administratora ukloniti EA i DA naloge. Na UNIX uređajima, sudo (ili root) pristup treba čvrsto ograničiti na isti način. Korišćenje rešenja za višefaktorsku autentifikaciju administrativnih naloga dodaje još jedan sloj bezbednosti i može znatno da smanji uticaj provaljivanja lozinke, jer je napadaču potreban i drugi faktor – tj. Smart kartica ili token – za autentifikaciju.

Pored toga, administratori treba da onemoguće nešifrirane daljinske administrativne protokole i usluge, koji su često podrazumevano omogućeni. Protokoli potrebni za rad moraju biti odobreni, i mora da se implementira najbezbednija verzija. Svi ostali protokoli moraju biti onesposobljeni, posebno nešifrirani daljinski administrativni protokoli koji se koriste za upravljanje mrežnim infrastrukturnim uređajima, kao što su Telnet, Hypertext Transfer Protocol, File Transfer Protocol, Trivial File Transfer Protocol i Simple Network Management Protocol verzije 1 i 2.

Kontrolišite daljinski pristup i pratite daljinsko prijavljivanje

  • Kontrolišite dozvoljeni daljinski pristup od strane pouzdanih provajdera usluga. Slično drugim administrativnim nalozima, MSP nalozima treba dati minimalne privilegije potrebne za rad. Pored toga, preporučuje se da se MSP nalozi ograniče na radno vreme, kada se mogu pratiti ili onemogućiti dok se posao ne obavi. MSP naloge treba takođe držati na istom ili višem nivou bezbednosti za korištenje ovlašćenja, kao što su multifaktorska autentifikacija ili složenije lozinke koje podležu kraćim rokovima trajanja.
  • Definišite osnovnu liniju na mreži. Mrežni administratori treba zajedno sa vlasnicima mreža ili MSP-ovima da utvrde kako izgleda normalno ponašanje i saobraćaj na mreži. Takođe je preporučljivo razmotriti koji su pristupi potrebni kada se mrežom ne upravlja aktivno. To će omogućiti lokalnom mrežnom osoblju da zna kako izgleda osnovni saobraćaj među mrežama ili MSP saobraćaj (u smislu portova, protokola i upotrebe ovlašćenja).
  • Nadgledajte da li u sistemskom dnevniku događaja ima nenormalne aktivnosti. Dnevnike mreže treba hvatati da bi se otkrile i identifikovale nepravilne i potencijalno zlonamerne aktivnosti. Pored dnevnika aplikacija sa bele liste, administratori treba da obezbede da se snimaju i skladište dnevnici drugih kritičnih događaja, kao što su instaliranje usluge, korišćenje naloga, otkrivanje krađe heša i dnevnici RDP detekcija. Dnevnici događaja mogu pomoći da se prepozna upotreba alata kao što je Mimikatz i nepravilna upotreba legitimnih ovlašćenja ili heša. Definisanje osnovne linije je kritično za efikasnu analizu dnevnika događaja, posebno u slučajevima ponašanja MSP naloga.
  • Kontrolišite Microsoft RDP. Protivnici sa važećim ovlašćenjima mogu da koriste RDP za bočno kretanje i pristup informacijama u drugim, osetljivijim sistemima. Ove tehnike mogu pomoći u zaštiti od zloupotrebe RDP-a:
    • Procenite potrebu da RDP bude omogućen na sistemima i, ako je potrebno, ograničite veze sa određenim, pouzdanim domaćinima.
    • Proverite da se okruženja oblaka pridržavaju najboljih praksi, kao što je definisao dobavljač servisa oblaka. Nakon što je podešavanje okruženja za oblak završeno, obezbedite da RDP portovi ne budu omogućeni osim ako to nije potrebno za poslovne svrhe.
    • Postavite svaki sistem sa otvorenim RDP portom iza zaštitnog zida i zahtevajte od korisnika da komuniciraju putem VPN-a preko zaštitnog zida.
  • Vršite redovne provere kako biste osigurali da RDP port 3389 ne bude otvoren za javni internet. Nametnite pravilo jake lozinke i blokadu naloga za odbranu od napada grube sile.
  • Omogućite opciju ograničenog administratora dostupnu u Windowsu 8.1 i Serveru 2012 R2 kako biste obezbedili da se višekratno upotrebljiva ovlašćenja ne šalju u otvorenom tekstu tokom autentifikacije ni tokom keširanja
  • Ograničite poverenje u sigurne ljuske (SSH). Važno je da se SSH poverenjem pažljivo upravlja i obezbeđuje, jer nepropisno konfigurisana poverenja i poverenja koja previše dopuštaju mogu protivniku sa inicijalnim mogućnostima pristupa pružiti prilike i sredstva za bočno kretanje unutar mreže. Liste pristupa treba da budu konfigurisane tako da ograniče koji korisnici mogu da se prijave putem SSH-a, a korensko prijavljivanje preko SSH-a treba onemogućiti. Pored toga, sistem treba konfigurisati tako da dozvoljava samo veze sa određenih radnih stanica, poželjno administrativnih radnih stanica koje se koriste samo u svrhu administriranja sistema.

Prijavite neovlašćeno pristupanje mreži

Odmah kontaktirajte DHS ili vašu lokalnu kancelariju FBI (ili određeni sektor policije).

Izvor: US-CERT

5053-xa-upozorenje-ta18-276a-xa