RSA: Egy támadás anatómiája

Először is bizonyosodjunk meg arról, hogy mindenki képben van-e. Az APT-k (Advanced Persistent Threat – Fejlett Perzisztens Fenyegetés) által támadott nagyvállalatok száma hónapról hónapra növekszik; és az APT célpontok skálájában gyakorlatilag az összes iparág fellelhető. Megavállalatokat érintő támadásokról nem hivatalos, összeollózott történeteket rendszeresen olvashatunk az újságokban, illetve itt és itt.

Ezek a vállalkozások a modern határvonal és végpont védelmi kontrollok összes elképzelhető kombinációit alkalmazzák. Mégis az elszánt támadók megtalálják a befelé vezető utat. Mire következtethetünk ezekből?

Az első dolog, amit végrehajtanak az olyan támadók, akik az APT mögött állnak, az az információgyűjtés bizonyos alkalmazottakkal kapcsolatosan – a közösségi média szájtok mindig a kedvencek közé tartoznak. A begyűjtött információkkal a kezükben phishing emailt küldenek a felhasználónak. Az email gyakran tartalmaz a cél-releváns tartalmat, például a pénzügyi osztály számára néhány tanácsot a szabályzási kontrollokat illetően.

A támadó ebben az esetben két különböző phishing emailt küldött két napos periódus alatt. A két email az alkalmazottak két kisebb csoportjának szólt; valószínűleg nem is gondolnak rá, hogy ezek a felhasználók milyen értékes célpontok. Az email tárgya a következő volt: „2011 Recruitment Plan” (magyarul: 2011-es Toborzási Terv).

Az email eléggé jól meg volt szerkesztve ahhoz, hogy az alkalmazottak egyike kiszedje a levélszemét mappából, és megnyissa a csatolt excel fájlt.

A táblázat egy zero-day exploitot tartalmazott, mely egy backdoor-t telepített egy Adobe Flash sérülékenységet kihasználva (CVE-2011-0609). Megjegyzés: az Adobe azóta orvosolta a sérülékenységet (http://www.infosecurity-us.com/view/16772/adobe-delivers-emergency-fix-for-flash-reader-and-acrobat/).

Vissza a támadáshoz. Mint ahogyan azt már tudják, egy tipikus APT következő lépése egy távoli adminisztrációt elősegítő szoftver telepítése. Esetünkben a fegyver a Poison Ivy egyik variánsa volt, melyet reverz kapcsolatra állítottak be. Így sokkal nehezebbé vált a detektálása. Hasonló technikákat jelentettek a korábbi APT támadásoknál, ideértve a GhostNet-et.

Távoli elérések halmazával a támadó digitális leskelődéshez kezdett, hogy megállapítsa az alkalmazott szerepét és a hozzáférés szintjét. Amennyiben ez nem vezet célra, akkor más felhasználók után kutathat, akik jobb pozícióban, több privilégiummal rendelkeznek.

Elmondható, hogy az APT-k teljesen új megközelítést alkalmaznak egy szervezetbe való bejutáshoz. Nem egyszerűen feltöri a szervezet infrastruktúráját; sokkal inkább az alkalmazottakra koncentrálnak.

Nem lehet eléggé kihangsúlyozni az APT-k jelenlétét, egy új megközelítés született, mely megkerüli a határvonalakat és a végponti védelmet. Kicsit hasonlít a lopakodó repülőkhöz: a légvédelem évtizedekig a radarokra támaszkodott, de manapság a lopakodó repülőket furcsa szögeket alkalmazó különleges anyagokkal szerelik fel. Megpróbálhatunk nagyobb és jobb radarokat alkalmazni és reménykedni abban, hogy azok képesek lesznek majd gyengébb és furcsább jelek érzékelésére is. De célravezetőbb lenne egy teljesen új gondolkodási módot alkalmazni.

Új megközelítéssel rendelkező védelem kialakításához idő szükséges, de a történelem azt mutatja, hogy az újabb védelmi vonalak kialakítása győzelemhez vezetett. Jó példa az atlanti-óceáni csata. Olyan sikeresen tartották ellenőrzés alatt a német U-Boatok az Atlanti-óceánt, hogy a britteket teljesen elvágták az üzemanyag és ellátmány utánpótlásaiktól. 1943 elején szó esett az összes amerikai segély megvonásáról is.

1943 közepén fordult a kocka. A királyi haditengerészet élére kinevezett Horton admirálissal, új védelmi technikák fejlesztésével, valamint a kisérő hajók és szövetséges repülők által használt új taktikák kombinációjával egy új védelmi rendszer született, amely működött.

De nem kell ennyire messzire menni az időben. Az első bank ellen indított adathalász támadás során az IT biztonság vezetői hosszú éjszakákat töltöttek a leggyengébb láncszem, vagyis az ember ellen irányuló alattamos támadások védekezési lehetőségeinek kutatásával.

A UK Payment Council nem rég jelentette be, hogy a 2010-es évben elkövetett online banki csalások 22%-kal csökkentek annak ellenére, hogy az adathalászattal kapcsolatos visszaélések 21%-kal növekedtek a vizsgált időszakban. A helyzet változott. A pénzügyi szektornak hét évébe telt egy új védelmi rendszer kifejlesztése a phishing vagy trójai típusú social engineering támadások ellen. Ez idő alatt az APT-k elleni harcot az agilisebb védekezés és gyorsabb tanulás jellemzi. Minden egyes APT támadás által súlytott szervezet egyre felkészültebb egy esetleges következő támadás ellen. Továbbá az is kirajzolódni látszik, hogy messze nem kell 7 évet várni arra, hogy megváltozzon az APT-vel kapcsolatos helyzet.

Néhány további, támadással kapcsolatos momentum:

Először is, amíg az RSA egyértelművé tette, hogy csak bizonyos információk kerültek ki, addig fontos megjegyezni, hogy a támadást a CIRT (Computer Incident Response Team) szervezetük folyamatában észlelte. Több biztonsági vezetőtől (CISO) tudjuk, hogy a vállalatukat ért támadás során vagy csak hónapokkal később észlelték a támadást vagy egyáltalán nem is detektálták azokat és csak később, a kormányzattól értesültek az incidensről. Nem feltétlenül az a legfontosabb, hogy mi történt korábban, hanem az hogy az RSA képes volt gyorsan lépni és meghozni a szükséges ellenintézkedéseket.

A cikk folytatása a következő linken található:

RSA: Egy támadás anatómiája 2. rész

http://blogs.rsa.com/rivner/anatomy-of-an-attack/