Najczęstsze błędy popełniane przez administratorów – ataki ukierunkowane

Administratorzy systemów jako osoby o ponadprzeciętnej wiedzy na temat ataków na użytkowników często ostrzegają przed nimi swoich mniej świadomych współpracowników. Rzadko jednak zdają sobie sprawę z tego, że sami mogą paść ofiarą ataków precyzyjnie wymierzonych właśnie w nich. Tymczasem to właśnie administratorzy stanowią niezwykle atrakcyjny cel dla cyberprzestępców – przejmując kontrolę nad ich stacją roboczą czy kontem można zdobyć dostęp do znacznie cenniejszych zasobów. Jak zatem są atakowani administratorzy i jak mogą się przed tym bronić?

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

DLACZEGO ADMINISTRATORZY SĄ ATRAKCYJNYM CELEM DLA CYBERPRZESTĘPCÓW
W JAKI SPOSÓB NAJCZĘŚCIEJ ATAKOWANI SĄ ADMINISTRATORZY
CO MOŻE POMÓC W MINIMALIZACJI SKUTKÓW CYBERATAKÓW NA ADMINISTRATORÓW

Ataki ukierunkowane

Jednym z najlepszych przykładów tego, co może spotkać administratorów firmowych systemów, jest historia ataku na firmę Bitstamp, prowadzącą jedną z największych giełd kryptowalut.¹ W wyniku skutecznych działań przestępców giełda straciła 18 000 bitcoinów, w momencie kradzieży wartych ponad 5 milionów dolarów. Cyberprzestępcy bardzo drobiazgowo przygotowali się do ataku i na długo przed nim przeprowadzili dokładną inwigilację pracowników firmy, czego efektem było poddanie ich próbom infekcji. I tak miłośnik muzyki typu punk rock otrzymał zaproszenie na festiwal, na którym miały zagrać jego ulubione zespoły. Prezes firmy, który kiedyś pracował jako dziennikarz, dostał do recenzji artykuł prasowy, poświęcony interesującej go tematyce. Z kolei pracownik, który krótko przed atakiem odszedł z innej firmy, by pracować w Bitstampie, został poproszony o wypełnienie ankiety dotyczącej poprzedniego pracodawcy. Mimo przejęcia kontroli nad kilkoma firmowymi komputerami przestępcy nie uzyskali jednak dostępu do głównego portfela firmy. Dopiero skuteczny atak na głównego administratora, który otrzymał zaproszenie do prestiżowego stowarzyszenia branżowego, pozwolił napastnikom na kradzież pieniędzy. W każdym przypadku ataki trwały wiele dni i polegały zarówno na konwersacjach na Skype, jak i wymianie poczty elektronicznej. Jak widać na powyższym przykładzie skuteczne przeciwstawienie się zdeterminowanemu napastnikowi nie jest łatwym zadaniem. Nawet dla doświadczonych administratorów.

Ile kosztuje atak

Choć w przypadku ataków socjotechnicznych trudno znaleźć dobry punkt odniesienia, to ataki na systemy operacyjne i aplikacje można dość prosto porównać. Dobrym przykładem może być tutaj cennik firmy Zerodium, która skupuje różne metody ataków (później je odsprzedając z odpowiednią marżą) i publikuje w sieci swoje cenniki.² Ataki na domowe routery czy popularne fora internetowe kosztują 10 tysięcy dolarów. Skuteczne ataki na Adobe Readera, Safari czy Firefoxa to koszt już 80 tysięcy dolarów, podczas kiedy możliwość wykonania dowolnego kodu na najnowszym iPhonie bez udziału użytkownika kosztować będzie aż półtora miliona dolarów. Podobny atak na platformę Windows przyniesie jego odkrywcy pół miliona dolarów.

Aktualizacje oprogramowania

Czasem ataki wymierzone w administratorów są nad wyraz trudne do wykrycia i mogą przyjmować postać złośliwej aktualizacji oprogramowania. Tak było w przypadku narzędzia XManager, służącego do zarządzania serwerami.³ Przestępcy przejęli kontrolę nad infrastrukturą producenta tej aplikacji i dodali swój własny kod do kolejnej jej wersji. Głównym zadaniem złośliwego oprogramowania było informowanie jego autorów o udanej infekcji oraz zbieranie informacji o zarażonym środowisku. Z uwagi na fakt, że było to narzędzie administracyjne, działało zawsze z wysokimi uprawnieniami, pozwalając przestępcom na sprawną realizację ich celów.

Innym podobnym przypadkiem była infekcja oprogramowania EvLog, używanego przez administratorów do analizy logów systemowych. W tym incydencie skutecznie zainfekowane zostały dziesiątki firm i organizacji z całego świata, a przestępcy uzyskali dostęp do interesujących ich uprawnień.⁴ Tego rodzaju ataki są szczególnie niebezpieczne, ponieważ pozostawiają niewiele śladów w systemach ofiary. Ich wykrycie możliwe jest najczęściej tylko dzięki wnikliwemu monitorowaniu ruchu sieciowego zarażonej organizacji.

Złośliwe aktualizacje

Omawiając temat aktualizacji oprogramowania nie sposób nie wspomnieć o atakach, w których wektorem ataku były złośliwe, zmodyfikowane przez przestępców aktualizacje oprogramowania używanego przez wiele firm na całym świecie. Takimi przykładami mogą być niedawne incydenty NotPetya czy CCleanera, gdzie dzięki przejęciu kontroli nad serwerem aktualizacji przestępcy mogli w niezauważalny dla użytkowników sposób infekować miliony komputerów. Te ataki mogą stanowić istotne zagrożenie i być argumentem przeciwko regularnemu aktualizowaniu aplikacji. Należy jednak zauważyć, że ryzyka, wynikające z używania nieaktualnych aplikacji, znacznie przewyższają te płynące z ich regularnego aktualizowania. Ataki na nieaktualne aplikacje trudno nawet zliczyć, podczas gdy ataki złośliwych aktualizacji to nadal pojedyncze incydenty w skali roku.

Zarządzanie uprawnieniami

Warto pamiętać, że im prostsza i łatwiejsza jest praca administratora, tym prostsze będzie zadanie potencjalnego włamywacza. Administratorzy, korzystający z jednego konta z wysokimi uprawnieniami do wszystkich swoich zadań, bardzo ułatwiają pracę atakującym. Wystarczy, że napastnik uzyska dostęp do dowolnego komputera, na którym wcześniej logował się administrator (a komputer nie został od tamtej pory ponownie uruchomiony) i nawet z poziomu zwykłego użytkownika będzie mógł próbować odczytać z pamięci komputera poświadczenia administratora. Służy do tego bardzo skuteczne narzędzie Mimikatz, używane regularnie zarówno przez pentesterów jak i włamywaczy. Ryzyko takiego ataku ograniczyć może używanie różnych kont do różnych celów.

Czynności administratora serwera nie zawsze wymagają uprawnień administratora domeny, a sporą część pracy administrator może wykonać z uprawnieniami zwykłego użytkownika. Warto zadbać o to, by poziom używanych uprawnień był zawsze proporcjonalny do wykonywanych zadań – utrzymywanie takiej higieny pracy znacząco skomplikuje życie potencjalnego napastnika. Należy także pamiętać o monitorowaniu wszystkich czynności wykonywanych przez administratorów. Ich rejestrowanie powinno przebiegać w taki sposób, by sami administratorzy nie mogli modyfikować tych zapisów. Warto także wprowadzić mechanizmy wykrywania i analizy ewentualnych anomalii, takich jak chociażby logowania poza tradycyjnymi godzinami pracy. W realizacji tych zadań bez dodatkowego obciążania istniejącego zespołu może pomóc zewnętrzna usługa SOC.

Podsumowanie

Administratorzy stanowią bardzo atrakcyjny cel dla przestępców. W dbaniu o właściwy poziom bezpieczeństwa ich pracy pomoże przestrzeganie poniższych zaleceń:

Administrator musi zdawać sobie sprawę, że on sam także może paść ofiarą ataku wycelowanego
Praca z najniższymi możliwymi w danym momencie uprawnieniami pomaga w minimalizacji skutków udanego ataku
Niezbędne jest rejestrowanie i monitorowanie działań administracyjnych
W wykrywaniu incydentów pomóc może monitoring anomalii

¹ https://www.docdroid.net/159hk/270137312-bitstamp-incident-report-2-20-15.pdf
² https://www.zerodium.com/program.html
³ https://securelist.com/shadowpad-in-corporate-networks/81432/
⁴ http://blog.comsecglobal.com/2017/03/kingslayer-supply-chain-attack.html