metsästää rottia kuinka vähentää etäkäyttöohjelmiston riskejä banneri

ROTtien metsästys: Etäkäyttöohjelmistojen riskien vähentäminen

Etäkäyttöohjelmistot ovat olleet suosittu työkalu IT-järjestelmänvalvojille, hallinnoitujen palveluntarjoajien (MSP), SaaS-yrityksille ja muille useiden vuosien ajan. Se tarjoaa korvaamattoman tavan hallita ja valvoa useita IT- ja OT-päätepisteitä etänä yhdestä keskitetystä paikasta. Mutta samalla tavalla ne tarjoavat uhkatoimijoille tehokkaan tavan ohittaa yrityksen puolustukset ja etäyhteyden uhriverkkoihin.

Olipa kyseessä etäkäyttötyökalut (RAT), etävalvonta- ja -hallintatuotteet (RMM) tai etähallintaratkaisut, riski on sama. On aika sulkea mahdollisesti vaarallinen takaovi yritysten IT-ympäristöihin.

Mitä RATit ovat?

Työkalut, kuten Atera, AnyDesk, ConnectWise ja TeamViewer, ovat tunnettuja IT-yhteisössä. Vaikka niitä on käytetty vuosia auttamaan järjestelmänvalvojia ongelmien vianmäärityksessä, koneiden määrittämisessä ja konfiguroinnissa, korjauspäätepisteissä ja muissa toimissa, RAT:t tulivat todella omikseen pandemian aikana. Mutta aivan kuten hyökkäykset etätyöpöytätyökaluja vastaan ​​lisääntyivät tuona aikana, havaitsimme myös kasvavaa kiinnostusta etäkäyttöohjelmistoja kohtaan keinona ohittaa tietoturvatyökalut.

Niitä on jopa käytetty yksilöihin kohdistetuissa hyökkäyksissä, joissa uhri on sosiaalisesti suunniteltu lataamaan sellainen tietokoneelleen tai mobiililaitteeseen, jotta huijari pääsee käyttämään pankki- ja muita tilejä. Tätä tapahtuu usein teknisen tuen huijauksissa ja viimeksi kehittyneissä huijauksissa hallituksen toisena henkilönä esiintymiskampanja suunniteltu varastamaan uhrien korttitiedot.

Miksi rotat ovat houkuttelevia?

Ei pitäisi olla yllättävää, että uhkatoimijat kohdistavat enemmän tällaisiin työkaluihin. Ne tarjoavat hyödyllisen tavan sulautua laillisiin työkaluihin ja prosesseihin samalla tavalla kuin LOTL-hyökkäykset. Koska etäkäyttöohjelmisto on allekirjoitettu luotetuilla varmenteilla, haittaohjelmien torjunta- tai päätepisteiden tunnistus- ja vastaustyökalut (EDR) eivät estä sitä. Muita vastustajien etuja ovat se, että etäkäyttöohjelmistot:

  • Saattaa olla korkeammat oikeudet, mikä helpottaa alkukäyttöä, pysyvyyttä, sivuttaisliikettä, pääsyä arkaluonteisiin resursseihin ja tietojen suodattamista
  • Mahdollistaa uhkatekijöiden tunkeutumisen ilman, että heidän tarvitsee käyttää aikaa ja rahaa haittaohjelmien, kuten etäkäyttötroijalaisten (myös lyhennettynä "RATs") kehittämiseen, jotka tietoturvatyökalut voivat tunnistaa.
  • Antaa vastustajille mahdollisuuden ohittaa ohjelmistonhallinnan ohjauskäytännöt ja mahdollisesti jopa suorittaa ei-hyväksyttyjä ohjelmistoja kohdekoneessa
  • Käyttää päästä päähän -salausta, jonka avulla hyökkääjät voivat ladata tiedostoja, jotka yritysten palomuurit muuten pysäyttäisivät
  • Voi tukea useita samanaikaisia ​​hyökkäyksiä, esimerkiksi vaarantuneen MSP:n kautta

Kuinka vastustajat kohdistavat etäkäyttöön

Mukaan Yhdysvaltojen kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA), uhkatoimijat voivat joko hyödyntää etäkäyttöohjelmistojen haavoittuvia versioita tai käyttää laillisia vaarantuneita tilejä kaapatakseen työkalujen käytön. Vaihtoehtoisesti he voivat sosiaalisesti ohjata uhreja lataamaan laillisia RMM-ohjelmistoja tai vastaavia. Kehittyneemmissä hyökkäyksissä ne voivat kohdistaa etäkäyttöohjelmiston toimittajan ja manipuloida sen ohjelmistoja haitallisilla päivityksillä. He voivat myös käyttää PowerShellia tai muita laillisia komentorivityökaluja RMM-agentin piilottamiseen uhrin koneelle.

Joskus uhkatekijät käyttävät myös etäkäyttöohjelmistoja yhdessä levinneisyystestaustyökalujen, kuten Cobalt Strike, tai jopa etäkäyttöhaittaohjelmien kanssa pysyvyyden varmistamiseksi. Kun heillä on pääsy kohdeverkkoon/koneeseen, he voivat käyttää etäkäyttöohjelmistoa:

  • Liiku sivusuunnassa uhrin verkon läpi
  • Etsi luetteloita muista sivuttaisliikkeen järjestelmistä
  • Perusta komento- ja ohjauskanavat (C2).

Sekä kyberrikollisryhmät että kansallisvaltioiden toimijat käyttävät tällaisia ​​tekniikoita kehittyneisiin tietovarkauksiin ja kiristysohjelmahyökkäuksiin. Heidät on havaittu kohdistuvan Yhdysvaltain hallituksen työntekijöihin taloudellisesti motivoiduissa huijauksissa. Yhdellä tietoturvatoimittajalla on myös varoitti ei-yritystason RAT:ien "liiallisesta" käytöstä OT-ympäristöissä, mikä päätyy laajentamaan organisaatioiden hyökkäyspintaa.

Sen tutkimus paljastaa, että 79 prosentilla yrityksistä on enemmän kuin kaksi tällaista työkalua asennettuna OT-verkkolaitteisiin. Koska niiltä puuttuu riittävät pääsynvalvontatoiminnot ja ominaisuudet, kuten monitekijätodennus (MFA), ne ovat alttiina uhkatekijöiden kaappauksille.

Luonnossa

On olemassa lukuisia esimerkkejä RAT-pohjaisista rikkomuksista, joilla on vakavia seurauksia viime vuosien aikana. Niihin kuuluvat:

  • Helmikuussa 2024 korjaamattomien ScreenConnect-ohjelmistojen haavoittuvuuksia käytettiin hyväksi useissa organisaatioissa haittaohjelmien asentamiseksi palvelimille ja työasemille, joihin on asennettu etäkäyttöohjelmisto.
  • Helmikuussa 2022 CISA ja Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) varoittivat Iranilaisen APT-ryhmän MuddyWaterin kampanja jolla saattoi olla sekä kybervakoilua että taloudellisia motiiveja. Uhkatoimijat käyttivät ScreenConnectia alkupääsyyn ja sivuttaisliikenteeseen.
  • Tammikuussa 2023, CISA varoitti kampanjasta, jossa käytettiin ScreenConnectia ja AnyDeskiä "hyvityshuijauksen" suorittamiseksi liittovaltion hallituksen työntekijöitä vastaan. Kampanjassa käytettiin tietojenkalastelutekniikoita uhrien taivuttamiseksi lataamaan ohjelmisto itsenäisinä, kannettavina suoritettavina ohjelmina, jotta he voivat ohittaa turvatarkastukset.
  • Heinäkuussa 2024 a tietoturvatoimittaja löydetty muokattu versio avoimen lähdekoodin RMM-työkalusta PuTTY (uudeksi nimeksi "KiTTY"), joka voisi ohittaa suojaussäädöt. Taktiikka antoi uhkatoimijoille mahdollisuuden luoda käänteisiä tunneleita portin 443 yli paljastaakseen sisäiset palvelimet hallinnassaan olevalle AWS EC2 -laatikolle arkaluonteisten tiedostojen varastamiseksi.

Kuinka lieventää etäkäytön hyökkäyksiä

CISA listaa joukon isäntä- ja verkkopohjaisia ​​ohjaimia ja käytäntö-/arkkitehtuurisuosituksia, jotka voivat auttaa rakentamaan vastustuskykyä tällaisia ​​hyökkäyksiä vastaan. Näitä ovat:

  • Tietojenkalasteluvalmennus työntekijöille
  • Nolla luottamusta ja vähiten etuoikeuksia identiteetin ja päätepisteiden suojaukseen
  • SecOps tarkkailee epäilyttävää toimintaa
  • Ulkoinen hyökkäyspinnan hallinta (EASM) parantaa näkyvyyttä tuntemattomiin ja hallitsemattomiin kohteisiin
  • Monitekijätodennus (MFA) etäkäyttöohjelmistoille
  • Etäkäyttöohjelmistojen ja -kokoonpanojen auditointi
  • Sovellusten ohjaukset, mukaan lukien nollaluottamusperiaatteet ja segmentointi, ohjelmiston suoritusten hallintaan ja ohjaukseen
  • Jatkuva riskiperusteinen korjaustyö
  • Verkon segmentointi sivuttaisliikkeen rajoittamiseksi
  • Saapuvien/lähtevien yhteyksien estäminen yleisissä RMM-porteissa ja protokollissa
  • Verkkosovellusten palomuurit (WAF) suojaavat etäkäyttöohjelmistoja

Turvallisuusvirasto kuitenkin suosittelee, että organisaatiot pitävät yllä vankkaa riskinhallintastrategiaa, joka perustuu yhteisiin standardeihin, kuten NIST Cybersecurity Frameworkiin. KnowBe4:n johtava turvallisuustietoisuuden puolestapuhuja Javvad Malik on samaa mieltä.

"NIST-kehyksen ydintoiminnot tarjoavat kattavan lähestymistavan RMM-työkaluriskien hallintaan", hän kertoo ISMS.online-sivustolle.

"Tämä sisältää järjestelmien luettelon ylläpitämisen RMM-ohjelmistolla, vahvan todennuksen varmistamisen, käyttäytymisanalytiikan toteuttamisen poikkeamien havaitsemiseksi, erityisten tapauskohtaisten vastausohjeiden kehittämisen ja sen varmistamisen, että liiketoiminnan jatkuvuussuunnitelmissa otetaan huomioon RMM-työkaluriippuvuudet." Malik lisää, että ISO 27001 voi myös auttaa vähentämään etäkäyttöohjelmistojen käytön riskejä.

"ISO 27001:n pääsynhallinnan, salauksen, toimintojen turvallisuuden ja toimittajasuhteiden hallintalaitteet tarjoavat vankan perustan", hän selittää. "Organisaatiot voivat esimerkiksi ottaa käyttöön muodollisia RMM-työkalujen käyttöoikeuksien hallintaprosesseja, varmistaa salatut etäistunnot ja määrittää automaattisia hälytyksiä epätavallisista toiminnoista."

Ian Stretton, kyberturvallisuuskonsulttien Green Ravenin EMEA-alueen johtaja, on samaa mieltä siitä, että "menestynyt kyberturvallisuus perustuu lujalle perustalle, kuten ISO 27001".

Hän kertoo ISMS.online-sivustolle, että yksi tällaisten lähestymistapojen keskeinen periaate on jatkuva seuranta uhkatiedon tukemana.

"Tämä on korostunut, kun uhkatoimijat ottavat tekoälyn käyttöön haasteena tekoälypohjaisille puolustustyökaluille", Stretton päättää.

"Työkalujen, kuten poikkeamien havaitsemisjärjestelmien, jotka tarkkailevat erityisesti tekoälyprosesseissa tapahtuvaa epäilyttävää käyttäytymistä – kuten väärää luokittelua, äkillisiä muutoksia päätöksentekologiikassa tai muussa käyttäytymisessä – käyttö, voi auttaa torjumaan tämän tyyppistä tekoälyyn perustuvaa uhkia."

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!