Campaña FunnyDream APT – Acérquese Silverfort Protección contra el movimiento lateral

*****Por Yiftach Keshet, director de marketing de productos, Silverfort*****

Una nueva campaña de APT, denominada 'divertidosueño', ha sido descubierto por investigadores de seguridad. La campaña se dirigió principalmente a los gobiernos del sudeste asiático. Los hallazgos de los ataques se vienen informando desde octubre de 2018. La investigación de la actividad de espionaje del grupo APT muestra pruebas de movimiento lateral. Parece que se utilizaron credenciales comprometidas para ejecutar muchos archivos por lotes con tareas programadas y WMI en máquinas remotas. Más pruebas muestran que los atacantes utilizaron el script wmiexec.vbs para ejecutar comandos remotos. Este es un doloroso recordatorio de que el movimiento lateral sigue siendo un punto ciego, debido a una brecha crítica en la pila de productos de seguridad estándar de la mayoría de las organizaciones. En este blog vamos Explicar cómo se ejecuta el movimiento lateral. en este ataque, y luego ampliar cómo SilverfortLa innovadora tecnología de puede bloquear el movimiento lateral. en conjunto, identificando sus patrones de autenticación anormales y aplicando políticas de seguridad en las herramientas de acceso remoto de la línea de comandos.

Descripción general de la campaña FunnyDream

La campaña FunnyDream se dirigió a entidades de alto perfil en Malasia, Taiwán, Filipinas y Vietnam. Cuenta con un mecanismo de persistencia personalizado altamente sofisticado que utiliza puertas traseras y cuentagotas avanzados para facilitar la recopilación y exfiltración de datos silenciosa y a largo plazo. Después de la infección inicial y la implementación del mecanismo de persistencia, la evidencia sugiere que los actores de amenazas de FunnyDream buscan y logran comprometer los controladores de dominio de sus víctimas. Luego ejecutaron una extensa actividad de movimiento lateral usando tareas programadas y WMI , con especial preferencia por el uso de wmiexec.vbs para explorar y ejecutar código en máquinas remotas.

Movimiento lateral: legítimo por diseño, malicioso por contexto

El movimiento lateral, como se ve en campañas de APT como FunnyDream, se puede ejecutar utilizando herramientas legítimas de administración remota como PSexec, Powershell o en el caso de FunnyDream WMI, para explorar y acceder a recursos en la red. Estas herramientas eliminan la necesidad de descubrir vulnerabilidades de día cero, desarrollar exploits o crear una puerta trasera complicada, ya que estas herramientas de administración están diseñadas específicamente para permitir que los operadores de red e infraestructura accedan sin problemas a cualquier máquina remota. En otras palabras, estas herramientas son, por diseño, tanto increíbles impulsores de productividad como espadas letales en manos de los atacantes.

El movimiento lateral presenta desafíos para los productos de seguridad

Hay dos razones por las que El movimiento lateral es difícil de detectar y prevenir con soluciones de seguridad comunes.:
• El ataque se realiza utilizando credenciales legítimas, aunque comprometidas.: esto significa que, en la práctica, lo que ve es simplemente un inicio de sesión con credenciales de usuario válidas. No hay ninguna indicación explícita de que las credenciales utilizadas estén realmente comprometidas.
• La detección en tiempo real de comportamientos anormales es difícil debido a la complejidad de estos ataques.: Algunas soluciones, como EDR, NDR y SIEM, pueden detectar una posible anomalía después de que se haya producido un movimiento lateral y generar una alerta retroactiva. Sin embargo, como no lo detectan en tiempo real, no pueden bloquearlo.

Para ilustrar mejor el punto: la actividad maliciosa, por definición, se desvía de la actividad legítima. Por ejemplo, en el caso de malware o exploits, es una desviación del comportamiento estándar de un seguido de su terminación inmediata por parte de la protección del punto final. En el caso de la filtración masiva de datos, se trata de una desviación de los patrones estándar de tráfico de red que, una vez detectado, desencadena bloqueo inmediato por parte del producto de protección de red. Etcétera. Sin embargo, cuando se utilizan credenciales legítimas para acceder a los recursos, la desviación solo se vería en la actividad del usuario. Y, si se detecta una anomalía en la actividad del usuario, debe ir seguida de una respuesta inmediata: bloquear el acceso del usuario o exigirle que se vuelva a autenticar para verificar su verdadera identidad. Aquí es donde Silverfort entra en juego.

Silverfort: La primera plataforma de identidad unificada

Silverfort es el primer Unificado Protección de Identidad Plataforma creada específicamente para proteger a las organizaciones contra ataques basados ​​en identidad, que utilizan credenciales comprometidas para acceder a recursos específicos. Silverfort se integra con su infraestructura IAM para monitorear toda la actividad de autenticación en la red, tanto a la nube como a recursos locales, para un análisis de riesgos continuo y la aplicación de políticas de acceso.

Cambio de paradigma: bloquear el movimiento lateral aumentando los requisitos de autenticación en tiempo real

SilverfortLa visibilidad holística de toda la actividad de autenticación de cada usuario le permite evaluar con precisión inigualable el perfil de comportamiento de sus usuarios. Calcula continuamente el riesgo de cada solicitud de acceso en comparación con el comportamiento observado del usuario y su comunidad. Para leer más sobre esto vea el blog: Detección y predicción de acceso malicioso en redes empresariales mediante el algoritmo de detección de la comunidad de Lovaina

Cuándo Silverfort identifica actividad anormal, como sucede con ataques de movimiento lateral, puede aumentar los requisitos de autenticación en tiempo real para bloquear el acceso o requerir que el usuario se autentique con una MFA de su elección (puede ser Silverfort(la solución MFA sin agente de o una solución MFA de terceros). Silverfort es la única solución capaz de hacer cumplir MFA en la línea de comando herramientas de acceso remoto que son el pan y la mantequilla del movimiento lateral. Si bien tradicionalmente la MFA no se considera una parte nativa del arsenal anti-APT en la etapa de movimiento lateral posterior al compromiso, su aplicación a dichas herramientas de línea de comando en combinación con políticas de riesgo adaptativas proporciona una protección simple pero efectiva contra estas amenazas.

¿Cómo Funciona?

Ilustremos esto usando el ejemplo de movimiento lateral 'FunnyDream':

1. El atacante intenta iniciar sesión en una máquina con wmiexec.vbs, utilizando credenciales de usuario comprometidas.
2. los Silverfort La política recomendada para el uso de WMI para acceso remoto requiere MFA. Por lo tanto, se solicita al usuario real, el usuario legítimo propietario de las credenciales, que verifique la autenticación.
3. El atacante no puede completar la autenticación, por lo que se bloquea el acceso al recurso.
4. El SOC es notificado inmediatamente por Silverfort sobre el intento de utilizar wmiexec.vbs permitiendo al equipo de seguridad investigar más a fondo y erradicar la presencia maliciosa de su red.

Para obtener más información sobre Silverfortpara bloquear ataques de movimiento lateral, mire nuestro seminario web a pedido:

¿Se puede detectar y bloquear la amenaza evasiva del movimiento lateral?

Esperamos haber logrado explicar en este blog cómo Silverfort mitiga estas amenazas y bloquea el movimiento lateral. Sin embargo, siempre estaremos felices de discutir esto más a fondo. Háganos saber si tiene alguna pregunta o si desea ver una demostración completa de esta solución:

Solicitar Demo