Campanha FunnyDream APT – Amplie Silverfort Proteção contra movimento lateral

*****Por Yiftach Keshet, Diretor de Marketing de Produto, Silverfort*****

Uma nova campanha APT, apelidada de 'EngraçadoDream', foi descoberto por pesquisadores de segurança. A campanha teve como alvo principal os governos do Sudeste Asiático. As descobertas dos ataques foram relatadas desde outubro de 2018. A investigação da atividade de espionagem do grupo APT mostra evidências de movimento lateral. Parece que credenciais comprometidas foram usadas para executar muitos arquivos em lote com tarefas agendadas e WMI em máquinas remotas. Outras evidências mostram que os invasores usaram o script wmiexec.vbs para executar comandos remotos. Este é um doloroso lembrete de que o movimento lateral ainda é um ponto cego, devido a uma lacuna crítica na pilha de produtos de segurança padrão da maioria das organizações. Neste blog iremos explicar como o movimento lateral é executado neste ataque e, em seguida, ampliar como Silverforta tecnologia inovadora pode bloquear o movimento lateral ao todo, identificando seus padrões de autenticação anormais e aplicando políticas de segurança em ferramentas de acesso remoto de linha de comando.

Visão geral da campanha FunnyDream

A campanha FunnyDream teve como alvo entidades de destaque na Malásia, Taiwan, Filipinas e Vietnã. Ele apresenta um mecanismo de persistência personalizado altamente sofisticado, usando backdoors e droppers avançados para facilitar a coleta e exfiltração silenciosa e de longo prazo de dados. Após a infecção inicial e a implementação do mecanismo de persistência, as evidências sugerem que os atores da ameaça do FunnyDream procuram e conseguem comprometer os controladores de domínio das suas vítimas. Eles então executaram extensa atividade de movimento lateral usando Atividades agendadas e WMI , com preferência especial pelo uso de wmiexec.vbs para explorar e executar código em máquinas remotas.

Movimento lateral: legítimo por design, malicioso por contexto

O movimento lateral, como visto em campanhas APT como FunnyDream, pode ser executado usando ferramentas legítimas de administração remota, como PSexec, Powershell ou no caso do FunnyDream WMI, para explorar e acessar recursos na rede. Essas ferramentas eliminam a necessidade de descobrir vulnerabilidades de dia zero, desenvolver explorações ou criar um backdoor complicado, uma vez que essas ferramentas administrativas são criadas propositadamente para permitir que operadores de rede e infraestrutura acessem facilmente qualquer máquina remota. Em outras palavras, essas ferramentas são, por design, tanto impulsionadores de produtividade incríveis quanto lâminas letais nas mãos dos invasores.

Movimento lateral apresenta desafios para produtos de segurança

Existem duas razões pelas quais o movimento lateral é difícil de detectar e prevenir com soluções de segurança comuns:
. O ataque é realizado usando credenciais legítimas, mas comprometidas: isso significa que, na prática, o que você vê é apenas um login com credenciais de usuário válidas. Não há indicação explícita de que as credenciais utilizadas estejam de fato comprometidas.
. A detecção em tempo real de comportamento anormal é difícil devido à complexidade desses ataques: algumas soluções como EDR, NDR e SIEM podem detectar uma anomalia potencial após a ocorrência de movimento lateral e gerar um alerta retroativo. No entanto, como não o detectam em tempo real, não podem bloqueá-lo.

Para ilustrar melhor o ponto – a atividade maliciosa, por definição, desvia-se da atividade legítima. Por exemplo, no caso de malware ou explorações, é um desvio do comportamento padrão de um processo seguido de seu encerramento imediato pela proteção de endpoint. No caso da exfiltração de dados em massa é um desvio dos padrões padrão de tráfego de rede que, uma vez detectado, aciona bloqueio imediato pelo produto de proteção de rede. E assim por diante. Porém, ao utilizar credenciais legítimas para acessar recursos, o desvio seria visto apenas no atividade do usuário. E, se for detectada uma anomalia na atividade do usuário, ela deverá ser seguida por uma resposta imediata – bloquear o acesso do usuário ou exigir que o usuário se reautentique para verificar a verdadeira identidade do usuário. É aqui que Silverfort entra em jogo.

Silverfort: A primeira plataforma de identidade unificada

Silverfort é o primeiro Unificado Proteção de identidade Plataforma criada especificamente para proteger organizações contra ataques baseados em identidade, que usam credenciais comprometidas para acessar recursos direcionados. Silverfort integra-se à sua infraestrutura IAM para monitorar todas as atividades de autenticação na rede, tanto para recursos na nuvem quanto no local, para análise contínua de riscos e aplicação de políticas de acesso.

Mudança de paradigma: bloqueie o movimento lateral aumentando os requisitos de autenticação em tempo real

SilverfortA visibilidade holística de toda a atividade de autenticação de cada usuário permite avaliar com precisão incomparável o perfil de comportamento de seus usuários. Calcula continuamente o risco de cada solicitação de acesso em comparação com o comportamento observado do usuário e de sua comunidade. Para ler mais sobre isso veja o blog: Detectando e prevendo acesso malicioso em redes corporativas usando o algoritmo de detecção da comunidade Louvain

Quando Silverfort identifica atividade anormal, como acontece com ataques de movimento lateral, ele pode aumentar os requisitos de autenticação em tempo real para bloquear o acesso ou exigir que o usuário se autentique com um MFA de sua escolha (pode ser Silverfort(uma solução de MFA sem agente ou uma solução de MFA de terceiros). Silverfort é a única solução capaz de fazer cumprir MFA nas ferramentas de acesso remoto da linha de comando esse é o pão com manteiga do movimento lateral. Embora tradicionalmente a MFA não seja considerada uma parte nativa do arsenal anti-APT na fase de movimento lateral pós-comprometimento, aplicá-la a tais ferramentas de linha de comando em combinação com políticas de risco adaptativas proporciona uma protecção simples mas eficaz contra estas ameaças.

Como isso funciona?

Vamos ilustrar isso usando o exemplo de movimento lateral ‘FunnyDream’:

1. O invasor tenta fazer login em uma máquina com wmiexec.vbs, usando credenciais de usuário comprometidas.
2. A Silverfort a política recomendada para o uso do WMI para acesso remoto requer MFA. Conseqüentemente, o usuário real, o usuário legítimo que possui as credenciais, é solicitado a verificar a autenticação.
3. O invasor não consegue concluir a autenticação, portanto o acesso ao recurso é bloqueado.
4. O SOC é imediatamente notificado por Silverfort sobre a tentativa de usar wmiexec.vbs permitindo que a equipe de segurança investigue e erradique a presença maliciosa de sua rede.

Para saber mais sobre Silverfortcapacidade de bloquear ataques de movimento lateral, assista ao nosso webinar sob demanda:

Você consegue detectar e bloquear a ameaça evasiva do movimento lateral?

Esperamos ter conseguido explicar neste blog como Silverfort mitiga essas ameaças e bloqueia o movimento lateral. No entanto, estamos sempre dispostos a discutir isso mais detalhadamente. Deixe-nos saber se você tiver alguma dúvida ou se quiser ver uma demonstração completa desta solução:

Solicite uma Demonstração