ค้นหา

ภาษา

แคมเปญ FunnyDream APT – ซูมเข้า Silverfort ป้องกันการเคลื่อนไหวด้านข้าง

พฤศจิกายน 25th, 2020

หน้าแรก » บล็อก » แคมเปญ FunnyDream APT – ซูมเข้า Silverfort ป้องกันการเคลื่อนไหวด้านข้าง

*****โดย Yiftach Keshet ผู้อำนวยการฝ่ายการตลาดผลิตภัณฑ์ Silverfort*****

แคมเปญ APT ใหม่ ขนานนามว่า 'ฟันนี่ดรีม' ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย แคมเปญนี้กำหนดเป้าหมายไปที่รัฐบาลในเอเชียตะวันออกเฉียงใต้เป็นหลัก มีการรายงานการค้นพบการโจมตีตั้งแต่เดือนตุลาคม 2018 การสืบสวนกิจกรรมจารกรรมของกลุ่ม APT แสดงให้เห็นหลักฐานของ การเคลื่อนไหวด้านข้าง. ดูเหมือนว่ามีการใช้ข้อมูลรับรองที่ถูกบุกรุกเพื่อเรียกใช้แบตช์ไฟล์จำนวนมากที่มีงานตามกำหนดเวลาและ WMI บนเครื่องระยะไกล หลักฐานเพิ่มเติมแสดงให้เห็นว่าผู้โจมตีใช้สคริปต์ wmiexec.vbs เพื่อเรียกใช้คำสั่งระยะไกล นี่เป็นเครื่องเตือนใจที่เจ็บปวดว่าการเคลื่อนไหวด้านข้างยังคงเป็นจุดบอด เนื่องจากช่องว่างที่สำคัญในกลุ่มผลิตภัณฑ์รักษาความปลอดภัยมาตรฐานขององค์กรส่วนใหญ่ ในบล็อกนี้เราจะ อธิบายวิธีการดำเนินการเคลื่อนไหวด้านข้าง ในการโจมตีครั้งนี้แล้วขยายความอย่างไร Silverfortเทคโนโลยีที่เป็นนวัตกรรมใหม่สามารถปิดกั้นการเคลื่อนไหวด้านข้างได้ โดยระบุว่าเป็นรูปแบบการตรวจสอบสิทธิ์ที่ผิดปกติและบังคับใช้นโยบายความปลอดภัยในเครื่องมือการเข้าถึงระยะไกลแบบบรรทัดคำสั่ง

สารบัญ

  • ภาพรวมแคมเปญ FunnyDream
  • การเคลื่อนไหวด้านข้าง: ถูกต้องตามกฎหมายโดยการออกแบบ เป็นอันตรายโดยบริบท
  • การเคลื่อนไหวด้านข้างนำเสนอความท้าทายต่อผลิตภัณฑ์รักษาความปลอดภัย
  • Silverfort: แพลตฟอร์มข้อมูลประจำตัวแบบครบวงจรแห่งแรก
  • Paradigm Shift: บล็อกการเคลื่อนไหวด้านข้างโดยเพิ่มข้อกำหนดการตรวจสอบสิทธิ์ในแบบเรียลไทม์
  • มันทำงานอย่างไร
  • คุณสามารถตรวจจับและสกัดกั้นการคุกคามที่หลีกเลี่ยงไม่ได้ของการเคลื่อนไหวด้านข้างได้หรือไม่?

    • ภาพรวมแคมเปญ FunnyDream

    แคมเปญ FunnyDream กำหนดเป้าหมายบุคคลที่มีชื่อเสียงในมาเลเซีย ไต้หวัน ฟิลิปปินส์ และเวียดนาม มันมีกลไกการคงอยู่แบบกำหนดเองที่มีความซับซ้อนสูงโดยใช้แบ็คดอร์และดรอปเปอร์ขั้นสูงเพื่ออำนวยความสะดวกในการรวบรวมและการกรองข้อมูลในระยะยาวและเงียบ หลังจากการติดเชื้อครั้งแรกและการดำเนินการตามกลไกการคงอยู่ หลักฐานบ่งชี้ว่าผู้คุกคาม FunnyDream แสวงหาและประสบความสำเร็จในการประนีประนอมกับตัวควบคุมโดเมนของเหยื่อ จากนั้นพวกเขาดำเนินกิจกรรมการเคลื่อนไหวด้านข้างอย่างกว้างขวางโดยใช้ งานที่กำหนด และ WMI ด้วยการตั้งค่าพิเศษสำหรับการใช้ wmiexec.vbs เพื่อสำรวจและรันโค้ดบนเครื่องระยะไกล

    การเคลื่อนไหวด้านข้าง: ถูกต้องตามกฎหมายโดยการออกแบบ เป็นอันตรายโดยบริบท

    การเคลื่อนไหวด้านข้างตามที่เห็นในแคมเปญ APT เช่น FunnyDream สามารถดำเนินการได้โดยใช้เครื่องมือผู้ดูแลระบบระยะไกลที่ถูกต้อง เช่น ป.ล, Powershell หรือในกรณีของ FunnyDream WMI เพื่อสำรวจและเข้าถึงทรัพยากรในเครือข่าย เครื่องมือเหล่านี้ช่วยขจัดความจำเป็นในการค้นหาช่องโหว่ Zero Day พัฒนาช่องโหว่ หรือสร้างแบ็คดอร์ที่ซับซ้อน เนื่องจากเครื่องมือการดูแลระบบเหล่านี้สร้างขึ้นโดยมีวัตถุประสงค์เพื่อให้ผู้ให้บริการเครือข่ายและโครงสร้างพื้นฐานสามารถเข้าถึงเครื่องระยะไกลได้อย่างราบรื่น กล่าวอีกนัยหนึ่ง เครื่องมือเหล่านี้เกิดจากการออกแบบทั้งตัวขับเคลื่อนประสิทธิภาพการทำงานที่น่าทึ่งและใบมีดที่อันตรายถึงชีวิตในมือของผู้โจมตี

    การเคลื่อนไหวด้านข้างนำเสนอความท้าทายต่อผลิตภัณฑ์รักษาความปลอดภัย

    มีเหตุผลสองประการ การเคลื่อนไหวด้านข้างนั้นตรวจจับและป้องกันได้ยากด้วยโซลูชันความปลอดภัยทั่วไป:
    การโจมตีดำเนินการโดยใช้ข้อมูลประจำตัวที่ถูกกฎหมาย แต่ถูกบุกรุก: หมายความว่า ในทางปฏิบัติ สิ่งที่คุณเห็นเป็นเพียงการเข้าสู่ระบบด้วยข้อมูลรับรองผู้ใช้ที่ถูกต้อง ไม่มีการระบุอย่างชัดเจนว่าข้อมูลประจำตัวที่ใช้นั้นถูกบุกรุก
    การตรวจจับพฤติกรรมที่ผิดปกติตามเวลาจริงทำได้ยากเนื่องจากความซับซ้อนของการโจมตีเหล่านี้: โซลูชันบางอย่าง เช่น EDR, NDR และ SIEM สามารถตรวจจับความผิดปกติที่อาจเกิดขึ้นหลังจากเกิดการเคลื่อนไหวด้านข้าง และสร้างการแจ้งเตือนย้อนหลัง อย่างไรก็ตาม เนื่องจากพวกเขาตรวจไม่พบในเวลาจริง พวกเขาจึงไม่สามารถบล็อกได้

    เพื่ออธิบายประเด็นได้ดีขึ้น - ตามคำนิยาม กิจกรรมที่เป็นอันตรายเบี่ยงเบนไปจากกิจกรรมที่ชอบด้วยกฎหมาย ตัวอย่างเช่น ในกรณีของมัลแวร์หรือการหาประโยชน์ การเบี่ยงเบนจากพฤติกรรมมาตรฐานของ กระบวนการ ตามด้วยการยุติทันทีโดยการป้องกันปลายทาง ในกรณีของการกรองข้อมูลจำนวนมาก มันเบี่ยงเบนไปจากรูปแบบมาตรฐานของ การรับส่งข้อมูลเครือข่ายซึ่งเมื่อตรวจพบแล้วจะทริกเกอร์ การปิดกั้นทันทีโดยผลิตภัณฑ์ป้องกันเครือข่าย และอื่น ๆ อย่างไรก็ตาม เมื่อใช้ข้อมูลประจำตัวที่ถูกต้องตามกฎหมายในการเข้าถึงทรัพยากร การเบี่ยงเบนจะเห็นได้เฉพาะใน กิจกรรมของผู้ใช้. และหากตรวจพบความผิดปกติในกิจกรรมของผู้ใช้ ควรมีการตอบสนองในทันที ไม่ว่าจะเป็นบล็อกการเข้าถึงของผู้ใช้ หรือกำหนดให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งเพื่อยืนยันตัวตนที่แท้จริงของผู้ใช้ นี่คือที่ Silverfort เข้ามาเล่น

    Silverfort: แพลตฟอร์มข้อมูลประจำตัวแบบครบวงจรแห่งแรก

    Silverfort เป็น Unified แรก การป้องกันตัวตน แพลตฟอร์มที่สร้างขึ้นโดยมีวัตถุประสงค์เพื่อปกป้ององค์กรจากการโจมตีตามข้อมูลประจำตัว ซึ่งใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรเป้าหมาย Silverfort รวมเข้ากับโครงสร้างพื้นฐาน IAM ของคุณเพื่อตรวจสอบกิจกรรมการรับรองความถูกต้องทั้งหมดในเครือข่ายไปยังทั้งระบบคลาวด์และทรัพยากรภายในองค์กร เพื่อการวิเคราะห์ความเสี่ยงอย่างต่อเนื่องและการเข้าถึงการบังคับใช้นโยบาย

    Paradigm Shift: บล็อกการเคลื่อนไหวด้านข้างโดยเพิ่มข้อกำหนดการตรวจสอบสิทธิ์ในแบบเรียลไทม์

    Silverfortการมองเห็นแบบองค์รวมของกิจกรรมการรับรองความถูกต้องทั้งหมดของผู้ใช้แต่ละรายทำให้สามารถประเมินโปรไฟล์พฤติกรรมของผู้ใช้ของคุณได้แม่นยำอย่างไม่มีใครเทียบได้ โดยจะคำนวณความเสี่ยงของคำขอการเข้าถึงแต่ละรายการอย่างต่อเนื่องเมื่อเทียบกับพฤติกรรมที่สังเกตได้ของผู้ใช้และชุมชนของผู้ใช้ หากต้องการอ่านเพิ่มเติมเกี่ยวกับสิ่งนี้ โปรดดูบล็อก: การตรวจจับและคาดการณ์การเข้าถึงที่เป็นอันตรายในเครือข่ายองค์กรโดยใช้อัลกอริทึมการตรวจจับชุมชน Louvain

    เมื่อ Silverfort ระบุกิจกรรมที่ผิดปกติที่เกิดขึ้นด้วย การโจมตีด้วยการเคลื่อนไหวด้านข้างสามารถเพิ่มข้อกำหนดการตรวจสอบสิทธิ์ตามเวลาจริงเพื่อบล็อกการเข้าถึง หรือกำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ด้วย MFA ที่เลือก (อาจเป็น Silverfortโซลูชัน MFA แบบไม่ใช้เอเจนต์หรือโซลูชัน MFA ของบุคคลที่สาม) Silverfort เป็นทางออกเดียวที่สามารถบังคับใช้ได้ ไอ้เวรตะไล บนเครื่องมือการเข้าถึงระยะไกลแบบบรรทัดคำสั่ง นั่นคือขนมปังและเนยของการเคลื่อนไหวด้านข้าง แม้ว่าตามธรรมเนียมแล้ว MFA จะไม่ถือว่าเป็นส่วนหนึ่งของคลังแสงตอบโต้ APT ในขั้นตอนการเคลื่อนไหวด้านข้างหลังการประนีประนอม การนำไปใช้กับเครื่องมือบรรทัดคำสั่งดังกล่าวร่วมกับนโยบายความเสี่ยงที่ปรับเปลี่ยนได้ ให้การป้องกันที่เรียบง่ายแต่มีประสิทธิภาพต่อภัยคุกคามเหล่านี้

    มันทำงานอย่างไร

    เรามาอธิบายสิ่งนี้โดยใช้ตัวอย่างการเคลื่อนไหวด้านข้างของ 'FunnyDream':

    1. ผู้โจมตีพยายามเข้าสู่ระบบด้วยเครื่อง wmiexec.vbs, ใช้ข้อมูลรับรองผู้ใช้ที่ถูกบุกรุก
    ในปี 2 Silverfort นโยบายที่แนะนำสำหรับการใช้ WMI สำหรับการเข้าถึงระยะไกลจำเป็นต้องมี MFA ดังนั้น ผู้ใช้จริงซึ่งเป็นผู้ใช้ที่ถูกต้องตามกฎหมายซึ่งเป็นเจ้าของข้อมูลรับรอง จะได้รับพร้อมท์ให้ตรวจสอบการรับรองความถูกต้อง
    3. ผู้โจมตีไม่สามารถดำเนินการตรวจสอบสิทธิ์ได้ ดังนั้นการเข้าถึงทรัพยากรจึงถูกบล็อก
    4. SOC ได้รับแจ้งทันทีจาก Silverfort เกี่ยวกับการพยายามใช้ wmiexec.vbs ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบเพิ่มเติมและกำจัดสถานะที่เป็นอันตรายจากเครือข่ายของตนได้

    หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Silverfortความสามารถของบล็อกการโจมตีจากการเคลื่อนไหวด้านข้าง โปรดดูการสัมมนาผ่านเว็บแบบออนดีมานด์ของเรา:

    คุณสามารถตรวจจับและสกัดกั้นการคุกคามที่หลีกเลี่ยงไม่ได้ของการเคลื่อนไหวด้านข้างได้หรือไม่?

    เราหวังว่าเราจะสามารถอธิบายในบล็อกนี้ได้ Silverfort บรรเทาภัยคุกคามเหล่านี้และบล็อกการเคลื่อนไหวด้านข้าง อย่างไรก็ตาม เรายินดีเสมอที่จะพูดคุยเรื่องนี้เพิ่มเติม แจ้งให้เราทราบหากคุณมีคำถามใดๆ หรือต้องการดูตัวอย่างโซลูชันนี้ทั้งหมด:

    ขอตัวอย่าง

    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  

    มีนาคม 26th, 2024

    รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด  

    มีนาคม 2nd, 2024

    การป้องกัน MFA สำหรับเครือข่าย Air-Gapped

    กุมภาพันธ์ 21st, 2024

    การลดความเสี่ยงด้านอัตลักษณ์ของบัญชีของพนักงานเก่า
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้