FunnyDream APT Kampanyası – Yakınlaştırın Silverfort Yanal Harekete Karşı Koruma

*****Yiftach Keshet, Ürün Pazarlama Direktörü, Silverfort*****

' olarak adlandırılan yeni bir APT kampanyasıKomikRüya', güvenlik araştırmacıları tarafından keşfedildi. Kampanya öncelikle Güney Doğu Asya hükümetlerini hedef aldı. Saldırı bulguları Ekim 2018'den beri rapor ediliyor. APT grubunun casusluk faaliyetlerine ilişkin soruşturma, yanal hareket. Uzak makinelerde zamanlanmış görevler ve WMI içeren birçok toplu iş dosyasını yürütmek için güvenliği ihlal edilmiş kimlik bilgileri kullanılmış gibi görünüyor. Diğer kanıtlar, saldırganların uzak komutları çalıştırmak için wmiexec.vbs komut dosyasını kullandığını gösteriyor. Bu, çoğu kuruluşun standart güvenlik ürün yığınındaki kritik bir boşluk nedeniyle yanal hareketin hala bir kör nokta olduğunu acı bir şekilde hatırlatıyor. Bu blogda yanal hareketin nasıl yapıldığını açıklayın bu saldırıda ve ardından nasıl yakınlaştırılacağını Silverfortyenilikçi teknolojisi yanal hareketi engelleyebilir anormal kimlik doğrulama modellerini tanımlayarak ve komut satırı uzaktan erişim araçlarında güvenlik ilkelerini uygulayarak.

FunnyDream Kampanyasına Genel Bakış

FunnyDream kampanyası Malezya, Tayvan, Filipinler ve Vietnam'daki yüksek profilli kuruluşları hedef aldı. Sessiz ve uzun vadeli veri toplamayı ve sızmayı kolaylaştırmak için gelişmiş arka kapılar ve damlalıklar kullanan son derece gelişmiş, özel yapım bir kalıcılık mekanizmasına sahiptir. İlk bulaşmanın ve kalıcılık mekanizmasının uygulanmasının ardından kanıtlar, FunnyDream tehdit aktörlerinin kurbanlarının etki alanı denetleyicilerini ele geçirmeye çalıştıklarını ve bunu başardıklarını gösteriyor. Daha sonra kullanarak kapsamlı yanal hareket aktivitesi gerçekleştirdiler. zamanlanmış görevler ve WMI , uzak makinelerde kod keşfetmek ve yürütmek için wmiexec.vbs'yi kullanma özel tercihiyle.

Yanal Hareket: Tasarıma Göre Meşru, Bağlama Göre Kötü Amaçlı

FunnyDream gibi APT kampanyalarında görüldüğü gibi yanal hareket, meşru uzaktan yönetim araçları kullanılarak yürütülebilir. PSexec, Powershell veya FunnyDream WMI durumunda, ağdaki kaynakları keşfetmek ve bunlara erişmek için. Bu araçlar, ağ ve altyapı operatörlerinin herhangi bir uzak makineye sorunsuz bir şekilde erişmesini sağlamak için özel olarak oluşturulduğundan, sıfır gün güvenlik açıklarını keşfetme, istismarlar geliştirme veya karmaşık bir arka kapı oluşturma ihtiyacını ortadan kaldırır. Diğer bir deyişle, bu araçlar, tasarım gereği hem inanılmaz üretkenlik sürücüleri hem de saldırganların elinde ölümcül bıçaklardır.

Yanal Hareket, Güvenlik Ürünleri İçin Zorluklar Sunuyor

bunun iki nedeni var yaygın güvenlik çözümleriyle yanal hareketin algılanması ve önlenmesi zordur:
• Saldırı meşru ancak güvenliği ihlal edilmiş kimlik bilgileri kullanılarak gerçekleştirilir.: bu, pratikte gördüğünüz şeyin yalnızca geçerli kullanıcı kimlik bilgileriyle bir oturum açma olduğu anlamına gelir. Kullanılan kimlik bilgilerinin aslında tehlikeye atıldığına dair açık bir gösterge yoktur.
• Bu saldırıların karmaşıklığı nedeniyle anormal davranışların gerçek zamanlı tespiti zordur.: EDR, NDR ve SIEM gibi bazı çözümler, yanal hareket gerçekleştikten sonra potansiyel bir anormalliği algılayabilir ve geriye dönük bir uyarı oluşturabilir. Ancak gerçek zamanlı olarak algılamadıkları için engelleyemezler.

Bu noktayı daha iyi açıklamak gerekirse, kötü niyetli etkinlik, tanım gereği, yasal etkinlikten sapar. Örneğin, kötü amaçlı yazılım veya açıklardan yararlanma söz konusu olduğunda, bu, bir yazılımın standart davranışından bir sapmadır. süreç ardından uç nokta koruması tarafından derhal sonlandırılır. Toplu veri hırsızlığı durumunda, bu, standart veri kalıplarından bir sapmadır. algılandığında tetikleyen ağ trafiği ağ koruma ürünü tarafından anında engelleme. Ve benzeri. Ancak, kaynaklara erişmek için meşru kimlik bilgileri kullanıldığında, sapma yalnızca kullanıcı etkinliği. Ayrıca, kullanıcının etkinliğinde bir anormallik algılanırsa, hemen bir yanıt verilmelidir - ya kullanıcının erişimi engellenir ya da kullanıcının gerçek kimliğini doğrulamak için kullanıcının yeniden kimlik doğrulaması yapması istenir. burası Silverfort devreye giriyor.

Silverfort: İlk Birleşik Kimlik Platformu

Silverfort ilk Birleşik Kimlik koruması Kuruluşları, hedeflenen kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan kimlik tabanlı saldırılara karşı korumak için özel olarak oluşturulmuş platform. Silverfort ağdaki tüm kimlik doğrulama etkinliğini izlemek için IAM altyapınızla entegre olur, sürekli risk analizi ve erişim politikası uygulaması için hem buluta hem de şirket içi kaynaklara.

Paradigma Değişimi: Gerçek Zamanlı Olarak Kimlik Doğrulama Gereksinimlerini Artırarak Yanal Hareketi Engelleyin

Silverfort'nin her kullanıcının tüm kimlik doğrulama etkinliğine yönelik bütünsel görünürlüğü, kullanıcılarınızın davranış profilini benzersiz bir hassasiyetle değerlendirmesine olanak tanır. Kullanıcının ve topluluğunun gözlemlenen davranışına kıyasla her erişim talebinin riskini sürekli olarak hesaplar. Bununla ilgili daha fazla bilgi edinmek için bloga bakın: Louvain Topluluk Tespit Algoritmasını Kullanarak Kurumsal Ağlarda Kötü Amaçlı Erişimi Tespit Etme ve Tahmin Etme

Ne zaman Silverfort olduğu gibi anormal aktiviteyi tanımlar yanal hareket saldırıları, erişimi engellemek için gerçek zamanlı olarak kimlik doğrulama gereksinimlerini hızlandırabilir veya kullanıcının tercih ettiği bir MFA ile kimlik doğrulaması yapmasını gerektirebilir (bu, Silverfort'nin aracısız MFA çözümü veya 3. taraf MFA çözümü). Silverfort uygulayabilen tek çözümdür. MFA komut satırında uzaktan erişim araçları bunlar yanal hareketin ekmeği ve yağıdır. Geleneksel olarak MFA, taviz sonrası yatay hareket aşamasında karşı APT cephaneliğinin doğal bir parçası olarak görülmese de, uyarlanabilir risk politikalarıyla birlikte bu tür komut satırı araçlarına uygulanması, bu tehditlere karşı basit ama etkili koruma sağlar.

Nasıl Çalışır?

Bunu 'FunnyDream' yanal hareket örneğini kullanarak açıklayalım:

1. Saldırgan, bir makinede oturum açmaya çalışır. wmiexec.vbs, güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanma.
2. Silverfort uzaktan erişim için WMI kullanımına yönelik önerilen politika, MFA gerektirir. Bu nedenle, kimlik bilgilerine sahip olan gerçek kullanıcıdan kimlik doğrulamasını doğrulaması istenir.
3. Saldırgan, kimlik doğrulamasını tamamlayamaz ve bu nedenle kaynağa erişim engellenir.
4. SOC tarafından derhal bilgilendirilir. Silverfort kullanma girişimi hakkında wmiexec.vbs güvenlik ekibinin kötü niyetli varlığı ağlarından daha fazla araştırmasına ve ortadan kaldırmasına olanak tanır.

Hakkında daha fazla bilgi için Silverfort'in yanal hareket saldırılarını engelleme yeteneği, lütfen isteğe bağlı web seminerimizi izleyin:

Yanal Hareketin Kaçınma Tehditini Algılayıp Engelleyebilir misiniz?

Umarız bu blogda nasıl olduğunu anlatabilmişizdir. Silverfort bu tehditleri azaltır ve yanal hareketi engeller. Ancak, bunu daha fazla tartışmaktan her zaman mutlu oluruz. Herhangi bir sorunuz varsa veya bu çözümün tam bir demosunu görmek istiyorsanız bize bildirin:

Demoyu İste