Strategie wykrywania i łagodzenia skutków filtracji danych pochodzących z oprogramowania odbiorczego

Cybergang stojący za Maze - tą samą grupą odpowiedzialną za niedawny atak na Pensacolę na Florydzie - śledził jego groźby i opublikował dane swojej ofiary, Allied Universal, po tym jak firma ochroniarska nie dotrzymała terminu płatności okupu.

Po raz pierwszy grupa zajmująca się okupem ukradła i opublikowała znaczną ilość danych o swoich ofiarach. Jeśli strategia ta okaże się bardziej opłacalna niż tradycyjne ataki oparte tylko na szyfrowaniu, to prawdopodobnie exfiltracja stanie się coraz bardziej powszechnym prekursorem szyfrowania.

W tym artykule omówimy, jak działa filtrowanie danych oraz co organizacje mogą zrobić, aby chronić swoje dane i poufne informacje klienta.

Jak działa eksfiltracja danych?
Eksfiltracja danych jest terminem używanym do opisu nieautoryzowanego transferu danych z komputera.

Uzyskanie wpisu
Aby odfiltrować dane, atakujący muszą najpierw uzyskać dostęp do sieci docelowej. Niektóre z najczęstszych wektorów ataku obejmują:

Phishing: Atakujący wysyłają starannie spreparowane e-maile do konkretnej organizacji, osoby lub osób w organizacji. Napastnicy mogą udawać kogoś, kto jest uważany za "ponadpodejrzanego" - na przykład szefa odbiorcy, ważnego klienta lub cenionego partnera. Napastnicy używają sugestywnych sformułowań, aby zachęcić odbiorcę do otwarcia załącznika do złośliwego e-maila lub kliknięcia w link w treści wiadomości, co może zachęcić użytkownika do zainstalowania złośliwego oprogramowania lub skierować go na zagrożoną stronę internetową, która automatycznie pobiera złośliwe oprogramowanie. Złośliwe oprogramowanie może zainstalować backdoor, który umożliwia napastnikom bezpośrednią kradzież danych, lub może umożliwić instalację dodatkowego złośliwego oprogramowania, takiego jak keyloggery lub rootkity, które mogą pomóc w przyszłej eksfiltracji.
Hacked Remote Desktop Protocol (RDP): Opracowany przez Microsoft, RDP jest protokołem komunikacyjnym, który pozwala użytkownikom na zdalny dostęp i zarządzanie komputerem poprzez połączenie sieciowe. Atakujący używają szeroko dostępnych narzędzi skanujących do skanowania Internetu w poszukiwaniu maszyn z zakresem portów IP i TCP, które są używane przez serwery RDP (zazwyczaj port 3389). Po zidentyfikowaniu odpowiedniej maszyny, napastnicy próbują uzyskać dostęp do niej za pomocą narzędzi brutalnej siły, które próbują logować się automatycznie w kółko za pomocą milionów kombinacji znaków, aby odgadnąć dane do logowania maszyny. Gdy narzędzie złamie dane do logowania, atakujący mogą zrobić wszystko, co mieści się w granicach uprawnień zhakowanego konta.
MSP i RMM: Atakujący często atakują oprogramowanie do zdalnego monitorowania i zarządzania używane przez dostawców usług zarządzanych. W przypadku pojedynczego udanego ataku na MSP napastnicy mogą potencjalnie uzyskać dostęp do całej bazy klientów MSP, co wywiera ogromną presję na ofiarę, by zapłaciła okup.
Exfiltracja
Gdy napastnik zdobędzie przyczółek w sieci, eksfiltracja danych jest stosunkowo prostym procesem.

Strategie filtracji mogą się znacznie różnić pod względem zakresu. Atakujący mogą bezkrytycznie kraść pliki i przetwarzać dane później; alternatywnie, eksfiltracja może być ostrożnym i selektywnym procesem, w którym atakujący ekstrahują tylko pliki o wysokiej wartości.

Subtelne podejście: W zależności od charakteru ataku, podmioty stanowiące zagrożenie mogą próbować uniknąć wykrycia systemów monitoringu sieci poprzez zatarcie danych, które kradną. Biorąc pod uwagę, że wiele systemów zapobiegania utracie danych opiera się na prostych mechanizmach dopasowywania wzorców w celu wykrycia eksfiltracji, nawet proste techniki szyfrowania mogą być wystarczające do uniknięcia wykrycia. Powszechnie stosowane ukryte kanały filtracji obejmują SSL/TLS, jak również tunelowanie protokołów i steganografię.
Szybkie i wściekłe podejście: Alternatywnie, napastnicy mogą przedkładać szybkość nad subtelność i wykorzystywać kanały o dużej przepustowości do jak najszybszej kradzieży plików. FTP, HTTP i HTTPS są najczęściej używanymi kanałami exfiltracyjnymi, ponieważ ruch exfiltrowany przez te połączenia jest często trudny do odróżnienia od legalnego ruchu. Rzadziej używane mogą być aplikacje poczty elektronicznej i komunikatory internetowe. Kanały te są łatwo monitorowane, ale również mają tendencję do bycia mniej ograniczonymi niż inne połączenia, ponieważ są one tak często używane do legalnej działalności biznesowej.
Eksfiltracja oprogramowania odbiorczego
Spodziewamy się, że eksfiltracja stanie się coraz bardziej powszechnym elementem ataków okupowych. Dokładna metoda używana przez grupy oprogramowania okupowego jest różna. Na przykład, samo oprogramowanie okupowe może nie potrzebować możliwości exfiltracji. W zależności od metody używanej do uzyskania dostępu do sieci, eksfiltracja może być tak prosta jak kopiowanie i wklejanie plików przez RDP. Alternatywnie, napastnicy mogą uruchomić skrypt, który wysyła cały dysk do zdalnej lokalizacji, lub mogą być bardziej selektywni i napisać prostą aplikację, która szuka określonych plików w określonych lokalizacjach i wysyła je w pliku ZIP na zdalny serwer. W przypadku ataku Maze'a uważa się, że operatorzy filtrowali dane za pomocą programu PowerShell, aby połączyć się ze zdalnym serwerem FTP, a wszystkie dotknięte pliki były automatycznie kopiowane na serwer atakującego.

Dla grup oprogramowania okupowego, eksfiltracja danych jest nieco ryzykowną grą. Kradzież plików wymaga czasu, przepustowości i miejsca na serwerze. Jeśli cel zauważy, że coś jest nie tak, może być w stanie podjąć kroki w celu przerwania ataku, zanim aktorzy zagrożenia zakończą zarówno eksfiltrację, jak i szyfrowanie. To pozbawia aktorów zagrożenia dźwigni i może sprawić, że operacja - która mogła trwać tygodnie, miesiące, a nawet lata - zakończy się całkowitym niepowodzeniem.

Oprogramowanie antywirusowe od czołowych światowych ekspertów w dziedzinie okupu. Pobierz bezpłatną wersję próbną już dziś. Spróbuj teraz.
Techniki zmniejszania filtracji danych
Zapobieganie początkowemu punktowi kompromisu jest oczywiście korzystne, ale organizacje muszą działać przy założeniu, że ich obwód zostanie w pewnym momencie naruszony i odpowiednio planować.

Biorąc pod uwagę niezwykle zróżnicowane potrzeby organizacji i szeroki zakres metod technicznych stosowanych do filtrowania danych, niemożliwe jest dostarczenie ostatecznej listy kontrolnej dla zabezpieczenia sieci firmy.

Wykrycie
Filtry zawartości: Im szybciej organizacja może wykryć potencjalną eksfiltrację, tym większą ma szansę na przerwanie ataku. Organizacje powinny wdrożyć filtry treści dla ruchu wychodzącego na znanych kanałach eksfiltracyjnych, takich jak email, HTTP i FTP. Niektóre filtry mogą być skonfigurowane tak, aby kontrolować transfer wrażliwych danych w oparciu o konfigurowalne wzorce danych. Gdy dane pasujące do wzorca danych są przesyłane z sieci, filtr oznacza zdarzenie i powiadamia administratora. Niektóre filtry można skonfigurować tak, aby automatycznie przerywały transmisję. Filtry zawartości można obejść, zatykając przesyłane dane, aby nie pasowały do żadnego znanego wzorca.
Znak wodny: Znak wodny jest nie w pełni wykorzystywanym narzędziem, które może być użyteczne do wykrywania eksfiltracji i identyfikacji potencjalnych słabych punktów infrastruktury. Cyfrowy znak wodny to znacznik, który jest ukryty w pliku. Znacznik zawiera sygnaturę, która może powiadomić produkt głębokiej kontroli pakietów w czasie rzeczywistym, kiedy plik jest poddawany eksfilracji. Znaki wodne utrzymują się nawet jeśli plik został skopiowany i wklejony, i są szczególnie przydatne do identyfikacji wewnętrznych wycieków w łańcuchu zarządzania danymi w organizacji.
Zarządzanie informacjami o bezpieczeństwie i zdarzeniami: Oprogramowanie do zarządzania informacjami o bezpieczeństwie i zdarzeniami może być bardzo użyteczne do zbierania danych o zdarzeniach generowanych przez infrastrukturę bezpieczeństwa organizacji i zestawiania ich w jedną scentralizowaną platformę. Łączy ono dane wyjściowe z wielu źródeł i zapewnia zespołom IT całościowy wgląd w sieć.
Łagodzenie skutków
Zdefiniować odpowiedzi: Wiele z wymienionych w poprzedniej sekcji systemów wykrywania eksfiltracji jest w stanie nie tylko zidentyfikować podejrzaną aktywność, ale również na nią zareagować. W zaleznosci od sytuacji, odpowiedzi moga byc o wiele bardziej wyrafinowane niz po prostu pozwolenie lub odmowa dostępu. Na przykład, system wykrywania włamań (IDS) może zastąpić żądany transfer danych danymi wabiącymi, chroniącymi rzeczywiste pliki i dając administratorom możliwość zbierania informacji o zagrożeniu.

Zasada najmniejszego przywileju: Każda organizacja powinna egzekwować zasadę najmniejszych uprawnień, która stanowi, że każdy użytkownik i aplikacja powinna mieć tylko minimalne uprawnienia wymagane do wykonywania swojej funkcji. Minimalizacja uprawnień zmniejsza ilość i wartość danych, które mogą zostać potencjalnie skradzione w przypadku naruszenia punktu końcowego. Forrester Research szacuje, że 80 procent naruszeń bezpieczeństwa dotyczy uprzywilejowanych uprawnień.
Filtrowanie wyjść: Podczas gdy wiele organizacji martwi się o zewnętrzne ataki na ich obrzeżach sieciowych, stosunkowo niewiele z nich skupia się na danych opuszczających ich sieć. Filtrowanie na wyjściu może być skutecznym sposobem na ograniczenie ruchu wychodzącego. W przypadku filtrowania na wyjściu, połączenie wychodzące musi spełniać pewne zasady określone przez administratora, zanim zostanie dozwolone. Organizacje dbające o bezpieczeństwo mogą chcieć zaimplementować domyślne zasady blokowania połączeń wychodzących, które blokują cały ruch wychodzący (w tym pocztę elektroniczną, przeglądarki internetowe, komunikatory internetowe i inne), chyba że jest to dozwolone przez te zasady. Wdrożenie domyślnej polityki blokowania może być pracochłonne i czasochłonne, ponieważ istnieje wiele rodzajów ruchu wychodzącego, który musi być obsługiwany przez firmę, a każdy z nich wymaga własnej polityki filtrowania ruchu wychodzącego.
Egzekwowanie polityki bezpieczeństwa: Surowe polityki bezpieczeństwa są bezcelowe, jeśli nie są przestrzegane i egzekwowane. Ręczne egzekwowanie nie jest wykonalne ani skuteczne, więc organizacje powinny inwestować w oprogramowanie do egzekwowania zasad, które zapewnia przestrzeganie zasad bezpieczeństwa przez użytkowników. Wiele rozwiązań umożliwia organizacjom zdefiniowanie polityki bezpieczeństwa, weryfikację jej przestrzegania oraz, w niektórych scenariuszach, automatyczne rozwiązywanie problemów.
Wniosek
Ponieważ grupy zajmujące się okupem starają się uzyskać większy wpływ na swoje ofiary, prawdopodobnie w najbliższych tygodniach i miesiącach będziemy świadkami większej ilości zdarzeń związanych z eksfiltracją. Strategie filtracji są zróżnicowane i zróżnicowane; dla organizacji oznacza to, że nie ma jednego, uniwersalnego rozwiązania zapobiegającego kradzieży danych. Identyfikacja podejrzanych dzialalnosci zarówno na kanale jawnym jak i ukrytym, definiowanie i egzekwowanie polityk bezpieczenstwa oraz inwestowanie w systemy, które moga inteligentnie reagowac na wykryte zagrożenia moga byc przydatne w redukowaniu ryzyka wycieku danych.