Egyre kevesebb nyom marad a támadások után

A kiberbűnözők egyre gyakrabban használják fel a támadásaik során a PowerShell adta lehetőségeket. Ezáltal jóval hosszabb ideig tudják leplezni a jelenlétüket, miközben átvehetik az irányítást a rendszerek felett.
 

A FireEye által felvásárolt Mandiant kutatói beszámoltak az elmúlt félévben szerzett tapasztalataikról, és körvonalazták azokat a trendeket, amelyeket érdemes figyelembe venni a védelmi intézkedések meghozatalakor. A szakemberek számos veszélyforrásra hívták fel a figyelmet kezdve az alkalmazás virtualizációra szolgáló szerverek támadásoknak való kitettségétől, az informatikai témákat felkaroló adathalászaton át, egészen a bankkártyák biztonságával kapcsolatos aggályokig bezárólag. A legérdekesebb megállapításokat azonban egy mind inkább előtérbe kerülő támadómódszerrel összefüggésben tették.

A kutatók az elmúlt hónapokban arra lettek figyelmesek, hogy mind több támadás során kapott szerepet a PowerShell, valamint a WMI (Windows Management Instrumentation). Ennek minden bizonnyal az az oka, hogy a támadók folyamatosan olyan módszerekkel próbálkoznak, amelyek alkalmazása egyrészt a lehető legkisebb feltűnéssel jár, másrészt minél kevesebb nyomot hagy a rendszerekben. Ebből a szempontból a Windows beépített lehetőségei kiváló eszközöket jelentenek számukra.

Már régebben is megfigyelhető volt, hogy a hagyományos értelemben vett kártékony kódok mellett különféle legális rendszerösszetevők, illetve alkalmazások is szerephez jutottak az incidensek során. Sőt még napjainkban is elterjedtek azok az ártalmas tevékenységek, amelyek VBScriptek, egyszerű batch fájlok, windows-os segédprogramok (pl. PsExec), valamint "net", "at" stb. parancsok felhasználásával következnek be. Az ilyen jellegű módszerek egyszerűen kivitelezhetők, és a biztonsági szoftverek szempontjából még akkor is ártalmatlannak tűnhetnek, ha valójában kártékony célokat szolgálnak. A Mandiant szerint azonban van egy hátrányuk is a támadók szempontjából: az esetek többségében sok nyomot hagynak, így a forensic vizsgálatok során könnyebben lehet feltérképezni az incidenseket. Ezért az elkövetők új vizekre eveztek, és a PowerShell, valamint a WMI felé fordultak.

Új módszerek, új kihívások

Főleg a célzott, APT-fenyegetettségekre épülő támadások során figyelhető meg, hogy a két Microsoft-féle megoldás a kiberbűnözők kezében komoly fegyverként szolgálhat. Mivel a támadóknak ekkor a hosszú távú jelenlét fenntartása a céljuk, ezért nem engedhetik meg maguknak, hogy olyan kártékony kódokkal fertőzzék meg a rendszereket, amelyeket esetleg egy víruskereső észlel. Így megpróbálnak legális, operációs rendszerekbe épített lehetőségekkel babrálni. 

"A PowerShell kódok akár úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre, ami csökkenti a bizonyítékok számát. Ráadásul a régebbi telepítések esetében a kódfuttatások naplózása is sokszor hagy kívánni valót maga után" - nyilatkozta Ryan Kazanciyan, a Mandiant technológiai igazgatója. Majd hozzátette, hogy "a WMI segítségével pedig az elkövetők távolról csatlakozhatnak a rendszerekhez, módosíthatják a regisztrációs adatbázist, hozzáférhetnek a naplóállományokhoz, és ami a legfontosabb, hogy parancsokat adhatnak ki. A bejelentkezési eseményen kívül a távoli WMI parancsok gyakorta csak nagyon kevés nyomott hagynak".

Természetesen a rendszerekhez való kapcsolódáshoz hozzáférési adatokra is szükség van. E téren is új trendek vannak kibontakozóban, mivel a hagyományos kémprogramokat, adatlopó eszközöket új megoldások váltják fel. A Mandiant szerint elterjedőben van például a biztonsági tesztelésekhez kifejlesztett - a víruskeresők által általában nem kifogásolt - Mimikatz program, amely alkalmas jelszavak, hash-ek, illetve Kerberos jegyek megkaparintására. Egyre gyakoribbak az NTLM-hashekkel való (Pass-the-hash típusú) visszaélések, amik során szintén a Mimikatz kapja a főszerepet. Noha a kutatók szerint a Microsoft a Windows 8.1 és a Windows Server 2012 R2 esetében e technikák ellen tett védelmi lépéseket, a tapasztalat azt mutatja, hogy a célkeresztbe állított rendszerek esetében még a Windows 7, illetve a Windows Server 2008 (vagy az azokkal kompatibilis tartományi környezetek) dominálnak.

Védelmi tanácsok

A Mandiant néhány jó tanáccsal is szolgált a fenti esetek megelőzése érdekében. A védelmi javaslatok között szerepel a valós idejű monitorozás bevezetése, a naplózás korszerűsítése, a naplóelemzés fejlesztése, és azon technológiák előtérbe helyezése, amelyek képesek a rendszerekben bekövetkező szokatlan események jelzésére. A detektálási hatékonyság növelése elengedhetetlen, hiszen a cég által készített felmérés szerint a vállatoknak átlagosan 205 napra van szükségük egyes nemkívánatos események felismerésére. (2013-hoz képes valamelyest javult a helyzet, mert akkor még e napok száma 229-re adódott.)