Det er kommet frem i lyset, at hackere klogt brugte to off-the-shelf fjernovervågnings- og styringssystemer (RMM'er) til at bryde flere Federal Civilian Executive Branch (FCEB) agenturnetværk i USA sidste sommer.
Den 25. januar udgav Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og Multi-State Information Sharing and Analysis Center (MS-ISAC) en fælles rådgivende beskriver angrebene, advarer cybersikkerhedssamfundet om ondsindet brug af kommerciel RMM-software og tilbyder begrænsninger og indikatorer for kompromis, man skal være opmærksom på.
IT-tjenesteudbydere bruger RMM'er til at fjernovervåge og administrere klienters netværk og slutpunkter. Men hackere kan bruge den samme software til at omgå typiske softwarekontrolpolitikker og autorisationskrav på ofrets computere - som den amerikanske regering fandt ud af.
Hvordan hackere brød regeringen med RMM'er
I oktober sidste år gennemførte CISA en retrospektiv analyse af Einstein — dets system til registrering af indtrængen, implementeret på tværs af FCEB-agenturer. Forskerne fandt måske mere, end de havde regnet med.
I midten af juni sidste år sendte hackere en phishing-e-mail til en FCEB-medarbejders offentlige adresse. Mailen fik medarbejderen til at ringe til et telefonnummer. At ringe til nummeret fik dem til at besøge en ondsindet webadresse: "myhelpcare.online."
Besøg på domænet udløste download af en eksekverbar fil, som derefter blev forbundet til et andet domæne, hvor to RMM'er - AnyDesk og ScreenConnect (nu ConnectWise Control) - kom i spil. Det andet domæne installerede faktisk ikke AnyDesk- og ScreenConnect-klienter på målets maskine. I stedet gik det baglæns: downloading af programmerne som selvstændige, bærbare eksekverbare filer, konfigureret til at forbinde tilbage til trusselsaktørens server.
Hvorfor betyder det noget? "Fordi," forklarede forfatterorganisationerne, "bærbare eksekverbare filer ikke kræver administratorrettigheder, de kan tillade eksekvering af ikke-godkendt software, selvom en risikostyringskontrol kan være på plads til at revidere eller blokere den samme softwares installation på netværket."
Efter at have gjort nar af administratorrettigheder og softwarekontrol, kunne trusselsaktørerne derefter bruge den eksekverbare "til at angribe andre sårbare maskiner på det lokale intranet eller etablere langsigtet vedvarende adgang som en lokal brugertjeneste."
Det viser sig dog, at juni-kompromiset blot var toppen af et isbjerg. Tre måneder senere blev der observeret trafik mellem et andet FCEB-netværk og et lignende domæne - "myhelpcare.cc" - og yderligere analyse, huskede forfatterne, "identificerede relateret aktivitet på mange andre FCEB-netværk."
På trods af, at de var rettet mod statsansatte, ser angriberne ud til at have været økonomisk motiverede. Efter at have oprettet forbindelse til målmaskiner, lokkede de ofre til at logge ind på deres bankkonti og "brugte deres adgang gennem RMM-softwaren til at ændre modtagerens bankkontooversigt," skrev forfatterne. "Det fejlagtigt ændrede bankkontooversigt viste, at modtageren ved en fejl fik refunderet et overskydende beløb. Skuespillerne instruerede derefter modtageren om at "tilbagebetale" dette overskydende beløb til svindeloperatøren."
Hvorfor hackere kan lide RMM'er
Hackere har en lang historie med at bruge legitim software til illegitime formål. Mest populære er red-team værktøjer - som Koboltstrejke og Metasploit - som cyberforsvarere bruger til at teste deres egne systemer, men som problemfrit kan anvendes på samme måde i en kontradiktorisk sammenhæng.
Selv software uden indlysende relation til cybersikkerhed kan omdannes til det onde. Som blot et eksempel, Nordkoreanske hacking-klynger er blevet observeret kapre e-mail-marketingtjenester for at sende phishing-lokker forbi spamfiltre.
I dette tilfælde er RMM'er blevet allestedsnærværende i de senere år, hvilket giver angribere, der bruger dem, en nem måde at gemme sig i åbent øjemed. Mere end noget andet er det dog graden af autonomi, som RMM'er kræver for at udføre deres normale funktioner, som hackere tyr til deres fordel.
"Mange RMM-systemer bruger værktøjer, der er indbygget i operativsystemet," forklarer Erich Kron, fortaler for sikkerhedsbevidsthed hos KnowBe4, til Dark Reading. "Disse, såvel som specialbyggede RMM-værktøjer, har typisk meget høje niveauer af systemadgang, hvilket gør dem meget værdifulde for angribere."
"For at tilføje problemet," bemærker Kron, "er RMM-værktøjer ofte udelukket fra sikkerhedsovervågning, da de kan udløse falske positiver og fremstå ondsindede og usædvanlige, når de udfører deres legitime arbejde."
Sammenlagt "gør det aktiviteterne meget sværere at få øje på, da de smelter sammen med normale computeroperationer," tilføjer han. Organisationer, der formår at opdage forskellen, vil finde yderligere hovedpine i at forhindre ondsindet brug af RMM'er, samtidig med at de opretholder legitim brug af RMM'er over de samme systemer.
Det er da ikke så mærkeligt flere hackere vedtager disse programmer i deres angrebsstrømme. I en 26. januar indberette Cisco Talos, der dækkede deres hændelsesvarsresultater fra fjerde kvartal af 2022, gjorde særligt opmærksom på Syncro, en RMM, de stødte på i næsten 30 % af alle engagementer.
Det var "en betydelig stigning i forhold til tidligere kvartaler," forklarede Talos-forskere. "Syncro var blandt mange andre fjernadgangs- og administrationsværktøjer, inklusive AnyDesk og SplashTop, som modstandere udnyttede til at etablere og vedligeholde fjernadgang til kompromitterede værter."
For at afslutte deres meddelelse foreslog NSA, CISA og MS-ISAC skridt, som netværksforsvarere kan tage for at bekæmpe RMM-aktiverede angreb, herunder:
- God hygiejne og opmærksomhed omkring phishing,
- Identifikation af fjernadgangssoftware på dit netværk, og om det kun indlæses i hukommelsen,
- Implementering af kontroller mod og revision af uautoriserede RMM'er, der kører som en bærbar eksekverbar,
- Kræver, at RMM'er kun skal bruges over godkendte virtuelle private netværk og virtuelle skrivebordsgrænseflader, og
- Blokering af forbindelser på almindelige RMM-porte og protokoller ved netværkets perimeter.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/federal-agencies-infested-cyberattackers-legit-remote-management-systems
- 2022
- 7
- a
- Om
- adgang
- Konto
- Konti
- tværs
- aktiviteter
- aktivitet
- faktisk
- adresse
- Tilføjer
- admin
- Vedtagelsen
- Fordel
- kontradiktorisk
- fortaler
- Efter
- mod
- agenturer
- agentur
- Alle
- tillade
- blandt
- beløb
- analyse
- ,
- og infrastruktur
- vises
- anvendt
- godkendt
- omkring
- angribe
- Angreb
- revision
- revision
- forfatter
- tilladelse
- forfattere
- bevidsthed
- tilbage
- Bank
- bankkonto
- bankkonti
- fordi
- bliver
- være
- mellem
- Blanding
- Bloker
- Branch
- brud
- bygget
- ringe
- ringer
- tilfælde
- center
- Cisco
- kunder
- bekæmpe
- Kom
- kommerciel
- Fælles
- samfund
- sammenlignet
- kompromis
- Kompromitteret
- computere
- computing
- konkluderer
- Tilslut
- tilsluttet
- Tilslutning
- Tilslutninger
- sammenhæng
- kontrol
- kontrol
- kunne
- dækker
- Cyber
- Cybersecurity
- mørk
- Mørk læsning
- Defenders
- Degree
- indsat
- desktop
- Detektion
- forskel
- forskellige
- gør
- domæne
- downloade
- Medarbejder
- medarbejdere
- ender
- etablere
- Endog
- NOGENSINDE
- eksempel
- udelukket
- udførelse
- udøvende
- forklarede
- Forklarer
- Federal
- Filtre
- økonomisk
- Finde
- fundet
- Fjerde
- fra
- funktioner
- yderligere
- Regering
- hackere
- hacking
- hovedpine
- Skjule
- Høj
- historie
- HTTPS
- identificeret
- in
- hændelse
- hændelsesrespons
- Herunder
- Forøg
- Indikatorer
- oplysninger
- Infrastruktur
- installere
- i stedet
- grænseflader
- spørgsmål
- IT
- Jan
- fælles
- bare en
- koreansk
- Efternavn
- Sidste år
- Legit
- niveauer
- lys
- lokale
- Lang
- maskine
- Maskiner
- lavet
- vedligeholde
- maerker
- Making
- administrere
- ledelse
- styringsværktøjer
- mange
- Marketing
- Matter
- Hukommelse
- blot
- modificeret
- ændre
- penge
- Overvåg
- overvågning
- måned
- mere
- mest
- Mest Populære
- motiveret
- multi-state
- flere
- national
- national sikkerhed
- næsten
- netværk
- net
- normal
- Noter
- nummer
- Obvious
- oktober
- tilbyde
- ONE
- online
- drift
- operativsystem
- Produktion
- operatør
- ordrer
- organisationer
- Andet
- egen
- forbi
- Udfør
- måske
- Phishing
- telefon
- Place
- Almindeligt
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- politikker
- Populær
- forebyggelse
- tidligere
- private
- privilegier
- Programmer
- protokoller
- udbydere
- Kvarter
- Læsning
- nylige
- tilbagebetale
- relaterede
- forhold
- frigivet
- fjern
- Remote Access
- kræver
- Krav
- forskere
- svar
- Risiko
- risikostyring
- kører
- samme
- Fup
- problemfrit
- Anden
- sikkerhed
- Sikkerhedsbevidsthed
- tjeneste
- service-udøvere
- Tjenester
- deling
- Syn
- signifikant
- lignende
- Software
- spam
- særligt
- Spot
- Steps
- RESUMÉ
- sommer
- systemet
- Systemer
- Tag
- Talos
- mål
- rettet mod
- prøve
- deres
- trussel
- trusselsaktører
- tre
- Gennem
- tip
- til
- sammen
- værktøjer
- Trafik
- udløse
- udløst
- TUR
- typisk
- typisk
- allestedsnærværende
- us
- os regering
- brug
- Bruger
- udnyttet
- Ved hjælp af
- Værdifuld
- via
- Victim
- ofre
- Virtual
- virtuel desktop
- Sårbar
- advarsel
- Ur
- web
- hvorvidt
- som
- mens
- WHO
- vilje
- inden for
- Arbejde
- år
- år
- Din
- zephyrnet