Nos últimos dias o Departamento de Segurança Interna dos Estados Unidos (DHS) e a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) confirmaram os ataques cibernéticos nos EUA causados por atores maliciosos que introduziram um backdoor em um software de update de um produto de gerenciamento chamado SolarWinds Orion.
Também foi noticiado que muitas agências governamentaisdos EUA e a empresa FireEye foram invadidas com o uso desse backdoor aplicado no produto. Fontes anônimas citadas pela imprensa americana apontam que o ataque pode ter sido patrocinado por National State Hackers russos.
O Backdoor plantado no update da SolarWinds é um exemplo de como muitos softwares maliciosos (Malwares) agem. Um funcionário distraído pode a qualquer momento abrir um email contendo um link que pode instalar um backdoor similar.
A empresa FireEye confirmou que os atores roubaram ferramentas utilizadas pelo Red Team da empresa o que pode representar um perigo em mãos erradas, pois não sabemos se o invasor pretende usar as ferramentas roubadas ou apenas divulgá-las publicamente, a FireEye está lançando centenas de contramedidas e compartilhando essas contramedidas com parceiros, agências governamentais a fim de para limitar significativamente a capacidade dos atacantes utilizarem as ferramentas.
Embora o ataque tenha sido iniciado por meio de uma atualização de software que possui um trojan, o ataque contou com a técnica de movimentação lateral para ações subsequentes. O ataque de movimentação lateral utilizou uma credencial válida e legitima.
Segundo os logs da Microsoft, os hackers nesse ataque fizeram modificações no Azure Active Directory criando recursos avançados como Federation Trust e adicionaram credenciais para aplicações OAuth para aplicações ou Service Principal
Em logs observados pela Microsoft após a invasão, os invasores obtiveram acesso administrativo usando credenciais de conta com privilégios comprometidos ou forjando tokens SAML usando certificados de assinatura de tokens SAML comprometidos. Ainda pensando em manter o acesso a longo prazo, os atacantes fizeram modificações no Azure Active Directory criando recursos avançados como Federation Trust e adicionaram credenciais para aplicações OAuth para aplicações ou Service Principal”
Usando a conta de administrador global e / ou o certificado confiável para representar contas altamente privilegiadas, os hackers puderam adicionar suas próprias credenciais a aplicativos ou recursos e serviço existentes.
Está cada vez mais comum esse tipo de ataque e ainda temos agora o perigo das ferramentas de Red Team da FireEye que hoje estão nas mãos desses atores. Essas violações nos alertam para que tenhamos uma visão mais aprofundada sobre o que acontece em os nossos ambientes corporativos uma vez que existe maior potencial de exploração de credenciais como.
- Reconhecimento e exploração do Active Directory
- Roubo de credenciais
- Exploração do Kerberos
As credenciais legitimas são difíceis de monitorar nativamente e por isso além da proteção em camadas usando controles de segurança que certamente já faz parte do seu ambiente vale seguir algumas recomendações de segurança:
- Garanta que as contas de serviço e os principais de serviço com direitos administrativos estejam bem protegidas e monitoradas
- Monitore contas de serviço e logins
- Reduza a área de superfície removendo / desabilitando aplicativos não usados ou desnecessários
- Detecte e emita alertas sobre vulnerabilidades comuns de autenticação do Kerberos usadas durante ataques Golden Ticket/Pass-the-ticket.
- Controle a atividade de usuários e administradores com informações detalhadas de eventos de alteração, além dos valores originais e atuais de todas as alterações.
- Observe atividades de usuário não autorizadas ou suspeitas, como criação de arquivos fora dos limites, usando extensões de arquivo de ataques de ransomware conhecidos, início de processos suspeitos ou comandos PowerShell estranhos
Seja o primeiro a comentar