Nyderlandų nacionalinio kibernetinio saugumo centro veiksmai ir 17 milijonų įrenginių: kam turėtų ruoštis verslas

Nyderlandų policija („Politie“) ir Nacionalinis kibernetinio saugumo centras (NCSC) neseniai atliko koordinuotą smūgį prieš milžinišką botneto infrastruktūrą. Šios operacijos metu Nyderlanduose buvo konfiskuota daugiau nei 200 serverių. Šie serveriai veikė kaip pagrindinė tinklo dalis, pavergusi 17 milijonų įrenginių visame pasaulyje. Šio išardymo mastas yra įspėjimas kiekvienam saugumo vadovui (CISO), kuris pasikliauja tradicine IP reputacija perimetro gynybai.

Per pastaruosius du dešimtmečius mačiau daug botnetų, tačiau šio konkretaus tinklo pobūdis yra kitoks. Tai dalis augančios tendencijos, kai teisėtos paslaugos ir piktavališki kėslai egzistuoja toje pačioje architektūrinėje erdvėje. Ataskaitos sieja šią infrastruktūrą su „Asocks“ – rezidencinių tarpinių serverių (proxy) teikėju. Ryšys tarp „Asocks“ ir „PROXYLIB“ kampanijos, kurią nustatė „HUMAN Satori“ komanda, iliustruoja aiškų grėsmės modelio pokytį. Užpuolikams nebereikia kurti savo specializuotų pristatymo sistemų, kai jie gali tiesiog nusipirkti prieigą prie milijonų švarių rezidencinių IP adresų per komercinę prenumeratą.

Rezidencinių tarpinių serverių botneto veikimo principai

Norėdami suprasti riziką, turite suprasti, kaip šie 17 milijonų įrenginių prisijungė prie tinklo. „PROXYLIB“ kampanijos metu kenkėjiška programa į „Android“ įrenginius dažnai patekdavo per tarpinės programinės įrangos SDK, pavyzdžiui, „LumiApps“. Šie SDK dažnai įterpiami į iš pažiūros nekenksmingas programėles. Kai vartotojas įdiegia programėlę, įrenginis tampa „Asocks“ tinklo mazgu. Vartotojo pralaidumas parduodamas trečiajai šaliai. Nors vartotojas tai gali vertinti kaip būdą uždirbti kelis centus arba gauti nemokamą programėlę, realybė tokia, kad jų įrenginis dabar palengvina piktavališką srautą.

„Asocks“ platforma reklamavo prieigą prie šių įrenginių vos už 5 JAV dolerius per mėnesį. Šis žemas įėjimo barjeras keičia atakos ekonomiką. Atlikdamas įmonių tinklų auditą, matau didelį kiekį bandymų vykdyti slaptažodžių perrinkimą (credential stuffing) ir duomenų rinkimą (scraping). Kai šie bandymai kyla iš duomenų centro, juos lengva blokuoti. Kai jie kyla iš 17 milijonų unikalių rezidencinių įrenginių, jūsų tradicinės WAF taisyklės tampa kliūtimi. Rezidencinis įrenginis pagal nutylėjimą turi aukštą reputaciją, nes jis atrodo kaip teisėtas klientas.

Iššūkis pasitikėjimo rezidenciniais IP adresais prielaidai

Pavojingiausia šių dienų kibernetinio saugumo prielaida yra ta, kad srautas iš rezidencinių interneto tiekėjų (ISP) yra savaime saugesnis nei srautas iš duomenų centrų ar VPN. Metų metus saugumo sprendimų pardavėjai piršo idėją, kad „rezidencinis“ reiškia „žmogus“. Šis išardymas įrodo, kad 17 milijonų rezidencinių įrenginių buvo nusikalstamos infrastruktūros dalis. Teigiu, kad privalome apversti savo pasitikėjimo modelį. Rezidencinis IP adresas dabar yra aukštos rizikos signalas, kai jis elgiasi automatizuotai.

Dauguma senųjų saugumo architektūrų naudoja IP pagrįstą užklausų ribojimą (rate limiting). Jei IP siunčia per daug užklausų, sistema jį blokuoja. Tačiau turėdamas 17 milijonų įrenginių fondą, užpuolikas gali keisti IP adresus kiekvienai užklausai. Nė vienas IP adresas niekada nepasiekia ribojimo slenksčio. Ataka išlieka nematoma pagrindiniams stebėjimo įrankiams. Ši prieigos asimetrija leidžia užpuolikams išlikti nepastebėtiems vykdant didelio masto operacijas. Jei jūsų gynybos strategija remiasi „blogų“ IP nustatymu, jūs kovojate mūšį, kurį jau pralaimėjote.

Architektūrinės pasekmės įmonėms

200 serverių pašalinimas Nyderlanduose suteikia laikiną palengvėjimą, tačiau pagrindinis pažeidžiamumas išlieka. Įrenginiai vis dar yra laisvėje. Kenkėjiška programa vis dar yra milijonuose planšečių, išmaniųjų telefonų ir IoT įrenginių. Jūsų architektūrai tai reiškia, kad perimetras nebėra filtras – tai rėtis.

Privalome pereiti prie elgsenos verifikavimo modelio. Užuot klaususi „Iš kur ateina ši užklausa?“, sistema turi klausti „Ką ši užklausa daro?“. Tam reikalinga gili taikomojo sluoksnio elgsenos patikra. Jei rezidencinis IP kreipiasi į API tokiu dažnumu ar seka, kuri neatitinka įprastos žmogaus elgsenos, sistema turi suaktyvinti iššūkį, pavyzdžiui, darbo įrodymą (proof-of-work) arba sudėtingą CAPTCHA.

Mikrosegmentacija yra vienintelis perspektyvus vidinės gynybos kelias. Jei įrenginis jūsų tinkle tampa tokio botneto kaip „PROXYLIB“ dalimi, jo pagrindinis tikslas dažnai yra judėjimas į šonus (lateral movement) arba duomenų eksfiltracija. Daugelyje korporatyvinių aplinkų užkrėstas išmanusis telefonas svečių „Wi-Fi“ tinkle turi tiesioginį kelią į vidinį serverių VLAN. Esu atlikęs įsilaužimo testus, kurių metu vienas pažeistas IoT spausdintuvas suteikė atramą, reikalingą domeno valdiklio duomenų išgavimui. Kiekvieną įrenginį savo tinkle turite vertinti kaip potencialų 17 milijonų narių turinčio botneto mazgą.

Paslėpta IoT ir neatnaujintų tinklo pakraščio įrenginių rizika

NCSC pažymėjo, kad botnetai dažnai gauna prieigą per neatnaujintus tinklo pakraščio įrenginius ir silpnus slaptažodžius. Tai yra pagrindinė higiena, kurią daugelis organizacijų vis dar ignoruoja. Maršruto parinktuvai ir IoT įrenginiai yra silpniausios grandys, nes jiems dažnai trūksta telemetrijos, kurią turi valdomos darbo vietos. Nešiojamasis kompiuteris turi EDR agentą; išmanusis termostatas – ne.

Savo, kaip CISO, darbo metu pastebėjau, kad sunkiausia saugumo dalis yra ne sudėtingi „nulinės dienos“ (zero-day) išnaudojimai. Tai tūkstančiai mažų, nevaldomų įrenginių, kurie pamažu kaupiasi tinkle. Kiekvienas iš jų yra potencialus tarpinio serverio mazgas. Kai Nyderlandų valdžios institucijos išardė „Asocks“ infrastruktūrą, jos nesutvarkė pažeidžiamų įrenginių. Jos tik pašalino valdymo ir kontrolės (C2) mechanizmą. Nauji grėsmių sukėlėjai neišvengiamai skenuos tuos pačius pažeidžiamumus, kad sukurtų kitą tinklą.

Veiksmų planas kitiems 12 mėnesių

Išgyvenimas šioje aplinkoje priklauso nuo to, ar judėsite greičiau nei užpuolikai spėja keisti savo infrastruktūrą. Rekomenduoju CISO ir CTO per ateinančius metus atlikti šiuos veiksmus, kad būtų sušvelninta sisteminė rizika, kurią kelia masiniai proxy botnetai.

• Peržiūrėkite išorinių IP reputacijos taisykles: Peržiūrėkite savo WAF ir botų valdymo nustatymus. Jei į baltuosius sąrašus įtraukėte rezidencinių IP rėžius arba jei jiems taikote mažesnę patikrą, nedelsdami pašalinkite šias taisykles. Įdiekite principą „visada tikrinti“, nepriklausomai nuo šaltinio IP reputacijos.
• Įdiekite taikomojo sluoksnio pirštų atspaudų nustatymą: Naudokite įrankius, kurie gali atpažinti automatizuotas naršykles ir botus pagal jų vykdymo modelius, o ne pagal jų IP adresus. Ieškokite neatitikimų TLS pasisveikinimuose ir HTTP antraštėse.
• Vykdykite griežtą mikrosegmentaciją: Izoliuokite IoT ir svečių įrenginius nuo gamybinių aplinkų. Naudokite „Zero Trust“ architektūrą, kur kiekvienam vidiniam ryšiui reikalingas aiškus autentifikavimas ir autorizavimas. Pažeistas išmanusis telefonas neturi turėti galimybės skenuoti vidinio tinklo.
• Skenuokite korporatyvinį turtą dėl tarpinės programinės įrangos: Naudokite EDR ir MDM įrankius, kad ieškotumėte žinomų proxyware SDK ir programėlių, siūlančių „pasyvias pajamas“ už pralaidumo dalijimąsi. Sukurkite politiką, kuri aiškiai draudžia šias programas bet kuriame įrenginyje, pasiekiančiame įmonės duomenis.
• Keiskite tinklo pakraščio įrenginių kredencialus ir atnaujinkite programinę įrangą: Atlikite išsamų visų pakraščio įrenginių auditą, įskaitant namų biuro maršruto parinktuvus, kuriuos naudoja nuotoliniai darbuotojai. Įsitikinkite, kad juose įdiegta naujausia programinė įranga, o numatytieji slaptažodžiai pakeisti sudėtingomis, unikaliomis sekomis.
• Stebėkite išeinantį srautą dėl tarpinių serverių modelių: Ieškokite neįprastų išeinančių ryšių su žinomais proxy paslaugų teikėjų domenais ar infrastruktūra. Didelis išeinančio srauto kiekis iš mažos galios IoT įrenginio yra aiškus pažeidimo indikatorius.

Nauja infrastruktūros atsparumo realybė

Nyderlandų valdžios institucijos padarė paslaugą pasaulinei bendruomenei išardydamos šį konkretų botnetą. Tačiau turime tai vertinti kaip vieną mūšį ilgame sekinimo kare. 17 milijonų įrenginių atstovauja milžinišką paviršiaus plotą, kuris išlieka pažeidžiamas kitai kampanijai.

Architektūra yra vienintelis nuolatinis sprendimas. Negalite sutvarkyti kiekvieno įrenginio pasaulyje ir negalite sustabdyti kiekvienos kenkėjiškos programos infekcijos. Tačiau galite suprojektuoti savo sistemas taip, kad saugumo pažeidimas netaptų katastrofa. Susitelkdami į elgseną, o ne į reputaciją, ir į segmentaciją, o ne į perimetrus, sukursite tinklą, kuris išliks atsparus net tada, kai pasaulis bus pilnas 17 milijonų mazgų botnetų.

Šaltiniai:

• Nyderlandų nacionalinis kibernetinio saugumo centras (NCSC)
• Politie (Nyderlandų nacionalinė policija)
• HUMAN Satori Threat Intelligence Team
• NL Times

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams ir švietimo tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar incidentų valdymo paslaugų.