Nīderlandes Nacionālā kiberdrošības centra darbības un 17 miljoni ierīču: kam uzņēmumiem vajadzētu sagatavoties

Nīderlandes policija (Politie) un Nacionālais kiberdrošības centrs (NCSC) nesen veica koordinētu triecienu pret masveida botnetu infrastruktūru. Šīs operācijas ietvaros tika konfiscēti vairāk nekā 200 serveri, kas atradās Nīderlandē. Šie serveri darbojās kā aizmugursistēma tīklam, kas visā pasaulē bija pakļāvis 17 miljonus ierīču. Šīs likvidēšanas mērogs ir brīdinājums ikvienam CISO (informācijas drošības vadītājam), kurš perimetra aizsardzībai paļaujas uz tradicionālo IP reputāciju.

Pēdējo divu desmitgažu laikā esmu redzējis daudzus botnetus, taču šī konkrētā tīkla raksturs ir atšķirīgs. Tā ir daļa no pieaugošas tendences, kur leģitīmi pakalpojumi un ļaundabīgi nodomi pastāv vienā arhitektūras telpā. Ziņojumi saista šo infrastruktūru ar Asocks — rezidenciālo starpniekserveru (residential proxy) pakalpojumu sniedzēju. Saikne starp Asocks un PROXYLIB kampaņu, ko identificēja HUMAN Satori komanda, ilustrē skaidru maiņu apdraudējumu modelī. Uzbrucējiem vairs nav jāveido savas pielāgotas piegādes sistēmas, ja viņi var vienkārši nopirkt piekļuvi miljoniem tīru, rezidenciālu IP adrešu, izmantojot komerciālu abonementu.

Rezidenciālo starpniekserveru botneta mehānika

Lai izprastu risku, ir jāsaprot, kā šie 17 miljoni ierīču pievienojās tīklam. PROXYLIB kampaņā ļaunprogramatūra Android ierīcēs bieži nonāca, izmantojot starpniekprogrammatūras SDK, piemēram, LumiApps. Šie SDK bieži ir iegulti šķietami nekaitīgās lietotnēs. Tiklīdz lietotājs instalē lietotni, ierīce kļūst par mezglu Asocks tīklā. Lietotāja joslas platums tiek pārdots trešajai pusei. Lai gan lietotājs to var uzskatīt par veidu, kā nopelnīt dažus centus vai piekļūt bezmaksas lietotnei, realitāte ir tāda, ka viņa ierīce tagad veicina ļaundabīgu trafiku.

Asocks platforma reklamēja piekļuvi šīm ierīcēm par cenu, kas sākās no 5 ASV dolāriem mēnesī. Šis zemais ienākšanas slieksnis maina uzbrukuma ekonomiku. Veicot uzņēmumu tīklu auditēšanu, es redzu ievērojamu apjomu akreditācijas datu uzkrāšanas (credential stuffing) un datu skrāpēšanas (scraping) mēģinājumu. Ja šie mēģinājumi nāk no datu centra, tos ir viegli bloķēt. Ja tie nāk no 17 miljoniem unikālu rezidenciālo ierīču, jūsu tradicionālie WAF noteikumi kļūst par apgrūtinājumu. Rezidenciālai ierīcei pēc noklusējuma ir augsta reputācija, jo tā izskatās pēc leģitīma klienta.

Rezidenciālās uzticamības pieņēmuma apšaubīšana

Bīstamākais pieņēmums mūsdienu kiberdrošībā ir tāds, ka trafiks no rezidenciālajiem ISP ir pēc būtības drošāks nekā trafiks no datu centriem vai VPN. Gadiem ilgi drošības risinājumu pārdevēji ir pārdevuši ideju, ka "rezidenciāls" ir vienāds ar "cilvēks". Šī likvidēšana pierāda, ka 17 miljoni rezidenciālo ierīču bija daļa no kriminālas infrastruktūras. Es uzskatu, ka mums ir jāapvērš mūsu uzticības modelis. Rezidenciāla IP adrese tagad ir augsta riska signāls, ja tā uzvedas automatizēti.

Lielākā daļa mantoto drošības arhitektūru izmanto uz IP balstītu ātruma ierobežošanu (rate limiting). Ja IP sūta pārāk daudz pieprasījumu, sistēma to bloķē. Tomēr ar 17 miljonu ierīču fondu uzbrucējs var mainīt IP adresi katram pieprasījumam. Neviena atsevišķa IP adrese nekad nesasniedz ātruma ierobežojuma slieksni. Uzbrukums paliek neredzams pamata uzraudzības rīkiem. Šī piekļuves asimetrija ļauj uzbrucējiem saglabāt slepenību, veicot liela mēroga operācijas. Ja jūsu aizsardzības stratēģija balstās uz "slikto" IP identificēšanu, jūs cīnāties kaujā, kuru jau esat zaudējuši.

Arhitektūras ietekme uz uzņēmumu

200 serveru noņemšana Nīderlandē sniedz īslaicīgu atvieglojumu, taču pamatā esošā ievainojamība saglabājas. Ierīces joprojām atrodas apritē. Ļaunprogramatūra joprojām ir miljonos planšetdatoru, viedtālruņu un IoT ierīču. Jūsu arhitektūrai tas nozīmē, ka perimetrs vairs nav filtrs — tas ir siets.

Mums ir jāpāriet uz uzvedības pārbaudes modeli. Tā vietā, lai jautātu "No kurienes nāk šis pieprasījums?", sistēmai ir jājautā "Ko šis pieprasījums dara?". Tam nepieciešama padziļināta lietojumprogrammas slāņa uzvedības pārbaude. Ja rezidenciāla IP adrese piekļūst API ar biežumu vai secībā, kas neatbilst tipiskai cilvēka uzvedībai, sistēmai ir jāaktivizē pārbaude, piemēram, darba apliecinājums (proof-of-work) vai sarežģīta CAPTCHA.

Mikrosegmentācija ir vienīgais dzīvotspējīgais ceļš iekšējai aizsardzībai. Ja ierīce jūsu tīklā kļūst par daļu no botneta, piemēram, PROXYLIB, tās galvenais mērķis bieži ir laterālā kustība vai datu eksfiltrācija. Daudzās korporatīvajās vidēs inficētam viedtālrunim viesu Wi-Fi tīklā ir tiešs ceļš uz iekšējo serveru VLAN. Esmu veicis ielaušanās testus, kuros viena kompromitēta IoT printera nodrošināja nepieciešamo atbalsta punktu, lai izgūtu domēna kontrollera datus. Jums ir jāizturas pret katru ierīci savā tīklā kā pret potenciālu mezglu 17 miljonu ierīču botnetā.

IoT un neielāpītu malu ierīču slēptais risks

NCSC atzīmēja, ka botneti bieži iegūst piekļuvi caur neielāpītām malu (edge) ierīcēm un vājām parolēm. Tā ir pamata higiēna, kuru daudzas organizācijas joprojām ignorē. Maršrutētāji un IoT ierīces ir vājākie posmi, jo tiem bieži trūkst telemetrijas, kas atrodama pārvaldītās darbstacijās. Klēpjdatoram ir EDR aģents; viedajam termostatam tāda nav.

Savā CISO pieredzē esmu secinājis, ka grūtākā drošības daļa nav sarežģīta nulles dienas ievainojamība. Tie ir tūkstošiem mazu, nepārvaldītu ierīču, kas lēnām uzkrājas tīklā. Katra no tām ir potenciāls starpniekservera mezgls. Kad Nīderlandes iestādes likvidēja Asocks aizmugursistēmu, tās nesalaboja ievainojamās ierīces. Tās tikai noņēma vadības un kontroles (C2) mehānismu. Jauni draudu izpildītāji neizbēgami meklēs šīs pašas ievainojamības, lai izveidotu nākamo tīklu.

Rīcības plāns nākamajiem 12 mēnešiem

Izdzīvošana šajā vidē ir atkarīga no tā, vai spējat kustēties ātrāk, nekā uzbrucēji spēj mainīt savu infrastruktūru. Es iesaku CISO un CTO nākamā gada laikā veikt šādus pasākumus, lai novērstu sistēmisko risku, ko rada masveida starpniekserveru botneti.

• Auditējiet ārējo IP reputācijas noteikumus: Pārskatiet savus WAF un botu ierobežošanas iestatījumus. Ja esat iekļāvuši rezidenciālo IP diapazonus baltajā sarakstā vai ja izturaties pret tiem ar mazāku rūpību, nekavējoties noņemiet šos noteikumus. Ieviesiet "vienmēr pārbaudīt" pieeju neatkarīgi no avota IP reputācijas.
• Ieviesiet lietojumprogrammas slāņa pirkstu nospiedumu noņemšanu: Ieviesiet rīkus, kas var identificēt automatizētas pārlūkprogrammas un botus, pamatojoties uz to izpildes modeļiem, nevis to IP adresēm. Meklējiet neatbilstības TLS rokasspiedienos un HTTP galvenēs.
• Ieviesiet stingru mikrosegmentāciju: Izolējiet IoT un viesu ierīces no produkcijas vidēm. Izmantojiet Zero Trust arhitektūru, kur katram iekšējam savienojumam nepieciešama skaidra autentifikācija un autorizācija. Kompromitētam viedtālrunim nedrīkst būt iespēja skenēt iekšējo tīklu.
• Skenējiet korporatīvos aktīvus, meklējot starpniekprogrammatūru: Izmantojiet EDR un MDM rīkus, lai meklētu zināmus starpniekprogrammatūras SDK un lietotnes, kas piedāvā "pasīvos ienākumus" par joslas platuma koplietošanu. Izveidojiet politiku, kas skaidri aizliedz šīs lietotnes jebkurā ierīcē, kas piekļūst korporatīvajiem datiem.
• Mainiet malu ierīču akreditācijas datus un atjauniniet programmaparatūru: Veiciet visaptverošu visu malu ierīču auditu, ieskaitot mājas biroja maršrutētājus, ko izmanto attālinātie darbinieki. Pārliecinieties, ka tiem ir jaunākā programmaparatūra un noklusējuma paroles ir nomainītas pret sarežģītām, unikālām rakstzīmju virknēm.
• Pārraugiet izejošo trafiku, meklējot starpniekserveru modeļus: Meklējiet neparastus izejošos savienojumus ar zināmiem starpniekserveru pakalpojumu sniedzēju domēniem vai aizmugursistēmas infrastruktūru. Liels izejošā trafika apjoms no mazjaudīgas IoT ierīces ir skaidrs kompromitēšanas rādītājs.

Jauna infrastruktūras noturības realitāte

Nīderlandes iestādes ir sniegušas pakalpojumu globālajai kopienai, izjaucot šo konkrēto botnetu. Tomēr mums tas ir jāuztver kā viena kauja ilgā novājināšanas karā. Iesaistītie 17 miljoni ierīču pārstāv milzīgu virsmu, kas joprojām ir neaizsargāta pret nākamo kampaņu.

Arhitektūra ir vienīgais pastāvīgais risinājums. Jūs nevarat ielāpīt katru ierīci pasaulē un nevarat apturēt katru ļaunprogramatūras infekciju. Tomēr jūs varat izstrādāt savas sistēmas tā, lai kompromitēšana nenovestu pie katastrofas. Koncentrējoties uz uzvedību, nevis reputāciju, un segmentāciju, nevis perimetriem, jūs veidojat tīklu, kas paliek noturīgs pat tad, ja pasaule ir pilna ar 17 miljonu mezglu botnetiem.

Avoti:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.