În data de 19 aprilie 2018, NCCIC (Centrul Național de Securitate Cibernetică și Comunicații Integrate - National Cybersecurity and Communications Integration Center) și FBI (Biroul Federal de Investigații) au fost notificate cu privire la activități cibernetice malițioase, precum redirectarea cererilor DNS către infrastructuri proprii, prin crearea tunelurilor GRE pentru obținerea de informații sensibile, precum fișierele de configurare sau lista dispozitivelor din rețea.
Ca urmare a acestor evenimente, dar și a alertelor tehnice realizate pe baza analizelor derulate de Departamentul pentru Securitate Internă (DHS - Department of Homeland Security), FBI și Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC - United Kingdom’s National Cyber Security Centre), CERT-RO a elaborat prezenta alertă de securitate cibernetică.
Rolul acesteia este de a furniza informații privind exploatarea la nivel mondial a dispozitivelor de rețea (ex. router, switch, firewall, dispozitive de detecție a intruziunilor de rețea - NIDS) de către actori cibernetici susținuți la nivel statal.
Țintele sunt în primul rând organizațiile guvernamentale și din sectorul privat, furnizorii de infrastructură critică și furnizorii de servicii internet (ISP – Internet Service Providers) care susțin aceste sectoare.
În conținut veți regăsi detalii privind tacticile, tehnicile și procedurile (TTP) folosite de actorii cibernetici mai sus menționați.
Victimele au fost identificate printr-o serie de acțiuni coordonate între SUA și partenerii internaționali.
Prezenta alertă se bazează pe
Atacatorii se folosesc de routere compromise, pentru a efectua atacuri de tip "man-in-the-middle" cu scopul de a extrage date din rețelele-victimă și mențin accesul la acestea pentru utilizarea lor în eventuale acțiuni ofensive.
Încă din anul 2015, au fost înregistrate date, atât din sectorul public și cel privat, cu privire la atacuri coordonate de actori statali. Acestea vizează echipamente de rețea enterprise și SOHO (en. Small Office Home Office) și au ca principal obiectiv extragerea de date și furt de proprietate intelectuală.
Practic, atacatorii exploatează protocoale învechite sau slabe, porturi asociate serviciilor sau activităților de administrare și proceduri inadecvate de securizate, pentru a:
Acești atacatori nu utilizează vulnerabilități de tip zero-day sau malware instalat pe dispozitivele victimă, ci următoarele elemente:
Dispozitivele de rețea reprezintă ținte ideale. De obicei, mare parte a traficului organizațional traversează aceste dispozitive critice.
Un actor rău intenționat, prezent în routerul perimetral al unei organizații, are capacitatea de a monitoriza, modifica și refuza traficul către și de la organizație.
Instituțiile care utilizează protocoale învechite, necriptate, pentru a gestiona stațiile și serviciile, oferă oportunității de recoltare a datelor de autentificare acestor actori.
Dacă un atacator controlează router-ul dintr-o infrastructură critică ICS-SCADA, pagubele pot fi semnificative, manipularea mesajelor vehiculate putând duce la întreruperea unui serviciu critic sau chiar la distrugerea fizică.
Dispozitivele de rețea sunt de cele mai multe ori ținte ușoare, acestea fiind omise în procesul de întreținere și actualizare, spre deosebire de sistemele desktop sau server. Mai mult decât atât, aceste dispozitive nu dispun de un antivirus, sau alte instrumente de verificare a integrității sau securității.
Din nefericire, producătorii de dispozitive livrează adesea sistemele cu servicii exploatabile, pentru a ușura instalarea, utilizarea și administrarea acestora. În consecință, foarte mulți utilizatori și administratori de infrastructuri nu modifică setările implicite ale dispozitivelor, ce duce la exploatarea acestora. Un rol important îl are și ISP-istul, care nu înlocuiește dispozitivele clienților care sunt depășite și scoase din lista de dispozitive suportate de producător.
Un alt element important ce oferă oportunitate atacatorilor este dat de modul de investigare și remediere a incidentelor de securitate, prin care dispozitivele de rețea sunt cel mai adesea ignorate.
De regulă, în prima fază a unui atac informatic atacatorii execută scanări ale țintei, pentru a identifica porturile și serviciile deschise către Internet, respectiv pentru a culege cât mai multe informații despre dispozitivele potențial vulnerabile. De cele mai multe ori, protocoalele vizate în această fază sunt următoarele:
- Telnet (portul 23/TCP)
- Hypertext Transport Protocol (HTTP, portul 80/TCP)
- Simple Network Management Protocol (SNMP, porturile 161/TCP și 162/TCP)
- Cisco Smart Install (SMI, portul 4786)
În aceeași măsură, mesajele de întâmpinare la autentificare sau bannerele pot divulga date importante cu privire la versiunea dispozitivului, a software-ului instalat pe acesta sau despre producător.
De asemenea, fișierele de configurare obținute în campanii malițioase anterioare pot fi utilizate pentru calibrarea scanărilor ulterioare.
Mai multe organizații de securitate informatică, guvernamentale și private, au identificat în internet pachete de date specifice protocoalelor SNMP și SMI, dar modificate astfel încât dispozitivele vizate să trimită atacatorilor fișierele de configurare, utilizând protocoale pentru transferul fișierelor așa cum este Trivial File Transfer Protocol (TFTP, port 69/UDP).
În cazul în care traficul SNMP care provine din exteriorul rețelei locale este blocat, atacatorii modifică datagramele UDP, astfel încât adresa IP sursă să fie înlocuită cu una privată, similară rețelei țintă. De asemenea, în ceea ce privește protocolul SMI (un protocol fără autentificare), adresele IP sursă pot fi susceptibile la atacuri informatice de tip spoofing.
Obținerea fișierelor de configurare reprezintă o resursă importantă pentru un potențial atacator, deoarece acestea pot include date valoroase despre dispozitivul vizat precum valori hash corespunzătoare parolelor, informații SNMP de tip community strings etc. Acestea pot fi utilizate pentru obținerea unor parole derivate, cartografierea rețelei sau alte procese care ar facilita exploatarea unei ținte.
Crearea unui profil de utilizator cât mai apropiat de cel al unui utilizator legitim reprezintă prima metodă prin care un potențial atacator poate încerca să exploateze dispozitivul vizat. Mai mult, în anumite cazuri, atacatorii din mediul cibernetic utilizează metode de atac de tip brute-force, pentru obținerea credențialelor de Telnet sau SSH.
Cu toate acestea, de obicei, aceștia obțin mult mai ușor credențialele necesare pentru accesarea routerelor, în condițiile în care foarte multe echipamente sunt configurate cu credențiale și conturi de administrator implicite, politici pentru setarea parolelor slabe sau inexistente etc.
De asemenea, așa cum am menționat anterior, parole legitime pot fi extrase din fișierele de configurare, fie transmise în Internet de către operatori și proprietari, fie obținute prin scanări SNMP și SMI.
Odată obținute, credențialele îi pot facilita unui atacatorconectarea de la distanță, prin protocoale ca Telnet, SSH sau chiar interfața web pentru management.
SMI reprezintă un protocol proprietar Cisco de management, unul care nu include autentificarea. Acest protocol prezintă o caracteristică ce permite administratorilor de rețea să descarce și să suprascrie orice fișier pe orice ruter sau switch Cisco care suportă această caracteristică. Ea este concepută cu scopul de a permite administratorilor de rețea să instaleze și să configureze de la distanță dispozitive noi și fișiere noi ale sistemului de operare.
Drept urmare, în 18 noiembrie 2016 a apărut în Internet un instrument de exploatare SIET (Smart Install Exploitation Tool). Acesta se bazează pe lipsa autentificării din protocolul SMI. Organizații comerciale și guvernamentale au remarcat atacatori ce foloseau de SIET pentru a descărca fișiere de configurare exploatând vulnerabilitatea SMI.
Orice atacator se poate folosi de aceste capabilități, pentru a suprascrie fișiere ce pot modifica configurațiile dispozitivelor sau pentru a încărca sisteme de operare sau firmware-uri modificate în mod malițios.
În plus, aceste dispozitive de rețea au un sistem de fișiere a cărui structură permite stocarea malware-urilor destinate altor platforme, permițând astfel răspândirea lor până la nivelul unei rețele vizate.
Atacatorii se dau drept utilizatori legitimi care se autentifică la nivelul unui dispozitiv sau care stabilesc conexiunea prin intermediul unei imagini a sistemului de operare, încărcat anterior printr-un backdoor.
Odată conectat cu succes la dispozitiv, atacatorul poate executa comenzi în mod privilegiat și creează un scenariu de tip man-in-the-middle, care le permite să efectueze următoarele operațiuni:
La acest nivel, atacatorul nu are restricții în modificarea sau blocarea traficului către și de la victimă. Deși încă nu au fost semnalate astfel de activități, este recunoscut faptul că, din punct de vedere tehnic, acest lucru este posibil.
Verificați jurnalele digitale corespunzătoare și cele de netflow, pentru a identifica traficul TCP pe portul 23 (specific protocolului Telnet) către toate dispozitivele de rețea. Cu toate că traficul Telnet poate fi direcționat către alte porturi (ex. 80 specific protocolului HTTP), ținta primară a atacurilor este reprezentată în continuare de portul 23. De asemenea, trebuie inspectate sesiunile deschise și toate încercările de autentificare la echipamente de tip Telnet.
Deoarece protocolul Telnet este necriptat, acesta poate dezvălui șiruri de caractere de tip CLI (Command Line) specifice, ce ajută la identificarea echipamentului țintă. Alte date sensibile, prezente în traficul către interfață, sunt: procedurile de autentificare, date de autentificare, comenzi pentru afișarea fișierelor de configurare, metode de creare și distrugere a tunelelor GRE etc.
În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.
Verificați jurnalele digitale corespunzătoare și cele de netflow pentru a identifica traficul UDP pe porturile 161 sau 162 (specific protocolului SNMP) către toate dispozitivele de rețea. Deoarece protocolul SNMP este unul de administrare, orice trafic de acest tip (care nu are ca sursă un sistem propriu de administrare) trebuie inspectat. Mai mult decât atât, verificați traficul SNMP pentru a identifica adrese spoof-ate din propria rețea.
Verificați traficul către Internet care are ca sursă echipamentele de rețea, pentru a identifica trafic UDP TFTP. Corelarea între trafic către rețea de tip SNMP și dinspre aceasta de tip TFTP către Internet reprezintă un semnal de alarmă ce necesită o investigare mai amănunțită.
În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.
Deoarece traficul TFTP este necriptat, acesta dezvăluie șiruri de caractere specifice, care ajută la identificarea echipamentului țintă. În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.
Verificați jurnalele digitale corespunzătoare și cele de netflow, pentru a identifica traficul SMI pe portul TCP 4786 către toate dispozitivele de rețea. Deoarece protocolul SMI este unul de administrare, orice trafic de acest tip (care nu are ca sursă un sistem propriu de administrare) trebuie inspectat.
De asemenea, verificați traficul UDP TFTP realizat de echipamentele de rețea către sisteme din Internet. Corelarea între trafic către rețea de tip SMI și dinspre aceasta de tip TFTP către Internet reprezintă un semnal de alarmă ce necesită o investigare mai amănunțită. Între 29 iunie și 06 iulie 2017 protocolul SMI a fost utilizat de atacatori pentru identificarea dispozitivelor vulnerabile de rețea. Astfel au fost identificate două sisteme (91.207.57.69 și 176.223.111.160) cu conexiuni pe portul 4786, către numeroase game de adrese IP.
În Anexa D regăsiți indicator de compromitere specifici protocolului SMI.
Deoarece traficul TFTP este necriptat, acesta dezvăluie șiruri de caractere specifice ce ajută la identificarea echipamentului țintă. În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.
Pentru a verifica prezența protocolului SMI, urmați acești pași:
show vstack config | inc Role
Prezența șirului „Role: Client (SmartInstall enabled)” indică faptul că opțiunea Smart
Install este configurată.
show tcp brief all
Dacă identificați șirul „*:4786”, SMI utilizează portul TCP 4786.
Comenzile mai sus enumerate indică doar utilizarea protocolului SMI, nu și dacă dispozitivul este compromis.
Pentru a detecta utilizarea protocolului SMI se poate utiliza următoarea semnătură:
alert tcp any any -> any 4786 (msg:"Smart Install Protocol"; flow:established,only_stream; content:"|00 00 00 01 00 00 00 01|"; offset:0; depth:8; fast_pattern;)
Pentru mai multe detalii consultați recomandările CISCO de detecție SMI [9].
Pentru a identifica utilizarea comenzilor SIET change_config, get_config, update_ios, și execute, se pot utiliza următoarele semnături:
alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)
alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)
alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content:"|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)
Semnăturile prezentate mai sus au sursa și destinația setate ca any, pentru detectarea tuturor instanțelor, cu toate că, în general, atacurile de exploatare a instrumentelor SIET au loc din afara rețelei.
Verificați prezența traficului pe portul 47 dinspre/către stații neidentificate, sau prezența evenimentelor de creare, modificare sau distrugere a tunelelor de tip GRE în jurnalele digitale.
Instrucțiuni generale
Următoarele măsuri de remediere sunt adresate ISP-urilor, proprietarilor, operatorilor și producătorilor de dispozitive de rețea:
Pentru IPS-iști (furnizori de servicii internet)
Utilizatori obișnuiți
Datele specificate de alertă pentru anexele A-D se regăsesc în alerta emisă de US-CERT.
[3] Internet Edge Device Security. United Kingdom. National Cyber Security Centre. May 12, 2017.
[5] Routers Targeted. Australian Cyber Security Centre. August 16, 2017.
[7] Routers Targeted. Australian Cyber Security Centre. August 16, 2017.
[8] Cisco Smart Install Protocol Misuse. NSA, IAD. August 7, 2017.
[12] US-CERT. Report Phishing.
[14] https://www.us-cert.gov/sites/default/files/publications/TA18-106A_TLP_WHITE.stix.xml
[15] https://www.us-cert.gov/ncas/alerts/TA13-175A
Postat în: alerte cybersecurity awareness vulnerabilitate alerte alerta
Vizualizat de 9806 ori