L’efficacia di un attacco informatico non è necessariamente legata alla complessità tecnica con cui viene eseguito. Gli attacchi informatici, soprattutto quelli mirati, sono costituiti da una sequenza quasi artistica di eventi dove si mescolano competenze tecniche, intuito e abilità relazionali.
Nel contesto degli attacchi mirati, dove il target è selezionato in virtù dello scopo ultimo dell’attacco (fare soldi), questo modus operandi è forse più evidente. Così lo è anche la tendenza all’efficienza dell’azione d’attacco nella sua interezza, dalle fasi “perlustrative” alle fasi operative come il sabotaggio o il furto di informazioni sensibili o segrete.
Indice degli argomenti
Nuove tecniche di attacco e arte dell’inganno
Nel corso del 2019, avendo avuto l’opportunità di analizzare un discreto numero di intrusioni per lo più finalizzate al furto di informazioni e all’estorsione (o una combinazione delle due), ho potuto notare come molti attacchi si sviluppano, nelle fasi iniziali, utilizzando tecniche di social engineering allo scopo di guadagnare una posizione all’interno del perimetro del target.
Il trend sembra essere l’utilizzo dell’inganno per ottenere un accesso tecnicamente semplice per poi scorrazzare indisturbati nella rete vittima.
Di per sé il modello è sicuramente più pratico: le infrastrutture informatiche delle aziende con il tempo diventano più resilienti (mai abbastanza ad essere sinceri, ma questo è un altro tema che meriterebbe un articolo dedicato) ed è sempre più complesso individuare falle da sfruttare immediatamente o che possano avere un evidente impatto sul target.
Mettendo a fattor comune i risultati di un’analisi della superficie d’attacco completa (che comprenda non i soli temi tecnici ma anche le procedure aziendali), le skills dei dipendenti, le passioni delle figure di management e molti altre informazioni che tipicamente emergono in un percorso di ethical hacking sfruttando tecniche come OSInt assieme ad una buona dose di esperienza, è possibile confrontare i punti deboli legati alla tecnologia (le vulnerabilità dei software) con i punti deboli che riguardano il fattore umano: abitudini, procedure, competenze, relazioni.
L’esito di questo confronto, non banale in termini di investimento di energie e competenze specifiche, consente di individuare punti deboli molto semplici da sfruttare anche solo per fare quel passettino iniziale, il proverbiale “piede nella porta”, da cui si svilupperanno ulteriori azioni.
Le energie spese sono ripagate in efficienza in quanto sarà più semplice sviluppare un attacco in cui la prima azione offensiva è limitata all’esigenza di guadagnare una posizione all’interno della struttura target.
Che si tratti di un malware appositamente confezionato per un dipendente che usa device personali all’interno della rete aziendale o una Raspberry sapientemente occultata dietro una stampante di rete, poco importa. Il punto è ottenere una presenza permanente e silente all’interno della rete.
La stabilità e la non rilevabilità del sistema di accesso alla rete sono fondamentali e alcuni dei fattori meno presi in considerazione da chi fa pen test in modo “amatoriale” sfruttando tools automatici che, nella loro funzione, difficilmente risultano discreti, soprattutto se usati come un martello pneumatico (altro tema per un altro articolo di autocritica costruttiva nel mondo dei penetration test).
Il lateral movement nella rete target
Accedere indisturbati e senza essere rilevati consente al criminale informatico di avviare una nuova fase dell’attacco in cui la rete viene esplorata dall’interno e, spesso, sfruttando credenziali trafugate ad un utente o ad un sistema.
Tipicamente le aziende sono state portate ad investire in protezioni perimetrali o a livello di endpoint, esiste quindi una maggioranza di aziende (fortunatamente non tutte) dove la sicurezza informatica è affidata a firewall e soluzioni EPP (Endpoint Protection Platform) con qualche rara eccezione che aggiunge qualcosa in ambito NAC, IDS/IPS o SIEM tristemente abbandonati a loro stessi.
Intendiamoci: prodotti indispensabili (fatemelo urlare), tecnologie sempre più sbalorditive, ad ogni mio workshop non manco di ripetere quanto sia necessario far uso delle tecnologie che abbiamo a disposizione. Si tratta, però, di soluzioni limitate al loro raggio d’azione ed alla loro configurazione: non a caso i criminali informatici hanno iniziato ad utilizzare software tipicamente leciti per installare una backdoor con l’inganno, tecnica molto più efficace del tentare di eludere firewall, antimalware e SIEM.
Da questa posizione, guadagnata spesso in modo molto semplice e senza affrontare ciò che il target ha schierato a protezione della rete, è possibile avviare una serie di attività laterali – tecnicamente chiamate lateral movement – che hanno lo scopo di raccogliere ulteriori informazioni sulla struttura di rete così da individuare i vari sistemi che la compongono e comprenderne la funzione.
In una tipica rete aziendale, ipotizzando che l’attacco sia finalizzato al furto delle informazioni o al sabotaggio per finalità estorsive, si va di solito a caccia dei sistemi che gestiscono i principali processi produttivi in modo da sferrare l’attacco su un sistema che generi un effettivo impatto al business aziendale e che sia quindi un’efficace leva per una richiesta di riscatto.
Uno scenario che noto essere sempre più frequente si presenta come una tipica infezione da crypto malware ma stranamente circoscritta e spesso innescata tramite software facilmente riconoscibili dai sistemi di EPP, anche quelli “meno pregiati”.
Indagando sull’origine dell’infezione emergono dettagli che aiutano a delineare come l’infezione abbia trovato terreno fertile: a partire dai file di backup cancellati manualmente fino ai servizi del software anti malware disabilitati, le evidenze portano a pensare che l’attacker abbia agito comodamente dall’interno della rete, che abbia avuto il tempo di individuare e manomettere i backup, che sia riuscito a disattivare i servizi anti malware con azioni chirurgiche sui soli sistemi interessati dall’attacco e che abbia successivamente introdotto un crypto malware per compromettere uno specifico set di dati, tipicamente quelli di cui la vittima difficilmente potrà fare a meno: archivi di posta, documentazione operativa, file di progetto, database.
Questa tipologia di attacco è caratterizzata da azioni intrusive molto discrete, difficili da rilevare perché spesso effettuate con la complicità involontaria di personale dell’azienda.
Le attività più rumorose, che presentano quindi quelle caratteristiche che le identificherebbero come sospette, vengono eseguite in modo da essere ad una certa distanza dai sistemi di protezione o debitamente camuffate.
Anche su queste attività si nota, a dire il vero, una certa cura da parte degli attacker nella selezione degli strumenti: una volta garantito un accesso ai sistemi si predilige l’utilizzo di tool ordinari per esplorare e manomettere dati e servizi. Moltissimo lavoro può essere svolto utilizzando il features set di base di PowerShell (per gli ambienti Microsoft) e Bash (per gli ambienti Unix-like), evitando così l’introduzione nella rete target di software che potrebbero far scattare qualche segnalazione di allerta.
Nuove tecniche di attacco: come difendersi
Identificare i movimenti laterali non è impossibile, è però necessario comprendere il problema per gestirlo in modo corretto: gli scenari di cui stiamo parlando non hanno nulla a che fare con l’esigenza sacrosanta di verificare e correggere le vulnerabilità dei sistemi e di proteggere la rete dall’ultimo malware entrato in circolazione.
Le armi dei criminali informatici stanno cambiando: le vulnerabilità software e gli 0-day stanno lasciando il posto all’inganno; c2c e malware vengono sostituiti con elaborati scripts che utilizzano comandi base dei sistemi operativi.
In definitiva, se il nemico cambia la sua strategia ed i suoi strumenti anche le aziende dovranno apportare i cambiamenti necessari per non trovarsi con tanta bellissima tecnologia di protezione e nessuna strategia per gestire il più banale security incident.
