вторник, 22 декабря 2020 г.

Методы обнаружения взломанного SolarWinds

Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году.

Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..

Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем). К чести компании FireEye - она вообще смогла обнаружить такую сложную атаку. У других компаний такие трояны живут годами.

Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.

В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:

- В IPS уже есть сигнатуры 

- В модуле анализа DNS есть индикаторы (IoC) центров управления.

- В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).

- В продуктах класса SOAR уже есть playbook для работы с SolarBurst. Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно.


- И также есть сервисы, когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.

Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds

понедельник, 14 декабря 2020 г.

Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя. 


Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk. 

Проблема с патчами очень актуальна - обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

IndexCVEDescriptionCVSS
1CVE-2019-11510Pre-auth arbitrary file reading from Pulse Secure SSL VPNs10.0
2CVE-2020-1472Microsoft Active Directory escalation of privileges10.0
3CVE-2018-13379Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN9.8
4CVE-2018-15961RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)9.8
5CVE-2019-0604RCE for Microsoft Sharepoint9.8
6CVE-2019-0708RCE of Windows Remote Desktop Services (RDS)9.8
7CVE-2019-11580Atlassian Crowd Remote Code Execution9.8
8CVE-2019-19781RCE of Citrix Application Delivery Controller and Citrix Gateway9.8
9CVE-2020-10189RCE for ZoHo ManageEngine Desktop Central9.8
10CVE-2014-1812Windows Local Privilege Escalation9.0
11CVE-2019-3398Confluence Authenticated Remote Code Execution8.8
12CVE-2020-0688Remote Command Execution in Microsoft Exchange8.8
13CVE-2016-0167local privilege escalation on older versions of Microsoft Windows7.8
14CVE-2017-11774RCE in Microsoft Outlook via crafted document execution (phishing)7.8
15CVE-2018-8581Microsoft Exchange Server escalation of privileges7.4
16CVE-2019-8394Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus6.5

Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Атака на цепочку поставок уничтожает всю выстроенную архитектуру безопасности в компании. И от нее почти невозможно защититься. Я уже упоминал выступление Александра Матросова в прошлом году на конференции Offzone, где было хорошо расписано как схема взлома работает и предлагал способы защиты политиками Zero Trust. То есть вы вроде покупаете проверенный ноутбук или сервер или софт для компании, но где-то по пути от производителя до вашего офиса есть точка, где вам встраивают закладку. И проверять поставщиков на каждом шагу почти невозможно. И неважно из какой страны ваши ИТ продукты, даже российские поставщики уязвимы.


И сегодня многие новостные каналы будут обсуждать взлом правительственных организаций, компании по безопасности FireEye и других компаний мирового уровня. Это произошло посредством встраивания троянской программы в обновления софта Orion компании SolarWinds.  К чести компании FireEye она по сути единственная, кто смог вообще обнаружить эту закладку. Они оповестили весь мир и мы теперь с этим разбираемся. Компания Микрософт уже нарисовала картинку как это работает:

По информации самой компании SolarWinds у нее более 300000+ заказчиков и кто из них получил такую троянскую программу нам еще предстоит узнать. В рекламе на сайте SolarWinds в списке заказчиков упоминается Ciscо и Apple.


На самом деле многие компании ломают через партнеров и даже собственные удаленные офисы и конечно через удаленный доступ собственных сотрудников: вы им доверяете по умолчанию и не предполагаете, что ваш старый поставщик или ваш собственный сотрудник будет вас атаковать. Считаю, что 2021 год станет годом пересмотра доверия своим старым поставщикам, перехода к схеме доверия "доверяй, но проверяй" или Zero Trust. Вот так меняется мир.

По такой же схеме в 2017 году был взломан софт популярной бухгалтерской программы M.E.Doc, и затем все пользователи этой программы были скомпроментированы и управлялись уже хакером через управляющие сервера M.E.Doc, что было почти невозможно обнаружить. 

Посмотрите этот короткий ролик про то как правильно делать удаленный доступ к своей сети и почему важно НЕ выставлять свои приложения напрямую в Интернет.

Далее я предлагаю обсудить как контролировать поведение сети продуктами класса NTA и UEBA, поскольку без них, похоже, уже не обойтись в современном мире угроз.

суббота, 12 декабря 2020 г.

Какое будущее кибербезопасности? Выступление экспертов Palo Alto Networks

Palo Alto Networks провели конференцию и ее запись уже есть на Youtube.

02:30 Хайдер Паша: Будущее кибербезопасности 24:54 Денис Батранков: про технологии Machine Learning в NGFW: защита IoT, блокировка вредоносного кода, C&C и туннелей в DNS, фишинговых URL, оптимизатор политик 54:45 Михаил Лившиц и проекты BeCloud на базе Palo Alto Networks 1:11:08 Илья Осадчий: Будущие технологии SOC: SIRP/SOA/SOAR/TIP/XSOAR 1:38:45 Павел Живов: Миссия выполнима: защита Palo Alto Networks класса SD-WAN и SASE 2:09:09 Никита Гречаник: Защита проверки на соответствие контейнеризации и бессерверных технологий в ЦОД и облаках решением Prisma 2:28:36 Денис Батранков: Переосмысливаем архитектуру VPN доступа: как подключить сотрудника из дома используя GlobalProtect и HIP

вторник, 8 декабря 2020 г.

Как купить NGFW и получить его через 48 часов

Существует поверье, что доставка устройств занимает 6-8 недель. И это верно. Однако иногда проект не может ждать. Поэтому в дело вступают виртуальные устройства. Виртуальный NGFW - это по сути софт. Это образ виртуальной машины, который можно скачать как файл запустить почти под любым гипервизором. Поставка софта - это по сути лицензия. После размещения заказа у производителя лицензия выписывается почти сразу. Соответственно, если проект срочный, например, вам нужен срочно новый VPN шлюз перед Новым годом или нужно прикрыть сетевой защитой новый объект, то вы можете взять любой сервер, поднять на нем VMware ESXi и запустить полноценный NGFW, в котором есть 20 функций безопасности и вы можете их включить и защитить свою сеть одним из 4 способов как на картинке. Плюс, есть у производителей готовые наборы конфигураций под VPN шлюз, под защиту периметра или ЦОД, и готовый конфиг можно сразу скачать и накатить. Установка NGFW в итоге займет еще час. Это удобно и вы можете защитить сеть любого масштаба.

Более подробно можно почитать в статье "Реальная защита виртуальных сетей"