Usługi Microsoftu jako broń w atakach na firmy

Hakerzy nie mają skrupułów i mogą wykorzystać do swoich działań nawet legalne oprogramowanie. Jak dowiedzieliśmy się z raportów przedstawionych na konferencji Black Hat 2017, udostępniane przez Microsoft rozwiązania dla firm

Hakerzy nie mają skrupułów i mogą wykorzystać do swoich działań nawet legalne oprogramowanie. Jak dowiedzieliśmy się z raportów przedstawionych na konferencji Black Hat 2017, udostępniane przez Microsoft rozwiązania dla firm mogą stanowić całkiem przydatne narzędzie w rękach atakujących.

Firmy wykorzystujące chmury hybrydowe muszą stosować się do innych zasad bezpieczeństwa niż te, które używają tradycyjnych systemów chmurowych. Jednak w praktyce nie aktualizują się one wystarczająco szybko, co sprzyja powstawaniu wielu słabych punktów w bezpieczeństwie, możliwych do wykorzystania przez hakerów. Zgodnie z przeprowadzonymi badaniami typowa infrastruktura biurowa może sprawić, że atakujący pozostaną niewidoczni dla większości produktów zabezpieczających.

Gdy motywowani względami finansowymi hakerzy przedostaną się do sieci firmowej, największy problem stanowi dla nich uzyskanie dostępu do wymiany poufnych danych między zainfekowanymi komputerami. Dążą oni do tego, aby zainfekowane maszyny odebrały polecenia i wysłały kradzione informacje w taki sposób, aby nie aktywować systemu wykrywania włamań (ang. Intrusion Detection System, IDS) i systemu zapobiegania utraty danych (ang. Data Leak Prevention, DLP). Usługi firmy Microsoft czasami nie stosują się do ograniczeń nałożonych na bezpieczne strefy, więc przesyłane przez nie dane nie są skanowane wystarczająco głęboko, co ułatwia pracę hakerom.

W swoim badaniu Ty Miller i Paul Kalinin z organizacji Threat Intelligence pokazali, jak boty mogą komunikować się przy użyciu usług Active Directory (AD) w sieci firmowej. Wszystkie klienty znajdujące się w obrębie sieci, w tym również mobilne, a także większość serwerów, autoryzuje się poprzez uzyskanie dostępu do serwera AD, przez co stanowi on „centralny punkt komunikacyjny”. Ma to także swoje minusy — jest on bardzo wygodnym narzędziem do zarządzania botnetem. Co więcej, według badaczy integracja usługi Azure AD z firmowym serwerem AD sprawia, że z botnetem można połączyć się bezpośrednio z zewnątrz.

W jaki sposób usługa AD może pomagać w zarządzaniu botnetem i pobieraniu danych? Koncepcja jest bardzo prosta. Domyślnie każdy klient w sieci może aktualizować swoje informacje na serwerze AD, np. numer telefonu użytkownika czy adres e-mail. Część pól umożliwiających wprowadzanie tekstu charakteryzuje się dużą pojemnością — mogą one przechowywać nawet megabajt danych. Informacje te może odczytać inny użytkownik usługi AD, przez co tworzy się kanał komunikacji.

W swojej prezentacji badacze zalecili monitorowanie pól AD w poszukiwaniu okresowych, nietypowych zmian, jak również wyłączenie opcji zapisu przez użytkowników na większości pól.

Craig Dods z firmy Juniper Networks omówił inną technikę wygodnego uzyskiwania danych — przy użyciu usług pakietu Office 365. Najbardziej popularny sposób wykorzystuje dysk OneDrive dla Firm, którego używa ponad 80% klientów Microsoft Online Services. Jest on dosyć lubiany przez hakerów, bo firmowe działy IT zazwyczaj obdarzają zaufaniem serwery Microsoftu, umożliwiając na uzyskiwanie szybkiego połączenia z nimi i pomijanie odszyfrowania dla przesyłanych zasobów. W efekcie haker musi tylko połączyć się z dyskiem OneDrive na wybranym komputerze przy użyciu danych innych niż firmowe. W takim przypadku skopiowanie informacji na dysk OneDrive nie jest traktowane jako próba opuszczenia granicy firmy, przez co systemy bezpieczeństwa traktują podłączony dysk jako firmowy. Dysk może zostać podłączony w trybie niewidocznym, co zmniejsza ryzyko wykrycia. Do tego atakujący potrzebuje jeszcze dwóch innych narzędzi od firmy Microsoft: Internet Explorer i PowerShell. Ostatecznie bot może skopiować dane na „własny” dysk, a atakujący może je pobrać z dysku OneDrive.

Jak stwierdził Dods, aby ochronić się przed takim atakiem, użytkownicy muszą zastosować dostęp ograniczony — dozwolone powinny być tylko poddomeny pakietu Office 365, które należą do firmy. Ekspert zalecił także przeprowadzanie dokładnej analizy szyfrowanego ruchu oraz działania skryptów PowerShell w piaskownicy.

Należy wziąć pod uwagę, że oba zagrożenia są póki co hipotetyczne. Aby zrobić użytek z tych technologii, cyberprzestępcy muszą w jakiś sposób przedostać się do infrastruktury ofiary. Ich aktywności nie wykryje większość aktualnych produktów zabezpieczających ani nieprzygotowany obserwator. Dlatego ogromne znaczenie ma okresowe analizowanie infrastruktury IT w poszukiwaniu luk. My na przykład mamy cały zestaw usług eksperckich, które analizują działania wykonywane w infrastrukturze z perspektywy bezpieczeństwa informacji — i w razie konieczności sprawdzają system pod kątem intruzów.

Porady