Försvar Offensivt Underrättelser

MITRE ATT&CK: Valid Accounts (T1078)

Saturday, July 20, 2019

FörsvarMITRE ATT&CK

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Detta är en artikel om Valid Accounts (giltiga inloggningsuppgifter) vilket är en specifik teknik inom MITRE ATT&CK. Användandet av giltiga inloggningsuppgifter är en mycket vanligt förekommande teknik som oftast utgör det initiala steget vid ett cyberangrepp, men det kan även användas i senare delar av ett angrepp för att exempelvis höja sina privilegier.

Målsättningen med den här artikeln är att dels förklara tekniken så som den förhåller sig till ATT&CK och dels gräva lite djupare i hur du kan “hantera” tekniken.

Artikeln syftar inte till att vara en steg-för-steg vägledning om hur föreslagna skyddsåtgärder kan införas eftersom det skulle bli alldeles för komplext och är mycket beroende av det sammanhang i vilket de ska införas (era förutsättningar, kunskap, plattformar osv.). Tanken är istället att fördjupa er i den specifika tekniken och ge förslag på lämpliga åtgärder och åtminstone peka med en stor del av handen åt vilket håll ni bör vända er.

Nyckelinsikter

  • Giltiga inloggningsuppgifter används oftast i sammanhang av riktade cyberangrepp vilket innebär statliga, eller statsunderstödda, aktörer.
  • Den mest effektiva åtgärden för att hindra användandet av tekniken är att införa tvingande flerfaktors-autentisering.
  • Skyddsåtgärder kan även låna inspiration från Zero Trust-modellen och exempelvis registrera information om betrodd enhet och betrodd användare.
  • Förståelse för varifrån uppgifterna kommer kan hjälpa er att skydda vägarna dit, exempelvis bevaka Darkweb-forum och andra handelsplatser för uppgifter om er organisation/företag.

Inledning

Om det är första gången du är här och kanske första gången du hör talas om MITRE ATT&CK så skulle jag vilja peka dig i riktning av min introduktion till ATT&CK vilket kan vara en lämplig början, men du är givetvis välkommen att fortsätta läsa.

Jag har strukturerat artikeln så här:

  1. Allmänt om tekniken.
  2. Ett sammanhang för när tekniken används.
  3. Förhållandet till Cyber Kill Chain.
  4. Hantering och skydd
    • Förebyggande åtgärder
    • Upptäckande åtgärder
    • Besvarande åtgärder
    • Återställande åtgärder
  5. Sammanfattning

Tekniken - T1078 - Giltiga inloggningsuppgifter

Enligt ATT&CK placeras tekniken under flertalet taktiker som t.ex. undvika försvarsåtgärder, initial åtkomst. Det är en teknik som i huvudsak kan användas på Windows och macOS.

När du använder giltiga inloggningsuppgifter så faller många traditionella skydd som brandväggar, intrångsdetektering, vitlistning osv. Du använder trots allt giltiga uppgifter för en, förhoppningsvis, giltig användare.

Scenario

Men innan vi gräver ner oss ordentligt i skyddsåtgärder vill jag inleda med ett sammanhang, sätta ramarna för när en angripare utnyttjar tekniken och vad som föregått användandet.

Hur får de tag på giltiga inloggningsuppgifter?

För att kunna utnyttja giltiga inloggningsuppgifter behöver angriparen först och främst ha uppgifterna, hur har hen fått dom? Låt oss rada upp några möjliga vägar hit:

  1. Köpta från Darkweb.
  2. Hämtade från ett intrång av en annan sajt som någon av era användare besökt/registrerat sig på.
  3. Ni har blivit (Spear)phishade.
  4. Angriparen har gissat rätt på användarnamnet och lösenordet.

Vi kan diskutera sannolikheten för de olika alternativen men jag skulle säga att i Sverige är det mest troligt med alternativ 3.

Alternativ 1 är intressant och något som ni skulle kunna bevaka genom att exempelvis hitta en tjänsteleverantör som bevakar och har åtkomst till Darkweb-forum och sätter upp en bevakning på detta där. Dyker ert företags- eller organisationsnamn upp där har ni möjlighet att reagera innan någon köper åtkomsten.

När används uppgifterna?

Det finns några omständigheter kring användandet kring giltiga inloggningsuppgifter som är viktiga att först:

  1. Tekniken används i huvudsak vid riktade angrepp (alltså statligt, eller statsunderstödda, aktörer).
  2. Tekniken är svår att helt automatisera vilket således kräver handpåläggning och aktiv uppföljning.

Egentligen är det genom punkt 2 som vi får punkt 1. Eftersom det är svårt att helt automatisera användandet av giltiga inloggningsuppgifter förutsätter de att någon har tid att engagera sig i varje enskilt mål vilket flyttar oss från cyberkriminella till statsunderstödda aktörer. Även om vi ser att cyberkriminella har börjat rikta sina insatser (riktad ransomware) har de inte gjort några andra förändringar i sin verksamhet som skulle antyda att de automatiserar eller använder giltiga inloggningsuppgifter.

En målsättning med att använda giltiga inloggningsuppgifter är att kringgå och undvika aktiva åtgärder för att upptäcka “fuffens”. Eftersom angriparen nu legitimerar sig som en riktig användare blir det således nödvändigt att kunna särskilja när en användare avviker från ett “normalt” beteende något som är mycket svårare än användandet av statiskt styrda skyddsåtgärder.

En angripare kan välja att använda inloggningsuppgifterna vid den initiala åtkomsten eller för att höja sina privilegier. Först använder hen uppgifter från en vanlig användare och senare uppgifterna från en administratör.

Cyber Kill Chain

Om jag ska placera användandet av giltiga inloggningsuppgifter i CKC skulle jag i huvudsak placera det i Exploitation-fasen. Det är ett första steg för att få fotfäste. Först därefter har angriparen möjlighet att påbörja installation av verktyg, upprätta förbindelser till sin infrastruktur för central styrning osv.

Men giltiga inloggningsuppgifter används även för att exempelvis höja sina privilegier från vanlig användare till administratör. Tekniken kan alltså användas i flera steg av CKC.

Hantering och skydd

Det sägs att djävulen hittas i detaljerna, och så även här. Ska du fokusera på att skydda “administratörernas” inloggningsuppgifter framför de vanliga användarna? Ska du införa olika nivåer av åtkomst beroende på typ av inloggning, enhet och plats? Tvinga flerfaktors-autentisering för vissa typer av aktiviteter, kanske t.o.m tillåta PIN-koder som inloggning i vissa fall?

Användare återanvänder lösenord, det vet vi sedan länge. Är det bättre att tvinga lösenordsbyten, eller tvinga användarna att använda ett program för lösenordshantering? Kanske i vissa fall? Eller ska vi helt strunta i återanvändning av lösenord, är det ett problem överhuvudtaget? Hur vet jag det?

Att införa skyddsåtgärder för att hantera cyberangrepp består av flera dimensioner som måste vägas och balanseras mot varandra. Det kommer vara nödvändigt att införa åtgärder på flera ställen för att effektivt hindra obehörigt användande av giltiga inloggningsuppgifter.

Skyddsstrategier

Det finns flera strategier för att skydda sig från missbruk av giltiga inloggningsuppgifter. Vi kan välja att agera utifrån:

  • A) Hindrande åtgärder (prevent)
  • B) Upptäckande åtgärder (detect)
  • C) Svarande åtgärder (respond)
  • D) Återställande åtgärder (recover)

Väljer ni upptäckande måste ni även sträcka detta till besvarande åtgärder.

Det bästa vi kan göra är givetvis att helt förebygga och hindra något från att hända överhuvudtaget. Men verkligheten är sällan så pragmatisk och enkel. Varje åtgärd är förenad med diverse kostnader som måste vägas mot det hot tekniken innebär.

Och återställande åtgärder innebär att ni behöver ha rutiner (eller köpa) för att utreda ett intrång och hantera konsekvenserna av intrånget. Ni behöver utreda vad som har hänt, och vad ni behöver göra som svar på vad som har hänt.

A: Hindrande åtgärder (prevent)

Den absolut mest effektiva åtgärden för att hindra användning av giltiga inloggningsuppgifter är att införa flerfaktors-autentisering. Observera att detta inte gäller i alla sammanhang. Skulle en angripare få fotfäste i ett Microsoft Windows-baserat nätverk (de flesta) blir flerfaktors-autentisering mindre betydelsefullt. (Läs på om Pass-the-Ticket, Pass-the-Hash så förstår ni).

Och att införa flerfaktors-autentisering är inte nödvändigtvis heller alldeles enkelt och kan många gånger uppfattas som besvärande för användarna. Hade det varit enkelt och utan problem skulle vi kanske inte behöva fortsätta säga att flerfaktors-autentisering is the shit.

Regelbundna lösenordsbyten är INTE att rekommendera. De löser väldigt lite av säkerhetsproblematiken och bidrar i stort sett endast till försämrad säkerhet. Lösenord ska bytas när det blivit känt att lösenordet är komprometterat eller av andra uppenbara skäl inte längre kan anses vara lämpligt.

B: Upptäckande åtgärder (detect)

Istället för att helt förhindra möjligheten för en angripare att använda giltiga inloggningsuppgifter kan vi välja att försöka upptäcka ett eventuellt missbruk. Detta skulle vi kunna uppnå med hjälp av loggning och lite statistik.

Om vi lånar lite från Zero Trust -principerna och funderar över följande:

  • Betrodd enhet
  • Betrodd användare

Detta förutsätter att vi har möjlighet att registrera vid varje inloggning vissa uppgifter om den enhet som användaren använder och vilken användare som försöker autentisera sig från vilken enhet.

Genom att kombinera dessa två faktorer av inloggningen kan vi, utan att göra inloggningen svårare för användaren, höja vår säkerhet och vår tillit till att rätt användare använder uppgivna inloggningsuppgifter.

C: Svarande åtgärder (respond)

Upptäckande åtgärder är i princip helt meningslösa om vi inte agerar på det vi upptäcker. Ett inbrottslarm som bara tjuter utan någon larmtjänst eller svarsåtgärd är föga meningsfullt.

Upptäckande åtgärder förutsätter alltså att ni har förmåga att kunna hantera de larm som uppstår. Vad ska ni göra om en användare loggar in från en ny enhet? Tillåta, begränsa åtkomst, neka helt och fullständigt? Ni behöver bestämma er för vad ni vill kommunicera till användaren och på vilket sätt ni vill hantera en sådan här situation.

D: Återställande åtgärder (recover)

Åtgärder inom detta område skiljer sig egentligen inte från andra utan handlar om er beredskap på att återställa komprometterade konton och infrastruktur till ett tidigare betrott tillstånd med nödvändiga ändringar så att samma sak inte kan upprepas.

Det handlar om att ni behöver ha en återställningsplan för att hantera ett upptäckt eller pågående intrång. Detta är ett stort område och ingenting jag kan skriva om i det här inlägget.

Sammanfattning

I den här artikeln har du läst om teknik T1078, giltiga inloggningsuppgifter från MITRE ATT&CK. Ni fick läsa om hur uppgifterna kommer angriparen tillhanda och när de används. Därefter diskuterade vi lite olika övergripande försvarsstrategier ur perspektiven hindra, upptäcka, besvara och återställa.

Om den här mer fördjupande typen av artikel tilltalar och känns värdefull får du väldigt gärna höra av dig och säga det.

FörsvarMITRE ATT&CK

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

CIS-kontrollerna – Åtgärd 13 – Skydd av Data – (13/20)

CIS Controls version 7 - Åtgärd 12 - Perimeterskydd - (12/20)