Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hackerzy dostali się do sieci korporacyjnej Cisco. Sprytny phishing oraz ominięcie 2FA. Analiza od Talosa
Cisco dowiedziało się o włamaniu 24. maja. Jak się zaczęło?
Podczas dochodzenia ustalono, że dane uwierzytelniające pracownika Cisco zostały przejęte po tym, jak atakujący przejął kontrolę nad osobistym kontem Google, na którym synchronizowano dane uwierzytelniające zapisane w przeglądarce ofiary.
During the investigation, it was determined that a Cisco employee’s credentials were compromised after an attacker gained control of a personal Google account where credentials saved in the victim’s browser were being synchronized.
Czyli:
- W jakiś sposób prywatne konto pracownika zostało przejęte (może używanie jednego hasła w różnych serwisach + wyciek)
- Pracownik miał zsynchronizowane hasła (zapisane w lokalnej przeglądarce) ze swoim kontem googlowym.
- Konto nie miało skonfigurowanego dodatkowego master-hasła szyfrującego hasła zapisane na koncie Google (jeśli chcecie zobaczyć jak to u Was wygląda, to 1) https://passwords.google.com/ 2) chrome://settings/passwords)
- Więc hasła udało się wykraść – w szczególności istotne było hasło (i login) do korporacyjnego VPNa.
Jak udało się pokonać 2FA na koncie VPNowym? Zadziałała jedna z dwóch technik (w opisie Talosa nie jest to do końca jasne):
- Vishing (głosowy phishing)
- Spamowanie pushami (na appkę 2FA) w nadziei, że użytkownik przez przypadek kliknie „OK”
Zacytujmy większy fragment:
Po uzyskaniu danych uwierzytelniających użytkownika osoba atakująca próbowała ominąć uwierzytelnianie wieloskładnikowe (MFA) przy użyciu różnych technik, w tym phishingu głosowego (zwanego również „vishingiem”) i „zmęczenia MFA”, procesu wysyłania dużej liczby żądań push do urządzenia mobilnego celu dopóki użytkownik nie zaakceptuje, przypadkowo lub po prostu w spróbuje wyciszyć powtarzające się powiadomienia push, które otrzymuje. Vishing to coraz popularniejsza technika socjotechniczna, w ramach której osoby atakujące próbują nakłonić pracowników do ujawnienia poufnych informacji przez telefon. W tym przypadku pracownik zgłosił, że otrzymał wiele telefonów w ciągu kilku dni, w których dzwoniący – mówiący po angielsku z różnymi międzynarodowymi akcentami i dialektami – rzekomo byli powiązani z organizacjami wsparcia, którym zaufał użytkownik.
After obtaining the user’s credentials, the attacker attempted to bypass multifactor authentication (MFA) using a variety of techniques, including voice phishing (aka „vishing”) and MFA fatigue, the process of sending a high volume of push requests to the target’s mobile device until the user accepts, either accidentally or simply to attempt to silence the repeated push notifications they are receiving. Vishing is an increasingly common social engineering technique whereby attackers try to trick employees into divulging sensitive information over the phone. In this instance, an employee reported that they received multiple calls over several days in which the callers – who spoke in English with various international accents and dialects – purported to be associated with support organizations trusted by the user.
Po uzyskaniu dostępu atakującemu udało się wyeskalować uprawnienia do administratora, a nawet uzyskać dostęp do kontrolerów domeny i zdumpować zahashowane hasła użytkowników:
After establishing access to the VPN, the attacker then began to use the compromised user account to logon to a large number of systems before beginning to pivot further into the environment. They moved into the Citrix environment, compromising a series of Citrix servers and eventually obtained privileged access to domain controllers.
After obtaining access to the domain controllers, the attacker began attempting to dump NTDS.
Atakujący dość mocno „szumiał” w infrastrukturze więc dość szybko udało się go namierzyć (oraz usunąć) przez ekipę Cisco. Warto też zaznaczyć ten punkt:
(…) nie zidentyfikowaliśmy żadnych dowodów sugerujących, że atakujący uzyskał dostęp do krytycznych systemów wewnętrznych, takich jak te związane z rozwojem produktów, podpisywaniem kodu itp.
CSIRT and Talos are responding to the event and we have not identified any evidence suggesting that the attacker gained access to critical internal systems, such as those related to product development, code signing, etc.
Cisco na koniec stwierdza, że najprawdopodobniej cała akcja była działaniem tzw. IAB (Initial Access Broker), związanego z grupami ransomware Lapsus / Yanluowang. IAB – czyli ekipy, która pozyskuje dostępy w istotnych infrastrukturach i później np. je odsprzedaje.
~ms
„ Po uzyskaniu dostępu atakującemu udało się wyeskalować uprawnienia do administratora” czytam te raporty i mnie to zastanawia – z doswiadczenia jak to sie odbywa? Czy na aktualnym Windowsie z uwagi na jego budowe taka eskalacja jest mozliwa? Czy w 95% to sa mimo wszystko nieaktualne Windowsy?
Czasem tak.
Czasem jakaś extra usługa to umożliwiająca.
Czasem jakiś problem konfiguracyjny.
Tu wystarczyło aby pracownik posiadał fizyczny klucz UF2 przynajmniej do kont korporacyjnych czy się mylę?
tak
Dziwnie to w Cisco wygląda.
Cisco przejęło DUO by sprzedawać je klientom.
I samo DUO nie używa?
Używa słabych zabezpieczeń typu PUSH?
Synchronizacja haseł z zewnętrznym managerem?
Takie pytania można mnożyć, co pokazuje, że szef bez butów chodzi.
Yubikey by na pewno pomogły, szczególnie, że Google je wspiera od wielu już lat.
Jeszce nie wymyślono rozwiązania które wyeliminuje ludzką naiwność i nieostrożność, nie zmieniły tego lata temu tokeny PKCS#11 z potwierdzaniem konkretnej operacji i state of the art kryptografią więc czemu miałby to zmienić jakiś U2F robiony chyba na kolanie przez randomowych frontendowców