26 proc. spośród wszystkich działań podejmowanych w 2023 r. przez zespół reagowania na incydenty Cisco Talos Incident Response dotyczyło ataków z wykorzystaniem przejętych kont użytkowników. W dzisiejszych czasach cyberprzestępcy nie muszą już nikogo i niczego hakować – wystarczy, że zdobędą dane logowania.
Nielegalne pozyskanie danych logowania do kont użytkowników pozwala atakującym uzyskać dostęp do systemu, pozostawać tam w ukryciu i wykradać dane, jak również rozszerzać zakres posiadanych uprawnień i infiltrować kolejne obszary firmowej sieci. To druga najczęstsza metoda ataków spośród wszystkich technik cyberprzestępczych wymienionych w ogólnodostępnej bazie wiedzy MITRE ATT&CK, którą eksperci z zespołu Cisco Talos zaobserwowali w gromadzonych przez siebie danych telemetrycznych w 2023 r.
Biorąc pod uwagę tylko statystyki Cisco Talos z ostatniego kwartału ubiegłego roku, napastnicy równie często uzyskiwali nieuprawniony, inicjalny dostęp do zasobów poprzez zastosowanie przejętych loginów i haseł do legalnych kont, jak wykorzystywanie podatności w publicznie dostępnych aplikacjach sieciowych. Co trzecie wykryte narzędzie, jakim posługiwali się cyberprzestępcy, służyło do uzyskiwania dostępu i gromadzenia danych uwierzytelniających.
Zdaniem specjalistów z Cisco Talos popularność tego typu ataków ma trojakie podłoże:
1. Większość firm uważa, że cyberataki będą pochodzić „z zewnątrz”.
Ataki możliwe dzięki przejęciu danych logowania przebiegają niejako „od wewnątrz”. Po uzyskaniu początkowego dostępu napastnik pozostaje niewidoczny w sieci i jeżeli nie próbuje przeniknąć do głębszych warstw infrastruktury, ma szansę uniknąć wykrycia – zwłaszcza jeżeli w danej organizacji nie ma segmentacji sieci. Wykorzystanie luki w zabezpieczeniach może zapewnić atakującemu dostęp, ale dalsze funkcjonowanie „poza zasięgiem radaru” umożliwiają autoryzowane dane uwierzytelniające.
2. Skradzione dane uwierzytelniające są przedmiotem handlu w sieci dark web.
Niektórzy uczestnicy cyberprzestępczego podziemia wykradają dane uwierzytelniające tylko po to, aby sprzedać je oferentowi, który zaproponuje najwyższą cenę. Nabywcy mogą następnie wykorzystywać je do prowadzenia ukierunkowanych kampanii ransomware albo w celach szpiegowskich. Im szersze uprawnienia konta (na przykład pracowników działów finansów lub mających dostęp do urządzeń sieciowych), tym wyższa cena.
3. Atakujący wykorzystują współczesne trendy.
Rośnie popularność rozwiązań chmurowych, z coraz większą liczbą usług i aplikacji łączymy się zdalnie, a dostęp do zasobów firmowych uzyskujemy również za pośrednictwem urządzeń prywatnych (tylko w obrębie Cisco odnotowuje się obecnie 1,5 mld żądań uwierzytelniania wieloskładnikowego miesięcznie za pośrednictwem usługi Cisco Duo). W tych warunkach uzyskanie dostępu do sieci poprzez włamanie siłowe jest z perspektywy atakującego nieoptymalne – łatwiej o udany atak tożsamościowy, poprzedzony kradzieżą danych logowania.
Raport Cisco Talos Incident Response Quarterly Trends podaje, że brak uwierzytelniania wieloskładnikowego lub jego niewłaściwa implementacja jest najważniejszą słabością systemów bezpieczeństwa. Według danych firmy Oort, którą Cisco przejęło w 2023 r., 40 proc. jej korporacyjnych klientów nie ma wdrożonego MFA lub używa niewydolnego systemu autoryzacji, na przykład wiadomości SMS.
Różne metody – jeden cel
Atakujący skutecznie uzyskują dostęp do systemów przy użyciu ważnych danych uwierzytelniających, korzystając z różnych taktyk. W ramach czynności podejmowanych w reakcji na incydenty eksperci z zespołu Cisco Talos spotykają się z następującymi praktykami:
Poświadczenia skradzione z magazynów haseł
Dane skradzione z magazynów haseł zajęły 4. miejsce na liście 20 najpopularniejszych technik MITRE ATT&CK, które Talos zaobserwował w 2023 roku. Dzieje się tak, gdy użytkownicy przechowują hasła w aplikacjach lub przeglądarkach internetowych. Technika ta jest wykorzystywana przez podmioty stanowiące zagrożenie od wielu lat, ale tempo, w jakim to się dziś odbywa, podkreśla potrzebę korzystania przez organizacje i użytkowników prywatnych z zewnętrznych menedżerów haseł, a nie tych wbudowanych w przeglądarki internetowe.
Poświadczenia skradzione z fałszywych stron logowania w wyniku ataków phishingowych
Atakujący często replikują strony logowania popularnych usług, takich jak Microsoft Office 365, wysyłając użytkownikom e-maile z prośbą o zalogowanie się na przykład z powodu problemu z kontem. Za fałszywą kopią strony kryje się złośliwe oprogramowanie stworzone do przechwytywania danych konta.
Przechwytywanie wprowadzanych danych
Najbardziej rozpowszechnionym rodzajem przechwytywania danych wprowadzanych przez użytkownika jest tzw. logowanie klawiszy – rejestrowanie naciśnięć klawiszy przez użytkownika w celu przechwycenia danych uwierzytelniających, gdy ofiara je wpisuje.
Kradzież lub fałszowanie biletów Kerberos
Kerberos to protokół autoryzacji sieciowej, który uwierzytelnia żądania usług i przyznaje bilet na bezpieczne połączenie. Napastnicy próbują wykraść te bilety (lub je sfałszować), aby zapewnić sobie nieautoryzowany dostęp.
Ataki na nieaktywne konta
Według danych Oort z 2022 r., w przeciętnym przedsiębiorstwie nieaktywne konta stanowią prawie 25 proc. wolumenu wszystkich kont. Konta te są regularnie celem ataków (średnio ponad 500 razy miesięcznie). Atakujący będą szukać kont, które nie są regularnie używane, ale nadal mają dostęp do sieci (na przykład konto pracownika, który opuścił firmę, ale jego dostęp nigdy nie został usunięty).
Złośliwe oprogramowanie wykradające informacje
Tzw. infostealery mogą być wykorzystywane do uzyskiwania dostępu do wszelkiego rodzaju poufnych informacji, w tym danych finansowych i również własności intelektualnej – jak również do uzyskiwania dostępu i gromadzenia danych uwierzytelniających użytkowników.
Ataki siłowe
Jeśli atakujący ma część danych logowania, może spróbować techniki brute force – wielokrotnie ponawianych prób odgadnięcia hasła.
„Rozpylanie” haseł
Szczególny typ ataku siłowego, gdzie zamiast wymuszania hasła w systemie atakujący używają haseł z uzyskanych w wyniku wcześniejszych wycieków informacji. Wypróbowują je w popularnych usługach internetowych w nadziei, że użytkownicy ponownie użyją swoich haseł. Zmniejsza to szansę na wykrycie i zablokowanie hasła.
Wyłudzanie danych za pomocą kodów QR
Skanowanie kodów QR zaszytych w mailach cyberprzestępców może zwiększać ryzyko utraty danych logowania – urządzenia mobilne, zwykle służące do skanowania kodów, są słabiej zabezpieczone przed cyber-atakami.
Ataki insiderów
Nadal spotykamy się z przypadkami tradycyjnych zagrożeń wewnętrznych, tj. pracowników, którzy celowo chcą wyrządzić szkody w sieci swojej organizacji – dla korzyści finansowych albo z powodu frustracji związanej z samą organizacją. Coraz częściej można też spotkać się z inną kategorią ataków wewnętrznych – „nieświadome zasoby”. W tych wypadkach napastnicy wykorzystują inżynierię społeczną, aby wykorzystać użytkownika do działania w ich imieniu, zazwyczaj poprzez pewną formę manipulacji.
Zalecenia
Obrona przed atakami związanymi z tożsamością jest trudna, gdyż mamy do czynienia z wykorzystaniem rzeczywistych danych wykorzystywanych do logowania. Eksperci Cisco zalecają więc szereg praktyk, które mogą zwiększyć poziom bezpieczeństwa i odporność na tego rodzaju ataki:
• Ograniczenie uprawnień dostępowych użytkowników do zakresu niezbędnego do wykonywania przez nich obowiązków. Warto rozważyć podejście oparte na architekturze Zero Trust, która weryfikuje połączenie użytkownika z każdym urządzeniem i każdą aplikacją.
• Ograniczenie liczby możliwych kolejnych nieudanych prób logowania celem zapobiegnięcia atakom siłowym (brute force).
• Wdrożenie uwierzytelniania wieloskładnikowego w obrębie całej sieci.
• W wypadku administratorów IT – przeprowadzanie „poziomej” inspekcji sieci, a nie tylko kontroli ruchu przychodzącego i wychodzącego.
• Przyjęcie podejścia typu „obrona w głąb”, aby w przypadku awarii części zabezpieczeń inne zabezpieczenia mogły wykrywać anomalie i włamania.
• Przeprowadzanie rutynowych audytów i usuwanie nieaktywnych kont – w szczególności kont roboczych, zakładanych i konfigurowanych na potrzeby testów nowych rozwiązań. Warto wdrożyć procedury automatycznego wyłączania kont testowych po zakończeniu projektu.
• Wyłączanie kont osób, które opuściły organizację i usuwanie uprawnień zdalnego dostępu (np. przez VPN).
• Wdrożenie systemu kontroli do obsługi transakcji finansowych, aby żadna osoba nie mogła zainicjować i wykonać przelewu bez dodatkowej zgody. Może to pomóc w ograniczeniu ataków socjotechnicznych na użytkowników zajmujących się płatnościami.
• Polityka aktywnego wyszukiwania włamań. Oprócz znalezienia możliwych naruszeń można w ten sposób identyfikować obszary, w których można poprawić ogólne bezpieczeństwo sieci.