WannaCry SLO

Zivjo fantje,

Nekaj se suslja po temnih ulicah da je ene par javnih zavodov bilo zrtev WannaCry ransomware-a te dni. Sicer delil informacije ne bom od kod vem, ker to ni point.
Bi pa nas ostale infosec kolege zanimalo, kako ste se lotili Incident Response-a in katera orodja ste imeli na voljo. Kako ste zaznali napad (z orodji ali pa je endpoint user sporocil).
Pa morda skupaj po brainstorm-amo efektivnejso zaznavo in prevencijo takih malware-ov. Seveda je odvisno od nabora orodij, ki ga ima dolocen SOC. Za ta primer vem da imajo neke vrste SOC oddelek.

Sicer verjetno v SLO ne radi delimo znanja in izkusnje z drugimi, ampak vseeno se morda da tukaj zaceti. Tisti na drugi strani, ki te napade izvajajo, niso solo igralci, ampak si pomagajo medseboj.

LP

Ko smo že pri tem, kateri backup (inkrementalni) za Win 10 priporočate? Seveda free/GPL.

Jaz za Linux uporabljam Duplicati, razmišljam, da bi ga uporabil tudi za Windows 10.

Antivirus ne bo pomagal pri tem, ker kot je zgoraj omenjeno, anti virusni delujejo na podlagi primerjave HASHov znanih malware-ov. Dosti jih sicer obljublja razne machine learning ipd zadeve, ampak realnost je malce drugacna. Tako da obfuskacije malware-a kode ze pretenta 3/4 anti-virus vendorjev.

WannaCry izrablja ranljivost v SMBv1 protokolu. Vse kar je potrebno je po-patchat Windows Server, ki ga uporablja. Danes je zadnja verzija SMBv3. Ampak samo ne-popatchan SMBv1 je ranljiv (Eternal Blue exploit). Ce po-patchas te nima kaj skrbeti za WannaCry konkretno (tudi popatchan SMBv1 je odporen).

Skratka vem, da ostala podjetja verjetno nimajo EDRje in razne NIDS, HIDS, ki bi pomagale pri teh vdorih. Tako da v takem primeru menim da je najboljse blokirati port 445 in pac fizicno izklopiti naprave iz omrezja - kot del Inicident Response-a.

Za zaznavo pa bi razmisljal v smeri (kadar je ze prislo ze do exploitacije), da mi naj prozi alarm ce se zazene komanda za enkripcijo datotek ali diskov. Kot drugo zaznava Lateral Movement v omrezju. V tem primeru lahko hitro se reagiras in isolate-as host (npr CarbonBlack ti to omogoca ze v konzoli). Preventiva pa je zagotovo, kot sem ze prej omenil, patchat Windows Serverje, ki uporabljajo SMBv1.

Koliko časa moraš imeti nepopatchane sisteme, da so še vedno ranljivi na Eternalblue? Leto in pol?

Če mene vprašaš, si tak zanemarjen strežnik zasluži, da se ga skrešira.

Ampak ne smeš pozabiti, da izklop SMBv1 ne prepreči 'dogajanja' na 'pacientu 0'. Preprečuje zgolj nadaljno širjenje po omrežju. Če imamo opravka z originalnim Wannacry. Lahko pa se uporabi tudi kakšno drugo metodo za širjenje (ravno včeraj je nekdo na Github objavil nov Windows privilege escalation exploit skupaj z PoC, ne da bi dal MS-u priliko, da zadevo popatcha - zgolj vprašanje časa, da se exploit znajde v ransomrare kampanjah!).

Posebno strašljivi so kakšni medicinski sistemi, ki že v osnovi ne dovoljujejo posodobitev. Po možnosti še na Windows XP ali 95..... Tem sistemom bi morali že davno izgraditi UTP kartice oz. zapečatiti UTP porte.

Skratka ranljivi bomo vsi, vedno. Ce nikjer drugje pa na ravni uporabnikov v omrezju - social engineering, nato pa lateralno gibanje po omrezju do kljucnih 'draguljev' (admin racuni ipd). Delo SOC-a in podobnih ekip je da poskusamo uporabnikom, ki imajo dostop do interneta oz. lahko prejemajo posto, kar je navadno najbolj tipicen primer kako vdreti v sistem (social engineering), olajsati zaznavo takih poskusov. Npr phishing emailom spremenimo subject "NEVARNO!". Zna se zgoditi da tudi to ni dovolj, takrat pa imamo mocna EDR in NIDS orodja, ki zaznajo in blokirajo eksekucijo dolocenih nevarnih datotek (.exe preko CMD npr) ali pa povezavo na dolocene IP (znani C2 strezniki) ipd. Zna se zgoditi, da herek se tole zna zaobiti - no takrat pa smo ze res v fazi incidenta, in se sprozi proces incident response.

Dpool je 29. avg 2018 ob 18:37 izjavil:

Skratka ranljivi bomo vsi, vedno. Ce nikjer drugje pa na ravni uporabnikov v omrezju - social engineering, nato pa lateralno gibanje po omrezju do kljucnih 'draguljev' (admin racuni ipd). Delo SOC-a in podobnih ekip je da poskusamo uporabnikom, ki imajo dostop do interneta oz. lahko prejemajo posto, kar je navadno najbolj tipicen primer kako vdreti v sistem (social engineering), olajsati zaznavo takih poskusov. Npr phishing emailom spremenimo subject "NEVARNO!". Zna se zgoditi da tudi to ni dovolj, takrat pa imamo mocna EDR in NIDS orodja, ki zaznajo in blokirajo eksekucijo dolocenih nevarnih datotek (.exe preko CMD npr) ali pa povezavo na dolocene IP (znani C2 strezniki) ipd. Zna se zgoditi, da herek se tole zna zaobiti - no takrat pa smo ze res v fazi incidenta, in se sprozi proces incident response.

Veliko buzzwordov si uporabil. Če imaš neko zalego, ki to je antivirus/drug_varnosti_sw ne zazna, si takoj pri incident response. Kaj boš pa naredil? SeMiNeSanja je omenil nov Windows exploit. Kaj boš naredil s tem? Počakal da MS pokrpa SW. Je to tvoj incident response? Glede na to da ne vemo kaj nas obletava, sami dajemo veliko več poudarka na disaster recovery, zato da se ne zgodi disaster =)

@SeMiNeSanja

Če kupca ne varnost ne zanima in ne zadeva, je to njegov problem. Za kar moraš poskrbeti je, da si primerno pokrit. Če so Target obveščali o čudnem prometu oni pa niso ukrepali, tu ne moreš nič.

GDPR pa bo s kaznimi poskrbel, da bo tudi varnost postala pomembna tema in bo dobila nekaj denarja.

Lahko prosim podaš kakšen primer teh orodij? Ne ukvarjam se s ščitenjem desktop mašin in jih ne poznam.

@Dpool - kar moti Jukoza so kratice, 'buzzwordi', ki sami za sebe ne povedo kaj dosti o tehnologiji, katera v resnici stoji izza njih.

Podobno imaš izraze kot 'Security Fabric', 'Intercept X', itd. itd., ki dejansko ne povedo popolnoma ničesar o tem, kaj tista 'zadeva' v resnici počne.
Sploh na področju firewall tehnologij se marketing skuša prekositi samega sebe z izumljanjem novih besed, ki ustvarjajo vtis, da se gre za nekaj hudo naprednega...pa čeprav mogoče v ozadju morda stoji nekaj, kar tudi približno ni 'hudo napredno'.

Kaj je EDR (Endpoint Detection and Response)? Že samo tu se prodaja od navadnega AV paketa, pa vse tja do rešitev, ki gredo v petmestne številke pri 100 uporabnikih in nikoli niso zares do konca implementirane, ker so preveč kompleksne za okolja, ki niso ranga 'enterprise'.

HIDS (Host Intrusion Detection) in EDR? Kaj ti bo HIDS, če imaš že EDR (razen če imaš tako slabega....?)

NIDS (Network Intrusion Detection)? SME ima polno kapo, če ima IPS na požarni pregradi in pametno segmentirano omrežje. Vse kar je več od tega je management nightmare za SME okolje.
Enterprise okolje mogoče meni, da rabi 'nekaj več'....ampak teško reči, kolikšna je dejanska korist, da en kup portov na switchih zrcališ, nanje navešaš senzorje,..... Po možnosti ti zadeva na koncu generira še en kup lažnih alarmov, da na koncu niti ne opaziš, ko se gre za res. Predvsem rabiš denar in kadre....

mat xxl je 30. avg 2018 ob 15:17 izjavil:

Jasno pa banke in velike firme, ki si tega ne morejo privoščiti, se pa pač morajo temu primerno ščititi na povsem drugih nivojih, kot mi manjši.

Odvisno, koliko te stane izpad za en dan (da recimo naložiš OS + backup-e in vneseš izgubljene podatke, ki si jih vnašal po backup-u).
Pri tem izpad ni le 1/25 mesečnih prihodkov. Delavce moraš kljub temu plačati, čeprav vsaj pol dneva ne bodo mogli delati. Poleg delavca pa verjetno še ti skačeš tam okoli in je tako šel po gobe tudi tvoj dan. Če pa moraš plačati še kakšnega serviserja, pa itak veš, da ne bo nič zastonj naredil.
Potem pa zadeva še nek 'grenak priokus' pušča pri strankah, ki izvedo, da si imel 'incident'.

Res je, da se marsikdaj okuži le en računalnik (sploh če je uporabnik dovolj hiter in ga iztakne iz elektrike). Ampak sitnosti so definitivno tudi z enim računalnikom.

Dolgoročno se potem pogosto še izkaže, da so obstajale 'neke datoteke', ki so bile v 'neki drugi mapi' in se niso varnostno kopirale. Seveda lahko samo upaš, da niso življenjsko pomembne.

Tudi če 'incident' preživiš na idealen način (reinstall win+ posodabljanje+ restore.... 2 ure izgubljenega dela / PC)in nisi ničesar izgubil, je vse skupaj stres, ki bi se mu pogosto dalo izogniti.

Se mi pa zdi, da pri vas itak v glavnem sam prčkaš po škatlah in jih rihtaš kakor veš in znaš, malo za hobbi, malo za res. Mogoče se ti zato zdi, da si lažje 'privoščiš' kakšen neugoden dogodek na omrežju (da ne rečem incident).

Drugje za te reči 'vprežejo' pogodbenega vzdrževalca računalnikov, ki ima več pojma o sesanju/izpihovanju prahu iz PC-jev, kakor pa o cybersec-u. Mogoče še zna naložiti Windows, kakšen AV in backup programček, ampak tam se potem počasi tudi končuje znanost teh splošnih vzdrževalcev. Router ti bo znal priklopiti, ker je to počel doma....samo preveč v podrobnosti pa mogoče že ni več dobro drezat.

Zunaj naših meja se zato vse bolj uveljavljajo Managed Security Services ponudniki, ki prevzamejo ves ta varnostni del pod svojo skrb. Pogosto ti postavijo svoj firewall, katerega ti nudijo kot 'storitev' in ga imaš zgolj v najemu. Ti MSS ponudniki opremo (odvisno od ponudnika) nabavljajo po posebnih pogojih, ki so prilagojeni njihovemu modelu poslovanja in dejavnosti. V štartu za tako napravo plačajo drobiž v primerjavi s tem, kar bi ti plačal. Potem mesečno plačujejo licence, glede na to, kaj za ene storitve želiš imeti aktivirane. Vendar kot kupec s tem nimaš nič. Ti plačuješ 'upravljanje internetne varnosti', ostalo pa je stvar 'specialistov'.

Tako se izogneš raznim amaterjem, ki so diplomirali s sesalcem v računalniku in dobiš kolikor tolikor profesionalno pokritje varnosti, ne glede na majhnost svojega podjetja.

In JA - seveda ima to svojo ceno. Ko bi to lahko na veliko izobesil in se hvalil, tako kot z iPhone, Mac-om, službenim BMW,..... potem bi to vsi hoteli imeti. Ker pa se to nikjer ne vidi, je celo delo čistilke bolj 'nujno', kakor pa skrb za varnost omrežja.

.....dokler enkrat ne gre vse narobe....?

Ali pa še potem ne.
Eni so zelo rezistentni in resno dvomijo, da bi se NJIM lahko kaj takega zgodilo še enkrat.
Tako nekako kot jaz ne verjamem, da bom zadel šestico na lotu.

SeMiNeSanja je 30. avg 2018 ob 15:11 izjavil:

Enterprise okolje mogoče meni, da rabi 'nekaj več'....ampak teško reči, kolikšna je dejanska korist, da en kup portov na switchih zrcališ, nanje navešaš senzorje,..... Po možnosti ti zadeva na koncu generira še en kup lažnih alarmov, da na koncu niti ne opaziš, ko se gre za res. Predvsem rabiš denar in kadre....

Pozabil si na email security z ATDjem potem se pa za 90% firm v Sloveniji glede na finančne zmožnosti ustavi. Seveda v primeru, da bi res investirali v CyberSecurity.

Realnost v naši kokoški je takšna: Imamo Asus Router in ne rabimo NGFWja... [:))]

mat xxl je 30. avg 2018 ob 23:17 izjavil:

SeMiNeSanja, v osnovi imaš prav, samo vedno je tu ČE....., tvoj model bi bil popoln, ČE bi danes poznal vse varnostne luknje sistemov, protokolov.

Iz zgodovine pa pač vemo, da temu ni tako, mnogo firm bogato služi ravno z odkrivanjem le teh in ne odpravljanjem, pač pa prodaji dalje državam z velikimi proračuni....... ko vse to premelješ, je jasno, da popolne varnosti, kljub najemu takih specialnih zunanjih pogodbenikov ni......

Torej, važno, da si do nekega nivoja ščiten, naprej pa več sistemski bakupi in zavedanje, da ne bo konec sveta, če firma poklekne za nekaj dni, vsaj pri nas je tako. Ve pa vsak za sebe..... kaj in kako.

Dokler ti nihče ne nabije sočne kazni za varnostni incident, se še lahko hecaš in zanašaš zgolj na backup.
Izpad poslovanja je tu še najmanjše zlo.
Tujina ima na tem področju precej bolj boleče primere, ki gredo celo tako daleč, da pravijo, da 60% SMB-jev v 6 mesecih po incidentu propade!

Celo kakšno veliko večje podjetje je incident uspel pokopati. Ali Ashley Madison še obstaja?

Ti se pač giblješ v sivi coni. Tako kot tisti, ki se pozimi poda na cesti z letnimi gumami, ki imajo še dovolj profila, da ne bo kar takoj dobil kazen. Saj gre....dokler ne začne padati sneg. Potem je pa tombola.
Seveda lahko tudi rečeš, da zimske gume niso garancija, da se ti ne more pripetiti nesreča. Ampak je to res sprejemljiv izgovor za vožnjo z letnimi gumami?

Poleg tega pa nikoli ne smeš pozabiti, da ne ogrožaš samo sebe.
Zaradi tvojega ignoriranja lahko preko tebe stakne okužbo katera od tvojih strank.
Potem pa upaj, da bo imela razumevanje, da po tvojem mnenju zgolj backup zadošča.
Načeloma, če uspe dokazati, da je dobila okuženi mail od tebe, se lahko začne tudi pravdati za odškodnino.
Če pa stranki nekaj vzdržuješ in ji preko omrežja kaj 'pošlješ', so pa lahko težave še večje.
Zagotovo pa izgubiš to stranko, z precej verjetnosti pa še kakšno.

Res ne vem, kdaj boste razumeli, da se s temi zadevami ni za zajebavat.

Že že....samo vsi pozabljate eno grdo malenkost: izsiljevalski virusi niso edina grožja. Samo proti tem pa ti pomaga backup!

Drugače sem se ravno prej pogovarjal z nekom, ki dela v trgovskem podjetju s skladiščem in kakšnimi osmimi trgovinami. Imajo centralni strežnik z računovodskim programom in vse trgovine povezane nanj.
Predvidoma se delajo vsakodnevne varnostne kopije. Recimo da brezhibne.

Ampak recimo, da ob 12.30 nekaj 'zadane' server in zaklen vse skupaj.
Že res, da lahko povrnejo stanje od jutra, predenj so pričeli z delom.
Ampak kaj potem z transakcijami, ki so se zgodile do 12.30? Ali kdo shranjuje kopije blagajniških računov? Kaj pa uskladitev z davčno blagajno? Podrejo se zaloge, nastane cela štala, ki ti jo klasični backup ne bo rešil.

Ne, te stvari niso hec.

Tibor - we do not negotiate with terrorists!!!

SeMiNeSanja ima seveda veliko prav, mojega podjetja vseeno ne poznaš, dovolj dobro, da bi lahko sodil, viruse dobivam navadno ravno jaz od strank, pa tudi uglednih tujih dobaviteljev, ki so precej velike firme, vendar me še vsaj zaznavno ne niso uspeli okužiti.

Vsekakor vsak za sebe ve, koliko izpada si lahko privošči, žal mene veliko bolj, kot nek virus skrbi podtaknjen nezaznan back door, ravno zato, moram tudi v skladu z protokoli imeti določene zadeve na sistemu izven sistema, pa še to vse fizično varovano.

Je pa res na splošno varnostna kultura in zaščita na dokaj nizkem nivoju, ko pa podatki gredo pa jok.....

Sem sodeloval z nasveti pri odklepanju 2 firm brez bakupov z zaklenjenimi fajli, obe sta plačali, ena dobila podatke tudi nazaj, druga pa kljub plačilu NE.

Tako, da po toči zvoniti ne pomaga, moraš vsake toliko časa prav organizirati napad na lastno infrastrukturo in videti, do kam prideš.....

Se pa da tudi za ugodno ceno dobro urediti zaščito, ni nujno, da stane, recimo A1, ponuja, kar ugodne rešitve celo takim, ki so sicer pri konkurenci.

Dpool, a lahko prosim navedeš tista orodja za EDR, NIDS, HIDS, Honeypots, VA..., ki jih lahko uporabiš na desktop mašinah.

Dpool je 5. sep 2018 ob 18:29 izjavil:

Naprimer:
EDR: Carbon Black
NIDS: Fidelis
VA: Qualys
Sandboxing: VMRay

Ti delaš v kakšnem SOC-u? Ker ne vem kira firma bi imela drugače vsa tale orodja, razen če jih prodajate :)

Dpool je 9. sep 2018 ob 17:41 izjavil:

V SOCu, ja.

SOC = Serbian Orthodox Church

Ali izraz "Nadzorni Center" res ni dovolj imeniten? Ali resnično rabimo to zmešnjavo okrajšav?