Skaļš ventilatora troksnis sakaru telpā, kad ēka ir tukša, slēdža mirgošana, it kā sirdsdarbība. Jūs izdzerat atlikušo biroja kafiju, kurai jau ir apdeguma garša, kad parādās čats: “Vai jūs varētu pārbaudīt, vai failu apmaiņas sistēmā nav kaut kas dīvains?” Šis nelielais lūgums pārvēršas par sprinta skrējienu, jo jūs esat izlasījis virsrakstus un redzējis ekrānuzņēmumus. Šifrēti failu nosaukumi. Zīmīte ar izpirkuma prasību un vārdu, kuru jūs jau ienīst: Akira. Jūs iedomājaties tabulas ar algām un kāzu fotogrāfijas, kas slēptas aiz skaitļa, kuru jūs nevarat pieņemt. Šajā brīdī jūs vēlaties kaut ko garlaicīgu, neglamūru, nežēlīgi vienkāršu: noteikumus. Ne politiku uz slaida. Reālus ugunsmūra noteikumus, kas neļauj ļaunumam runāt. Taustiņu klikšķi, telpas dūkoņa un viena doma: ko mēs bloķēsim, pirms tas sāksies?
Saturs
Akira klusie ceļi
Akira nav nosliece uz teatrālu uzvedību. Viņš dod priekšroku apvedceļam: VPN konts ar atkārtoti izmantojamu paroli, nedaudz nepatchēta perifērā aparatūra, attālināts darbvirsmas, kas atstāts “uz laiku” atvērts, bet nejauši kļuvis par pastāvīgu. Tad viņš rīkojas kā kolēģis, kurš zina visus noslēpumus. SMB — kopīgo resursu apskatei. PsExec — savas darbības izkliedēšanai. Nedaudz WinRM. DNS pārbaude. Kad viss būs gatavs, viņš izvilks jūsu datus, izmantojot ērtu mākoņpakalpojumu, un nospiedīs izslēgšanas pogu.
Mums visiem ir bijis brīdis, kad esam sev apsolījuši, ka rīt rīkosimies apņēmīgāk. Būsim godīgi: neviens to nedara katru dienu. Nav nepieciešama pilnība. Ir nepieciešami astoņi stingri pasākumi, kas izjauks visu shēmu. Tādi, kas liks izspiedējprogrammas operatoram nopūsties un aiziet.
1. noteikums — aizveriet publiskā RDP durvis
Akira operatori mīl RDP tāpat kā hakeru mīl logus, kas atstāti atvērti. Ja TCP 3389 ir pieejams internetā, tas ir uzaicinājums. Jūs varat domāt, ka jums ir drošas paroles un nedaudz slepenības. Tas ir pareizs solis, ja piekļuves datu aizstāšana un izkliedēšanas uzbrukumi nekad neaizmieg.
Ko uzstādīt
Ugunsmūris uz robežas: aizliegiet ienākošo TCP datplūsmu 3389 no jebkura avota uz jebkuru iekšējo adresi bez izņēmumiem. Ja jums ir nepieciešama attālā administrēšana, novirziet to caur VPN un drošu hostu ar MFA atbalstu, pēc tam pievienojiet šo hostu atļauto RDP pieprasījumu sarakstam noteiktām iekšējām adresēm.
Kāpēc tas kaitē Akiram
Tas atslēdz vienu no visizplatītākajiem atbalsta punktiem. Pat ja Akira uzlauž vāju ārējo kontu, viņš nevar vienkārši ieiet caur RDP. Jūs piespiedāt viņus izvēlēties šaurāku ceļu, kuru ir vieglāk izsekot.
2. noteikums — Aizsargājiet SMB telpu starp darbstacijām
Horizontālā pārvietošanās — tas ir īsts kaitējums. Viena klikšķa, un infekcija izplatās pa galdiem. SMB (TCP 445 un 139) ir koridors, ko tā izmanto. Vairumā biroju to uztver kā gaisu, kas izplatās visur, jo “mēs vienmēr tā esam darījuši”. Šī ieradums ļauj jums atgūties nedēļas laikā.
Ko instalēt
Aizliegiet TCP 445 un TCP 139 abos virzienos starp lietotāju VLAN vai segmentiem. Atļaujiet SMB tikai no darbstacijām uz atļautajiem failu serveriem un domēna kontrolieriem. Aizliegiet vienādranga SMB. Perimetrā pilnībā bloķējiet ienākošos un izejošos portus 445/139.
Kāpēc tas sāp Akira
Akira mīl dalīties. SMB piekļuves ierobežošana pārvērš katru darbstaciju par strupceļu. Ļaunprogrammatūra nevar vienkārši savienoties ar ADMIN$ vai savienoties ar jūsu kolēģa Laptop-12, lai izplatītos.
3. noteikums — PsExec un RPC sānu koridoru pārtveršana
Nonākuši iekšā, Akira operatori bieži izmanto PsExec vai pakalpojumu izveidi caur RPC un SMB. Tas ir efektīvi un klusi. Jūs neredzēsiet uguņošanu, tikai jaunus pakalpojumus, kas parādās kā spoki. Šie rīki ir iebūvēti Windows darbībā, tāpēc tie ir tik pievilcīgi.
Kas jāinstalē
Starp apakštīkliem, kas nav saistīti ar administrēšanu, aizliegiet TCP 135 (RPC Endpoint Mapper), TCP 445 un dinamisko diapazonu RPC TCP 49152–65535. Atļaujiet tos tikai no neliela vadības tīkla uz serveriem un domēnu kontrolieriem. Šeit ir svarīgi veikt žurnāla reģistrēšanu: ziņojiet par jebkādiem RPC savienojuma mēģinājumiem starp klientiem.
Kāpēc tas kaitē Akiram
PsExec šie porti ir nepieciešami, lai nosūtītu izpildāmos failus un attālināti palaistu pakalpojumus. Pārklājot piekļuvi, ļaundaris būs spiests izmantot acīmredzamākas metodes, kas palielina jūsu izredzes to atklāt.
4. noteikums — kontrolējiet WinRM
WinRM šķiet nekaitīgs, kamēr tas nav apdraudēts. Klusā dienā tas ir nepieciešams skriptiem un ērtībai. Sliktā dienā tas ir tālvadības pults svešās rokās. Solījums „mēs to izmantojam tikai retos gadījumos” nav politika.
Ko instalēt
Bloķējiet TCP portus 5985 (HTTP) un 5986 (HTTPS) starp lietotāju tīkliem, kā arī starp lietotāju tīkliem un serveriem, izņemot aizsargātu pārvaldības apakštīklu vai bastionu. Izmantojiet to kopā ar noteikumiem ierīču līmenī: tikai pārvaldības konti var iniciēt WinRM.
Kāpēc tas kaitē Akira
WinRM ir ērts veids, kā izpildīt komandas jebkurā vietā, neradot lieku trauksmi. Piekļuves ierobežošana liek uzbrukumiem atgriezties pie trokšņainākiem kanāliem. Uzbrucējs vai nu atkāpjas, vai riskē tikt atklāts.
5. noteikums — nostipriniet DNS serverus
DNS ir baumas. Tas ziņo, kur kas atrodas, un nepareizās rokās kļūst par vārtiņiem. Akira saistītās personas bieži pārbauda pieejamību, izmantojot DNS, un daži rīki var pārraidīt datus caur to. Atļaut katrai ierīcei tieši sazināties ar internetu ir tas pats, kas ļaut katram praktikantam atbildēt preses konferencē.
Ko instalēt
Aizliedziet izejošos UDP un TCP paketes 53 no visiem klientiem un serveriem internetā. Atļaujiet DNS tikai iekšējiem risinātājiem. Perifērijā atļaujiet risinātājiem sūtīt pieprasījumus augšupvērstā virzienā. Reģistrējiet un paziņojiet par jebkādām tiešām ārējām DNS mēģinājumiem.
Kāpēc tas sāp Akiram
Tas bloķē vadību un kontroli caur DNS un izjauc izplatītu izlūkošanas shēmu. Kad kompromitēts hosts mēģina jūs apiet, tas sastopas ar sienu. Jūs saņemat noderīgu ierakstu žurnālā, nevis nemanāmu noplūdi.
6. noteikums — Atbrīvojieties no izsalkuma un mēģiniet iekļūt populāros mākoņos
Kad faili ir gatavi, Akira tos nesūta uz aizdomīgu serveri caur 6667. portu. Tas izmanto ērtos gigantus: S3, Dropbox, Mega, Google Cloud, Backblaze. Bieži vien izmantojot rclone vai līdzīgus rīkus, kas tiek integrēti parastajā HTTPS. Izkraušanas process izskatās kā otrdienas vakars.
Ko instalēt
Serveriem un darbstacijām aizliegiet izejošo HTTPS datplūsmu kategorijā “mākoņuzglabāšana”, izņemot gadījumus, kad tiek izmantots proxy serveris, kur var piemērot atļauto sarakstu un pārbaudīt TLS SNI. Ja jūsu ugunsmūris atbalsta FQDN noteikumus vai URL kategorijas, bloķējiet vai pieprasiet skaidras izņēmumus tādiem domēniem kā s3.amazonaws.com, storage.googleapis.com, api.dropboxapi.com, content.dropboxapi.com, mega.nz, mega.co.nz, b2api.backblazeb2.com, pcloud.com, drive.google.com un r2.cloudflarestorage.com. Piemērojiet plašākus ierobežojumus serveru tīkliem nekā lietotāju tīkliem un izveidojiet šauras nosauktas izņēmumu sarakstus apstiprinātiem rīkiem.
Kāpēc tas sāp Akira
Rclone un tā radiniekiem ir jānokļūst līdz šiem galamērķiem. Lieciet viņiem iesniegt vīzas pieteikumu. Exfil kļūst trokšņains, sabojājas vai ir spiests apiet jūsu proxy serveri, kur jums ir acis un bremzes.
7. noteikums — Ievietojiet VPN aplokā
Vairāki Akira uzbrukumi sākās ar VPN piekļuvi, kas perifērajai ierīcei šķita “leģitīma”. Aizgūti autentifikācijas dati, daudzfaktoru autentifikācijas trūkums vai caurums, kas palicis pēc steigas izmaiņām. Nonākot iekšā, VPN lietotājs kļūst par superlietotāju, kurš atrodas viesabonēšanā un kam ir tieša piekļuve visam. Tas nav attālināta piekļuve. Tas ir atslēgas atslēga.
Ko instalēt
Uz starptīkla ekrāna/ASA izveidojiet atsevišķu VPN adrešu kopu, kas pieejama tikai nelielam Jump Host hostam vai noteiktām tīmekļa lietojumprogrammām. Aizliedziet SMB (445/139) un RDP (3389) no VPN klientiem visos apakštīklos, izņemot bastionu. Izmantojiet autentifikāciju ar ātruma ierobežojumu un ģeogrāfisko zonu, ja tas ir lietderīgi, un brīdiniet par vairāk nekā pieciem neveiksmīgiem piekļuves mēģinājumiem minūtē no viena avota. Pieprasiet daudzfaktoru autentifikāciju (MFA) un izslēdziet neuzticamus protokolus no tīkla.
Kāpēc tas sāp Akiram
Ja VPN ir ieeja, bojājumu rādiuss kļūst niecīgs. Ļaunprātīgs lietotājs nevar tieši uzbrukt serveriem vai veikt sarežģītas sānu pārvietošanās. Viņi nonāk norobežotā teritorijā, nevis atklātā līdzenumā.
8. noteikums — Tor un neparastu izeju bloķēšana
Kad parastie ceļi ir bloķēti, noziedznieki vēršas pie anonīmām tīklām un nejaušiem portiem. Tor Bootstrap satiksme atšķiras. Tāpat kā instrumenti, kas dod priekšroku augstiem, nejaušiem portiem, lai sazinātos ar mājām. Jums nav jāzina katrs bāka. Jums ir jāierobežo jēdziens „izejošais”.
Ko uzstādīt
Aizliegiet izejošos TCP portus 9001 un 9030 (Tor OR un katalogu porti), kā arī bloķējiet SOCKS portus 9050 un 9051. Apsveriet iespēju konfigurēt izejošā datplūsmas politiku, atļaujot tikai 80/443 portus caur jūsu proxy serveri, NTP 123 uz jūsu laika serveriem un noteiktus biznesa portus; aizliegiet visus pārējos. Ja iespējams, bloķējiet savienojumus ar zināmiem Tor retranslatoru sarakstiem, kurus jūsu ugunsmūris atjaunina automātiski.
Kāpēc tas sāp Akiram
Tas bloķē rezerves maršrutus. Kad dati nevar izkļūt caur nezināmiem portiem vai Tor tīklu, exfil un C2 kļūst sarežģītāki un trokšņaināki. Trokšņi ir tas, kas nepieciešams jūsu analītiķiem.
Realitātes pārbaude: noteikumi, kas elpo
Šie noteikumi ir stingri, bet tiem ir nepieciešama brīvība. Jūs saņemsiet pieprasījumu no finanšu nodaļas, jo ir salūzis legāls instruments. Jūs pievienosiet izņēmumu un reģistrēsiet to. Tas ir dzīvs tīkls. Galvenais nav nopelnīt punktus par tīrību, bet gan atbrīvoties no tiem ceļiem, kurus tik ļoti mīl Akira, un tajā pašā laikā netraucēt darbu.
Kad ieviešat noteikumus, rakstiet tos kā cilvēks. “VPN lietotāji var savienoties tikai ar RDP ar Bastion-01.” “Darba stacijas nekad nesazinās savā starpā, izmantojot SMB protokolu.” “Serveri nesazinās ar Dropbox.” Ja jūs nevarat izskaidrot noteikumu nogurušam kolēģim divos naktī, kad gaisā virmo alkohola smarža, tas ir pārāk sarežģīts.
Pierādījums tam, ka mazām sienām ir nozīme
Vienā Latvijas firmā, kuru es apmeklēju šopavasar, nebija nekas īpašs. Nebija budžeta spožām kastēm. Tikai vecs, kautrīgs ugunsmūris ar astoņiem stingriem noteikumiem un informācijas tablo, kas mirgoja, kad kāds mēģināja tos apiet. Partneris Akira iekļuva caur VPN, izmantojot atkārtoti izmantotu paroli. Viņi sasniedza bastionu, un tad… nekur tālāk netika. Ne RDP savienojumi ar serveriem, ne SMB starp klēpjdatoriem, ne WinRM apskate, ne DNS piekļuve pasaulei, ne vienkārša mākoņcache. Viņi padzina pēc divām stundām un divdesmit brīdinājumiem. IT vadītājs devās mājās gulēt.
Padariet noteikumus par kāda rituālu
Izvēlieties vienu dienu katru mēnesi un pārskatiet sarakstu. RDP ir slēgts? SMB ir bloķēts? RPC ir bloķēts? WinRM ir bloķēts? DNS ir bloķēts? Mākoņuzglabāšana ir izsmelta? VPN ir bloķēts? Tor un citi porti ir bloķēti? Desmit minūtes jautājumu ietaupīs desmit dienas atjaunošanai. Izvēlieties vienu segmentu nedēļā un pārbaudiet aizliegto plūsmu, izmantojot ātro komandu. Turiet piezīmju grāmatu pie plaukta, ja esat tāds cilvēks. Daudzi no mums tādi ir.
Jūs saņemsiet pretestību. Piegādātājs uzstās, ka viņam ir nepieciešama pilna tīkla piekļuve “vienai dienai”, kas pārvērtīsies par mūžību. Pasmaidi un tad uzraksti nelielu izņēmumu ar termiņa ierobežojumu. Iestati atgādinājumu. Kad tas tiks pinga, izdzēs to, ja vien kāds nevar vienkāršos vārdos izskaidrot, kāpēc tas pastāv. Šis ieradums palīdz tev turēt durvis aizvērtas, neiegūstot ienaidniekus.
