jag rotte hoe om afstandtoegang sagteware risiko's te versag banier

Jag RAT'e: Hoe om sagtewarerisiko's vir afstandtoegang te verminder

Afstandtoegangsagteware is vir baie jare 'n gewilde hulpmiddel vir IT-administrateurs, bestuurde diensverskaffers (MSP's), SaaS-firmas en ander. Dit bied 'n waardevolle manier om verskeie IT- en OT-eindpunte op afstand te bestuur en te monitor vanaf 'n enkele, gesentraliseerde ligging. Maar op dieselfde manier bied hulle 'n kragtige manier vir bedreigingsakteurs om korporatiewe verdediging te omseil en oor 'n afstand toegang tot slagoffernetwerke te verkry.

Of dit nou afgeleë toegangshulpmiddels (RAT's), afstandmonitering en bestuur (RMM) produkte of afstandbeheeroplossings is, die risiko is dieselfde. Dit is tyd om 'n potensieel gevaarlike agterdeur in korporatiewe IT-omgewings toe te maak.

Wat is RAT's?

Gereedskap soos Atera, AnyDesk, ConnectWise en TeamViewer is welbekend in die IT-gemeenskap. Alhoewel dit al jare gebruik word om administrateurs te help om probleme op te los, masjiene op te stel en op te stel, eindpunte te pleister, en meer, het RAT's regtig tot hul reg gekom tydens die pandemie. Maar net soos aanvalle op afgeleë werkskermgereedskap gedurende daardie tydperk toegeneem het, het ons ook 'n groeiende belangstelling in afstandtoegangsagteware gesien as 'n manier om sekuriteitnutsmiddels te omseil.

Hulle is selfs ontplooi in aanvalle wat individue teiken, waar die slagoffer sosiaal gemanipuleer is om een ​​na hul rekenaar of mobiele toestel af te laai om 'n bedrieër toegang tot hul bank- en ander rekeninge te gee. Dit gebeur gereeld in tegniese ondersteuning swendelary en, mees onlangs, in 'n gesofistikeerde regering nabootsing veldtog ontwerp om slagoffers se kaartbesonderhede te steel.

Waarom is RAT's aantreklik?

Dit behoort geen verrassing te wees dat bedreigingsakteurs sulke instrumente in groter getalle teiken nie. Hulle bied 'n nuttige manier om in te meng met wettige gereedskap en prosesse, op 'n soortgelyke manier as leef van die land (LOTL) aanvalle. Omdat afstandtoegangsagteware met vertroude sertifikate onderteken is, sal dit nie geblokkeer word deur teen-wanware of eindpuntbespeuring en -reaksie (EDR) gereedskap nie. Ander voordele vir teëstanders sluit in die feit dat afstandtoegangsagteware:

  • Kan verhoogde voorregte hê, wat aanvanklike toegang, volharding, laterale beweging, toegang tot sensitiewe hulpbronne en data-eksfiltrasie makliker maak
  • Stel bedreigingsakteurs in staat om indringers uit te voer sonder om tyd en geld te spandeer aan die ontwikkeling van wanware soos afstandtoegang Trojans (ook afgekort tot "RATs"), wat sekuriteitsnutsmiddels kan identifiseer
  • Stel teëstanders in staat om sagtewarebestuurbeheerbeleide te omseil en moontlik selfs nie-goedgekeurde sagteware op die geteikende masjien uit te voer
  • Gebruik end-tot-end-enkripsie, wat aanvallers in staat stel om lêers af te laai wat korporatiewe brandmure andersins sou stop
  • Kan verskeie gelyktydige aanvalle ondersteun, byvoorbeeld via 'n gekompromitteerde MSP

Hoe teenstanders afstandtoegang teiken

Volgens die Amerikaanse agentskap vir kuberveiligheid en infrastruktuur (CISA), kan bedreigingsakteurs óf kwesbare weergawes van afstandtoegangsagteware uitbuit óf wettige gekompromitteerde rekeninge gebruik om die gebruik van die gereedskap te kaap. Alternatiewelik kan hulle slagoffers sosiaal ontwerp om wettige RMM-sagteware of soortgelyke af te laai. In meer gesofistikeerde aanvalle kan hulle 'n afstandtoegang-sagtewareverkoper teiken en sy sagteware met kwaadwillige opdaterings manipuleer. Hulle kan ook PowerShell of ander wettige opdragreëlnutsmiddels gebruik om 'n RMM-agent heimlik op die slagoffer se masjien te ontplooi.

Soms gebruik bedreigingsakteurs ook sagteware vir afstandtoegang in samewerking met penetrasietoetsinstrumente soos Cobalt Strike of selfs wanware met afstandtoegang om volharding te verseker. Sodra hulle toegang tot 'n teikennetwerk/-masjien het, kan hulle afstandtoegangsagteware gebruik om:

  • Beweeg lateraal deur die slagoffer se netwerk
  • Vind lyste van ander stelsels vir laterale beweging
  • Vestig bevel en beheer (C2) kanale

Sulke tegnieke word deur beide kubermisdaadgroepe en nasionale staatsoperateurs gebruik vir gesofistikeerde datadiefstalbedrywighede en losprysware-aanvalle. Daar is gesien dat hulle Amerikaanse staatswerknemers teiken in finansieel gemotiveerde swendelary. Een sekuriteitsverkoper het ook gewaarsku oor die “oormatige” gebruik van nie-ondernemingsgraad RAT's in OT-omgewings, wat uiteindelik organisasies se aanvalsoppervlak uitbrei.

Sy navorsing toon dat 79% van die firmas meer as twee sulke instrumente op OT-netwerktoestelle geïnstalleer het. Omdat dit nie voldoende toegangskontroles en kenmerke soos multi-faktor-verifikasie (MFA) het nie, word hulle blootgestel aan kaping deur bedreigingsakteurs.

In die natuur

Daar is talle voorbeelde van RAT-gebaseerde oortredings met ernstige gevolge oor die afgelope paar jaar. Hulle sluit in:

  • In Februarie 2024, kwesbaarhede in ongelapte ScreenConnect-sagteware uitgebuit is in verskeie organisasies om wanware op bedieners en werkstasies te ontplooi met die afstandtoegangsagteware geïnstalleer.
  • In Februarie 2022 het CISA en die Verenigde Koninkryk se Nasionale Kuberveiligheidsentrum (NCSC) gewaarsku van 'n veldtog deur die Iranse APT-groep MuddyWater wat moontlik sowel kuberspioenasie as finansiële motiewe gehad het. Die bedreigingsakteurs het ScreenConnect gebruik vir aanvanklike toegang en laterale beweging.
  • In Januarie 2023, CISA gewaarsku van 'n veldtog wat ScreenConnect en AnyDesk gebruik om 'n "terugbetaling-bedrogspul" op federale regeringswerknemers uit te voer. Die veldtog het uitvissingtegnieke gebruik om die slagoffers te oorreed om die sagteware as selfstandige, draagbare uitvoerbare af te laai, wat hulle in staat gestel het om sekuriteitskontroles te omseil.
  • In Julie 2024, a sekuriteitsverkoper ontdek 'n gewysigde weergawe van die oopbron RMM-hulpmiddel PuTTY (herdoop tot "KiTTY") wat sekuriteitskontroles kan omseil. Die taktiek het die bedreigingsakteurs in staat gestel om omgekeerde tonnels oor poort 443 te skep om interne bedieners bloot te stel aan 'n AWS EC2-boks onder hul beheer om sensitiewe lêers te steel.

Hoe om aanvalle op afstandtoegang te versag

CISA lys 'n reeks gasheer- en netwerkgebaseerde kontroles en beleids-/argitektoniese aanbevelings wat kan help om veerkragtigheid teen sulke aanvalle te bou. Dit sluit in:

  • Uitvissing-bewustheidsopleiding vir werknemers
  • Geen vertroue en minste voorregbenaderings tot identiteit en eindpuntsekuriteit nie
  • SecOps-monitering vir verdagte aktiwiteite
  • Eksterne aanvaloppervlakbestuur (EASM) vir verbeterde sigbaarheid in onbekende en onbestuurde bates
  • Multi-faktor verifikasie (MFA) vir afstandtoegang sagteware
  • Ouditering van afstandtoegangsagteware en konfigurasies
  • Toepassingskontroles, insluitend nultrustbeginsels en segmentering, om sagteware-uitvoering te bestuur en te beheer
  • Deurlopende risiko-gebaseerde pleister
  • Netwerksegmentering om sybeweging te beperk
  • Blokkering van inkomende/uitgaande verbindings op algemene RMM-poorte en protokolle
  • Webtoepassingsbrandmure (WAF's) om afstandtoegangsagteware te beskerm

Die sekuriteitsagentskap beveel egter ook aan dat organisasies "'n robuuste risikobestuurstrategie handhaaf gebaseer op algemene standaarde, soos die NIST Cybersecurity Framework". Javad Malik, hoofadvokaat vir veiligheidsbewustheid by KnowBe4, stem saam.

"Die NIST-raamwerk se kernfunksies bied 'n omvattende benadering tot die bestuur van RMM-instrumentrisiko's," vertel hy aan ISMS.online.

"Dit sluit in die instandhouding van 'n inventaris van stelsels met RMM-sagteware, die afdwinging van sterk verifikasie, die implementering van gedragsanalise vir anomalie-opsporing, die ontwikkeling van spesifieke insidentreaksie-speelboeke, en die versekering van besigheidskontinuïteitsplanne rekening hou met RMM-gereedskapafhanklikhede." Malik voeg by dat ISO 27001 ook kan help om die risiko's van die gebruik van afstandtoegangsagteware te verminder.

"ISO 27001 se kontroles oor toegangsbestuur, kriptografie, bedryfsekuriteit en verskafferverhoudings bied 'n stewige fondasie," verduidelik hy. "Organisasies kan byvoorbeeld formele RMM-toegangsbestuurprosesse implementeer, geënkripteerde afgeleë sessies verseker en outomatiese waarskuwings vir ongewone aktiwiteite opstel."

Ian Stretton, direkteur van EMEA by die kuberveiligheidskonsultante Green Raven, stem saam dat “suksesvolle kuberveiligheid gegrond is op vaste grondslae soos ISO 27001”.

Hy sê aan ISMS.online dat een sleutelbeginsel van sulke benaderings is om deurlopende monitering te ontplooi, gerugsteun deur bedreigingsintelligensie.

"Dit word in skerper fokus gebring deur die aanvaarding van KI deur bedreigingsakteurs as 'n uitdaging vir KI-gebaseerde verdedigingsinstrumente," sluit Stretton af.

"Die ontplooiing van gereedskap soos anomalie-opsporingstelsels wat spesifiek monitor vir verdagte gedrag in KI-prosesse - soos wanklassifikasie, skielike verskuiwings in besluitnemingslogika of ander gedrag - kan help om hierdie tipe KI-gebaseerde bedreiging te bekamp."

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!