Operazione “Eye Pyramid” : contromisure possibili con la nuova Microsoft Security platform

[This blog post has been republished as-is on February 2019]

[English readers: you can find English [EN] links in this post for your convenience]

Dopo avervi condiviso ieri una personale riflessione sull’operazione in oggetto (che alla luce delle ultime news potrebbe rivelare una compromissione effettiva molto più limitata di quanto prospettata inizialmente), credo sia più utile approfittare di questo ennesimo caso di cyber cronaca per potervi mostrare che non si è disarmati di fronte a queste tipologie di attacchi e che esistono soluzioni di sicurezza avanzate in grado di contrastarli, anche per chiarire la notevole mole di disinformazione che sta serpeggiando sui media in questi giorni, in particolare quando le analisi finiscono con il dichiarare l’impossibilità di difesa e l’ineluttabilità di essere compromessi: non è assolutamente così, ci sono contromisure possibili !!

Andiamo dritti al cuore del problema: l’attacco #EyePyramid ha potuto essere efficace per lo sfruttamento di 2 debolezze critiche

  1. L’attacco rivolto all’anello debole, cioè alla persona, indotta in modo convincente ad aprire una email perché proveniente da un indirizzo degno di fiducia (un ufficio legale o di professionisti con cui si hanno regolarmente contatti di lavoro – a parte l’anomalia della email ricevuta dall’ ENAV da parte di contatti inusuali che ha appunto fatto insospettire il responsabile di sicurezza e permesso di far partire l’indagine) e ad aprire il relativo allegato (si parla di un file PDF)
  2. L’attacco portato con una variante malware
    sconosciuta ai sistemi antivirus in grado di infettare e prendere il pieno controllo del PC ad insaputa dell’utente stesso.

Due veloci considerazioni su ciascuna debolezza.

In passato si diceva che in virtù della debolezza intrinseca degli utenti un’azione fondamentale fosse il miglioramento della cultura di base sulla sicurezza, la loro sensibilizzazione sui rischi cyber. Se la cosiddetta security awareness continua a rimanere un pilastro fondamentale per migliorare i livelli di protezione, è indubbio che non ci si può affidare solo ad essa: come dimostra il caso in oggetto, chi attacca si attrezza appunto per usare le tecniche di social engineering per carpire la buona fede anche dei più tecnicamente preparati.

Sul tema antimalware è ormai pienamente assodato che queste soluzioni da sole non riescono più a stare al passo della facile possibilità da parte di chi attacca di realizzare varianti in grado di non essere rilevate dal meccanismo signature-based (=scopro un nuovo malware, creo la firma che permette di riconoscerlo e la distribuisco >> c’è evidentemente un gap temporale che può essere usato per non essere rilevati con una variante nuova).

L’evoluzione delle soluzioni di sicurezza ha dovuto necessariamente trovare contromisure ad entrambe le debolezze citate per riuscire a proteggere gli utenti anche se incauti o abilmente ingannati e per contrastare malware cosiddetto 0-day, ossia non ancora catalogato come tale e quindi non incluso in firme di rilevamento.

Nell’ambito della nuova Microsoft Security platform che vi ho velocemente mostrato in slide nel mio recente post-manifesto di rilancio del blog NonSoloSecurity, esiste una specifica soluzione pensata a questo scopo rispetto a minacce 0-day che possano giungere come allegati di email o come link pericolosi all’interno delle stesse:

Office 365 Advanced Threat Protection (ATP)
[EN version]: avrò modo di tornare in un prossimo post per darvi maggiori dettagli sulle sue funzionalità, ma per l’applicabilità al caso in oggetto serve sapere che tale soluzione (che Microsoft ha rilasciato nell’estate 2015 [EN]) avrebbe sottoposto il PDF allegato ad un meccanismo di detonation, di verifica della sua reale pericolosità su un sistema virtuale isolato (sandbox), prima di di cestinarlo (se pericoloso) o di veicolarlo nella casella di posta dell’utente (se sicuro).

Una volta installatosi nel PC delle vittime questo malware si è attrezzato per modificare in più parti la configurazione del sistema operativo e delle applicazioni presenti per poter effettuare indisturbato una serie di azioni pericolose (recuperare i documenti e i file più disparati, spedire i più piccoli come allegati via email, salvare i più grandi su servizi di storage cloud, rubare credenziali eventualmente memorizzate sul sistema, carpire i tasti digitati sulla tastiera, sottrarre i preferiti e le history di search & navigazione sul web, …).

Possibile che tutto questo gran da fare possa essere fatto in modo da non essere rilevato? Le moderne soluzioni di sicurezza a livello di PC/endpoint intendono proprio agire per tenere sotto stretto controllo tutto quanto avvenga sul sistema per riconoscere pattern di azioni pericolose sintomo di un attacco / compromissione non ancora catalogate come malware:

La nuovissima soluzione di Windows Defender Advanced Threat Protection (WD-ATP) [EN version], rilasciata nell’ultima major release di Windows 10 del luglio 2016 (l’Anniversary Update – build 1607), svolge proprio il ruolo di soluzione di post-breach detection per individuare nel modo più rapido possibile ogni indicatore di attacco/compromissione (IoA/IoC) grazie all’uso della potente granularità della telemetria in Windows 10, in modo che non serva installare alcun agent ma solo abilitare funzionalità native del sistema operativo.

Un passo ulteriore di possibile contromisura per una efficace detection multi-livello: vi ho segnalato che l’attacco ha attrezzato il malware a trafugare dati (exfiltration) utilizzando servizi di cloud storage americani per i file di grosse dimensioni: esistono soluzioni di tipo Cloud Access Security Broker (CASB)

La soluzione Microsoft in questo ambito si chiama Cloud App Security [EN version], disponibile dall’aprile del 2016 [EN] è parte della nuova suite di soluzioni di Enterprise Mobility + Security (EMS) [EN version], e pemette la supervisione del traffico in uscita verso il cloud per poter rilevare anomalie di traffico dati, violazioni di policy aziendali, condivisione non autorizzata di documenti sensibili.

Ultimo passaggio: anche se non si ha al momento evidenza che chi abbia perpetrato questo attacco abbia agito con delle azioni di cosiddetto lateral movement per tentare di compromettere sistemi aziendali a cui il PC compromesso potrebbe essere stato connesso in qualche momento, si ha evidenza che il malware ha permesso di “esfiltrare” anche credenziali di rete/aziendali … e in ogni caso su PC appartenenti a domini aziendali questa compromissione crea le condizioni per usare tale sistema come testa di ponte per l’escalation di attacco verso risorse aziendali che potrebbero esporre ulteriori dati ed identità altamente sensibili. Di fronte a questo scenario pericolosissimo, ma ahimè altamente riscontrato nelle azioni di contrasto che come Microsoft effettuiamo ogni giorno a supporto dei nostri clienti, è opportuno sappiate della disponibilità di una innovativa soluzione della tipologia che Gartner ha chiamato UEBA “User and Entity Behavior Analytics

Microsoft Advanced Threat Analytics (ATA) [EN version] è la soluzione (disponibile dall’agosto 2015 [EN], ora giunta alla versione 1.7 [EN]) che si propone di essere leader in questo segmento UEBA grazie alla possibilità di combinare l’approccio di Behavioral Analytics (che i clienti più avveduti staranno sicuramente già valutando) con una esclusiva capacità di detection deterministica di ogni fase di cui sono composti i più recenti e sofisticati attacchi rivolti alla compromissione delle identità gestite da Active Directory (per citare i più temuti: Pass-the-Hash (PtH), Pass-the-Ticket (PtT), Overpass-the-Hass, Skeleton key malware, Golden ticket…)

Se avessi voluto cercare un caso reale per iniziare a raccontarvi l’efficacia concreta offerta dalle soluzioni di Threat Detection e Protection incluse nella nuova Microsoft Security platform



… non avrei potuto trovare nulla di meglio dell’evento #EyePyramid

P.S. vi segnalo alcune utili risorse per approfondire i dettagli dell’attacco

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)


 

Operazione “Eye Pyramid”: riflessioni sullo stato del sistema Italia a livello Cybersecurity…

[This blog post has been republished as-is on February 2019]

Rispetto alla notizia del giorno sull’operazione “Eye Pyramid” ci si sta ponendo diverse, legittime, domande sul livello di protezione di identità, dati e dispositivi di personaggi così eccellenti da considerare minacciata la sicurezza nazionale e su come sia stato possibile effettuare tali attività di spionaggio per così tanto tempo (mi pare si parli di 4-5 anni…) senza che il “sistema” si sia accorto di tali attacchi, sistematici e su tale scala – censite circa 18.327 identità (username), di cui circa 1.793 complete delle relative credenziali (password).

Come giudicare lo stato di salute del sistema Paese rispetto ai rischi Cyber in base a quanto accaduto?

Utilizzando per un attimo uno dei modelli attuali di possibile approccio alla sicurezza, “Protect/Detect/Respond“, possiamo dire che abbiamo 2 notizie cattive ed 1 buona… 2 a 1 per le notizie cattive…, mi sa che non c’è tanto da essere ottimisti…

Ma io sono ottimista di natura e quindi inizio dalla buona notizia: la capacità di investigazione dimostrata dalla Polizia Postale e dal CNAIPIC (plauso a loro!) sono un brillante esempio di capacità reattiva (“Respond“) rispetto alla segnalazione iniziale della mail anomala notata dal responsabile di sicurezza dell’ENAV e della lunga, non facile, attvità di indagine (tradizionale+Cyber) che ne è seguita. Notevole anche aver appreso della costante collaborazione con la Cyber Division dell’FBI per una rapida azione di intervento di sequestro oltreoceano ed evitare la distruzione dei dati salvati sui provider statunitensi.

Cosa dire invece delle capacità di “Protect” & “Detect” ? Ahia, temo si debba ammettere l’incapacità del “sistema” di sicurezza (ammesso che ve ne sia uno organico e strutturato… ) di 1) proteggere identità/dati/dispositivi, per quanto possibile preventivamente, da questo tipo di rischi e 2), in ogni caso, di rilevare in modo tempestivo i possibili attacchi in corso.

E’ il solito approccio all’italiana, vedi l’esempio del terremoto, come parallelo quasi perfettamente calzante: nessuna prevenzione nelle costruzioni antisismiche per minimizzare gli impatti da eventi ineluttabili, ma nella capacità di reazione e solidarietà a disastro avvenuto non ci batte nessuno al mondo…

Idem per la Cybersecurity nazionale e quanto dimostra l’evento in oggetto: investire a priori per adottare soluzioni di protection & detection ? … Devo dedurre che non sia stato fatto, o non in modo adeguato rispetto alla criticità delle identità/dati di tali personaggi istituzionali… Per fortuna c’è una capacità di reazione con i contro-fiocchi (…tralasciando il tema della mancata catena di informazione che a quanto pare ha scatenato la rimozione del direttore della Polizia Postale titolare dell’indagine…).

Non mi resta che sperare che questo evento faccia riflettere chi di dovere e riesca ad incidere su come si debba investire a livello di sistema Paese sul tema Cybersecurity.

Non voglio però limitarmi a questa riflessione, purtroppo amara, e vorrei riuscire a spiegarvi in modo semplice come possano esserci delle soluzioni in grado di offrire un livello adeguato di contromisure di sicurezza rispetto a questo moderno contesto di rischio: arrivederci al prossimo post!

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)