Дайджест. 2024 / 06
Добро пожаловать в очередной выпуск ежемесячного сборника материалов, который является вашим универсальным ресурсом для получения информации о самых последних разработках, аналитических материалах и лучших практиках в постоянно развивающейся области безопасности. В этом выпуске мы подготовили разнообразную подборку статей, новостей и результатов исследований, рассчитанных как на профессионалов, так и на обычных любителей. Цель нашего дайджеста — сделать наш контент интересным и доступным. Приятного чтения
PDF в конце поста
A. AntiPhishStack
В документе под названием «Модель многоуровневого обобщения на основе LSTM для оптимизации фишинга» обсуждается растущая зависимость от революционных онлайновых веб-сервисов, что привело к повышенным рискам безопасности и постоянным проблемам, создаваемым фишинговыми атаками.
Фишинг, вводящий в заблуждение метод социальной и технической инженерии, представляет серьёзную угрозу безопасности в Интернете, направленный на незаконное получение идентификационных данных пользователей, их личного счета и банковских учётных данных. Это основная проблема преступной деятельности, когда атакующие преследуют такие цели, как продажа украденных личных данных, извлечение наличных, использование уязвимостей или получение финансовой выгоды.
Исследование направлено на улучшение обнаружения фишинга с помощью AntiPhishStack, работающего без предварительного знания особенностей фишинга. Модель использует возможности сетей долгой краткосрочной памяти (LSTM), типа рекуррентной нейронной сети, которая способна изучать зависимость порядка в задачах прогнозирования последовательности. Он симметрично использует изучение URL-адресов и функций TF-IDF на уровне символов, повышая его способность бороться с возникающими фишинговыми угрозами.
B. АНБ в истерике. AdaptTactics
Документ под названием «cyber actors adapt tactics for initial cloud access», опубликованный Агентством национальной безопасности (АНБ) предупреждает, об адаптации тактики для получения первоначального доступа к облачным сервисам, а не для использования уязвимостей локальной сети.
Переход от локальных решений к облачным является ответом на то, что организации модернизируют свои системы и переходят на облачную инфраструктуру. Также кибер-кампании расширяются в сторону таких секторов, как авиация, образование, секторов, связанных региональными и федеральными, а также госучреждениями, правительственными финансовыми департаментами и военными организациями.
1) Ключевые выводы
· Адаптация к облачным сервисам: сместился фокус с эксплуатации уязвимостей локальной сети на прямое воздействие на облачные сервисы. Это изменение является ответом на модернизацию систем и миграцию инфраструктуры в облако.
· Аутентификация как ключевой шаг: чтобы скомпрометировать облачные сети, необходимо успешно пройти аутентификацию у поставщика облачных услуг. Предотвращение этого первоначального доступа имеет решающее значение для предотвращения компрометации.
· Расширение таргетинга: расширена сфера воздействия на сектора, такие как, как авиация, образование, правоохранительные органы, региональные и федеральные организации, правительственные финансовые департаменты и военные организации. Это расширение указывает на стратегическую диверсификацию целей сбора разведывательной информации.
· Использование служебных и неактивных учётных записей: подчёркивается, что за последние 12 месяцев использовались брутфорс-атаки для доступа к служебным и неактивным учётным записям. Эта тактика позволяет получить первоначальный доступ к облачным средам.
· Профессиональный уровень атакующих: выявлена возможность осуществления компрометациии глобальной цепочки поставок, как, например, инцидент с SolarWinds в 2020 году.
· Первая линия защиты: подчёркивается, что первая линия защиты включает предотвращения возможности первичного доступа к сервисам.
C. АНБ в истерике. Ubiquiti
Документ под названием «Cyber Actors Use Compromised Routers to Facilitate Cyber Operations», опубликованный ФБР, АНБ, киберкомандованием США и международными партнёрами предупреждает об использовании скомпрометированных маршрутизаторов Ubiquiti EdgeRouters для облегчения вредоносных киберопераций по всему миру.
Популярность Ubiquiti EdgeRouters объясняется удобной в использовании ОС на базе Linux, учётными данными по умолчанию и ограниченной защитой брандмауэром. Маршрутизаторы часто поставляются с небезопасными конфигурациями по умолчанию и не обновляют прошивку автоматически.
Скомпрометированные EdgeRouters использовались APT28 для сбора учётных данных, дайджестов NTLMv2, сетевого трафика прокси-сервера и размещения целевых страниц для фишинга и пользовательских инструментов. APT28 получила доступ к маршрутизаторам, используя учётные данные по умолчанию, и троянизировала серверные процессы OpenSSH. Наличие root-доступ к скомпрометированным маршрутизаторам, дало доступ к ОС для установки инструментов и сокрытия своей личности.
APT28 также развернула пользовательские скрипты Python на скомпрометированных маршрутизаторах для сбора и проверки украденных данных учётной записи веб-почты, полученных с помощью межсайтовых скриптов и кампаний фишинга «браузер в браузере». Кроме того, они использовали критическую уязвимость с повышением привилегий на нулевой день в Microsoft Outlook (CVE-2023–23397) для сбора данных NTLMv2 из целевых учётных записей Outlook и общедоступные инструменты для оказания помощи в атаках с ретрансляцией NTLM
D. АНБ в истерике. SOHO
Эксплуатация небезопасных маршрутизаторов SOHO злоумышленниками, особенно группами, спонсируемыми государством, представляет значительную угрозу для отдельных пользователей и критически важной инфраструктуры. Производителям настоятельно рекомендуется применять принципы security by-design, privacy-by-design и методы повышения прозрачности для снижения этих рисков, в то время как пользователям и безопасникам рекомендуется внедрять передовые методы обеспечения безопасности маршрутизаторов и сохранять бдительность в отношении потенциальных угроз.
1) Проблема небезопасных маршрутизаторов soho
· Распространённые уязвимости: Значительное количество уязвимостей, общее число которых составляет 226, было выявлено в популярных брендах маршрутизаторов SOHO. Эти уязвимости различаются по степени серьёзности, но в совокупности представляют существенную угрозу.
· Устаревшие компоненты: Основные компоненты, такие как ядро Linux, и дополнительные службы, такие как VPN, в этих маршрутизаторах устарели. Это делает их восприимчивыми к известным эксплойтам уязвимостей, которые уже давно стали достоянием общественности.
· Небезопасные настройки по умолчанию: Многие маршрутизаторы поставляются с простыми паролями по умолчанию и отсутствием шифрования соединений, чем пользуются злоумышленники.
· Отсутствие security-by-design: Маршрутизаторам SOHO часто не хватает ряда функций безопасности, например возможностей автоматического обновления и отсутствия эксплуатируемых проблем, особенно в интерфейсах веб-управления.
· Доступность интерфейсов управления: Производители часто создают устройства с интерфейсами управления, с доступом через Интернет по умолчанию, часто без уведомления клиентов об этой небезопасной конфигурации.
· Отсутствие прозрачности и подотчётности: производители не обеспечивают прозрачность путём раскрытия уязвимостей продукта с помощью программы CVE и точной классификации этих уязвимостей с использованием CWE
· Пренебрежение безопасностью в пользу удобства и функциональных возможностей: Производители отдают предпочтение простоте использования и широкому спектру функций, а не безопасности, что приводит к созданию маршрутизаторов, которые «недостаточно безопасны» прямо из коробки, без учёта возможности эксплуатации.
· Небрежность пользователей: Многие пользователи, включая ИТ-специалистов, не соблюдают базовые правила безопасности, такие как смена паролей по умолчанию или обновление встроенного программного обеспечения, оставляя маршрутизаторы уязвимыми для атак.
· Сложность идентификации уязвимых устройств: Идентификация конкретных уязвимых устройств является сложной из-за юридических и технических проблем, усложняющих процесс их устранения.
2) Сектора / Отрасли
a) Коммуникации
· Утечки данных и перехват данных: небезопасные маршрутизаторы могут привести к несанкционированному доступу к сетевому трафику, позволяя злоумышленникам перехватывать конфиденциальные сообщения.
· Нарушение работы служб: скомпрометированные маршрутизаторы могут использоваться для запуска распределённых атак типа «Отказ в обслуживании» (DDoS), нарушающих работу служб связи.
b) Транспорт и Логистика
Уязвимость инфраструктуры: транспортный сектор в значительной степени полагается на сетевые системы для выполнения операций. Скомпрометированные маршрутизаторы могут позволить злоумышленникам нарушить работу систем управления трафиком и логистических операций.
c) Водоснабжение
Операционные технологии (ОТ): небезопасные маршрутизаторы предоставляют злоумышленникам шлюз для атак на системы ОТ в секторе водоснабжения, что потенциально влияет на системы очистки и распределения воды.
d) Энергетика
Сетевая безопасность: Энергетический сектор, особенно предприятия электроэнергетики, подвержены риску целенаправленных атак через небезопасные маршрутизаторы. Злоумышленники могли получить доступ к системам управления, создавая угрозу стабильности электросети.
e) Другие отрасли
· Здравоохранение: Небезопасные маршрутизаторы могут скомпрометировать данные пациентов и нарушить работу медицинских служб, предоставляя злоумышленникам доступ к сетям здравоохранения.
· Розничная торговля и гостиничный бизнес: Эти сектора уязвимы для утечки данных, связанных с информацией о клиентах и финансовыми транзакциями, из-за небезопасных сетевых устройств.
· Промышленность: Промышленные системы управления могут быть взломаны через небезопасные маршрутизаторы, что влияет на производственные линии и производственные процессы.
· Образование: Школы и университеты подвержены риску утечки данных и сбоев в предоставлении образовательных услуг.
· Государственный и общественный сектор: небезопасные маршрутизаторы могут привести к несанкционированному доступу к правительственным сетям, подвергая риску конфиденциальную информацию и критически важные услуги
E. Обнаружение кибератак на интеллектуальные устройства с учётом потребляемой энергии
Cyber Attacks on Smart Devices» подчёркивается влияние интеграции технологии Интернета вещей в умные дома и связанные с этим проблемы безопасности.
· Энергоэффективность: подчёркивается важность энергоэффективности в системах Интернета вещей, особенно в средах «умного дома» для комфорта, уюта и безопасности.
· Уязвимости: уязвимость устройств Интернета вещей к кибератакам и физическим атакам из-за ограниченности их ресурсов подчёркивает необходимость защиты этих устройств для обеспечения их эффективного использования в реальных сценариях.
· Предлагаемая система обнаружения: Авторы предлагают систему обнаружения, основанную на анализе энергопотребления интеллектуальных устройств. Цель этой платформы — классифицировать состояние атак отслеживаемых устройств путём изучения структуры их энергопотребления.
· Двухэтапный подход: Методология предполагает двухэтапный подход. На первом этапе используется короткий промежуток времени для грубого обнаружения атаки, в то время как второй этап включает в себя более детальный анализ.
· Облегчённый алгоритм: представлен облегчённый алгоритм, который адаптирован к ограниченным ресурсам устройств Интернета вещей и учитывает протоколы: TCP, UDP и MQTT.
· Анализ скорости приёма пакетов: Метод обнаружения основан на анализе скорости приёма пакетов интеллектуальными устройствами для выявления аномального поведения, указывающего на атаки с использованием энергопотребления.
1) Преимущества
· Облегчённый алгоритм обнаружения: Предлагаемый алгоритм разработан таким образом, чтобы быть облегчённым, что делает его подходящим для устройств Интернета вещей с ограниченными ресурсами. Это гарантирует, что механизм обнаружения не будет нагружать устройства, которые он призван защищать.
· Универсальность протокола: Алгоритм учитывает множество протоколов связи (TCP, UDP, MQTT), что повышает его применимость к различным типам интеллектуальных устройств и конфигурациям сетей.
· Двухэтапное обнаружение подход: использование двухэтапного обнаружения подход позволяет повысить точность определения потребления энергии ударов при минимальном количестве ложных срабатываний. Этот метод позволяет как быстро провести первоначальное обнаружение, так и детальный анализ.
· Оповещения в режиме реального времени: Платформа оповещает администраторов об обнаружении атаки, обеспечивая быстрое реагирование и смягчение потенциальных угроз.
· Эффективное обнаружение аномалий: измеряя скорость приёма пакетов и анализируя структуру энергопотребления, алгоритм эффективно выявляет отклонения от нормального поведения, которые указывают на кибератаки.
2) Недостатки
· Ограниченные сценарии атак: Экспериментальная установка ориентирована только на определённые типы атак, что ограничивает возможность обобщения результатов на другие потенциальные векторы атак, не охваченные в исследовании.
· Проблемы с масштабируемостью: хотя алгоритм разработан таким образом, чтобы быть лёгким, его масштабируемость в более крупных и сложных средах «умного дома» с большим количеством устройств и различными условиями сети может потребовать дальнейшей проверки.
· Зависимость от исходных данных: Эффективность механизма обнаружения зависит от точных базовых измерений скорости приёма пакетов и энергопотребления. Любые изменения в нормальных условиях эксплуатации устройств могут повлиять на исходные данные, потенциально приводя к ложноположительным или отрицательным результатам.
· Ограничения ресурсов: несмотря на легковесность, алгоритм по-прежнему требует вычислительных ресурсов, что может стать проблемой для устройств с крайне ограниченными ресурсами. Постоянный мониторинг и анализ также могут повлиять на срок службы батареи и производительность этих устройств.
F. MediHunt
В документе «MediHunt: A Network Forensics Framework for Medical IoT Devices» рассматривается необходимость надёжной сетевой криминалистики в медицинских средах Интернета вещей (MIoT), особенно с упором на сети MQTT. Эти сети обычно используются в интеллектуальных больничных средах благодаря их облегчённому протоколу связи. Освещаются проблемы обеспечения безопасности устройств MIoT, которые часто ограничены в ресурсах и обладают ограниченной вычислительной мощностью. В качестве серьёзной проблемы упоминается отсутствие общедоступных потоковых наборов данных, специфичных для MQTT, для обучения систем обнаружения атак.
1) Преимущества
· Обнаружение атак в режиме реального времени: MediHunt предназначен для обнаружения атак на основе сетевого трафика в режиме реального времени для уменьшения потенциального ущерба и обеспечения безопасности сред MIoT.
· Комплексные возможности криминалистики: Платформа предоставляет комплексное решение для сбора данных, анализа, обнаружения атак, представления и сохранения доказательств. Это делает его надёжным инструментом сетевой криминалистики в средах MIoT.
· Интеграция с машинным обучением: Используя модели машинного обучения, MediHunt расширяет свои возможности обнаружения. Использование пользовательского набора данных, который включает данные о потоках как для атак уровня TCP/IP, так и для атак прикладного уровня, позволяет более точно и эффективно обнаруживать широкий спектр кибератак.
· Высокая производительность: решение показало высокую производительность, получив баллы F1 и точность обнаружения, превышающую 0,99 и указывает на то, что она обладает высокой надёжностью при обнаружении атак на сети MQTT.
· Эффективность использования ресурсов: несмотря на свои широкие возможности, MediHunt разработан с учётом экономии ресурсов, что делает его подходящим для развёртывания на устройствах MIoT с ограниченными ресурсами (raspberry Pi).
2) Недостатки
· Ограничения набора данных: хотя MediHunt использует пользовательский набор данных для обучения своих моделей машинного обучения, создание и обслуживание таких наборов данных может быть сложной задачей. Набор данных необходимо регулярно обновлять, чтобы охватывать новые и зарождающиеся сценарии атак.
· Ограничения ресурсов: хотя MediHunt разработан с учётом экономии ресурсов, ограничения, присущие устройствам MIoT, такие как ограниченная вычислительная мощность и память, все ещё могут создавать проблемы. Обеспечить бесперебойную работу фреймворка на этих устройствах без ущерба для их основных функций может быть непросто.
· Сложность реализации: Внедрение и поддержка платформы сетевой криминалистики на основе машинного обучения может быть сложной задачей. Это требует опыта в области кибербезопасности и машинного обучения, который может быть доступен не во всех медицинских учреждениях.
· Зависимость от моделей машинного обучения: Эффективность MediHunt в значительной степени зависит от точности и надёжности его моделей машинного обучения. Эти модели необходимо обучать на высококачественных данных и регулярно обновлять, чтобы они оставались эффективными против новых типов атак.
· Проблемы с масштабируемостью: хотя платформа подходит для небольших развёртываний на устройствах типа Raspberry Pi, ее масштабирование до более крупных и сложных сред MIoT может вызвать дополнительные проблемы. Обеспечение стабильной производительности и надёжности в более крупной сети устройств может быть затруднено
G. Fuxnet
Хакерская группа Blackjack, предположительно связанная с украинскими спецслужбами, взяла на себя ответственность за кибератаку, которая якобы поставила под угрозу возможности обнаружения чрезвычайных ситуаций и реагирования на них в прилегающих районах РФ. Группа была связана с предыдущими кибератаками, направленными против интернет-провайдеров и военной инфраструктуры. Их последнее заявление касается нападения на компанию, отвечающую за строительство и мониторинг инфраструктуры подземных вод, канализации и коммуникаций. Основные выводы из анализа Fuxnet, в т. ч. из материалов Team82 и Claroty:
· Неподтверждённые заявления: Team82 и Claroty не смогли подтвердить заявления относительно влияния кибератаки на возможности правительства по реагированию на чрезвычайные ситуации или степени ущерба, причинённого Fuxnet.
· Несоответствие в сообщениях о воздействии: первоначальное утверждение о 2659 сенсорных шлюзов не совпали с информацией об атаке 1700. А проведённый Team82 анализ показывает, что только немногим более 500 были фактически затронуты Fuxnet. На это последовали заявление Blackjack об выведено из строя 87000 датчиков также было разъяснено, заявив, что они отключили датчики, «уничтожив шлюзы путём фаззинга», а не физическое уничтожение датчиков.
· Фаззинг M-Bus: метод был направлен на отключение датчиков, но точное количество датчиков оказалось невозможно установить ввиду их недоступности извне.
· Отсутствие прямых доказательств: отсутствуют прямые доказательства, подтверждающие масштабы ущерба или влияние на возможности обнаружения ЧС и реагирования на них.
· Разъяснение от Blackjack: после публикации первоначального анализа Team82 Blackjack обратилась с просьбой предоставить разъяснения, в частности, оспорив утверждение о том, что было затронуто только около 500 сенсорных шлюзов и обнародованные файлы JSON были лишь примером полного объёма их деятельности.