Kova tuulettimen ääni viestintähuoneessa, kun rakennus tyhjenee, kytkimen välkkyminen, kuin sydämenlyönti. Juot loppuun toimiston kahvin, joka maistuu jo palaneelta, kun chat-viesti ilmestyy: ”Voisitko tarkistaa, onko tiedostojenvaihtopalvelussa jotain outoa?” Tämä pieni pyyntö muuttuu sprintiksi, koska olet lukenut otsikot ja nähnyt kuvakaappaukset. Salatut tiedostonimet. Lunnaita vaativa viesti, jossa on nimi, jota jo vihaat: Akira. Kuvittelet palkkataulukoita ja häävalokuvia, jotka on lukittu numeron taakse, jota et voi sulattaa. Tällä hetkellä haluat jotain tylsää, glamouria vailla olevaa, julmaa ja yksinkertaista: sääntöjä. Ei politiikkaa dialla. Aitoja palomuurisääntöjä, jotka estävät pahuuden puhumasta. Näppäinten naputtelua, huoneen huminaa ja yksi ajatus: mitä estämme, ennen kuin se alkaa?
Sisällysluettelo
Akira hiljaiset polut
Akira ei ole taipuvainen teatraalisuuteen. Hän mieluummin valitsee kiertotien: VPN-tilin, jossa on uudelleenkäytettävä salasana, vähän korjaamatonta oheislaitteistoa, etätyöpöytä, joka on jätetty ”väliaikaisesti” auki, mutta josta on vahingossa tullut pysyvä. Sitten hän toimii kuin kollega, joka tietää kaikki salaisuudet. SMB – yhteisten resurssien tarkasteluun. PsExec – itsensä hajottamiseen. Hieman WinRM:ää. DNS:n tarkistus. Kun kaikki on valmista, hän poimii tietosi kätevän pilvipalvelun kautta ja napsauttaa katkaisijaa.
Meillä kaikilla on ollut hetki, jolloin olemme luvanneet itsellemme, että huomenna toimimme päättäväisemmin. Olkaamme rehellisiä: kukaan ei tee sitä joka päivä. Täydellisyyttä ei tarvita. Tarvitaan kahdeksan tiukkaa toimenpidettä, jotka tuhoavat koko järjestelmän. Sellaisia, jotka saavat kiristysohjelman operaattorin huokaamaan ja lähtemään.
Sääntö 1 — Sulje julkisen RDP:n ovi
Akira-operaattorit rakastavat RDP:tä yhtä paljon kuin hakkereita rakastavat auki jätettyjä ikkunoita. Jos TCP 3389 on käytettävissä internetissä, se on kutsu. Saatat ajatella, että sinulla on luotettavat salasanat ja hieman salailua. Se on oikea liike, kun tunnistetietojen korvaaminen ja hajautushyökkäykset eivät koskaan nuku.
Mitä asentaa
Palomuuri rajalla: estä saapuva TCP-liikenne 3389 mistä tahansa lähteestä mihin tahansa sisäiseen osoitteeseen poikkeuksetta. Jos tarvitset etähallintaa, ohjaa se VPN:n ja MFA-tuetun suojatun isännän kautta ja lisää sitten tämä isäntä sallittujen RDP-pyyntöjen luetteloon tietyille sisäisille osoitteille. Estä TCP 3389 internetistä. Piste.
Miksi tämä on haitallista Akirolle
Tämä katkaisee yhden yleisimmistä tukipisteistä. Vaikka Akira murtautuisi heikkoon ulkoiseen tiliin, hän ei voi yksinkertaisesti kirjautua sisään RDP:n kautta. Olet pakottanut heidät kulkemaan kapeamman reitin, jota on helpompi seurata.
Sääntö 2 – Suojaa SMB-tila työasemien välillä
Horisontaalinen liikkuminen on todellinen haitta. Yksi napsautus, ja infektio leviää työpöydille. SMB (TCP 445 ja 139) on käytävä, jota se käyttää. Useimmissa toimistoissa se koetaan ilmana, joka leviää kaikkialle, koska ”olemme aina tehneet niin”. Tämä tapa antaa sinulle viikon palautumisaikaa.
Mitä asentaa
Estä TCP 445 ja TCP 139 molempiin suuntiin käyttäjä-VLAN-verkkojen tai segmenttien välillä. Salli SMB vain työasemilta sallittuihin tiedostopalvelimiin ja toimialueen ohjaimiin. Estä vertaisverkko-SMB. Estä kokonaan saapuvat ja lähtevät portit 445/139. Estä SMB työasemien välillä; salli vain tiedostopalvelimille.
Miksi tämä on haitallista Akira
Akira tykkää jakaa. SMB-pääsyn rajoittaminen muuttaa jokaisen työaseman umpikujaksi. Haittaohjelmat eivät voi yksinkertaisesti muodostaa yhteyttä ADMIN$:ään tai kollegasi Laptop-12:een levitäkseen.
Sääntö 3 – PsExec- ja RPC-sivukanavien sieppaus
Kun Akira-operaattorit ovat päässeet sisälle, he käyttävät usein PsExec-työkalua tai luovat palveluja RPC:n ja SMB:n kautta. Se on tehokasta ja hiljaista. Et näe ilotulitusta, vain uusia palveluja, jotka ilmestyvät kuin aaveet. Nämä työkalut on integroitu Windowsin toimintaan, minkä vuoksi ne ovat niin houkuttelevia.
Mitä asentaa
Estä TCP 135 (RPC Endpoint Mapper), TCP 445 ja dynaaminen RPC TCP 49152–65535 -alue hallinnollisiin aliverkkoihin kuulumattomien aliverkkojen välillä. Salli ne vain pienestä hallintaverkosta palvelimille ja verkkotunnusten ohjaimille. Lokien pitäminen on tässä tärkeää: ilmoita kaikista RPC-yhteyden yrityksistä asiakkaiden välillä.
Miksi tämä on haitallista Akirelle
PsExec tarvitsee näitä portteja suorituskelpoisten tiedostojen lähettämiseen ja palveluiden etäkäynnistämiseen. Estämällä pääsyn hyökkääjän on turvauduttava ilmeisempiin menetelmiin, mikä lisää mahdollisuuksiasi havaita hänet.
Sääntö 4 – Pidä WinRM hallinnassa
WinRM näyttää harmittomalta, kunnes se joutuu uhanalaiseksi. Rauhallisena päivänä sitä tarvitaan skripteihin ja mukavuuden vuoksi. Huonona päivänä se on kaukosäädin vieraiden käsissä. Lupaus ”käytämme sitä vain satunnaisesti” ei ole politiikka.
Mitä asentaa
Estä TCP-portit 5985 (HTTP) ja 5986 (HTTPS) käyttäjäverkkojen välillä sekä käyttäjäverkkojen ja palvelimien välillä, lukuun ottamatta suojattua hallinnan aliverkkoa tai bastionia. Käytä tätä yhdessä laitetason sääntöjen kanssa: vain hallintatilit voivat käynnistää WinRM:n.
Miksi tämä on haitallista Akira
WinRM on kätevä tapa suorittaa komentoja missä tahansa ilman turhia hälytyksiä. Käytön rajoittaminen pakottaa hyökkääjät palaamaan meluisampiin kanaviin. Hyökkääjä joko luopuu tai ottaa riskin tulla paljastetuksi.
Sääntö 5 – Varmista DNS-palvelimet
DNS on juoruilija. Se kertoo, missä mikäkin sijaitsee, ja pahoissa käsissä se muuttuu porsaanreiäksi. Akira-affiliate-henkilöt tarkistavat usein saatavuuden DNS:n avulla, ja jotkut työkalut voivat siirtää tietoja sen kautta. Sallia jokaisen laitteen kommunikoida suoraan internetin kanssa on sama kuin antaa jokaisen harjoittelijan vastata lehdistötilaisuudessa.
Mitä asentaa
Estä lähtevät UDP- ja TCP-paketit 53 kaikilta asiakkailta ja palvelimilta Internetiin. Salli DNS vain sisäisille resoluutioille. Salli reuna-alueilla resoluutioiden lähettää kyselyitä ylöspäin. Rekisteröi ja ilmoita kaikista suorista ulkoisista DNS-yrityksistä. Määritä kaikki DNS-asetukset pakollisiksi resoluutioissasi; hylkää kaikki muut.
Miksi tämä on tuskallista Akirolle
Se estää hallinnan ja valvonnan DNS:n kautta ja tuhoaa yleisen tiedustelumenetelmän. Kun vaarantunut isäntä yrittää ohittaa sinut, se törmää seinään. Saat hyödyllisen lokimerkinnän huomaamattoman vuodon sijaan.
Sääntö 6 – Poista nälkä ja yritä päästä suosittuihin pilvipalveluihin
Kun tiedostot ovat valmiita, Akira ei lähetä niitä epäilyttävälle palvelimelle portin 6667 kautta. Se käyttää käteviä jättiläisiä: S3, Dropbox, Mega, Google Cloud, Backblaze. Usein rclonen tai vastaavien työkalujen kautta, jotka integroituvat tavalliseen HTTPS:ään. Lataus näyttää tiistai-iltalta.
Mitä asentaa
Kieltäkää palvelimille ja työasemille lähtevä HTTPS-liikenne pilvipalvelujen kategoriassa, paitsi jos käytätte välityspalvelinta, jossa voitte käyttää sallittujen luetteloita ja tarkistaa TLS SNI:n. Jos palomuurisi tukee FQDN-sääntöjä tai URL-luokkia, estä tai vaadi nimenomaisia poikkeuksia seuraaville verkkotunnuksille: s3.amazonaws.com, storage.googleapis.com, api.dropboxapi.com, content.dropboxapi.com, mega.nz, mega.co.nz, b2api.backblazeb2.com, pcloud.com, drive.google.com ja r2.cloudflarestorage.com. Käytä palvelinverkkoihin laajempia rajoituksia kuin käyttäjäverkkoihin ja luo kapeita nimettyjä poikkeuksia hyväksytyille työkaluille.
Miksi tämä on haitallista Akiralle
Rclonen ja sen kaltaisten ohjelmien on päästävä näihin päätepisteisiin. Pakota ne hakemaan viisumi. Exfilistä tulee meluisaa, se rikkoutuu tai joutuu kiertämään proxy-palvelimesi kautta, jossa sinulla on silmät ja jarrut.
Sääntö 7 – Laita VPN aitaukseen
Useat Akira-hyökkäykset alkoivat VPN-pääsystä, joka näytti ”lailliselta” reuna-laitteelle. Lainatut tunnistetiedot, monivaiheisen todennuksen puuttuminen tai kiireellisen muutoksen jälkeensä jättänyt porsaanreikä. Kun VPN-käyttäjä on päässyt sisälle, hänestä tulee superkäyttäjä, joka on roaming-tilassa ja jolla on suora pääsy kaikkeen. Tämä ei ole etäkäyttö. Tämä on murtoavain.
Mitä asentaa
Luo palomuurissa/ASA:ssa erillinen VPN-osoitteiden pooli, joka on käytettävissä vain pienelle Jump Host -isännälle tai tietyille verkkosovelluksille. Estä SMB (445/139) ja RDP (3389) VPN-asiakkailta kaikkiin aliverkkoihin paitsi bastioniin. Käytä nopeuden rajoittamista ja maantieteellistä rajoittamista, jos se on tarkoituksenmukaista, ja ilmoita yli viidestä epäonnistuneesta kirjautumisyrityksestä minuutissa samasta lähteestä. Vaadi monivaiheinen todennus (MFA) ja poista epäluotettavat protokollat verkosta.
Miksi tämä on haitallista Akirolle
Jos VPN on sisäänkäynti, vaikutusalue on hyvin pieni. Hyökkääjä ei voi hyökätä suoraan palvelimille tai suorittaa monimutkaisia sivuttaisliikkeitä. He pääsevät aidatulle alueelle, eivät avoimelle tasangolle.
Sääntö 8 – Torin ja outojen ulosmenojen estäminen
Kun tavalliset reitit ovat tukossa, rikolliset turvautuvat anonyymeihin verkkoihin ja satunnaisiin portteihin. Tor Bootstrap -liikenne eroaa muusta liikenteestä. Samoin kuin työkalut, jotka suosivat korkeita, satunnaisia portteja yhteydenpitoon kotiverkkoon. Sinun ei tarvitse tietää jokaista majakkaa. Sinun on rajoitettava käsite ”lähtevä”.
Mitä asentaa
Estä lähtevät TCP-portit 9001 ja 9030 (Tor OR- ja hakemistoportit) ja estä SOCKS-portit 9050 ja 9051. Harkitse lähtevän liikenteen käytäntöjen määrittämistä siten, että vain portit 80/443 sallitaan välityspalvelimesi kautta, NTP 123 aikapalvelimillesi ja tietyille liiketoimintaportille; estä kaikki muut. Estä mahdollisuuksien mukaan yhteydet tunnettuihin Tor-relay-listoihin, joita palomuurisi päivittää automaattisesti.
Miksi tämä on haitallista Akirolle
Se katkaisee varareitit. Kun data ei voi livahtaa tuntemattomien porttien tai Tor-verkon kautta, exfil ja C2 muuttuvat vaikeammiksi ja meluisammiksi. Melu on juuri sitä, mitä analyytikoidesi tarvitsevat.
Todellisuuden tarkistus: säännöt, jotka hengittävät
Nämä säännöt ovat tiukkoja, mutta ne tarvitsevat ilmaa. Saat pyynnön talousosastolta, koska laillinen työkalu on rikkoutunut. Lisäät poikkeuksen ja rekisteröit sen. Tämä on elävä verkko. Tarkoitus ei ole ansaita puhtauden pisteitä, vaan poistaa ne reitit, joita Akira niin rakastaa, ja samalla pitää työ käynnissä.
Kun syötät sääntöjä, kirjoita ne ihmisen tavoin. ”VPN-käyttäjät voivat muodostaa yhteyden Bastion-01:een vain RDP:n kautta.” ”Työasemat eivät koskaan ole yhteydessä toisiinsa SMB-protokollan kautta.” ”Palvelimet eivät ole yhteydessä Dropboxiin.” Jos et pysty selittämään sääntöä väsyneelle kollegallesi kello kahdelta yöllä, kun ilmassa leijuu viinan haju, se on liian monimutkainen.
Todiste siitä, että pienet muurit ovat tärkeitä
Eräässä brittiläisessä yrityksessä, jossa kävin tänä keväänä, ei ollut mitään erikoista. Ei budjettia kiiltäville laatikoille. Vain vanha, äreä palomuuri kahdeksalla tiukalla säännöllä ja ilmoitustaulu, joka vilkkui, kun joku yritti kiertää sääntöjä. Kumppani Akira tunkeutui VPN:n läpi käyttämällä uudelleen käytettyä salasanaa. He pääsivät bastioniin, ja sitten… eivät päässeet minnekään. Ei RDP-yhteyksiä palvelimiin, ei SMB:tä kannettavien tietokoneiden välillä, ei WinRM-katselua, ei DNS-pääsyä maailmaan, ei yksinkertaista pilvipuskuria. He luopuivat kahden tunnin ja kahdenkymmenen ilmoituksen jälkeen. IT-johtaja meni kotiin nukkumaan. Ei ole mitään taikaa, vain tapoja.
Tee säännöistä jonkun rituaali
Valitse yksi päivä joka kuukausi ja käy lista läpi. Onko RDP suljettu? Onko SMB estetty? Onko RPC estetty? Onko WinRM estetty? Onko DNS estetty? Onko pilvitallennustila loppu? Onko VPN estetty? Onko Tor ja muut portit estetty? Kymmenen minuuttia kysymyksiä säästää kymmenen päivää palautusta. Valitse yksi segmentti viikossa ja tarkista kielletty virta pikakomennolla. Pidä muistikirja hyllyn vieressä, jos olet sellainen ihminen. Monet meistä ovat.
Saat vastustusta. Palveluntarjoaja vaatii täyttä verkkoyhteyttä ”päiväksi”, joka muuttuu ikuisuudeksi. Hymyile ja kirjoita sitten pieni poikkeus, jolla on voimassaoloaika. Aseta muistutus. Kun se pingataan, poista se, ellei kukaan osaa selittää yksinkertaisin sanoin, miksi se on olemassa. Tämä tapa auttaa sinua pitämään ovet kiinni ilman, että saat vihamiehiä.
Viimeinen sysäys, ennen kuin selaat sivua eteenpäin
Ehkä luet tätä puhelimellasi junassa ja mietit oman palvelintilasi huminaa ja ihmisiä, jotka luottavat sinulle tiedostonsa ja perjantaansa. Ei tarvita sankareita rikollisen päivän pilaamiseksi. Tarvitaan kahdeksan selkeää seinää, jotka estävät rikollisen kulkemasta todellisia reittejä, ei niitä, joita haluaisimme hänen kulkevan. Kun kello on 23:47 ja chat avautuu, ero paniikin ja olankohautuksen välillä voi olla yksi viime tiistaina kirjoitettu kieltäytymisviesti.
