W tym odcinku gościmy Pawła Maziarza – wieloletniego praktyka cyberbezpieczeństwa, programistę i autora bloga aptmasterclass.com. Podczas rozmowy omówimy rodzaje i powody ataków cyberprzestępców na organizacje, ale także zahaczymy o osoby prywatne.
Transkrypcja podcastu
Prowadzący: Cześć. Witam wszystkich słuchaczy w kolejnym odcinku naszego podcastu. Dzisiaj konfrontacja i to nie byle jaka. Dwie skrajnie różne osobistości, odmienne zachowanie, profil, temperament i działanie. Razem z moim dzisiejszym gościem będziemy się starali odsłonić nieco ich oblicza. Jak atak hakerski, to z hukiem, czy cichutko, może być lepszy lub gorszy? Ransomware kontra APT. Jest mi niezmiernie miło przywitać Pawła Maziarza, mojego dzisiejszego gościa, wieloletniego praktyka w wielu dziedzinach cyberbezpieczeństwa, programistę, architekta rozwiązań bezpieczeństwa, mówcę, trenera, również APT Masterclass, w skrócie – mistrza na noże w tematyce Cybersec, a w szczególności tematyki związanej z APT. Cześć Paweł.
Paweł Maziarz: Cześć. Dzień dobry wszystkim.
Sponsorem cyklu rozmów „Rady Porady” jest firma Cisco
TRANSKRYPCJA
Ransomware vs APT
[00:00:07]Prowadzący: Cześć. Witam wszystkich słuchaczy w kolejnym odcinku naszego podcastu. Dzisiaj konfrontacja i to nie byle jaka. Dwie skrajnie różne osobistości, odmienne zachowanie, profil, temperament i działanie. Razem z moim dzisiejszym gościem będziemy się starali odsłonić nieco ich oblicza. Jak atak hakerski, to z hukiem, czy cichutko, może być lepszy lub gorszy? Ransomware kontra APT. Jest mi niezmiernie miło przywitać Pawła Maziarza, mojego dzisiejszego gościa, wieloletniego praktyka w wielu dziedzinach cyberbezpieczeństwa, programistę, architekta rozwiązań bezpieczeństwa, mówcę, trenera, również APT Masterclass, w skrócie – mistrza na noże w tematyce Cybersec, a w szczególności tematyki związanej z APT. Cześć Paweł.
Paweł Maziarz: Cześć. Dzień dobry wszystkim.
Prowadzący: Paweł, czy coś pominąłem na wstępie?
Paweł Maziarz: No jeszcze w wolnych chwilach kłuję noże, buduję piece rakietowe, więc troszkę jeszcze tego jest, ale nie samym IT człowiek żyje.
Prowadzący: Tak, właśnie. Myślę, że warto dodać, że Paweł potrafi przywalić z młota, tak gwoli ścisłości i ostrzeżenia. To już tak bardziej hobbistycznie, rozumiem?
Paweł Maziarz: Tak, tak.
Prowadzący: Paweł, jak rozpoczynałeś swoją ścieżkę w cyberbezpieczeństwie? Od czego? Co spowodowało tak naprawdę, że właśnie tematy APT są Ci tak szczególnie bliskie?
Paweł Maziarz: Znaczy, w ogóle zaczęło się, jak sobie dobrze przypominam, od takiej gazety. Kurczę, już nie pamiętam jak ona się nazywała, Komputer Świat, czy coś w tym stylu? Natomiast to było wiele, wiele, wiele lat temu, chyba już może nawet kilkadziesiąt, w sensie ze 20 lub więcej, lub kilkanaście. I to był artykuł omawiający CCCamp, czyli Chaos Communication Camp i to był chyba artykuł dni chaosu na łące. No i tam było w tym artykule przedstawione, jak to na łące hakerzy czy generalnie ludzie z Security, zbudowali taki Camp. No i tam nawzajem się hakowali, oczywiście wielkie święto hakerów CCC, zwłaszcza CCCamp. No i wtedy stwierdziłem, że kurczę, fajnie byłoby tym się zainteresować. Wtedy niestety miałem jakiegoś Windowsa, oczywiście Linuxa już też. Natomiast miałem inny modem, który nie działał pod Linuxem, więc wtedy jeszcze po 22:00 oczywiście, wydzwaniało się pod 0202122, po 22:00 żeby było taniej. No i po tej 22:00 pod Windowsem ściągałem cały Internet, po to, żeby potem przejść na Linuxa i w offlinie już sobie o tym wszystkim czytać, coś już programować i tak dalej. No a potem, potem byłem programistą, potem jakimś administratorem sieci, czy administratorem Linuxów. Natomiast hobbistycznie, hobbistycznie cały czas to bezpieczeństwo miałem z tyłu głowy i cały czas się tym bawiłem, bo to mnie zawsze fascynowało. Później miałem taką długą przerwę i byłem już tylko profesjonalnym programistą. Natomiast potem jeden znajomy, jakby ze starych czasów IRCE jeszcze, zaproponował mi pracę w Cyber Security. No i długo się nie wahałem i wszedłem w sumie z hukiem trochę w ten świat. I wiele, wiele lat już atakuje głównie.
Prowadzący: Paweł, wiesz co, zanim rozpoczniemy, zanim przejdziemy do tematu. Jeszcze jedno takie, rzeczywiście może oderwane od rzeczywistości pytanie. Co jest dla Ciebie ciekawsze, jeżeli już mówimy o huku właśnie, podejście na rambo, z pięścią na ustach, karabinem w dłoni, czy raczej spokojne podejście na strzelca wyborowego, który razem ze swoim obserwatorem potrafi koczować bez ruchu przez wiele godzin, obserwując i wypatrując okazji na ten jeden strzał?
Paweł Maziarz: Zdecydowanie, zdecydowanie to drugie. Czyli takie ciche skradanie się i szukanie perfekcyjnego strzału, co wiąże się oczywiście z dużymi przygotowaniami wcześniej oczywiście, prawda. Czyli mówimy tutaj o tej dobrze wszystkim chyba znanej fazie rekonesansu, jeśli mówimy o atakach, zwłaszcza o atakach APT. Więc zdecydowanie najpierw przygotowania, odrabianie lekcji i potem pozostanie tak długo niewykrytym, jak się tylko da. Ewentualnie, jeśli to są ćwiczenia, no to jeśli już osiągnie się ten cel, że mamy dostęp do tych wszystkich danych, które chcieliśmy zdobyć, no to wtedy robienie hałasu. Najpierw trochę hałasu, potem więcej, potem jeszcze więcej. Po to, żeby sprawdzić, kiedy organizacja będzie w stanie zauważyć, że mamy intruza w sieci.
Prowadzący: I właśnie od tego pozytywnego i jakże hollywoodzkiego pytania chciałem rozpocząć nasz dzisiejszy temat. Poruszymy dwa skrajne przypadki wykorzystania złośliwego oprogramowania. Zresztą, nie tylko w kontekście samego oprogramowania, ale również całego podejścia. Tak skrajne, że na pierwszy rzut oka między nimi zgadza się tylko to, że mogą wyrządzić bardzo dużą krzywdę w infrastrukturze danych, docelowo po prostu w przedsiębiorstwo. Paweł, rozpocznijmy od przypadku, który jest z reguły mocno spektakularny, jeżeli można to oczywiście w taki sposób nazwać, ataku, który z założenia ma zaskoczyć ofiarę i działać szybko, ransomware.
[00:05:00]Prowadzący: Po pierwsze, aby jak najszybciej zainfekować jak największą ilość urządzeń. A po drugie działać tak, aby proces szyfrowania dysków nie pozostał zatrzymany. Jak często polscy użytkownicy mają do czynienia z kampaniami tego typu? Czy są to z reguły kampanie masowo prowadzone, na szeroką skalę, takie ogólnoświatowe? Czy mamy również do czynienia z takimi lokalnymi kampaniami celującymi bezpośrednio w nasz kraj i w nasze firmy?
Paweł Maziarz: Mamy zarówno do czynienia z jednym, jak i z drugim. Czyli z jednej strony mamy takich tratektorów albo już nie mamy, jak był Thomas, który gdzieś tam robił kampanie ransomwarowe, dedykowane na nasze rodzime firmy. Natomiast z racji tego, że no żyjemy w globalnym świecie, to polskie firmy też są targetowane przez graczy zagranicznych. No chociażby w tym roku był przeprowadzony duży atak na sieć klinik kardiologicznych w Polsce. Więc tutaj też widzimy, że raz, że zagraniczni jakby gracze celują w inne rynki niż te, na których pracują oraz też widać, że celowane są też w różne branże. Na przykład branża medyczna, co teraz zwłaszcza się nasila, kiedy mamy pandemię koronawirusa, bo wtedy te branże muszą jak najbardziej reagować i są bardziej skłonne, żeby zapłacić okup, na przykład jeśli mówimy o ransomwarze, żeby jak najszybciej wrócić do pracy.
Prowadzący: A co z drugiej strony, też może w jakiś sposób skusić no inne instytucje, tak. Do tego, aby wspomogły takiego pacjenta, jak to się mówi, tak. Czyli taką organizację, która została objęta tego typu atakiem, prawda.
Paweł Maziarz: Tak, tak. Jest wtedy większa szansa na wyegzekwowanie tego okup powiedzmy, prawda.
Prowadzący: Wiesz co, duże kampanie to też duże kampanie. A co z na przykład słynnym polskim ransomware – DMA Locker, który raczej pojawia się w publikacjach, czy wykładach z takim lekkim uśmiechem na ustach, ze względu na, no liczne niedociągnięcia autora. Czy z Twojego punktu widzenia, mamy również do czynienia właśnie z polskim softwarem?
Paweł Maziarz: No jeśli chodzi o polski ransomware, to na myśl mi przychodzą dwa produkty, że tak nazwę. Czyli, po pierwsze, pewnie wszystkim albo wielu dobrze znany Vortex, znany też pod inną nazwą Flotera. Czy też polski ransomware, którego używał niejaki Thomas, który już go więcej nie używa, ponieważ z tego, co się orientuję, siedzi w więzieniu. No i faktycznie, z wykorzystaniem tego oprogramowania, tego ransomwaru, zainfekował wielu, wielu ludzi i naraził ich na duże straty finansowe. Natomiast, jeśli chodzi o sam ten ransomware, to też była ciekawa sprawa, ponieważ jakby podejścia do tworzenia takiego oprogramowania, jest kilka. Na przykład Thomas znalazł jakiś program, który, no który wykorzystywał szyfrowanie AES w Windowsie. Wydaje się, to był AESxWin, coś w tym stylu. Następnie zlecił, na Oferi nawet, zlecił programistom żeby przerobili to tak, żeby on służył jako ransomware. Więc Polak potrafi, prawda.
Prowadzący: Wiesz co, przepraszam, ale muszę wtrącić jeszcze jedną rzecz. Na pewno spotkałeś się wiele razy z artykułami zatytułowanymi – co to jest ransomware i jak go usunąć? Albo coś w tym stylu. Żeby to było takie proste, co. Aczkolwiek, zdarzały się przypadki, gdzie były dostępne te kryptory.
Paweł Maziarz: No tak, bo no ransomware piszą programiści, prawda. Programiści popełniają błędy. Więc czasem, z jednej strony programiści mogą popełniać takie błędy, że no nie wykorzystują dość silnej kryptografii i można to po prostu złamać, te kryptografie. A z drugiej strony, czasem też się tak zdarza, że infrastruktura przestępców jest przejmowana i te klucze szyfrujące, nawet jeśli ransomware jest dobrze napisany i bez klucza się nie da tego odszyfrować, no to te klucze czasem są przejmowane i taka firma, taki vendor wtedy bardzo często udostępnia te kryptory, które te pliki mogą odszyfrować. Więc tu, zawsze mam taką poradę, że jeśli już te dane zostaną zaszyfrowane, nie chcemy płacić okupu, no to warto i tak te dane sobie trzymać, bo jest jakiś cień szansy, że za jakiś czas powstanie dekryptor, czy to z wykorzystaniem kluczy, które są przechwycone z infrastruktury cyberprzestępców, czy też może się okaże, że ten ransomware był słabo napisany i po prostu pliki będzie można odszyfrować.
Prowadzący: Ransomware As a Service. Swego rodzaju wtyczka do customizacji swojej własnej kampanii. Bez żadnych znajomości programowania, czy administracji serwerami, czy rzeczywiście jest to rozwiązanie często wykorzystywane przez przestępców, z Twojego punktu widzenia?
Paweł Maziarz: Jeszcze sekundka, wrócę tylko do drugiego ransomwaru polskiego, o którym sobie myślę, bo to też jest ciekawy temat.
[00:10:00]Paweł Maziarz: Otóż, na jedną z konferencji, bo właśnie drugi ransomware polski, o którym myślę, nazywa się Happy Locker. Jeśli wpisze się Twitter Happy Locker Polish ransomware, no to pojawi się tam taki śmieszny screenshot, że Twoje dane zostały zaszyfrowane. Ponieważ to jest ransomware, który ja napisałem, żeby zademonstrować na pewnej konferencji, z jednym z vendorów, jak ich, jakby oprogramowanie, taki ransomware, wykrywa. No i tutaj, jakby chciałbym zaznaczyć to, że ten mój ransomware jest w pełni działającym, czy był w pełni działającym ransomwarem, faktycznie coś szyfrował, a napisałem go w 10 minut, w zasadzie chyba kilka godzin przed konferencją. I był zbudowany oczywiście z tego modułu szyfrującego, łączył się z infrastrukturą Command and Control, więc jeśli operator zaznaczył, że dany użytkownik zapłacił okup, no to wtedy pliki można było odszyfrować. Jakby morał jest taki… Aha, jeszcze trudno go było wykryć, tak naprawdę, bo też tam z rozpędu zrobiłem kilka takich sztuczek, że to nie było takie trywialne. Natomiast morał jest taki, że cały ten ransomware zajmował 160 linii kodu, więc jeśli ja w ciągu 10 minut byłem w stanie napisać działający ransomware, a tak naprawdę korzystałem głównie ze Stack Overflow, bo w ostatniej chwili stwierdziłem, że nie będę pisał w nAPI tylko w F Sharpie, to wyobraźcie sobie jaki ransomware jest w stanie napisać firma. No grupa cyberprzestępcza, która na tym zarabia. Więc to jest tak proste. I teraz jakby możemy bardzo łatwo przejść do kolejnego tematu, czyli Ransomware as a Service. Bo z jednej strony można bardzo łatwo taki ransomware napisać samemu, ale jest dużo prostszy sposób, czyli można wykorzystać RaaS. I to zwłaszcza dzisiaj jest coraz większym problemem, bo teraz osoby nietechniczne mogą po prostu taki ransomware dystrybuować dalej. No i tutaj też jest zupełnie ciekawa sprawa, bo jakby jest kilka modeli działania, prawda. Bo z jednej strony mamy sobie takie produkty, jak na przykład Satan czy stan padol, czy następcy stan padol, wydaje się Filadelfia. No i tutaj model jest taki, że część zysków idzie do twórców tego oprogramowania, powiedzmy 30%, a 70% bierze ten cyberprzestępca, do którego trafia okup. No ale mamy też inne modele. Na przykład jak jest taki RaaS, czyli Ransomware as a Service, o nazwie Raspberry, gdzie kupuje się subskrypcje, tak naprawdę do Command and Control na 30 dni, prawda albo na rok. No i w zależności od tego, jak długa ta subskrypcja jest, to też się dostaje odpowiednie fitchery. Więc to jest straszne, że po prostu mając teraz pomysł, kupujemy sobie albo uzyskujemy w jakiś sposób dostęp do takiego ransomwaru i już. Dlatego tego ransomwaru jest teraz tak dużo.
Prowadzący: Subskrypcja płatna kartą płatniczą, rozumiem?
Paweł Maziarz: Bitcoinową kartą płatniczą przeważnie.
Prowadzący: Bitcoinową. I rzeczywiście jakiś czas temu trafiłem na pewne dosyć ciekawe opracowanie, które właśnie pokazywało jak duży odsetek tych cyberprzestępców to są tak naprawdę osoby rzeczywiście niezwiązane w ogóle, w żaden sposób z IT. Więc rzeczywiście to co mówisz, jest czymś bardzo interesującym. Paweł, jak najczęściej w przypadku ransomwara wyglądają wektory ataków? Co najczęściej jest wykorzystywane?
Paweł Maziarz: Najczęściej wykorzystywany jest chyba nieśmiertelny wektor ataku, który działa dobrze już od kilkunastu lat, czyli złośliwe makro w dokumencie Office, czyli czy to Worda, czy Excela. Tutaj zadziwiające, bo to nie tylko jest wykorzystywane przy atakach typu ransomware, czy przy atakach APT, ale to działa cały czas tak samo dobrze. Nie wiem, znaczy zastanawiam się, dlaczego to przez tyle lat, przez kilkanaście lat, działa i nie zostało to tak naprawdę dobrze zaadresowane. Podejrzewam, że jakaś kompatybilność wstecz i różne systemy muszą działać. Natomiast to jest wektor numer 1, tak mi się wydaje. Kolejne wektory bardzo popularne, to jakieś Exploit Pack, czyli Exploit Pack to zestaw jakichś exploitów, które próbują wyeksploitować przeważnie przeglądarkę, która ma dodatek Flash, Silverlight, Java i tak dalej. Więc przeważnie użytkownik dostaje wiadomość jakąś phishingową i jak wejdzie na jakąś stronę, no to na tej stronie właśnie serwowane mu są te exploit packi, czyli te exploity próbują wyeksploitować przeglądarkę i jeśli ona ma nieaktualizowane pluginy albo sama w sobie jest nieaktualizowana.No i trzecim, chyba takim też bardzo popularnym wektorem ataku są różne załączniki, schowane, jako zip. Nierzadko to jest zip zaszyfrowany, po to żeby uniknąć analizy w sandboxach. No i często w tym zipie dostajemy na przykład faktura.pdf.js albo obrazek.jpg.js.
[00:15:10]Paweł Maziarz: Czyli generalnie chyba domyślnie system Windows ukrywa rozszerzenie, więc nie widać tego rozszerzenia .js, tylko widać, że to jest faktura.pdf albo obrazek.jpg. No i wtedy użytkownik klika myśląc, że klika pdf albo jpg, a tak naprawdę odpala skrypt js, który w środowisku Windows jest w stanie bardzo łatwo pobrać kolejnego Trojana, czy ramsoware, czy jakiś inny malware z Internetu. Tak to wygląda. Czyli najpierw jakby ten załącznik jest downloaderem, ten downloader w postaci js, czy może czasem jest to lnk. Ja bardzo lubię takie techniki, że w takim zipie jest załącznik lnk, czyli skrót do programu, a ten skrót do programu to jest bardzo często skrót do PowerShella, który właśnie przez Internet pobiera już to docelowe oprogramowanie złośliwe i uruchamia na środowisku ofiary.
Prowadzący: Do tego na pewno będę chciał jeszcze Paweł wrócić później. Ale teraz jeszcze jedno pytanie, w związku z ransomwarem, co później? Co najczęściej później następuje? Backup, czy okup?
Paweł Maziarz: Albo trzecia opcja. Pogodzenie się ze stratą, bo no umówmy się jak wielu z nas robi backupy? Generalnie, właśnie też przez ransomware coraz więcej osób robi backupy, więc to jest dobre. Natomiast niestety, ciągle za mało, prawda. I ten żart taki, bardzo typowy dla dzisiejszych czasów jest ten, że ludzie się dzielą na dwie grupy – tych, którzy robią backupy i na tych, którzy będą robić backupy. Bo jak ktoś dostanie takim ransomwarem, to jeśli nie robił do tej pory backupów, to zacznie robić. Czasem natomiast, okupy się płaci, po prostu. Czy to firmy płacą okupy, firmy publiczne, też czasem również w Polsce, płaciły okupy. Bo no, jakby tu można łatwo wyliczyć, prawda, oszacować, czy ta utrata danych jest cenniejsza niż ten okup, czy nie. Czasami mamy do czynienia z uczciwymi przestępcami, jeśli zapłacimy, to te dane zostaną odszyfrowane. Ale oczywiście nigdy nie ma pewności, więc tutaj dwa razy trzeba się zastanowić. Ja jestem zdania takiego jak, zdaje się to był Kobra, czyli on mówił, że nie pertraktuje z terrorystami.
Prowadzący: Ale ogólne podejście wielu krajów, na przykład USA, tak, że jeżeli chodzi o terroryzm w takiej, czy innej postaci nie ma co pertraktować, więc.
Paweł Maziarz: No tak. Natomiast tutaj trzeba bardzo trzeźwo policzyć zyski i straty, no bo zwłaszcza jeśli są to firmy prywatne. No bo generalnie, jest też inny rodzaj ransomwaru i też coraz bardziej widoczny dzisiaj. To jest doxware, czy też extortionware, czyli rodzaj ransomwaru, który nie szyfruje tylko pobiera te dane i mówi tak – mamy Twoje dane, jeśli nie zapłacisz okupu, to wrzucimy je publicznie do sieci. No i teraz wyobraźmy sobie, że są to jakieś dane medyczne, właśnie ostatnio te firmy w Polsce dostały takim ransomwarem, czy doxwarem. No i teraz co, mają jakby te dane pacjentów, one trafią publicznie, to jest bardzo duży problem, prawda. Albo jeśli to byłyby jakieś usługi prawnicze, to jest bardzo duży problem. No i teraz właśnie cyberprzestępcy znaleźli sposób na jeszcze większą monetyzację tych swoich działań, czyli nie tylko szyfrowanie, bo coraz więcej firm też robi backupy. No to jeśli robią backupy, no to zagrajmy na innej strunie, czyli – mamy wasze dane, upublicznimy je, jeśli nie będzie okupu. Jest jeszcze trzecia opcja i też coraz częściej ransomware tak robi, mówi – będziemy Cię DdoSować, będzie robić atak DDoS. Czy w ogóle przestępcy tak robią, prawda, czyli – będziemy Cię DdoSować, chyba, że zapłacisz okup. DDoS, czyli no, atak który polega na tym, że no nasze strony nie są dostępne, prawda, przeciążone. No i znów, było w tym roku nawet już kilka takich sytuacji, że no pertraktowały takie firmy i mówiły – dobra, przestańcie nas DDosować, my chcemy żeby nasze serwisy działały, taniej będzie jak wam zapłacimy, jak się dogadamy, niż weźmiemy to na klatę, prawda.
Prowadzący: Paweł, chciałem przeskoczyć teraz na drugą stronę. Ataki APT, czyli długotrwałe ataki – Advanced Persistent Threat. Czym charakteryzuje się ten typ ataku?
Paweł Maziarz: No, po pierwsze to są zaawansowane ataki, ale tym sensie, że są robione cicho i tak naprawdę przestępcy, czy cyberprzestępcy, którzy tych ataków dokonują, oni mają swoje motywy.
[00:20:03]Paweł Maziarz: Mają czas, więc oni lekcje odrabiają, czyli robią rekonesans. Czasem rekonesans może trwać miesiąc, dwa, trzy, rok, po to, żeby zdobyć jak najwięcej informacji o firmie, jak najwięcej informacji o partnerach tej firmy, bo być może jakby łatwiej jest zaatakować partnera, a nie konkretną firmę. No i techniki, które są wykorzystywane tutaj też są bardziej zaawansowane niż w takich atakach robionych na większą skalę. A to dlatego, że skoro tyle czasu spędziliśmy na rekonesansie, no to chcemy doprowadzić już do czegoś takiego, że jak ten atak przeprowadzimy, no to żeby on był jak najskuteczniejszy. Więc tutaj, te przygotowania i te techniki, które potem są używane, czyli czy to eksfiltracja danych, czy zestawianie kanału Command and Control, jest przeważnie bardziej zaawansowane niż takie ataki na hura, które mogą być głośniej i tak naprawdę, przy takich atakach na hura, często no przestępcy albo nie znają się tak dobrze, albo nie chcą zdradzać swoich najlepszych trików, prawda. Bo wiadomo, że jeśli to jest atak zrobiony na wielką skalę, no to te techniki zaraz będą poznane światu i świat się zabezpieczy. Natomiast, to też ciekawe jest to, że te grupy APT nie zawsze używają tak zaawansowanych ataków, technik, jakby nam się wydawało. Pamiętam, na jednym ze szkoleń było u mnie kilku takich bardzo znanych w Polsce threat hunterów i symulowaliśmy sobie różne ataki APT. Ja oczywiście pokazywałem moje sztuczki im, one-linery i tak dalej. No i ostatecznie doszliśmy do takich wniosków, czy chłopaki doszli do takich wniosków, że grupy APT, które oni badali, tak zaawansowanych technik nie wykorzystywali. Ale dlaczego? Dlatego, że nie potrzebowali. Bo jakby jest dużo łatwiej dzisiaj się włamać, używając prostszych technik ciągle niż super zaawansowanych. Oczywiście są grupy, które używają bardzo zaawansowanych technik, ale jednak ich średnia jest niższa niż mogłoby się wydawać. A to pewnie też dlatego, że nie jest to potrzebne.
Prowadzący: Rzeczywiście, pamiętam jeden z Twoich warsztatów, który w taki jasny sposób pokazywał, że ataki APT to nie tylko rzeczywiście bardzo zaawansowane narzędzia, ale często swojego rodzaju koncepcja i wytrwałość. Mówię tutaj o różnych sztuczkach, tak, czyli tak jak wspominałeś one-linery. I w końcu rzeczywiście, jak najczęściej wyglądają ataki APT? Takie realne scenariusze. Czy rzeczywiście takie podejście z wykorzystaniem one-linerów, różnych sztuczek, jest często na tyle samo, wiesz, efektywne, co wykorzystywanie bardzo zaawansowanych narzędzi?
Paweł Maziarz: Jest to bardzo efektywne, proste sztuczki, a to dlatego, że im prostsza sztuczka, można tak naprawdę powiedzieć, tym ona jest trudniej wykrywalna, bo proste sztuczki mają też znamiona jakby normalnej interakcji z komputerem pracownika. Więc, jakby już bardziej zaawansowane sztuczki mogą być bardziej wykrywalne, chociażby w ruchu sieciowym, niż takie właśnie proste sztuczki, powiedzmy, jak użytkownik robi na co dzień i może się wydawać, że to są standardowe działania użytkownika. Natomiast, jeśli chodzi o ataki APT to ciągle, tak samo jak przy takim ransomware, na szeroką skalę wykorzystywany jest phishing, ale jest też spearphishing, czyli ten celowany phishing, że robimy rekonesans danej osoby, chcemy daną osobę w firmie zaatakować, wiemy na przykład, że ta osoba to jest księgowa, więc wysyłamy tej osobie takiego maila, jakbyśmy wysłali księgowej, prawda. Jeszcze, jeśli podczas rekonesansu sprawdzimy, że ta osoba robi, jakby mailuje z inną firmą czy z inną osobą z innej firmy to się podszyjemy jeszcze pod te firmy, pod te osoby, żeby się jeszcze bardziej uwierzytelnić. Więc wysyłamy na przykład jednego, czy dwa maile, a nie tysiąc, czy milion. Więc od tego się bardzo, bardzo często zaczynają różne ataki APT. Jednak właśnie od tego spear phishingu, no a co w tym spear phishingu? No przeważnie właśnie złośliwy dokument Worda, czy Excela z makrem albo właśnie ten zip, bądź watering hole, czyli zwabienie na jakąś stronę, która serwuje exploit packi, różne exploity.
Prowadzący: Ja jeszcze chciałem wrócić do jednej rzeczy, o której mówiłeś, biorąc pod uwagę właśnie APT i to, że to są ataki, które mają za zadanie tak naprawdę być w infrastrukturze. Przeciwnicy mają za zadanie być w infrastrukturze klienta przez dłuższy czas, tak, po to żeby zweryfikować różne informacje, żeby uzyskać jak najwięcej tych informacji. I tutaj właśnie takie pytanie odnośnie tych stacji przesiadkowych, tak.
[00:25:05]Prowadzący: Czyli co, kto najczęściej jest celem ataku? Czy to są już konkretne, końcowe przedsiębiorstwa, które zostały oczywiście wcześniej dokładnie wytypowane, czy właśnie takie firmy pośrednie, czy nawet użytkownicy końcowi, jako takie, tak jak wspominałem stacje przesiadkowe? Bo tutaj raczej o przypadku, w takim wypadku, no nie można mówić.
Paweł Maziarz: No tutaj bywa różnie, bo faktycznie, nie wiem czy pamiętacie atak na polskie banki, zdaje się, w 2017 roku. No to, to był gruby atak na polską infrastrukturę bankową. No i tutaj, jakby tym wektorem ataku były też exploit packi, ale te exploit packi były dostarczane ze stron KNF. Czyli cyberprzestępcy włamali się do infrastruktury KNF, skąd było serwowane złośliwe oprogramowanie, ale tylko dla ludzi z określonej puli adresów IP, czyli dla ludzi, którzy pracowali w danym banku, prawda. Bo to też nie jest trudno sprawdzić, z jakiej jakby puli adresowej korzysta dany bank. Więc w tym wypadku okazało się, że łatwiej będzie włamać się do tego partnera, powiedzmy, do jakiejś zaufanej trzeciej strony, jak KNF, bo no wiadomo, że jeśli ktoś z banku wchodzi na stronę KNF, no to wiadomo, że ta strona jest zaufana i nawet jeśli jest jakieś podejrzenie, że coś tam jest dziwnego, no to ok, to jest KNF, przecież musimy wierzyć, że wszystko jest super, bezpieczne i tak dalej. Więc tak, to się zdarza, jak najbardziej. I to jest też duży problem, prawda, bo może się okazać, że nasza firma robi super testy, mamy super infrastrukturę nie do włamania i wydajemy miliony na zabezpieczenie punktów styku z Internetem i tak dalej, na bezpieczeństwo końcówek, ale okazuje się, że wpuszczamy do sieci partnera i łatwiej przestępcom jest włamać się właśnie do tego partnera niż do nas. Z drugiej strony, mamy ataki, zwłaszcza ja tak przeprowadzałem i to widać, że to jest dużo, dużo łatwiejsze. Czyli typujemy sobie, czy taka grupa APT typuje sobie jakąś osobę z firmy, z organizacji. Najlepiej zacząć od takich osób nietechnicznych, czyli ktoś z marketingu, ktoś może z kadr. Z kadrami też jest bardzo ciekawie, dlatego, że na przykład jest rekrutacja, no to co się wysyła do rekruterów? No wysyła się swoje cv. A cv, w czym? W pdf albo w Wordzie. A Word co ma? Word może mieć makro. I to był też jeden z takich moich ulubionych wektorów, że wysyłałem takie właśnie cv w doc, no i że niby tam są jakieś moje poufne dane, więc ten dokument Worda jest zaszyfrowany i żeby go odszyfrować to hasło do odszyfrowania brzmi coś tam, coś tam, coś tam. Natomiast chodzi o to, że trzeba włączyć makro, żeby w ogóle móc to odszyfrować. No a jak się włączyło makro, no to też przeważnie robiłem taką brzydką sztuczkę, że użytkownik wtedy widział taki komunikat, że – Twój komputer nie posiada wszystkich wymaganych bibliotek kryptograficznych, co powodowało to, że taka jedna osoba z firmy, szła do innej osoby z firmy i mówi – weź mi to otwórz, bo na moim komputerze się nie da, bo nie mam jakichś bibliotek. No i prowadziło to często do tego, że wysyłając jednego maila, nagle w firmie jest zainfekowanych 5, czy 10 komputerów. Czasami się też zdarzało, że taki dokument trafiał do innej firmy, bo właśnie na przykład ktoś wysyłał do znajomego z innej firmy, z tej samej branży i mówi – słuchaj, ja tutaj nie mogę tego otworzyć, może spróbuj, wy macie lepsze komputery tam w firmie, no nie. Więc to jest duży problem. No i teraz jeśli mamy właśnie zainfekowany taki komputer kogoś nietechnicznego, czy to właśnie osoby z marketingu, czy z kadr, no wszystko jedno, no to wtedy zaczyna się faza tak zwana ruchów lateralnych. Lateral movement, czyli próbujemy jakby eskalować dalej się po sieci, czyli szukamy różnych luk, gdzie ta osoba ma dostęp, z jakich serwerów korzysta, no i czy te serwery są dobrze zabezpieczone. I przeważnie to się udaje. To dlatego, że też widzę tutaj bardzo, bardzo duży problem, w firmach wielu, ze firmy wydają kupę kasy na zabezpieczenie tego styku z Internetem. Natomiast bardzo często sieć wewnętrzna jest dziurawa jak sito, a to dlatego, że jest takie podejście – dobra, my ufamy swoim pracownikom, przecież nasi pracownicy nie będą nas hakować i tak dalej. A tak naprawdę shakować komputer pracownika jest bardzo, bardzo łatwo, czy to właśnie w ten sposób, o którym mówiłem, czy też poprzez hakowanie jakby takie fizyczne, prawda. Bo tu znów, na tych akcjach, które ja przeprowadzam, czy przeprowadzałem bardzo często było tak, że jeśli nie udało się takiego phishingu skutecznie przeprowadzić, co było rzadkością, bo jednak zawsze udało się przy spear phishingu, zawsze ktoś uruchamiał. Natomiast, czy to tak na drugą nóżkę, czy po prostu obok, żeby też sprawdzić taki wektor, no to testowaliśmy bezpieczeństwo fizyczne.
[00:30:03]Paweł Maziarz: Czyli na przykład przebieram się za elektryka, idę sobie do firmy i mówię – dzień dobry, jesteśmy z elektrowni, oczywiście z odpowiednim identyfikatorem i muszę wejść do serwerowni, żeby coś tam sprawdzić. No i teraz jak ktoś mnie wpuści do serwerowni, bo na przykład nie ma procedur albo uda się zagrać tak na emocjach, że ta osoba wpuści nas do tej serwerowni, czy w ogóle do biura, no to wtedy można już wpiąć jakieś swoje urządzenie do sieci, które znów będzie gdzieś tam się rozpychało. No i najczęstszym, tutaj też taka może podpowiedź. Moim ulubionym scenariuszem jest wpinanie się do takich drukarek, czy urządzeń wielofunkcyjnych sieciowych, które przeważnie stoją na jakichś korytarzach, bo wtedy jest łatwy do nich dostęp. I chodzi o to, żeby wpiąć tę drukarkę, przepiąć do swojego urządzenia, które ma dwa ethernety. No i teraz jakby robimy takie proxy, atak man-in-the-middle, czyli na początku konfigurujemy to nasze urządzenie, tak żeby działało jako hub, czy bridge, prawda, że jak odepniemy lan od drukarki, wypniemy nasze urządzenie, no to drukarka działała tak, jak działała wcześniej. Natomiast nasze urządzenie ma jeszcze na przykład, czy to WIFI, czy modem GSM, który łączy się z infrastrukturą cyberprzestępców, w tym wypadku moją. No i oczywiście jestem w stanie podsłuchiwać ruch. No i teraz, jeśli widzę, że już nikt nie drukuje niczego, godzina 20:00, czy 21:00, no to zdalnie ściągam tego bridga, sprawdzam jaki adres mac miała drukarka, przypisuje sobie go do siebie, drukarkę odłączam, no i wtedy jestem w sieci jako drukarka. No i znów robię ten lateral movement, czyli szukam tutaj słabych miejsc w sieci. Ten wektor jakby jest też o tyle ciekawy, że bardzo często w firmach, znaczy, coraz częściej w firmach wdrażany jest NAC – Network Access Control. No ale te urządzenia wielofunkcyjne bardzo często tego nie wspierają, więc są robione wyjątki na takie urządzenia, po adresie mac. Więc w ten sposób na przykład można ominąć NAC wdrożonego w firmie. No i tutaj jest jakby szereg problemów, chociażby bezpieczeństwo kart zbliżeniowych, bo też w sumie jakby z mojego doświadczenia, 80% firm miała źle zaimplementowane bezpieczeństwo kart zbliżeniowych, czy to przez to, że te karty zbliżeniowe były źle zaimplementowane w tym sensie, że komunikacja z nimi mogła być szyfrowana, ale nie była. No i wtedy bardzo łatwo taką kartę sczytać, sklonować i wtedy wchodzić do firmy, jako pracownik. Albo w ogóle te karty, które były wdrożone to sprzedawca mówił, że – to są super bezpieczne karty, 128 bitowy klucz i tak dalej, i tak dalej. A okazało się, że te karty to są takie pasywne, które mają tylko swój ui, które bardzo, bardzo łatwo sczytać, sklonować i już.
Prowadzący: Paweł, wiemy już, że na pewno nie jesteś ulubieńcem działów HR. To, to jest raczej sprawa pewna.
Paweł Maziarz: Myślę, że wiele osób mnie nie lubi.
Prowadzący: Drodzy słuchacze, jeżeli kiedykolwiek dostaniecie cv podpisane przez Pawła, dwa razy się zastanówcie, czy na pewno je chcecie kiedykolwiek otwierać. Ale wiesz co, wracając nawet do takich elementów, które przed chwileczką opisywałeś. Ja sam też, no byłem świadkiem, tak, że zostałem wpuszczony do serwerowni, naprawdę dużej polskiej firmy i zostałem pozostawiony tam bez żadnego tak naprawdę, bez żadnej dodatkowej osoby, tak. Więc pierwszy raz w sumie mnie widzieli na oczy. No tego typu rzeczy, rzeczywiście mogą powodować czasem różnego typu dziwactwa. Ale Paweł, wracając, to czego najczęściej szukają atakujący? O jakie dane chodzi i ile tak naprawdę może trwać taki atak APT? Jakiś rekordzista?
Paweł Maziarz: Pewnie też nie o wszystkich atakach wiemy, prawda, ile to dokładnie trwało. Natomiast jeśli mówimy o poważnych atakach APT, no to łącznie z przygotowaniami, to to często są miesiące albo i lata. No bo generalnie w branży się u nas tak mówi, że jeśli jakiś atak się nie powiódł, no to znaczy, że faza rekonesansu było niewystarczająco dobrze przeprowadzona. Czyli rekonesans to wszystko. Jeśli atak się nie powiedzie, no to trzeba do tej fazy rekonesansu wrócić, prawda, czyli sprawdzić, jakie kanały komunikacji Command and Control przejdą, czy to DNS, czy może ICMP, czy może HTTPS, czy może HTTPSA na jakieś konkretne strony, partnerów właśnie, do których się łatwiej włamać. Więc to może trwać nawet wiele miesięcy. Natomiast też myślę ciekawym pytaniem właśnie jest to, jak firmy są w stanie szybko wykryć tego intruza. Już nie pamiętam, jakie statystyki są na dzień dzisiejszy. Natomiast jeszcze kilka lat temu to było liczone w setkach dni. Czyli od skutecznego ataku do wykrycia intruza w sieci to było liczone w setkach dni. Teraz pewnie w dziesiątkach dni, uśredniając. No i to jest duży problem, prawda. I jakby też o to chodzi w atakach APT, żeby pozostać niewykrytym jak najdłużej.
[00:35:00]Prowadzący: No właśnie, jakie techniki są często wykorzystywane przez napastników, aby pozostać w cieniu? Bo tak jak wspominasz, no nie jest to czasami taka sprawa trywialna, tak, szczególnie, jeżeli my mówimy tutaj o naprawdę jakichś takich grubych sytuacjach, mówiących o miesiącach, czy jak wspominałeś, nawet latach.
Paweł Maziarz: Tak. Bardzo często, jeśli Command and Control, jeśli chodzi o komunikację Command and Control, czyli te komunikacje z przejętymi serwerami czy stacjami roboczymi. Do tych komunikacji bardzo często wykorzystywany jest kanał DNS, czyli komunikacja jest schowana w legalnych zapytaniach DNS. A to, dlatego, że tak naprawdę bardzo trudno się przed tym zabezpieczyć i oczywiście jakby różni ludzie mówią, że to jest bardzo łatwe do zabezpieczenia, ale nie jest to bardzo łatwe, jest to wręcz bardzo trudne. Tym bardziej, że cały czas są jakieś dodatkowe problemy, bo żyjemy w bardzo dynamicznych czasach, prawda. I jakby kanał komunikacji DNS jest bardzo dobrze znany. Ja bardzo lubię sam ten kanał komunikacji, bo jest bardzo skuteczny i jakby on powoduje to, że nawet komputery, które wydawałoby się, że są odłączone w sieci od Internetu, no to można nimi tak sterować, a to dlatego, że one ok, są odłączone od Internetu, ale mają dostęp do lokalnego, wewnętrznego serwera DNS. Tak naprawdę za jego pośrednictwem mają dostęp do Internetu, więc to działa bardzo dobrze i trudno się przed tym zabezpieczyć. Chociażby też, dlatego, że mieliśmy sobie kanał, mieliśmy sobie usługę DNS, która działała na UDP 53, oczywiście był jakiś DNS Sec i tak dalej, i tak dalej. Tutaj już powstały jakieś rozwiązania, które próbują to zaadresować, no i stosunkowo niedawno pojawiło się coś takiego jak DNS over HTTPS. Czyli coś, co miało rozwiązać problemy DNS, że to nie jest szyfrowane i mogą być kolizje, i tak dalej, i tak dalej, no to zostało zaproponowane w HTTPS, czyli żeby było więcej tej prywatności. No, ale problem jest taki, że skoro to jest teraz zaszyfrowane, idzie w HTTPS, no to teraz malware może wykorzystywać kanał nie sam DNS, tylko DNS over HTTPS. No i znów, teraz te rozwiązania, które mieliśmy w firmie zaimplementowane, które działały lepiej lub gorzej, już teraz nie działają. Powiem więcej, mamy gdzieś tam na tapecie coś takiego jak DNS over QUIC, czyli no QUIC, czyli to zdaje się Quic UDP Internet Protocol, czy coś takiego, to tam już nie ma znaczenia. Natomiast chodzi o to, że Quic to chodzi po protokole UDP, natomiast wszystko jest szyfrowane TLS by default, no i jeśli to wejdzie, no to znowu będzie trudno, żeby te nasze rozwiązania, które wcześniej ok, no w jakimś stopniu adresowały to zagrożenie, jeśli chodzi o kanały Command and Control chowane w DNS, takim typowym UDP czy TCP 53, no to teraz będzie jeszcze trudniej, bo coś, co ma nas ratować, prawda, co ma zrobić, żebyśmy byli bardziej bezpieczni i żeby była większa prywatność, no to daje teraz cyberprzestępcom większe też pole manewru, żeby z tego korzystać. No i to się cały czas dzieje. Na przykład chyba najbardziej popularnym kanałem, takim transportowym, jest HTTPS. No i dokładnie ta sama historia. Jeśli, pamiętam wiele lat temu, kiedy symulowałem takie ataki, to nie było tak prosto, żeby sobie zrobić certyfikat SSL. No, ale były różne strony, które dawały certyfikat SSL za darmo, anonimowo, na 90 dni, to było chyba nawet jeszcze Comodo, więc można było to zrobić. No, a teraz mamy Let’s Encrypt, gdzie można sobie za darmo taki certyfikat przygotować i on jest wszędzie rozpoznawalny. Więc coś, co miało nam pomóc, żeby wszystko było bardziej prywatne, znów daje cyberprzestępcom takie narzędzie, że o, certyfikat SSL, pstryk i mamy. Z kolei mamy ten HTTP, już był dobrze znany, czy HTTPS, no ale mamy teraz kolejne wersje HTTP, prawda. Już HTTP/1, czy HTTP/1.1 jest passe. Mamy teraz HTTP/2, mówimy o HTTP/2, HTTP/2 już jest. Gdzieś tam za rogiem stoi HTTP/3, który z kolei też chodzi po QUIC, czyli po tym UDP tak naprawdę. Więc znów, te urządzenia w firmach, które mamy, które jakoś tam ten ruch HTTP próbowały badać czy HTTPS, i starały się wykryć Command and Control. No to teraz, wraz jakby z przybyciem nowych technologii, takich jak HTTP/2, WebSockety, HTTP/3, no to one już nie będą działać i zanim one będą dobrze działać to też trochę minie. No, a tak, to jeszcze wracając do różnych ciekawych kanałów, no to mamy jakieś ICMP, które też jest zupełnie ciekawe. Nie wiem wprawdzie ile grup przestępczych, w sensie ile grup APT ten kanał wykorzystuje, natomiast mi się zdarzało, bo często ruch ICMP też jest w firmie puszczony, a to też w PowerShellu w zasadzie kilkoma linijkami kodu można zrobić działający malware, który komunikuje się po ICMP. I to nie wymaga uprawnienia administratora, więc w ogóle już, palce lizać.
[00:40:11]Prowadzący: Paweł, techniki to jedno. Ale co z preloadem? W jednej ze swoich publikacji pokazujesz jak łatwo wykorzystać różne narzędzia, nie wiem, typu, czy pokrewne do umieszczenia preloadu, oczywiście do wykorzystania go później. No i podobna sytuacja, nie pierwszy raz pewne narzędzia są wykorzystywane nie do końca w sposób przewidziany przez twórców.
Paweł Maziarz: No tak. To chociażby widać na przykładzie PowerShella, bo PowerShell jest świetnym narzędziem, jeśli chodzi o administratorów i programistów, i generalnie ludzi technicznych. Bo PowerShella oczywiście zastępuje stary, dobry CMD. W zasadzie od Windowsa 10, w którejś tam wersji to już jest domyślny wiersz poleceń. No i faktycznie, jeśli weźmiemy sobie jakąkolwiek książkę, która opisuje jakieś administrowanie Microsoftem, no to wszędzie już jest PowerShell, bo PowerShellem teraz można zrobić wszystko. No i naprawdę można zrobić wszystko. No i to jest taki miecz obosieczny, bo dzięki temu, że można zrobić nim wszystko, no to cyberprzestępcy tak samo, mogą zrobić nim wszystko. Z drugiej strony, ciężko jakby przygotować się na atak z jakiejś technologii, która jest natywną technologią, już w danym ekosystemie, czyli w systemie Microsoft, ale nie tylko, bo PowerShell już coraz częściej też występuje i jest używany generalnie na Linuxach, czy na Macach. Więc to jest taki przykład, że PowerShell jest świetnym narzędziem dla hakerów, ale tak samo jest świetnym narzędziem dla administratorów i jakby teraz pewnie ktoś zobaczył sobie ile jest nawet złośliwego oprogramowania napisanego w PowerShellu, co w zasadzie ja sam lubię robić, bo wtedy praktycznie możemy nie dotykać dysku i cały nasz malware jest w ramie, i jest bardzo mało, bardzo mało śladów. Tak samo, zabijemy proces i już też śladów prawie nie ma. Natomiast administratorzy nie mogą wyłączyć PowerShella, bo nagle ich środowiska przestaną działać. Więc to nie jest takie proste i jest to miecz obosieczny.
Prowadzący: To jak obronić się w takim razie przed atakami, które ze swojej natury mają być przeprowadzane bezszelestnie i bytować w infrastrukturze nawet przez wiele miesięcy? Jakie szanse mają organizacje, które stają się celem tego typu ataków?
Paweł Maziarz: Znaczy, myślę, że po pierwsze to trzeba trochę zmienić optykę na to i założyć, że do naszej firmy się i tak ktoś włamie, prędzej czy później. Czyli jakby nie skupiać się nad tym, żeby nie pozwolić, żeby się ktoś włamał. Oczywiście tę poprzeczkę trzeba podnosić, prawda, bo w zasadzie w cyberbezpieczeństwie właśnie o to chodzi, żeby tę poprzeczkę podnosić wyżej i wyżej, po to żeby jakiś script kiddie, czyli jakiś młody chłopak, który włączył sobie Youtube, odpalił sobie jakiś tutorial, jak używać Metasploita czy jakiegoś innego Cobalt Strikea, kliknął i przez przypadek do nas, do naszej firmy się włamał. Więc chodzi o to, żeby poprzeczkę podnosić tak, żeby tacy ludzie, którzy nie wiedzą, co robią, żeby im się to łatwo nie udało. Albo, żeby nawet ludzie, którzy wiedzą, co robią, stwierdzili po na przykład tygodniu czy po 2 tygodniach pracy – a dobra, tutaj jest za ciężko się włamać, idziemy na następny cel. No, ale tego się nie da wyeliminować i no najprędzej czy później ktoś się do naszej firmy włamie. Więc na tym trzeba się też skupić, żeby być jak najszybciej w stanie wykryć tego napastnika i to, co ja na przykład też lubię i do czego zachęcam, widzę też, że to jest coraz bardziej popularne to chociażby threat hunting. Ja zachęcam, threat hunting, czyli polowanie na cyberprzestępców. Czyli zakładamy, że do tej naszej organizacji ktoś już się włamał, no i teraz na czuja, czy mamy jakiś Framework, czy mamy jakąś wiedzę sprawdzamy różne artefakty, chociażby gdzieś tam w rejestrze, czy może jakieś NetFlowy. Sprawdzamy, czy może nie ma tam jakichś śladów, że ktoś w tej organizacji jest, takich śladów, które nie wykryły nasze systemy IPSy, IDSy, jakieś EDRy. Więc tak na czuja trochę to badamy, prawda. Więc ja proponuję, znaczy zawsze proponuję firmom, zachęcam, żeby. Bo ja wiem, że jest problem z ludźmi, prawda. Nawet jeśli firma ma dział bezpieczeństwa, to ten dział bezpieczeństwa jest zajęty. Jak firma ma tylko dział IT, no to już w ogóle nie ma czasu na bezpieczeństwo. Natomiast zachęcam do tego, żeby chociażby na początek zrobić sobie taki jeden piątek w miesiącu, że – zróbmy sobie misje threat huntingowe. Czyli niech to będzie jeden piątek i teraz zakładamy, że – o, no to weźmy sobie komputer jeden, drugi, trzeci, jakichś osobników w sieci, w naszej firmie, no i sprawdźmy czy tam tych artefaktów nie ma, czy tam coś dziwnego się nie dzieje, może sprawdźmy sobie, jakie ostatnio dokumenty Worda czy Excela były uruchamiane, żeby zobaczyć czy przez przypadek to nie było jakieś złośliwe. A to można bardzo łatwo zrobić, chociażby one-linerami PowerShella.
[00:45:07]Paweł Maziarz: Więc ten PowerShell dla threat hunterów też jest super. Generalnie, też awareness oczywiście jest bardzo ważny, czyli no wbijanie pracownikom pewnych zachowań, żeby łatwo nie dali się skusić na klikanie w te różne linki czy załączniki, ale też tutaj bardziej w sumie chodzi o to, żeby. Wiadomo, nie przeszkolimy wszystkich, prawda albo każdy, nawet super doświadczony pracownik może mieć słabszy dzień i po prostu w to kliknie, nawet osoba techniczna i nie będzie wiedziała o tym, no bo nie skojarzy faktów, no miała słabszy dzień. Więc chodzi o to, że wystarczy, że jeden pracownik zauważy, że jesteśmy celem ataku, no i wtedy w organizacji możemy podnieść jakieś kontrolki i patrzeć już bardziej uważnie na to, co się dzieje właśnie w ruchu sieciowym, czy może od razu sobie jakiś threat hunting uruchomić. Więc ten awareness jednak też jest ważny, ale nie po to, żeby powstrzymać zupełnie, tylko po to, żeby właśnie kupić sobie ten czas, że jeden pracownik nam zgłosi jakiś incydent czy tam próbę incydentu i sprawdzamy, co tam się działo. I taka też niedoceniona z kolei, trzecia rzecz myślę, ciągle w wielu organizacjach, bo ja może się raz tylko spotkałem z czymś takim, a to też nie było dobrze wdrożone, to honeypoty, czyli takie pułapki na hakerów. Myślę, że mądrze wdrożone honeypoty są w stanie jakby przechylić tę szalę zwycięstwa na stronę tych broniących się albo, chociaż bardzo wyrównać szanse. Tylko nie mówimy tu oczywiście o takich honeypotach, które widoczne są po zeskanowaniu nmapem, że tu jest SSH, czyli Kippo honeypot. To zupełnie nie mówimy o czymś takim, tylko o dedykowanych honeypotach, do których jakby też trzeba mądrze podejść wdrażając je, na przykład jeśli zastanowimy się właśnie, jak takie ataki APT czy inne są przeprowadzane, no to gdzieś tam w którymś momencie mamy tę fazę lateral movement, czy jak już ktoś jest w sieci to szuka tych różnych serwisów. To może warto postawić jakiegoś NoSQL czy MySQL domyślnie zainstalowanego albo może jakiś zasób sieciowy i podpiąć tam jakiś taki monitoring, że jeśli ktoś tam, z wewnątrz sieci naszej puka, no to wiadomo, że to nie jest pracownik, tylko to raczej jest jakiś cyberprzestępca, który właśnie robi rekonesans sieci już naszej wewnętrznej i ten lateral movement próbuje uskutecznić. Natomiast znów to musi być mądrze wdrożone, a nie jakby z jakichś takich tutoriali, że tutaj mamy kippo honeypot, klikamy enter, enter, no bo to zadziała w zasadzie odwrotnie. Wiem też, że nie wszystkie firmy mogą honeypoty sobie wdrażać, bo to też tam jest sprzeczne z niektórymi rozporządzeniami, no ale tam gdzie można to myślę, że warto się nad tym pochylić i jakoś to mądrze sobie pokombinować.
Prowadzący: Paweł, do czego może prowadzić atak tego typu? Z jedną uwagą od razu, bo na samym wstępie dosyć mocno odseparowaliśmy tematykę ransomware od APT, natomiast, no mówiąc wprost, jedno nie wyklucza drugiego, prawda. I tutaj kilka najróżniejszych scenariuszy. To znaczy, czy ransom wpuszczony celem odwrócenia uwagi? Czy wręcz przeciwnie, jesteśmy już w sieci od tak długiego czasu, mamy wszystko, co nam było potrzebne, dowalmy im, mówiąc kolokwialnie jeszcze ransomem. Jak tak naprawdę te ataki między sobą się przenikają?
Paweł Maziarz: No, myślę, że one się przenikają jakby i tak, i tak. Czyli z jednej strony, jeśli grupa APT potrzebuje zarobić dużo pieniędzy, a bardzo często celem tych ataków APT jest finansowanie dalsze takich grup. Więc chyba najprostszym sposobem w dzisiejszych czasach, jeśli mówimy o tym rynku cyberprzestępców, no to jest jednak ransomware, bo zwrot z inwestycji jest tutaj bardzo duży. Bo kiedyś pamiętam były bardzo popularne trojany bankowe, prawda. Ale jeśli chodzi o trojany bankowe, no to przygotowanie ich zajmowało więcej czasu, jeśli bank coś zmienił na swojej stronie no to znów trzeba było ten malware zmodyfikować, no i trzeba było tego pilnować, pielęgnować i tak dalej. Natomiast jeśli chodzi o ransomware, puszczamy taki ransomware w świat, no i jak ktoś się zainfekuje, to zainfekuje, jak zapłaci, to zapłaci, no i ok. No i są grupy APT, które wykorzystują właśnie ransomware, żeby skorzystać na tym finansowo. Natomiast ten ransomware dostarczają w sposób APT, czyli na przykład wybieramy firmę, która zarabia bardzo dużo, prawda. Czyli jakieś tam sobie dedykujemy, znaczy wybieramy sobie z jakiejś listy firm, 500 czy cokolwiek, firmy, które zarabiają najwięcej. No i teraz one są naszym celem ataku, ale nasz cel ma się zakończyć tym, że wszystko im zaszyfrujemy jak najwięcej, więc przeprowadzamy atak APT.
[00:50:15]Paweł Maziarz: I na przykład to może wyglądać tak, że zdobywamy początkowo dostęp do sieci, czy przestępcy zdobywają dostęp do sieci, znów robią wewnętrzny rekonesans, sprawdzają gdzie są backupy, jakie są procedury. Po to, żeby ostatecznie jak ten ransomware zostanie zdetonowany, no to żeby firmę to jak najbardziej zabolało i żeby ona musiała tak naprawdę zapłacić. Więc tu mamy w jedną stronę przenikanie się tego ransomwaru z APT. No a z drugiej strony, też bywały takie sytuacje, że robimy atak APT, kradniemy jakieś dane czy też uzyskujemy dostęp do jakichś urządzeń scadowych, czy dcsowych, czy generalnie w sieci OT, czyli w tej sieci przemysłowej. No i teraz, żeby zatrzeć ślady na przykład uruchamiamy taki ransomware, który szyfruje wszystko, niekoniecznie na przykład chce okup, tak zdaje się było w przypadku Petyi, czy NotPetyi, czy WannaCry, że tam nie chodziło o okup, tylko właśnie chodziło o zatarcie śladów i spowodowanie jak największej destabilizacji. Więc oba scenariusze tutaj się przenikają wzajemnie.
Prowadzący: No właśnie, dla porównania. Przypuszczam, że duża ilość słuchaczy spotkała się z nazwami takimi jak właśnie WannaCry, Petya, NotPetya. Chyba największym takim typowym atakiem APT, ukierunkowanym na infrastrukturę krytyczną, to już taki przytaczany od wielu, wielu lat, to jest Stuxnet sprzed przeszło dekady. Dlaczego tak się dzieje? Czy rzeczywiście takie ataki APT, ukierunkowane na powolną infiltrację, zbieranie informacji czy typowy sabotaż, przykuwają mniej uwagi społeczeństwa? Bo wiesz, z mojego punktu widzenia oczywiście zaszyfrowane dyski mogą być nieszczęściem, które zatrzyma pracę przedsiębiorstwa, czy sprowadzi dodatkowe, czasami niebotyczne koszty, czy sprawdzi ich możliwości przywracania danych. Ale z drugiej strony, scenariusze, które mogą być przyporządkowane atakom APT przyprawiają często o gęsią skórkę, tak. Elektrownie, blackout, stacje uzdatniania wody, to, co tak niedawno też dosyć głośno było, czy wspomniane wcześniej wirówki do wzbogacenia uranu. Cała infrastruktura krytyczna, która może być w pewnym sensie zależna od łaski, niełaski napastnika.
Paweł Maziarz: Myślę, że tutaj powodów może być kilka, bo z jednej strony, jeśli mówimy o takich atakach jak WannaCry czy Petya, no to tak naprawdę tutaj dostał cały świat. I każde państwo miało tutaj miało większe lub mniejsze problemy, prawda. Duże firmy miały problemy, więc każdy jakby też konsument, był w stanie to odczuć. No, więc skoro konsumenci to odczuwali, no to wiadomo, że temat w mediach był wałkowany, wszyscy o tym mówili. No, więc chcąc, nie chcąc nawet osoby nietechniczne z tym się spotkały. Natomiast, jeśli mówimy o takich atakach jak Stuxnet, na wirówki, no to, to nie dotyczyło każdego, prawda. To dotyczyło jakiś tam Iran, jakieś tam wirówki, nie wiadomo w zasadzie o co chodzi. Więc chociażby w naszym kraju, no to, to nie było tak dobrze znane. Natomiast, myślę, że gdyby to dotyczyło czegoś takiego, że teraz nagle każdy nie ma prądu, w danym kraju, nikt nie ma prądu, w danym kraju, na przykład przez 2,3, 4 dni, no to cały świat by o tym mówił i atak byłby też dobrze znany. Ta cała operacja byłaby znana na cały świat. Więc wydaje mi się, że to jest to. A do tego, jeszcze myślę dochodzi fakt, że jeśli chodzi o ransomware to też już to jest taki problem dzisiejszych czasów, że podejrzewam, że każdy z nas zna osobę albo firmę, która została tym dotknięta, prawda, tym ransomwarem. Więc jak tylko gdzieś się widzi ransomware, to już wiadomo o co chodzi. Do mnie bardzo często dzwonią znajomi, którzy mówią – słuchaj Paweł, taka sprawa, bo mi coś tam zaszyfrowało, czy wiesz co mogło się stać? No, wiem co mogło się stać. Więc myślę, że to jest właśnie kwestia tej skali problemu i czy ona nas dotyczy, czy nie. A te ataki ransomware, czy coraz więcej tych ataków doxware, extortionware, czyli te upublicznianie danych, to będzie nas dotykało i będzie coraz więcej.
Prowadzący: Drodzy słuchacze, hasło na dzisiaj to PowerShell. A Paweł, tak na zakończenie. Czy obecnie widzisz jakieś specyficzne trendy związane z atakami APT? W którym kierunku napastnicy najczęściej próbują uderzać? Jak to najczęściej wygląda? I co się zmienia z biegiem czasu, bo to myślę, że również pewne elementy się zmieniają?
Paweł Maziarz: Tak. Tutaj na pewno mamy jakby bardzo duży odcisk tego, co się dzieje, jaka jest sytuacja na świecie, czyli pandemia wirusa i coraz większy nacisk na pracy zdalnej. To, generalnie pandemia wirusa, jakkolwiek zła oczywiście, no to nagle pokazała, że chyba o 3 czy 4 lata jesteśmy do przodu, jeśli chodzi o IT i o pracę zdalną, bo to nagle okazało się, że się da, prawda.
[00:55:08]Paweł Maziarz: No i z racji tego, że coraz więcej firm pracuje zdalnie, no to też coraz bardziej są te firmy narażone na jakieś konkretne ataki. I wydaje mi się, że jednym z trendów takich, to gdy gdzieś tam jest już zauważane, a to też jest bardzo skuteczny wektor ataku, chociaż nie prosty, no to atak na różne Appliance VPN, bo teraz, no jeśli chodzi o pracę zdalną oczywiście tych koncentratorów VPN jest coraz więcej, więc one są coraz większym tutaj, coraz większą płaszczyzną ataku. No i to też miało miejsce, chociażby pamiętam, to wprawdzie było bardzo dawno temu, bo to było w 2015 roku, natomiast była bardzo ciekawa historia firmy HackingTeam. Nie wiem czy pamiętacie firmę HackingTeam, która, która w zasadzie produkowała takie złośliwe oprogramowanie, które było kupowane przez rządy do infiltracji obywateli między innymi i tak dalej. No to nagle okazała się celem też ataku, można powiedzieć APT. No i w ogóle można znaleźć dokument jednej osoby, która stała za tym atakiem, jakie były jej motywy, dlaczego ona to zrobiła, tak naprawdę jak to zrobiła. I to też bardzo fajnie pokazała, jak to zrobiła, bo sprawdziła rekonesans, czyli sprawdziła, co mają wystawione do Internetu, mieli wystawione joomle, jeśli chodzi o www, czyli taki CMS. Natomiast on dziurawy nie był, ale mieli też wystawionego do Internetu appliance VPN. No i po kilku tygodniach grzebania w tym appliance, oczywiście ta osoba zapewne sobie taki załatwiła do domu, szukała zirodaya, czyli jakichś tam dziur, no i znalazła tego zirodaya, czyli znalazła lukę, która jeszcze nie była poprawiona przez producenta, bo producent sam jeszcze o tej luce nie wiedział, no i wykorzystała tę lukę, żeby wejść do tej firmy. I to też jest bardzo ciekawe, bo skoro firma HackingTeam, to była firma złożona w zasadzie z samych hakerów, prawda, która no świadczyła takie usługi na najwyższym poziomie, można powiedzieć światowym, sama została celem i ofiarą takiego ataku i w zasadzie chyba 400 GB ich danych, kodów źródłowych, eksploitów, Trojanów można ściągnąć z torrentów jeszcze dzisiaj. Więc to pokazuje, że nie ma żadnej firmy, która jest w stanie się zabezpieczyć. Kwestia właśnie jest tego, żeby podnieść tę poprzeczkę. No i wydaje mi się, że to jest właśnie bardzo ważny wektor ataków w dzisiejszych czasach i jestem przekonany, że teraz grupy APT już się na to oglądają, w zasadzie już to robią, czyli te appliance, które są wystawiane do Internetu VPN, bo tego jest coraz więcej. Zresztą, widać też, że coraz więcej VPN jest podatnych, bo ludzie się tym interesują i to researcherzy, którzy szukają dziur, tak samo właśnie cyberprzestępcy, którzy też szukają zirodeyów po to, żeby do tych firm się włamywać. No i oczywiście spear phishing, bo skoro teraz wszyscy pracujemy zdalnie, czy wiele firm pracuje zdalnie, czyli ta wymiana jest jeszcze bardziej elektroniczna, niż była do tej pory, no to ten spear phishing będzie na sile rósł.
Prowadzący: Moim gościem w dzisiejszym odcinku był Paweł Maziarz. Paweł, bardzo Ci dziękuję za Twoją obecność i za dzisiejszą rozmowę.
Paweł Maziarz: Dziękuję również za zaproszenie.
Prowadzący: Dzięki jeszcze raz. A my słyszymy się w kolejnych odcinkach. Do usłyszenia.
