Analiza włamania do Cisco 2022

24 maja 2022 r. Cisco zostało poinformowane przez swoje zespoły ds. bezpieczeństwa, że ​​doszło do naruszenia. Atakującemu udało się uzyskać dostęp, zwiększyć swoje przywileje, zainstalować oprogramowanie do zdalnego dostępu i hakerskie oraz podjąć kroki w celu utrzymania dostępu do systemów. Udało im się to wszystko zrobić krok po kroku. Jak zobaczymy, powinno było temu łatwo zapobiec.

Chociaż wszyscy jesteśmy mądrzejsi, gdy patrzymy na rzeczy z perspektywy czasu, prawda jest taka, że ​​to, co stało się z Cisco, może przytrafić się każdemu, kto zarządza środowiskiem WordPress.

W tym artykule przyjrzymy się krokom hakerów w kierunku skutecznego włamania oraz tym, jak każdy właściciel i menedżer witryny WordPress może zapobiec powtórce na swoich witrynach WordPress.

Kto włamał się do Cisco?

Niewiele wiadomo o osobie lub osobach stojących za włamaniem Cisco. Dochodzenia wykazały, że atak przeprowadził IAB (Initial Access Broker). Jak sama nazwa wskazuje, IAB włamują się do systemów, ale nie przeprowadzają ataków. Gdy włamanie się powiedzie, instalują oprogramowanie, aby utrzymać ten dostęp. Dostęp jest następnie sprzedawany lub przekazywany komuś innemu, kto użyje go do przeprowadzenia faktycznego ataku. Dowody wskazują na powiązania z trzema złośliwymi podmiotami – UNC2447, Lapsus$ i Yanluowang.

Jak włamali się do Cisco

Krok 1: Hasła przeglądarki

Atakujący najpierw uzyskał dostęp do osobistego konta Google pracownika. Logując się do przeglądarki Chrome przy użyciu skradzionych danych uwierzytelniających, osoba atakująca mogła uzyskać dostęp do haseł pracownika, ponieważ zostały one zapisane w przeglądarce i skonfigurowane do synchronizacji.

Analiza

Przeglądarki przeszły długą drogę od dawnych czasów Netscape i Internet Explorera (obie przeglądarki od tamtego czasu trafiły do ​​kronik historii komputerów). Są znacznie bardziej wytrzymałe, oferują znacznie bogatszy zestaw funkcji i są bezpieczniejsze niż kiedyś.

Hasła przeglądarek są jednym z takich ulepszeń – umożliwiają użytkownikom zapisywanie ich nazw użytkowników i haseł bezpośrednio w przeglądarce. Chociaż jest to bardzo wygodne, przeglądarki nie wymuszają najlepszych praktyk bezpieczeństwa stosowanych przez menedżerów haseł, co naraża je na ataki hakerów.

Menedżery haseł wymagają od użytkowników używania hasła głównego, które musi być odpowiednio złożone i szyfrować wszystkie zapisane hasła, co utrudnia ich kradzież. Niektóre menedżery haseł umożliwiają nawet korzystanie z danych biometrycznych, takich jak odciski palców lub twarz, co zwiększa bezpieczeństwo i wygodę.

Chociaż przeglądarki zaczęły nadrabiać zaległości pod względem bezpieczeństwa haseł, nie osiągnęły jeszcze poziomu menedżerów haseł, co czyni je nieodpowiednią opcją.

Innym potencjalnym zagrożeniem bezpieczeństwa jest tutaj użycie prostych haseł. Badania przeprowadzone przez NordPass w 2021 roku pokazują, że pomimo szeroko zakrojonych kampanii uświadamiających, absurdalnie niebezpieczne hasła są nadal powszechne. W rzeczywistości naukowcy odkryli, że hasło „123456” było używane ponad 103 miliony razy, a następnie równie wątpliwy „123456789”, który zanotował ponad 46 milionów wystąpień. Jeśli się zastanawiasz, klasyki takie jak „hasło”, „qwerty” i „iloveyou” są nadal obecne na liście.

Złamanie tych haseł zajmuje mniej niż sekundę, co czyni je niewiarygodnie niebezpiecznymi. Problem potęguje fakt, że oprogramowanie do łamania haseł stało się bardziej zaawansowane i może nawet uwzględniać zamiany znaków specjalnych, takie jak zamiana a na @ lub e na 3.

Zapobieganie

Niewiele osób lubi pisać długie i złożone hasła, co prowadzi do pójścia na skróty. Badania potwierdzają to twierdzenie, dlatego tak ważne jest, aby pomóc użytkownikom w używaniu lepszych haseł.

Zachęcaj do lepszej higieny haseł.

Silne hasło to jeden z najważniejszych kroków, jakie możesz podjąć, aby ograniczyć ryzyko. Silna polityka haseł WordPress może pomóc upewnić się, że użytkownicy nie używają haseł takich jak „123456”, które, jak pokazują badania, są nadal bardzo powszechne.

Korzystając z WPassword, wtyczki zabezpieczającej hasła WordPress, możesz upewnić się, że dobre praktyki dotyczące haseł są przestrzegane do T. Możesz ustawić własną politykę, pomagając osiągnąć profil zasad, z którego czujesz się komfortowo i z którego jesteś zadowolony.

Zniechęcanie użytkowników do zapisywania haseł w ich przeglądarkach to kolejny ważny krok, który może pomóc Tobie (i Twoim użytkownikom) ograniczyć ryzyko. W końcu nie tylko ich hasło do WordPressa może zostać skradzione – media społecznościowe, bankowość i wszystkie inne hasła są równie zagrożone.

Menedżery haseł stały się głównym nurtem, z wieloma rozwiązaniami do wyboru. Menedżery haseł nie tylko eliminują ryzyko związane z zapisywaniem haseł w przeglądarkach, ale mogą również pomóc w tworzeniu silniejszych haseł, a niektóre nawet ostrzegają, jeśli doszło do wycieku hasła.

Krok 2: Inżynieria społeczna

Gdy atakujący zdołał uzyskać dostęp do konta pracownika, przystąpił do rejestracji urządzeń 2FA, aby ominąć mechanizmy bezpieczeństwa oferowane przez 2FA. Ponieważ 2FA jest dość solidny, atakujący przeprowadził dwukierunkowy atak, który wykorzystał taktykę socjotechniki, aby ominąć 2FA.

• Wiertło pierwsze: zmęczenie 2FA – W ataku zmęczeniowym 2FA atakujący próbuje zarejestrować wiele urządzeń 2FA, skutecznie zmuszając ofiarę do radzenia sobie z wieloma żądaniami 2FA. Ten typ ataku jest najczęściej spotykany w powiadomieniach push, ponieważ ofiara musi tylko zaakceptować – czy to z powodu ignorancji, zmęczenia, czy w inny sposób.
• Wiertło drugie: Vishing – Vishing to rodzaj ataku socjotechnicznego, w którym atakujący dzwoni do ofiary (phishing głosowy), podając się za kogoś, kto ma władzę. Ten udawany autorytet jest nadużywany, stawiając ofiarę w sytuacji, w której czuje, że nie ma innego wyjścia, jak tylko zastosować się do żądań dzwoniącego. Żądania te mogą obejmować ujawnianie informacji lub podejmowanie określonych działań, takich jak klikanie określonych linków.

Analiza

Socjotechnika pozostaje jednym z najczęściej używanych przez atakujących narzędzi do omijania zabezpieczeń. W niektórych przypadkach napastnikom łatwiej jest oszukać ludzi niż poradzić sobie z systemem bezpieczeństwa. W tym przypadku atakujący musiał skorzystać z socjotechniki, aby ominąć 2FA.

Socjotechnika występuje w wielu formach i wymaga kompleksowej polityki bezpieczeństwa, aby zapewnić, że ataki nie powiodą się. Ponieważ socjotechnika jest skierowana do ludzi, ciągłe kampanie uświadamiające mogą znacznie przyczynić się do minimalizacji i łagodzenia ryzyka.

Inżynieria społeczna opiera się na wielu zasadach, w tym zastraszaniu, pilności, znajomości, dowodach społecznych, autorytecie i niedostatku. Zasady te są wykorzystywane złośliwie, aby skłonić ludzi do spełnienia żądań, do których inaczej by nie przyjęli.

Zapobieganie

Dodaj uwierzytelnianie dwuskładnikowe

Silne hasła to tylko pierwsza linia obrony. 2FA to kolejny ważny aspekt dobrych stron internetowych

bezpieczeństwo, które jest w stanie powstrzymać zdecydowaną większość ataków online. 2FA, wymaga potencjalnego atakującego

uzyskać również dostęp do telefonu zarejestrowanego użytkownika – co jest dość trudne.

Atakujący Cisco nigdy nie zdołali ominąć zabezpieczeń 2FA – zamiast tego polegali na taktyce oszustwa, aby oszukać t

ofiara przychyliła się do ich próśb – co ostatecznie pozwoliło im ominąć 2FA.

Mimo to 2FA pozostaje potężnym rozwiązaniem w zakresie bezpieczeństwa kont online, pomagającym powstrzymać ataki na ich śladach lub,

a przynajmniej spowalniając ich. Na szczęście dodanie 2FA do witryny WordPress jest łatwe.

Zainwestuj w swoich użytkowników

Edukacja użytkowników to potężne narzędzie, które zbyt często jest ignorowane – aż do incydentu. Jak mówi stare powiedzenie, lepiej zapobiegać niż leczyć. Bycie proaktywnym jest o wiele bardziej korzystne niż naprawa szkód.

Posiadaj politykę, która między innymi prosi użytkowników o zgłaszanie żądań 2FA, których nie oczekiwali, i jasno określa, że ​​nawet jeśli przez pomyłkę zaakceptują takie żądanie, należy to zgłosić. Użytkownicy często obawiają się reperkusji wynikających z takich błędów, co powoduje, że takie incydenty nie są zgłaszane. Zrozum, że może się to zdarzyć każdemu – wyrozumiałość i zrozumienie pomagają zarówno Tobie, jak i Twoim użytkownikom.

Poświęć trochę czasu na przeglądanie zasad od czasu do czasu i, jeśli to możliwe, zapisz użytkowników na krótkie kursy cyberbezpieczeństwa przeznaczone dla personelu.

Krok 3: Eskalacja uprawnień

Gdy atakujący uzyskał wstępny dostęp, eskalował go do uprawnień administratora, co pozwoliło mu uzyskać dostęp do wielu systemów. To, co ostatecznie je zdradziło, zaalarmowało zespół ds. bezpieczeństwa – kto był w stanie zbadać je i usunąć ze środowiska.

Analiza

W przypadku eskalacji uprawnień osoba atakująca próbuje uzyskać dostęp do kont o wyższym zestawie uprawnień niż ten, który został początkowo naruszony. Ponieważ konta o niższym autorytecie zazwyczaj nie są tak dobrze zabezpieczone, jak konta o wyższym autorytecie, łatwiej jest się na nie włamać. Po uzyskaniu wstępnego dostępu atakujący może chcieć zwiększyć uprawnienia, aby uzyskać dostęp do bardziej wrażliwych danych lub wyrządzić większe szkody.

Zapobieganie

Chociaż WordPress jest w zasadzie bezpieczną aplikacją, nie jest odporny na ataki. Zmniejszenie powierzchni ataku jest niezbędne do zminimalizowania ryzyka. Ten proces zmniejszania powierzchni ataku nazywa się utwardzaniem i można go przeprowadzić na kilku poziomach, w tym;

Utwardzanie WordPress
Hartowanie PHP
Utwardzanie serwera WWW
Hartowanie systemu operacyjnego (OS)
Utwardzanie MySQL

To, które podsystemy możesz wzmocnić, zależy od tego, jak hostowany jest Twój WordPress. Jeśli masz plan hostingowy WordPress, Twój dostawca usług hostingowych wykonuje większość zadań. Z drugiej strony, jeśli zarządzasz własnym serwerem, będziesz musiał samodzielnie wzmocnić każdy podsystem.

Krok 4: Instalacja narzędzia

Gdy atakujący uzyskali wystarczające uprawnienia (zanim zespół reagowania na incydenty zakończył dostęp), zainstalowali różne narzędzia do utrwalania, aby zapewnić sobie utrzymanie dostępu. Narzędzia te zapewniłyby dostęp w przyszłości – niezależnie od tego, czy napastnicy planowali ponowne odwiedziny, czy sprzedaż dostępu stronie trzeciej.

Analiza

Narzędzia i metody trwałe, znane również jako backdoory, są podwójnie niebezpieczne, ponieważ umożliwiają dostęp do przyszłych ataków. Jeśli pozostaną niewykryte, będą nadal zapewniać atakującemu ciągły dostęp do środowiska. Ponieważ większość z tych narzędzi ma na celu uniknięcie wykrycia, znalezienie ich może wymagać trochę dodatkowej pracy.

Sprzedawcy tacy jak Google mogą również blokować Twoją domenę lub adres IP, co negatywnie wpływa na pozycję w wyszukiwarce. Może to być jeszcze trudniejsze do odzyskania, zwłaszcza jeśli znaczne szkody zostały wyrządzone przed zauważeniem naruszenia.

Backdoory WordPressa wykorzystują również kilka funkcji PHP, co może ułatwić ich wykrycie. Nie oznacza to, że WSZYSTKIE backdoory używają pewnych funkcji PHP, ale należy o tym pamiętać.

Zapobieganie

Znalezienie wszelkiego złośliwego oprogramowania i oprogramowania pozostawionego przez atakującego może być bardzo trudne. Większość administratorów WordPressa ucieka się do wcześniejszej kopii zapasowej sprzed pierwszego naruszenia. Kilka firm oferuje również profesjonalne usługi sprzątania WordPress. Niektóre wtyczki mogą również pomóc w znalezieniu złośliwego oprogramowania WordPress.

Jednym z nieocenionych narzędzi, którego powinieneś używać, jest monitor zmian plików WordPress, monitor integralności plików dla WordPress. Ta bezpłatna wtyczka zasadniczo pobiera skrót systemu plików za każdym razem, gdy jest uruchamiany, a następnie porównuje go z poprzednim hashem. Skrót zmieni się całkowicie, jeśli nastąpi najmniejsza zmiana w którymkolwiek z plików. Umożliwi to rozpoczęcie dochodzenia w celu ustalenia, czy doszło do naruszenia.

Innym niezbędnym narzędziem, które może pomóc Ci śledzić, co dzieje się pod maską, jest Dziennik aktywności WP. Korzystając z tej wtyczki, będziesz prowadzić dziennik aktywności WordPress, który daje głęboki wgląd w działania użytkowników i systemu WordPress w swojej witrynie, co pozwala na wczesne wykrycie podejrzanego zachowania. Dzięki funkcjom, takim jak integracja wtyczek innych firm oraz alerty e-mail lub SMS, będziesz mógł być zawsze na bieżąco.

Kompleksowy plan bezpieczeństwa to jedyny plan bezpieczeństwa

Atak na Cisco pokazuje, że hakerzy stają się coraz bardziej innowacyjni i wyrafinowani w przeprowadzaniu ataków – wykorzystując wiele wektorów, aby zwiększyć swoje szanse na udane włamanie. Chociaż środki, takie jak instalacja zapory ogniowej, pozostają ważne, nie są one srebrną kulą, jaką przedstawia konwencjonalna mądrość. Zamiast tego wymagane jest bardziej holistyczne podejście, aby zapewnić ochronę naszych witryn WordPress na wszystkich frontach.

Jak pokazuje naruszenie Cisco, wiele warstw ma kluczowe znaczenie dla zapewnienia wzmocnienia bezpieczeństwa WordPress; jednak element ludzki pozostaje niezbędny. Pod wieloma względami użytkownicy są interesariuszami sukcesu dowolnej witryny WordPress, a wdrażanie zasad, takich jak najmniejsze uprawnienia, jest konieczne, podobnie jak edukacja użytkowników.