Анализ взлома Cisco 2022

24 мая 2022 года специалисты службы безопасности сообщили Cisco о взломе. Злоумышленнику удалось получить доступ, повысить свои привилегии, установить удаленный доступ и программное обеспечение для взлома, а также предпринять шаги для сохранения доступа к системам. Им удалось сделать все это шаг за шагом. Как мы увидим, это должно было быть легко предотвращено.

Хотя мы все умнее, когда смотрим на вещи ретроспективно, правда в том, что то, что случилось с Cisco, может случиться с любым, кто управляет средой WordPress.

В этой статье будут рассмотрены шаги хакеров к успешному взлому и то, как каждый владелец и менеджер веб-сайта WordPress может предотвратить повторение на своих веб-сайтах WordPress.

Кто взломал Cisco?

О человеке или лицах, стоящих за взломом Cisco, известно немногое. Расследования показали, что атака была осуществлена ​​IAB (Initial Access Broker). Как следует из названия, IAB взламывают системы, но не проводят атаки. После успешного взлома они устанавливают программное обеспечение для поддержания этого доступа. Затем доступ продается или передается кому-то еще, кто будет использовать доступ для проведения фактической атаки. Доказательства указывают на связи с тремя злоумышленниками — UNC2447, Lapsus$ и Yanluowang.

Как они взломали Cisco

Шаг 1: Пароли браузера

Злоумышленник сначала получил доступ к личному аккаунту Google сотрудника. Войдя в браузер Chrome, используя украденные учетные данные, злоумышленник может получить доступ к паролям сотрудника, поскольку они были сохранены в браузере и настроены для синхронизации.

Анализ

Браузеры прошли долгий путь со времен Netscape и Internet Explorer (с тех пор оба браузера вошли в анналы компьютерной истории). Они намного надежнее, предлагают гораздо более богатый набор функций и более безопасны, чем раньше.

Пароли браузера — одно из таких улучшений, позволяющее пользователям сохранять свои имена пользователей и пароли непосредственно в браузере. Хотя это очень удобно, браузеры не применяют передовые методы безопасности, как менеджеры паролей, что делает их уязвимыми для взлома.

Менеджеры паролей требуют, чтобы пользователи использовали мастер-пароль, который должен быть достаточно сложным и шифровать все сохраненные пароли, чтобы их было трудно украсть. Некоторые менеджеры паролей даже позволяют использовать биометрические данные, такие как отпечатки пальцев или лицо, что повышает безопасность и удобство.

Хотя браузеры начали догонять с точки зрения безопасности паролей, они еще не достигли уровня менеджеров паролей, что делает их неподходящим вариантом.

Еще одна потенциальная угроза безопасности — использование простых паролей. Исследование, проведенное NordPass в 2021 году, показывает, что, несмотря на масштабные кампании по повышению осведомленности, смехотворно небезопасные пароли по-прежнему широко распространены. На самом деле, исследователи обнаружили, что пароль «123456» использовался более 103 миллионов раз, за ​​ним следовал столь же сомнительный «123456789», который использовался более 46 миллионов раз. Если вам интересно, в списке все еще присутствуют такие классические элементы, как «пароль», «qwerty» и «iloveyou».

Эти пароли взламываются менее чем за секунду, что делает их невероятно небезопасными. Проблема усугубляется тем фактом, что программное обеспечение для взлома паролей стало более продвинутым и может даже учитывать замену специальных символов, таких как переключение a на @ или e на 3.

Профилактика

Очень немногие люди любят вводить длинные и сложные пароли, заставляя людей использовать ярлыки. Исследования подтверждают это утверждение, поэтому так важно помочь пользователям использовать более надежные пароли.

Поощряйте более тщательную гигиену паролей.

Надежный пароль — один из самых важных шагов, которые вы можете предпринять для снижения рисков. Надежная политика паролей WordPress может помочь вам гарантировать, что пользователи не используют такие пароли, как «123456», которые, как показывают исследования, все еще очень распространены.

Используя WPassword, плагин для защиты паролей WordPress, вы можете гарантировать, что передовые методы работы с паролями соблюдаются до Т. Вы можете установить свою собственную политику, которая поможет вам создать профиль политики, который вам удобен и доволен.

Отговаривание пользователей от сохранения паролей в своих браузерах — еще один важный шаг, который может помочь вам (и вашим пользователям) снизить риски. В конце концов, не только их пароль WordPress может быть украден — социальные сети, банковские и все другие пароли одинаково подвержены риску.

Менеджеры паролей стали мейнстримом, предлагая множество решений на выбор. Менеджеры паролей не только устраняют риски, связанные с сохранением паролей в браузерах, но также могут помочь вам придумать более надежные пароли, а некоторые даже предупредят вас в случае утечки пароля.

Шаг 2: Социальная инженерия

Как только злоумышленнику удалось получить доступ к учетной записи сотрудника, он приступил к регистрации устройств 2FA, чтобы обойти механизмы безопасности, предлагаемые 2FA. Поскольку двухфакторная аутентификация была достаточно надежной, злоумышленник предпринял двойную атаку, в которой использовал тактику социальной инженерии для обхода двухфакторной аутентификации.

• Первый аспект: усталость от двухфакторной аутентификации. При атаке с двухфакторной аутентификацией злоумышленник пытается зарегистрировать несколько устройств двухфакторной аутентификации, фактически вынуждая жертву обрабатывать несколько запросов двухфакторной аутентификации. Этот тип атаки в основном распространен в push-уведомлениях, поскольку все, что нужно сделать жертве, — это согласиться — будь то из-за невежества, усталости или чего-то еще.
• Часть вторая: Вишинг. Вишинг — это тип атаки социальной инженерии, при которой злоумышленник звонит жертве (голосовой фишинг), утверждая, что он является кем-то, кто обладает властью. Этим притворным авторитетом злоупотребляют, ставя жертву в положение, когда она чувствует, что у нее нет другого выбора, кроме как подчиниться требованиям звонящего. Эти требования могут включать в себя разглашение информации или выполнение определенных действий, например переход по определенным ссылкам.

Анализ

Социальная инженерия остается одним из наиболее часто используемых злоумышленниками инструментов для обхода мер безопасности. В некоторых случаях злоумышленникам может быть проще обмануть людей, чем иметь дело с системой безопасности. В этом случае злоумышленнику пришлось прибегнуть к социальной инженерии, чтобы обойти 2FA.

Социальная инженерия существует во многих формах, требующих всеобъемлющей политики безопасности, чтобы гарантировать, что атаки не будут успешными. Поскольку социальная инженерия нацелена на людей, постоянные кампании по повышению осведомленности могут иметь большое значение для минимизации и смягчения рисков.

Социальная инженерия опирается на ряд принципов, включая запугивание, срочность, знакомство, социальное доказательство, авторитетность и редкость. Эти принципы используются злонамеренно, чтобы заставить людей выполнять требования, к которым они в противном случае не присоединились бы.

Профилактика

Добавить двухфакторную аутентификацию

Надежные пароли — это только первая линия защиты. 2FA — еще один важный аспект хороших онлайн-сервисов.

eccurity, способный остановить подавляющее большинство онлайн-атак. 2FA, требует любого потенциального злоумышленника

также получить доступ к телефону зарегистрированного пользователя, что довольно сложно.

Злоумышленникам Cisco так и не удалось обойти защиту 2FA — вместо этого они полагались на тактику обмана, чтобы обмануть

жертвы в удовлетворении их запросов, что в конечном итоге позволило им обойти 2FA.

Несмотря на это, 2FA остается грозным решением для безопасности онлайн-аккаунта, помогая остановить атаки на их пути или,

по крайней мере, замедляя их. К счастью, добавить 2FA на ваш сайт WordPress очень просто.

Инвестируйте в своих пользователей

Обучение пользователей — мощный инструмент, которым слишком часто пренебрегают до тех пор, пока не произойдет инцидент. Как гласит старая поговорка, профилактика лучше, чем лечение. Быть активным гораздо полезнее, чем устранять ущерб.

Имейте политику, которая, среди прочего, просит пользователей сообщать о запросах 2FA, которых они не ожидали, и ясно дает понять, что даже если они примут любой такой запрос по ошибке, об этом следует сообщить. Пользователи часто опасаются последствий таких ошибок, что приводит к тому, что о таких инцидентах не сообщается. Поймите, что такое может случиться с каждым — снисходительность и понимание помогут и вам, и вашим пользователям.

Время от времени просматривайте политику и, если возможно, записывайте пользователей на короткие курсы по кибербезопасности, предназначенные для персонала.

Шаг 3. Повышение привилегий

Как только злоумышленник получил первоначальный доступ, он повысил свои привилегии до уровня администратора, что позволило ему получить доступ к нескольким системам. Это то, что в конечном итоге выдало их, поскольку предупредило группу реагирования службы безопасности, которая смогла исследовать и удалить их из окружающей среды.

Анализ

При повышении привилегий злоумышленник пытается получить доступ к учетным записям с более высоким набором привилегий, чем изначально скомпрометированная. Поскольку учетные записи с более низким уровнем полномочий обычно не так надежно защищены, как учетные записи с более высоким уровнем полномочий, их легче взломать. После получения начального доступа злоумышленник может захотеть повысить привилегии, чтобы получить доступ к более конфиденциальным данным или нанести больший ущерб.

Профилактика

Хотя WordPress в целом является безопасным приложением, он не застрахован от атак. Уменьшение площади поверхности атаки необходимо для минимизации риска. Этот процесс уменьшения площади поверхности атаки называется усилением и может выполняться на нескольких уровнях, в том числе;

Укрепление WordPress
Усиление защиты PHP
Усиление защиты веб-сервера
Повышение безопасности ОС (операционной системы)
Усиление MySQL

Какие подсистемы вы можете усилить, зависит от того, как размещен ваш WordPress. Если у вас есть план хостинга WordPress, ваш хостинг-провайдер выполняет большую часть задач. С другой стороны, если вы управляете собственным сервером, вам нужно будет самостоятельно укреплять каждую подсистему.

Шаг 4: Установка инструмента

Как только злоумышленники получили достаточно привилегий (до того, как группа реагирования на инциденты прекратила доступ), они установили различные инструменты сохранения, чтобы гарантировать, что они могут сохранить доступ. Эти инструменты обеспечили бы доступ в будущем — независимо от того, планировали ли злоумышленники повторно посетить или продать доступ третьей стороне.

Анализ

Инструменты и методы персистентности, также известные как бэкдоры, опасны вдвойне, поскольку они открывают доступ для будущих атак. Если они останутся незамеченными, они продолжат предоставлять злоумышленнику непрерывный доступ к среде. Поскольку большинство этих инструментов предназначены для того, чтобы избежать обнаружения, их поиск может потребовать дополнительной работы.

Поставщики, такие как Google, также могут заблокировать ваш домен или IP-адрес, что негативно повлияет на ваш рейтинг в поисковых системах. Это может быть еще более трудным для восстановления, особенно если значительный ущерб был нанесен до того, как заметили нарушение.

Бэкдоры WordPress также используют несколько функций PHP, что упрощает их обнаружение. Это не означает, что ВСЕ бэкдоры используют определенные функции PHP, но об этом следует помнить.

Профилактика

Найти все вредоносные программы и программы, оставленные злоумышленником, может быть очень сложно. Большинство администраторов WordPress, как правило, прибегают к более ранней резервной копии, сделанной до первоначального взлома. Несколько компаний также предлагают профессиональные услуги по очистке WordPress. Некоторые плагины также могут помочь вам найти вредоносное ПО для WordPress.

Одним из бесценных инструментов, который вы должны использовать, является WordPress File Changes Monitor, монитор целостности файлов для WordPress. Этот бесплатный плагин, по сути, получает хэш вашей файловой системы каждый раз при запуске, а затем сравнивает его с предыдущим хэшем. Хэш полностью изменится при малейшем изменении любого из файлов. Это позволит вам начать расследование, чтобы определить, произошло ли нарушение.

Еще один важный инструмент, который может помочь вам отслеживать, что происходит под капотом, — это журнал активности WP. Используя этот плагин, вы будете вести журнал активности WordPress, который даст вам глубокое представление о действиях пользователей и системы на вашем веб-сайте WordPress, что позволит вам выявить подозрительное поведение на ранней стадии. Благодаря таким функциям, как интеграция сторонних плагинов и оповещения по электронной почте или SMS, вы сможете всегда быть в курсе событий.

Комплексный план обеспечения безопасности — единственный план обеспечения безопасности

Атака на Cisco показывает, что хакеры становятся все более изобретательными и изощренными в проведении атак, используя несколько векторов, чтобы увеличить свои шансы на успешный взлом. Хотя такие меры, как установка брандмауэра, остаются важными, они не являются серебряной пулей, как их изображает общепринятое мнение. Вместо этого требуется более целостный подход, чтобы гарантировать, что наши веб-сайты WordPress защищены на всех фронтах.

Как показывает нам взлом Cisco, несколько уровней имеют решающее значение для обеспечения усиления безопасности WordPress; однако человеческий фактор остается важным. Во многих отношениях пользователи являются заинтересованными сторонами в успехе любого веб-сайта WordPress, и при реализации таких политик, как наименьшие привилегии, обязательно необходимо обучение пользователей.