Hogyan kezeljünk egy kiberbiztonsági eseményt felhős környezetben (esettanulmány)

HUP

Bognár Attila (BlueVoyant) előadása az IC Enterprise Technologies meetup-sorozat 2023. június 6-i, cloud security tematikájú állomásán hangzott el. Az előadás célja, hogy megmutassa, hogyan lehet biztonságosan használni a felhőalapú szolgáltatásokat, és hogyan lehet felkészülni egy esetleges kiberbiztonsági támadásra. Az esettanulmány segítségével az érdeklődők megismerhetik a kiberbiztonsági események lehetséges kimeneteleit, és megtudhatják, hogy hogyan lehet csökkenteni a kockázatokat.

( KoGa v | 2023. 07. 20., cs – 15:45 )

Felhős környezetben? Vigyünk esernyőt, mert lehet esni fog.

( asm v | 2023. 07. 20., cs – 18:53 )

Ebben mi a "felhős környezetben"? A cim alapjan vmi AWS/Azure/GCP eset kivizsgalasara szamitottam, nem pedig egy desktop malware-re.

Az eloado tobbszor is emlitette, hogy megtalaltak a belepesi pontot. Szerintem nem, hiszen nem derult ki, hogy mikent vettek ra az aldozatot, hogy futtassa azt az msi-t. Az URL johetett emailben, mas weboldalt bongeszve, vagy rosszabb esetben vmi remote exploitot kihasznalva.

Ilyenkor a desktop reimage mikent uszhato meg? Biztos, hogy a Defender idoben megfogta a malware-t? Eleg csak letorolni par file-t a tempbol is minden mehet tovabb? Szerintem ennel bonyolultabb az ugy ilyenkor.

Igen ez a fajta analyzis és végékövetkeztetés erősen optimista :)

De remélhetőleg csak az előadás időbeli limitációi miatt.

 

Ami nekem szemet szúrt:

- Egy  Defender jelzéstből indultunk, de  - számomra - nem derült ki, hogy ezzel pontosan mit is csinált a defender?

Csak jelezte a gyanús tevékenységet, de engedett mindent végrehajtani??

 

- az, hogy a gyanús URL-t/IP-t kézzel kell ingyenes és megkérdőjelezhető (twitter??!) forrásokból ellenőrizni, az 2023-ban eléggé gáz.

Ezt bármelyik SIEM-nek tudnia kell(ene). főleg az aktuális AI hype mellett :)

Egy magára valamit is adó SOC-nak pedig illene egy (de inkább több) 'rendes' threat feed előfizetés ;)

Az ingyeneseknek pont az a problémája, hogy direkt késleltetve kerülnek bele az információk, rossz esetben pedig örökre benne is maradnak.

 

- az sem derült ki, hogy azt az .msi file-t valaki tényleg kézzel letöltötte és lefuttatta, vagy ez is a user tudta nélkül történt.

Gondolom nem kell magyarázni, hogy mekkora a különbség a két eset között.

 

- erősen felszisszentem, amikor az analyst a gyanúsított .msi letöltötte

(igaz nem tudom pontosan hová, de feltételezem ugyan arra a gépre amiről mindint is csinál)

Ez egy 'ártatlan' .msi file esetében persze nem annyira gáz, de ha a gyanús állomány kicsit is trükkösebb, akkor csúfos vége lehet egy ilyennek.

 

 

Az pedig ahogyan a végen teljes nyugalommal kijelenti, hogy csak 'leporoljuk kicsit' és kész is, nincs mitől aggódni... hát izé.

- azt sem nézték meg, hogy ugyan ez a gép csinált-e bármilyen más gyanús dolgot.

Lehet hogy van rajta még 3 backdoor, meg két másik ransomware amit (még) nem ismer a víruskergető :D

- ha pedig a  'senior vice president' a saját kis kezével töltötte le, és indítotte el a malware-t, akkor ott nem a technikai problémák a leg égetőbbek...

 

- amellett hogy ez egy szépen bemutatható példa, én arra lennék kíváncsi, hogy egy ilyen 'fogás' mellett hány false positive jelzést kell lekezelni? ;)

 

szerintem.

zrubi.hu

Utolag belegondolva sikerult a leheto legegyszerubb esetet bemutatniuk: a Defender megfogott egy gyanus binarist -> automatikusan nyitott rola ticketet -> security analyst pedig keszitett egy oldalas jelentest az esetrol, majd lezarta a ticketet. Ennyi.

Ennel csak bonyolultabb esetek jutnak eszembe.

Tény, hogy én sem a napi, általános használatú gépre töltenék le egy potenciálisan kártékony fájlt, amit ki kell vizsgálni, de egyébként mi kár származhat belőle? Pl wget/curl esetén mi történhet, miként aktiválódhat valami? (de Edge-dzsel tuti nem merném, Firefox talán elmegy) Azaz mi a valós kockázat?

(nem az előadó vagyok)

Volt mar ra pelda, hogy a kartekony file ugy volt preparalva, hogy a viruskergeto hibajat kihasznalva pont a viruskergeto futtatta (raadasul local admin jogokkal).

Valoszinu csak egy izolalt, sandbox kornyezetben futtatta. Viszont az erdekes tema, hogy hol az izolacio hatara. Ha halozaton sincs az a VM, akkor a malware nem tud tovabbi file-okat letolteni, igy koran megakad, nem derul ki hogy kesobb mit csinalna. Ha pedig kiengedjuk a netre, akkor nem tudhatjuk, hogy mennyire tud megszaladni a malware, mit kuld ki, ilyesmi.

Köszi az infót, nem tudtam, hogy víruskergető hibáját is ki tudják használni ilyen módon, bár elvégre logikus. Akkor olyan mappába kell letölteni, ahol nincs vírusellenőrzés :-)  (egyébként is, különben jó eséllyel le sem lehet tölteni, mert rögtön karanténba vágja vagy törli)

( laysoft v | 2023. 07. 21., p – 14:03 )

A sysadminday-en elhangzott hasonló témájú előadásról van felvétel?

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.