Όλοι οι οργανισμοί που χρησιμοποίησαν το λογισμικό παρακολούθησης δικτύου SolarWinds πρέπει να ρίξουν μια άλλη ματιά στα αρχεία καταγραφής τους για σημάδια εισβολής υπό το πρίσμα νέων οδηγιών και εργαλείων.
Σε μια ενημέρωση που κυκλοφόρησε την Τρίτη, η FireEye προειδοποίησε ότι οι χάκερ -για τους οποίους οι υπηρεσίες πληροφοριών κατέληξαν στο συμπέρασμα ότι ήταν Ρωσικής προέλευσης- είχαν στοχεύσει συγκεκριμένα δύο ομάδες ανθρώπων: εκείνους με πρόσβαση σε πληροφορίες υψηλού επιπέδου και sysadmins.
Αλλά η στόχευση αυτών των λογαριασμών θα είναι δύσκολο να εντοπιστεί, προειδοποίησε η FireEye, λόγω του τρόπου που το έκαναν: πλαστογράφηση των ψηφιακών πιστοποιητικών που χρησιμοποιούνται για τον έλεγχο ταυτότητας ώστε να κινηθούν μέσα στα δίκτυα χωρίς να τραβήξουν πολύ ή καμία προσοχή.
«Η ανίχνευση των πλαστών πιστοποιητικών που χρησιμοποιούνται ενεργά εναντίον ενός οργανισμού έχει αποδειχθεί δύσκολη», σημειώνει η FireEye. ‘Μια πιθανότητα είναι να συγκρίνουμε καταχωρήσεις στο αρχείο καταγραφής Azure AD Sign-Ins με τα αρχεία καταγραφής συμβάντων ασφαλείας των διακομιστών AD FS εσωτερικού χώρου για να διασφαλίσουμε ότι όλοι οι έλεγχοι ταυτότητας προέρχονται από AD FS.’
Σημειώνει ωστόσο ότι «τεχνικά, κάθε σύνδεση που καταγράφεται στο Azure AD θα έχει ένα αντίστοιχο συμβάν στα αρχεία καταγραφής συμβάντων ασφαλείας εσωτερικής εγκατάστασης. Ωστόσο, σε περιβάλλοντα πραγματικού κόσμου, αυτή η άσκηση δεν είναι πρακτική για τους περισσότερους οργανισμούς ».
Ευτυχώς, το έγγραφο παρέχει μια λεπτομερή περιγραφή του τρόπου αναζήτησης αρχείων καταγραφής και τι πρέπει να αναζητήσετε για να δείτε εάν ένας λογαριασμός έχει παραβιαστεί.
Όσον αφορά τα μέτρα αντιμετώπισης, η FireEye προτείνει σε γενικές γραμμές: μια ανασκόπηση όλων των λογαριασμών sysadmin, ιδίως για να διαπιστωθεί εάν υπάρχουν νέοι ή υπάρχοντες λογαριαμοί «που έχουν διαμορφωθεί ή προστεθεί σε μια συγκεκριμένη κύρια υπηρεσία» και να τα αφαιρέσετε
Η biz κυκλοφόρησε επίσης ένα δωρεάν εργαλείο στο GitHub που λέγεται Azure AD Investigator το οποίο προειδοποιεί τους οργανισμούς εάν υπάρχουν ενδείξεις ότι τα δίκτυά τους παραβιάστηκαν μέσω του backdoored λογισμικού Orion της SolarWinds. Η SolarWinds προειδοποίησε ότι εκτιμάται πως υπήρχαν 18.000 οργανισμοί δυνητικά μολυσμένοι, τον περασμένο μήνα. Πολλές από αυτές κυβερνητικές υπηρεσίες και εταιρείες Fortune 500.
Η FireEye ανέφερε επίσης ότι φαίνεται ότι οι χάκερ έδωσαν προτεραιότητα σε κυβερνητικούς αξιωματούχους και εταιρείες λογισμικού.
Με πληροφορίες από theregister.com
