Wie ich einen Space Shuttle-Start gehackt habe — und erwischt wurde
Hallo und willkommen zur ersten Hacker Nemesis Blog-Serie!
Ich bin Paul Dant, und ich leite die Cybersicherheitsforschungsgruppe von Illumio im Büro des CTO. Wir sind ein Team von lebenslangen Hackern und erfahrenen Sicherheitsexperten mit jahrzehntelanger Cyber-Erfahrung, die als Verteidiger und Angreifer agieren.
Warum der Name Hacker Nemesis für die Blogserie? Verbindet die Punkte zwischen Funktionen von Illumio und unsere Kunden Onlinesicherheit Bedürfnisse sind unsere Hauptaufgabe, insbesondere in Bezug auf Cyber-Resilienz. Mit anderen Worten, wir machen es Hackern schwerer, Sie zu hacken und Geld von Ihnen zu erpressen. Was sie absolut hassen. ERZFEIND!
In den nächsten Beiträgen untersuche ich eine universelle Wahrheit, die erklärt, warum wir im Cyberbereich immer noch verlieren: Alles hat sich geändert, aber nichts hat sich geändert! Ich habe Jahrzehnte damit verbracht, alles zu hacken, von Spielen über Filmproduktionen mit Zeltstangen bis hin zu Kernenergieanlagen — alles ziemlich erfolgreich — und ich werde hier über einige dieser Angriffe sprechen.
Die Muster, die Sie schnell identifizieren werden, lauten wie folgt:
- Hacker sind keine Zauberei.
- Diese Angriffe sind viel einfacher als sie aussehen.
- Angreifer leben vom Land: Sobald das Betriebssystem im Netzwerk ist, bietet es so ziemlich alles, was Sie brauchen, um Ihren Tag wirklich durcheinander zu bringen.
Das Playbook für Ransomware-Angriffe ist Jahrzehnte alt.
Ein Hinweis zur Cyber-Resilienz
Cyber-Resilienz ist mehr als das Überleben eines Angriffs.
Wenn wir uns die allgegenwärtige Zero-Trust-Theologie ansehen, sagt sie uns, dass wir akzeptieren müssen, dass ein Angreifer — irgendwann, wenn nicht bereits — das Netzwerk infiltriert. „Gehen Sie von einem Verstoß aus“ lautet die spezifische Formulierung, und ich unterstütze diesen Grundsatz nachdrücklich.
Wenn bei einem Angriff 80 Prozent Ihrer kritischen Server gesperrt sind und der Betrieb zum Erliegen kommt, Sie sich aber 48 Stunden später vom Backup erholt haben? Sie haben überlebt, aber das ist kaum Resilienz. Was haben 48 Stunden Ausfallzeit gekostet?
Wenn Sie belastbar sind, gibt es keine Ausfallzeiten. Wenn die unvermeidliche Netzwerkinfiltration passiert, ist sie so stark auf ein einziges kompromittiertes System beschränkt, dass der Angreifer zu einem leichteren Ziel mit einem günstigeren Risiko-Rendite-Ergebnis übergeht. Mit anderen Worten Eindämmung von Verstößen. Stellen Sie sicher, dass das erste kompromittierte System — sozusagen der „erste Kompromiss“ — das letzte kompromittierte System ist. Leichter gesagt als getan, oder?
Falls es eine tldr gibt; für diesen Artikel ist es dieser: Der Schlüssel zur Verhinderung erfolgreicher Ransomware-Angriffe ist Sichtbarkeit und Kontrolle unbefugter seitlicher Bewegungen. Überall.
Sie werden nicht jeden Infiltrationsversuch stoppen, aber Sie können Ihr Risiko, zu sagen: „Bezahlen wir sie?“ drastisch reduzieren. Entscheidung, indem Sie den Angreifern die Möglichkeit nehmen, weiter in Ihr Netzwerk einzudringen.
Ja, lassen Sie uns zunächst versuchen, sie vom Netzwerk fernzuhalten; das ist eine Selbstverständlichkeit und genau darum geht es bei „Defense in Deep“. Perimeterschutz, Endpunktschutz, Netzwerkschutz — sie alle spielen ihre entsprechende Rolle in einer mehrschichtigen Verteidigung, die auch ausgleichende Kontrollen für den Fall umfassen muss, dass einige oder alle dieser Schutzmaßnahmen ausfallen.
Ich war Zero Cool-ish
Da dies der erste Beitrag der Serie ist, warum gehen wir nicht zurück zu meinem ersten Exploit im Jahr 1991, um zu sehen, wie Angreifer immer noch dieselben alten Tricks anwenden, die ich als Kinderhacker benutzt habe?
Wenn ich auf die Hackergeschichte zurückblicke, Null cool schaffte es, 1.507 Systeme abzuschalten. Ich habe es bei meinem ersten Angriff zwar nur etwa 47 geschafft, aber das ist immer noch eine beachtliche Leistung, wenn man bedenkt, dass ich das geschafft habe, bevor wir überhaupt von Zero Cool gehört hatten.
Mein erster Angriff — auch der zerstörerischste meiner Black-Hat-Tage — zielte auf eine simulierte Space-Shuttle-Mission ab, und die vollständige Störung war mein primäres (und einziges) Ziel.
Spoiler-Alarm: Ich habe gewonnen. Aber ich wurde auch erwischt, als ich einen kritischen Aspekt des Hackens hervorhob, der die sogenannten Script-Kiddies von den großartig genannten 1337 Hax0rs unterscheidet: Man kann nicht damit prahlen, ein Hacker zu sein, wenn man erwischt wird. Umgekehrt hat es mich auch gelehrt, dass man tatsächlich erwischt wird, wenn man damit prahlt, ein Hacker zu sein.
Bevor wir diesen Angriff analysieren, sollten wir den richtigen Kontext festlegen. Bei der fraglichen simulierten Space-Shuttle-Mission handelte es sich um ein wissenschaftliches Projekt, an dem meine siebte Klasse teilnahm. Es beinhaltete den Bau eines Shuttles, eine speziell ausgewählte Schülerbesatzung, die fast zwei volle Tage damit verbringen sollte, das Shuttle zu bemannen, und ein freiwilliges Bodenpersonal im provisorischen Kontrollzentrum (normalerweise im naturwissenschaftlichen Klassenzimmer).
Und was treibt all das an? Computer! Insbesondere einige Dutzend IBM PS/2, auf denen Novell NetWare-Clients über IPX/SPX in einem Token-Ring-Netzwerk ausgeführt werden. Es war eine brillante, innovative Veranstaltung, an der ich teilnehmen wollte und an der ich mich als Computerbeauftragter der Crew beworben habe. Unerklärlicherweise wurde ich nicht ausgewählt!
Die Entscheidung des Auswahlausschusses war eindeutig inakzeptabel, und sie müssten zahlen. Meine Rache wäre zweifach. Erstens wird es für einen zwölfjährigen Hacker, der einen Groll hegt, wirklich befriedigend sein, die Shuttle-Mission für alle anderen zu ruinieren. Genauso wichtig ist es jedoch, dass sie lernen, Paul Dant nie wieder zu übersehen. Was für einen dummen Fehler sie gemacht haben.
Bevor wir diesen Angriff analysieren, schauen wir uns ein wichtiges Tool an, um das „Wie“ und „Warum“ des Verhaltens von Angreifern zu verstehen.
Das MITRE ATT&CK-Framework
Um den typischen Verlauf eines Angriffs zu demonstrieren, ist das ATT&CK Framework von entscheidender Bedeutung, entwickelt und verwaltet von MITRA. Wenn Sie damit nicht vertraut sind, empfehle ich dringend, es sich anzusehen, da Sie feststellen werden, dass es häufig bei der Ausarbeitung von Angriffsmethoden verwendet wird.
Die folgende Abbildung zeigt eine übersichtliche Darstellung der typischen Phasen eines Conti-Ransomware-Angriffs. Die Conti-Ransomware-Gruppe gibt es nicht mehr, aber ihre Methodik lebt in den Conti-Ablegergruppen weiter. Tatsächlich werden Sie feststellen, dass die meisten Ransomware-Angriffe, unabhängig von der Gruppe, die dahinter steckt, dieser allgemeinen Karte folgen.
So liest man es:
- Die oberste Zeile, von links nach rechts, steht für Taktik. Stellen Sie sich jede Taktik als eine Weiterentwicklung des Angriffs zu den Endzielen vor, was bedeutet, dass der Angriff durch ein Versagen (oder Fehlen) der Kontrollen voranschreiten konnte.
- In jeder Taktikspalte haben wir die Techniken wird verwendet, um den Angriff zur nächsten Phase oder Taktik zu bringen. Techniken stellen die verwendeten spezifischen Angriffsmechanismen dar. Wenn wir sie verstehen, können wir Risiken besser formulieren und geeignete Kontrollen festlegen — auch, wie viel diese Kontrollen kosten sollten!
Die Shuttle-Mission wird beendet
Die Pläne, die ich für diesen Angriff entworfen habe, sahen zwar nicht ganz so scharf aus wie eine MITRE ATT&CK-Map, aber ich garantiere, dass ich sie hatte und sie sahen ungefähr so aus.
Aber hier ist die Wendung: Wenn ich die Taktiken und Techniken meines Space-Shuttle-Angriffs dem ATT&CK-Framework zuordnen würde, würde es wahrscheinlich ungefähr so aussehen:
Ja, das ist das richtige Bild - das, das wir uns gerade angesehen haben. Warum? Weil diese Playbooks für Ransomware-Angriffe Jahrzehnte zurückreichen!
Ich habe mich intensiv mit diesen Taktiken und Techniken beschäftigt, bevor ich den Begriff ‚Äúhacking' überhaupt gehört habe, weil er einfach intuitiv ist, was das ATT&CK-Framework so wertvoll macht.
Aufruf zum Handeln!
In meinem nächsten Beitrag werde ich anfangen, mich mit den einzelnen Taktiken und Techniken zu befassen, die ich verwendet habe, und du wirst sehen, wie kleine Dinge sich geändert haben, wo es wirklich, wirklich zählt: unsere Fähigkeit zu sehen und Kontrolle der Ausbreitung von Ransomware und Sicherheitslücken im gesamten Netzwerk!
Wie gut finden Sie in der Zwischenzeit die Fähigkeit eines Infiltrators, sich unentdeckt in Ihrem Netzwerk zu bewegen? In so vielen Fällen ist das erste Anzeichen eines Eindringens das neue Desktop-Hintergrundbild auf Ihren Systemen, nachdem es durch Ransomware unbrauchbar geworden ist.
Bis zu diesem Moment ist so viel passiert, alles unentdeckt und alles völlig vermeidbar mit Illumio Zero Trust-Segmentierung.
Illumio kann Ihnen helfen, nicht das nächste Opfer einer Cyberkatastrophe in den Nachrichten zu werden. Nehmen Sie Kontakt auf und lerne wie!