Cybersecurity-Experten haben in den letzten Monaten schnell auf die Details des LastPass-Verletzung reagiert. Es wurden Meinungsbeiträge veröffentlicht, die sich sowohl mit den kritischen Abhilfemaßnahmen für Kunden befassten als auch verdiente Kritik an der Kommunikation des Vorfalls übten. Im öffentlichen Diskurs fehlte eine Diskussion über die Indikatoren, die sich aus den verschiedenen LastPass-Kommunikationen ableiten lassen. In diesem Blog versuche ich, die Informationen in den LastPass-Mitteilungen zu umreißen und die Angreiferindikatoren aufzuzählen, während ich die Diskussion um die Schmerzpyramide herum einordne.
Dieser Beitrag soll sich eng an den Ratschlag des Autors der Schmerzpyramide, David Bianco, anlehnen: "Wann immer Sie neue Informationen über einen Gegner erhalten (sei es APT1/Comment Crew oder ein anderer Bedrohungsakteur), überprüfen Sie diese sorgfältig anhand der Schmerzpyramide. Fragen Sie sich bei jedem Absatz: 'Gibt es hier etwas, das ich verwenden kann, um die Aktivitäten des Gegners zu erkennen, und wo in der Pyramide liegt das?'"
Die Pyramide des Schmerzes für Cloud Indikatoren
Die Schmerzpyramide ist ein konzeptionelles Modell zur Klassifizierung der Wirksamkeit von detektivischen Kontrollen. Erstmals von David Bianco im Jahr 2013 beschrieben, bezieht sich der "Schmerz" auf den Schmerz, den eine detektivische Kontrolle dem Gegner zufügt. Je weiter man sich in der Pyramide nach oben bewegt, desto größer ist der Schmerz, den ein Angreifer empfindet, wenn er sich an die detektivischen Fähigkeiten des Verteidigers anpasst und diesen zwangsläufig ausweicht. Die Schmerzpyramide trägt der Tatsache Rechnung, dass nicht alle Indikatoren für eine Kompromittierung (und damit auch nicht alle Detektivfähigkeiten) gleich sind. Einige Indikatoren sind für einen Angreifer leicht zu ändern und zu umgehen, während andere Verhaltensweisen für das erklärte Ziel von zentraler Bedeutung sind und nicht so leicht geändert werden können.
Am unteren Ende der Pyramide stehen einfache Indikatoren wie IP-Adressen und Hash-Werte. Dazu gehören cloud Erkennungen, die auf der IP-Quelladresse oder der Signatur des Angriffstools basieren. Für Verteidiger mag es eine gewisse Erleichterung darstellen, wenn sie Erkennungen einsetzen, die auf Indikatoren am unteren Ende der Schmerzpyramide abzielen, sie sollten sich jedoch der Einfachheit der Umgehung bewusst sein.
An der Spitze der Schmerzpyramide stehen Indikatoren, die für die Art und Weise, wie ein Angreifer seine Ziele erreicht, von grundlegender Bedeutung sind. Dabei handelt es sich um Taktiken, Techniken und Verfahren (TTPs), die für den Angreifer entweder schwer oder gar nicht zu ändern sind. Stellen Sie sich eine Erkennungssuite vor, die Fingerabdrücke der API-Aufrufe bei der Übertragung von Daten aus einer vertrauenswürdigen cloud Umgebung erstellt. Dieser Indikator wäre für einen Angreifer nicht veränderbar, es sei denn, er könnte unbekannte und nicht dokumentierte Mechanismen des Anbieters cloud für die Datenübertragung nutzen.
In der Mitte befinden sich Indikatoren, die ein Angreifer mit einiger Mühe verändern oder vermeiden könnte. Bei der Analyse von cloud umfasst diese Ebene Ereignismuster, die auf eine erste Kompromittierung hinweisen. Die Entdeckung und Aufzählung einer cloud Umgebung erfolgt am einfachsten durch die direkte Abfrage von cloud APIs und hinterlässt eine Spur von Indikatoren auf der cloud Kontrollebene. Diese Indikatoren können jedoch vermieden werden, und stattdessen können die gleichen Informationen durch Open-Source-Intelligence oder das Sammeln von Informationen aus der internen Dokumentation gewonnen werden.
LastPass Kommunikation Intel
Lassen Sie uns die Informationen aus den öffentlichen LastPass-Mitteilungen herauskitzeln - mit besonderem Augenmerk auf die Indikatoren der Angreifer, die es auf die von cloud gehosteten Daten abgesehen haben. Obwohl diese Mitteilungen zahlreiche interessante Informationen über die Schutz- und Verteidigungsmaßnahmen von LastPass enthalten, konzentriert sich dieser Beitrag darauf, die möglichen Verhaltensweisen des Angreifers aufzuzeigen.
1. Vorfall: Es wurden Quellcode-Repositories und technische Dokumentation gestohlen.
"Der Bedrohungsakteur nutzte VPN-Dienste von Drittanbietern, um den Ursprung seiner Aktivitäten beim Zugriff auf die cloud-basierte Entwicklungsumgebung zu verschleiern, und nutzte seinen Zugang, um sich als Softwareentwickler auszugeben. Auf diese Weise konnten sie sich über unser Unternehmens-VPN in die On-Demand-Entwicklungsumgebung einschleusen und eine spezielle Verbindung zur cloud-basierten Entwicklungsumgebung herstellen. Dabei verließen sie sich auf die erfolgreiche Authentifizierung des Softwareingenieurs mit Domänenanmeldeinformationen und MFA. Eine Privilegienerweiterung wurde nicht festgestellt und war auch nicht erforderlich."
- Dies deutet darauf hin, dass die cloud-basierte Entwicklungsumgebung über eine hybride Konnektivität verfügte und für domänenauthentifizierte Benutzer innerhalb des IP-Bereichs des Unternehmens verfügbar war.
- Jegliche Detektivkontrollen, die auf ungewöhnliche oder bekannt schlechte IP-Adressen abzielen, hätten den Bedrohungsakteur, der das Unternehmens-VPN benutzt, wahrscheinlich übersehen, wenn er von der endpoint des Softwareingenieurs ausgegangen wäre. Wenn die Verbindung jedoch nicht außerhalb des Arbeitsplatzes hergestellt wurde, hätten Kontrollen eingerichtet werden können, um eine ungewöhnliche VPN-Verbindung zu verhindern oder zu erkennen.
2. Vorfall: Es wurden Backups von Kundentresoren mit verschlüsselten und unverschlüsselten Daten, Einmalpasswörtern und API-Geheimnissen gestohlen, die in Integrationen von Drittanbietern verwendet wurden.
"Aufgrund der Sicherheitskontrollen zum Schutz und zur Sicherung der LastPass-Produktionsinstallationen in den Rechenzentren vor Ort hatte es der Bedrohungsakteur auf einen der vier DevOps-Ingenieure abgesehen, der Zugang zu den Entschlüsselungsschlüsseln hatte, die für den Zugriff auf den Speicherdienst cloud benötigt wurden."
- Die Autoren des Berichts scheinen darauf hinzuweisen, dass die Bedrohung auf Daten abzielt, die auf cloud gespeichert sind, und nicht auf die Daten vor Ort, weil dort die Sicherheitskontrollen weniger robust sind.
"Insbesondere war der Bedrohungsakteur in der Lage, gültige Anmeldeinformationen zu nutzen, die von einem leitenden DevOps-Ingenieur gestohlen wurden, um auf eine gemeinsam genutzte cloud-Speicherumgebung zuzugreifen, was es den Ermittlern zunächst schwer machte, zwischen den Aktivitäten des Bedrohungsakteurs und den laufenden legitimen Aktivitäten zu unterscheiden.
"Für den Zugriff auf die cloud-basierten Speicherressourcen - insbesondere S3-Bucket.....Die verschlüsselten cloud-basierten Speicherdienste beherbergen Backups von LastPass-Kunden- und verschlüsselten Tresordaten."
- Aus diesen Sätzen lässt sich ableiten, dass der Angreifer mit gültigen, gestohlenen Anmeldeinformationen auf AWS S3-Objekte zugegriffen hat.
"Um auf die cloud-basierten Speicherressourcen zuzugreifen - insbesondere auf S3-Buckets, die entweder mit AWS S3-SSE-Verschlüsselung, AWS S3-KMS-Verschlüsselung oder AWS S3-SSE-C-Verschlüsselung geschützt sind - musste der Bedrohungsakteur AWS-Zugangsschlüssel und die von LastPass generierten Entschlüsselungsschlüssel erhalten."
- Wenn ein AWS-Zugangsschlüssel für den Zugriff auf cloud-basierte Speicherressourcen erforderlich war und dieser Zugriff letztendlich erfolgreich war, können wir daraus schließen, dass ein IAM-Benutzer kompromittiert und für den Zugriff auf die in S3 gespeicherten Objekte genutzt wurde, da er der einzige IAM-Prinzipal ist, dem Zugangsschlüssel zugewiesen werden können.
- Da es sich bei den Daten, auf die zugegriffen wurde, um cloud - Backups handelte, können wir davon ausgehen, dass die kompromittierte Identität dazu gedacht war, bei Notfallwiederherstellungsszenarien genutzt zu werden.
".....Der Bedrohungsakteur nutzte eine Schwachstelle in der Software eines Drittanbieters aus, umging bestehende Kontrollen und hatte schließlich Zugriff auf nicht produktive Entwicklungs- und Backup-Speicherumgebungen.4"
- LastPass bestätigt, dass der Angreifer auf Sicherungsdaten zugegriffen hat , die in früheren Mitteilungen als in AWS S3 gespeichert gemeldet wurden. Wir können diese Informationen nutzen, um mögliche Indikatoren für eine Kompromittierung zu diskutieren, die ein Angreifer hinterlassen könnte.
LastPass-Verletzung: Cloud Möglichkeiten der Erkennung und Reaktion
In Anbetracht dessen, was wir über den Wert verschiedener Indikatoren wissen, wie können wir die möglichen Indikatoren des LastPass-Verstoßes auf der Schmerzpyramide abbilden?
Relativ 'schmerzlose' Indikatoren
Diese Indikatoren sind für einen Angreifer leicht zu umgehen, führen in der Regel zu sehr zuverlässigen True-Positive-Erkennungen, werden aber wahrscheinlich nicht rechtzeitig von einem Sicherheitsteam bearbeitet, da sie in der Regel keine Auswirkungen auf die Ressourcen von cloud zeigen.
- Cloud API-Zugang von ungewöhnlichen Orten aus, was zur Entdeckung von unwahrscheinlichen Reisen führt.
→ Es ist unwahrscheinlich, dass der erste Vorfall entdeckt worden wäre, wenn man nach diesem Indikator gesucht hätte, aber es ist möglich, dass der zweite Vorfall einige Signale erzeugt hat.
Mid-Pyramid-Indikatoren
Ein Angreifer könnte die Verwendung dieser Indikatoren nur schwer vermeiden, aber es ist dennoch unwahrscheinlich, dass ein Sicherheitsteam rechtzeitig eingreift, da sie in der Regel keine Auswirkungen auf die Ressourcen von cloud zeigen.
- Aufklärungsaktivitäten
→ Nachdem der Angreifer Zugang zu gültigen Anmeldeinformationen erhalten hatte, nutzte er möglicherweise die APIs von cloud , um seine Berechtigungen aufzulisten und/oder die S3-Objekte aufzulisten und zu beschreiben. Beim ersten Vorfall wurde jedoch eine große Menge an technischer Dokumentation gestohlen. Es ist durchaus möglich, dass alle erforderlichen Informationen in dieser Dokumentation enthalten waren und der Angreifer keine weiteren Erkundungsaktivitäten auf cloud durchführen musste.
Top-Pyramide-Indikatoren
Der Bedrohungsakteur wäre nicht in der Lage, das Hinterlassen dieser Indikatoren zu vermeiden und trotzdem seine Ziele wie die Datenexfiltration zu erreichen. Um diese Indikatoren zu ändern, um eine Entdeckung zu vermeiden, müsste eine unbekannte API oder Technik verwendet werden. Erkennungen, die sich auf diese Indikatoren stützen, werden wahrscheinlich schnell die Aufmerksamkeit eines Sicherheitsteams erregen.
- Verschiebung von S3-Objekten an verdächtige Ziele
→ Daten wurden von autorisierten cloud-gehosteten Datenspeichern an von Angreifern kontrollierte Orte verschoben. Diese Übertragung bietet die Möglichkeit, die Verschiebung von Daten an unbekannte, nicht vertrauenswürdige oder externe Speicherorte zu erkennen.
- Zugriff auf große Mengen von S3-Objekten
→ Aus der LastPass-Kommunikation können wir schließen, dass große Datenmengen unter Ausnutzung der Geschwindigkeit und des Umfangs der AWS Cloud APIs übertragen wurden. Der Zugriff auf ein großes Datenvolumen ist ein Indikator, der an der Spitze der Schmerzpyramide steht und ein Signal zur Erkennung verdächtiger Datenabrufe ist.
Es gibt mehrere Indikatoren für eine Kompromittierung, die sich aus dem LastPass-Verletzungsfall ableiten und allen Ebenen der Schmerzpyramide zuordnen lassen. Obwohl die Erkennung auf allen Ebenen von Nutzen ist, ist es wichtig zu erkennen, dass Ihre Erfahrungen variieren können. Die Erkennung des Zugriffs auf cloud von unbekannten oder nicht vertrauenswürdigen Quell-IP-Adressen wird für einen Angreifer trivial zu umgehen sein, während die Erkennung der TTPs verdächtiger Datenbewegungen und Datenzugriffe wahrscheinlich eine bewährte Erkennungsmethode darstellt.