blank

blank

Resumo

Autenticação multifator (MFA): Um elemento essencial de segurança cibernética
• A MFA é uma das práticas de segurança cibernética mais importantes para reduzir o risco de invasões — de acordo com pesquisas do setor, os usuários que habilitam a MFA têm até 99% menos probabilidade de ter uma conta comprometida.
• Toda organização deve aplicar a MFA para todos os funcionários e clientes, e todos os usuários devem se inscrever na MFA quando disponível.
• As organizações que implementam a MFA devem revisar as configurações padrão e modificá-las conforme necessário, para reduzir a probabilidade de um adversário sofisticado contornar esse controle.

O Federal Bureau of Investigation (FBI) e a Agência de Segurança Cibernética e Infraestrutura (CISA) estão lançando este Conselho de Segurança Cibernética (CSA) conjunto para alertar as organizações de que os atores cibernéticos patrocinados pelo estado russo obtiveram acesso à rede por meio da exploração de protocolos MFA padrão e uma vulnerabilidade conhecida . Já em maio de 2021, atores cibernéticos patrocinados pelo estado russo aproveitaram uma conta mal configurada definida para protocolos MFA padrão em uma organização não governamental (ONG), permitindo que eles registrassem um novo dispositivo para MFA e acessassem a rede da vítima. Os atores então exploraram uma vulnerabilidade crítica do Windows Print Spooler, “PrintNightmare” (CVE-2021-34527) para executar código arbitrário com privilégios de sistema. Atores cibernéticos patrocinados pelo estado russo exploraram com sucesso a vulnerabilidade enquanto visavam uma ONG usando o Duo MFA da Cisco.

Este comunicado fornece táticas, técnicas e procedimentos observados, indicadores de comprometimento (IOCs) e recomendações para proteção contra atividades cibernéticas maliciosas patrocinadas pelo Estado russo. O FBI e a CISA pedem a todas as organizações que apliquem as recomendações da seção Mitigações deste comunicado, incluindo o seguinte:

  • Aplique a MFA e revise as políticas de configuração para proteção contra cenários de “falha aberta” e reinscrição.
  • Certifique-se de que as contas inativas sejam desabilitadas uniformemente nos sistemas Active Directory e MFA.
  • Corrija todos os sistemas. Priorize a correção de vulnerabilidades exploradas conhecidas.

Para obter mais informações gerais sobre a atividade cibernética maliciosa patrocinada pelo Estado russo, consulte a página da CISA na Web Visão geral e conselhos sobre ameaças cibernéticas na Rússia . Para obter mais informações sobre a ameaça de agentes cibernéticos maliciosos patrocinados pelo Estado russo para a infraestrutura crítica dos EUA, bem como recomendações adicionais de mitigação, consulte a página de orientação técnica Shields Up da CISA .

Clique aqui para uma versão em PDF deste relatório.

Para obter uma cópia para download dos IOCs, consulte AA22-074A.stix.

 

Detalhes técnicos

Atividade do ator de ameaça

Observação: este comunicado usa a estrutura MITRE ATT&CK® for Enterprise, versão 10. Consulte o Apêndice A para obter uma tabela das atividades dos agentes de ameaças mapeadas para as táticas e técnicas do MITRE ATT&CK.

Já em maio de 2021, o FBI observou cibercriminosos patrocinados pelo Estado russo obterem acesso a uma ONG, explorarem uma falha nos protocolos MFA padrão e se moverem lateralmente para o ambiente de nuvem da ONG.

Atores cibernéticos patrocinados pelo estado russo obtiveram acesso inicial [ TA0001 ] à organização da vítima por meio de credenciais comprometidas [ T1078 ] e registrando um novo dispositivo no Duo MFA da organização. Os atores obtiveram as credenciais [ TA0006 ] por meio de ataque de adivinhação de senha de força bruta [ T1110.001], permitindo que eles acessem a conta da vítima com uma senha simples e previsível. A conta da vítima foi cancelada no Duo devido a um longo período de inatividade, mas não foi desativada no Active Directory. Como as configurações padrão do Duo permitem a reinscrição de um novo dispositivo para contas inativas, os atores puderam registrar um novo dispositivo para essa conta, preencher os requisitos de autenticação e obter acesso à rede da vítima.

Usando a conta comprometida, os cibercriminosos patrocinados pelo estado russo realizaram o escalonamento de privilégios [ TA0004 ] por meio da exploração da vulnerabilidade “PrintNightmare” ( CVE-2021-34527 ) [ T1068 ] para obter privilégios de administrador. Os atores também modificaram um arquivo do controlador de domínio, c:\windows\system32\drivers\etc\hosts, redirecionando as chamadas do Duo MFA para localhosto servidor Duo [ T1556 ]. Essa alteração impediu que o serviço MFA entrasse em contato com seu servidor para validar o login do MFA – isso efetivamente desabilitava o MFA para contas de domínio ativas porque a política padrão do Duo para Windows é “Falha aberta” se o servidor MFA estiver inacessível. Nota: “fail open” pode acontecer com qualquer implementação de MFA e não é exclusivo do Duo.

Depois de desabilitar efetivamente a MFA, os atores cibernéticos patrocinados pelo estado russo conseguiram se autenticar com sucesso na rede privada virtual (VPN) da vítima como usuários não administradores e fazer conexões Remote Desktop Protocol (RDP) aos controladores de domínio do Windows [ T1133 ]. Os atores executaram comandos para obter credenciais para contas de domínio adicionais; em seguida, usando o método descrito no parágrafo anterior, alterou o arquivo de configuração do MFA e ignorou o MFA para essas contas recém-comprometidas. Os atores aproveitaram principalmente utilitários internos do Windows já presentes na rede da vítima para realizar essa atividade.

Usando essas contas comprometidas sem a aplicação de MFA, os atores cibernéticos patrocinados pelo estado russo conseguiram se mover lateralmente [ TA0008 ] para o armazenamento em nuvem e as contas de e-mail da vítima e acessar o conteúdo desejado.

Indicadores de Compromisso

Atores cibernéticos patrocinados pelo Estado russo executaram os seguintes processos:

  • ping.exe– Um processo central do sistema operacional Windows usado para executar o comando Transmission Control Protocol (TCP)/IP Ping; usado para testar a conectividade de rede com um host remoto [ T1018 ] e é frequentemente usado por atores para descoberta de rede [ TA0007 ].
  • regedit.exe– Um arquivo executável padrão do Windows que abre o editor de registro interno [ T1112 ].
  • rar.exe– Uma ferramenta de compressão, criptografia e arquivamento de dados [ T1560.001 ]. Atores cibernéticos maliciosos tradicionalmente procuram comprometer os protocolos de segurança da MFA, pois isso forneceria acesso a contas ou informações de interesse.
  • ntdsutil.exe– Uma ferramenta de linha de comando que fornece recursos de gerenciamento para os Serviços de Domínio Active Directory. É possível que essa ferramenta tenha sido usada para enumerar contas de usuário do Active Directory [ T1003.003 ].

Os atores modificaram o arquivo c:\windows\system32\drivers\etc\hosts para impedir a comunicação com o servidor Duo MFA:

  • 127.0.0.1 api-<redacted>.duosecurity.com 

Os seguintes endereços IP de dispositivos de acesso usados ​​pelos atores foram identificados até o momento:

  • 45.32.137[.]94
  • 191.96.121[.]162
  • 173.239.198[.]46
  • 157.230.81[.]39 

Mitigações

O FBI e a CISA recomendam que as organizações permaneçam cientes da ameaça de agentes cibernéticos patrocinados pelo Estado que exploram protocolos MFA padrão e exfiltram informações confidenciais. As organizações devem:

  • Aplique a MFA para todos os usuários, sem exceção. Antes de implementar, as organizações devem revisar as políticas de configuração para proteção contra cenários de “falha aberta” e reinscrição.
  • Implemente recursos de tempo limite e bloqueio em resposta a repetidas tentativas de login com falha.
  • Certifique-se de que as contas inativas sejam desabilitadas uniformemente no Active Directory, sistemas MFA, etc.
  • Atualize o software, incluindo sistemas operacionais, aplicativos e firmware em ativos de rede de TI em tempo hábil. Priorize a correção de vulnerabilidades exploradas conhecidas, especialmente vulnerabilidades críticas e altas que permitem a execução remota de código ou negação de serviço em equipamentos voltados para a Internet.
  • Exija que todas as contas com logins de senha (por exemplo, conta de serviço, contas de administrador e contas de administrador de domínio) tenham senhas fortes e exclusivas. As senhas não devem ser reutilizadas em várias contas ou armazenadas no sistema onde um adversário possa ter acesso.
  • Monitore continuamente os logs de rede em busca de atividades suspeitas e tentativas de login não autorizadas ou incomuns.
  • Implemente políticas de alerta de segurança para todas as alterações em contas/grupos habilitados para segurança e alerte sobre eventos suspeitos de criação de processos ( ntdsutilrarregedit, etc.).

Observação: se houver suspeita de comprometimento do controlador de domínio, uma redefinição de senha em todo o domínio — incluindo contas de serviço, contas de sincronização do Microsoft 365 (M365) e — krbtgtserá necessária para remover o acesso dos atores. (Para obter mais informações, consulte https://docs.microsoft.com/en-us/answers/questions/87978/reset-krbtgt-password.html). Considere solicitar suporte de uma organização de TI terceirizada para fornecer experiência no assunto, garantir que o ator seja erradicado da rede e evitar problemas residuais que possam permitir a exploração subsequente.  

O FBI e a CISA também recomendam que as organizações implementem as recomendações listadas abaixo para reduzir ainda mais o risco de atividade cibernética maliciosa.

Práticas recomendadas de segurança

  • Implante a solução de senha do administrador local (LAPS), imponha a assinatura do bloco de mensagens do servidor (SMB), restrinja os privilégios administrativos (usuários, grupos de administradores locais, etc.) e revise materiais confidenciais no SYSVOLcompartilhamento do controlador de domínio.
  • Habilite políticas de log aprimoradas, imponha o log do PowerShell e garanta que a detecção e resposta de antivírus/endpoint (EDR) seja implantada em todos os endpoints e habilitada.
  • Verifique rotineiramente se não ocorreram modificações não autorizadas do sistema, como contas adicionais e chaves Secure Shell (SSH), para ajudar a detectar um comprometimento. Para detectar essas modificações, os administradores podem usar um software de monitoramento de integridade de arquivos que alerta um administrador ou bloqueia alterações não autorizadas no sistema.

Práticas recomendadas de rede

  • Monitore os logs de acesso remoto/RDP e desative as portas de acesso remoto/RDP não utilizadas.
  • Negue atividades de entrada atípicas de serviços de anonimização conhecidos, para incluir serviços VPN comerciais e The Onion Router (TOR).
  • Implemente políticas de listagem para aplicativos e acesso remoto que só permitem que os sistemas executem programas conhecidos e permitidos sob uma política de segurança estabelecida.
  • Audite regularmente contas de usuários administrativos e configure o controle de acesso sob o conceito de privilégio mínimo.
  • Faça auditoria regularmente nos logs para garantir que as novas contas sejam usuários legítimos.
  • Escaneie as redes para portas abertas e de escuta e mediar aquelas que são desnecessárias.
  • Mantenha registros históricos de atividade de rede por pelo menos 180 dias, em caso de suspeita de comprometimento.
  • Identifique e crie backups offline para ativos críticos.
  • Implementar segmentação de rede.
  • Atualize automaticamente as soluções antivírus e antimalware e realize verificações regulares de vírus e malware.

Práticas recomendadas para ambiente de trabalho remoto

Com o aumento dos ambientes de trabalho remoto e o uso de serviços VPN, o FBI e a CISA incentivam as organizações a implementar as seguintes práticas recomendadas para melhorar a segurança da rede:

  • Atualize regularmente VPNs, dispositivos de infraestrutura de rede e dispositivos usados ​​para ambientes de trabalho remotos com os mais recentes patches de software e configurações de segurança.
  • Quando possível, implemente a autenticação multifator em todas as conexões VPN. Os tokens de segurança físicos são a forma mais segura de MFA, seguidos pelos aplicativos autenticadores. Quando a MFA não estiver disponível, exija que os funcionários envolvidos no trabalho remoto usem senhas fortes.
  • Monitore o tráfego de rede para protocolos não aprovados e inesperados.
  • Reduza as possíveis superfícies de ataque descontinuando os servidores VPN não utilizados que podem ser usados ​​como ponto de entrada para invasores.

Práticas recomendadas de conscientização do usuário

Atores cibernéticos frequentemente usam métodos não sofisticados para obter acesso inicial, que muitas vezes pode ser mitigado por uma maior conscientização dos funcionários sobre indicadores de atividade maliciosa. O FBI e a CISA recomendam as seguintes práticas recomendadas para melhorar a segurança das operações dos funcionários ao realizar negócios:

  • Fornecer conscientização e treinamento do usuário final. Para ajudar a evitar fraudes direcionadas de engenharia social e spearphishing, certifique-se de que funcionários e partes interessadas estejam cientes de possíveis ameaças cibernéticas e métodos de entrega. Além disso, forneça aos usuários treinamento sobre princípios e técnicas de segurança da informação.
  • Informe os funcionários sobre os riscos associados à publicação de informações detalhadas sobre carreira em sites de redes sociais ou profissionais.
  • Garanta que os funcionários estejam cientes do que fazer e com quem entrar em contato quando virem atividades suspeitas ou suspeitarem de um ataque cibernético, para ajudar a identificar ameaças com rapidez e eficiência e empregar estratégias de mitigação.

Informação solicitada

Todas as organizações devem relatar incidentes e atividades anômalas ao FBI por meio do escritório de campo local do FBI ou do CyWatch 24/7 do FBI em (855) 292-3937 ou [email protected] e/ou Centro de Operações 24/7 da CISA em [email protected] ou (888) 282-0870.

APÊNDICE A: Táticas e Técnicas do Ator de Ameaça

Consulte a tabela 1 para ver as táticas e técnicas dos agentes de ameaças identificadas neste CSA. Consulte o ATT&CK for Enterprise para todas as táticas e técnicas de agentes de ameaças referenciadas.

Tabela 1: Táticas e técnicas do ator de ameaça MITRE ATT&CK

Tática Técnica
Acesso inicial [ TA0001 ] Contas válidas [ T1078 ]
Persistência [ TA0003 ] Serviços Remotos Externos [ T1133 ]
Modificar processo de autenticação [ T1556 ]
Escalação de privilégios [ TA0004 ] Exploração para escalonamento de privilégios
T1068 ]
Evasão de Defesa [ TA0005 ] Modificar Registro [ T1112 ]
Acesso de credencial [ TA0006 ] Força Bruta: Adivinhando Senha [ T1110.001 ]
Despejo de credenciais do SO: NTDS [ T1003.003 ]
Descoberta [ TA0007 ] Descoberta Remota do Sistema [ T1018 ]
Movimento Lateral [ TA0008 ]
Coleta [ TA0009 ] Arquivar Dados Coletados: Arquivar via Utilitário [ T1560.001 ]

Baixe os IOCs

Revisões

15 de março de 2022: Versão inicial

 

Fonte: CISA

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor