サイバー犯罪者の XNUMX 日
親愛なる友よ、再び破れ口へ!
ポール・ダックリンが語る ピーター・マッケンジー、ソフォスのインシデント対応担当ディレクターによるサイバーセキュリティ セッションで、皆さんに警鐘を鳴らし、楽しませ、教育します。
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
【ミュージックモデム】
ポール・ダックリン。 Naked Security ポッドキャストへようこそ。
このエピソードは、今年の セキュリティ SOS ウィーク セッション。
ソフォスのインシデント レスポンス担当ディレクターである Peter Mackenzie にお話を伺いました。
現在、彼と彼のチームは、米国海兵隊と英国海軍特殊艇サービスのクロスのようなものです。
彼らは、天使が足を踏み入れるのを恐れる場所、つまりすでに攻撃を受けているネットワークに侵入し、物事を整理します。
このエピソードはもともとストリーミング用のビデオ形式で提供されていたため、音質は良くありませんが、コンテンツが興味深く、重要で、有益であり、すべてが同等であることに同意していただけると思います.
[モールス信号]
[ロボットの声: ソフォス セキュリティ SOS]
アヒル。 今日のトピックは次のとおりです。 インシデント対応 – サイバー脅威対応者の XNUMX 日.
今日のゲストはピーター・マッケンジーです。
Peter は、ソフォスのインシデント レスポンス担当ディレクターです。
ピーター・マッケンジー。 はい。
アヒル。 それで、ピーター…「サイバーセキュリティのインシデント対応」です。
それが通常何を伴うのか、そしてなぜ(残念ながら)頻繁に呼び出される必要があるのかを教えてください.
ピーター。 通常、私たちは攻撃の直後か攻撃がまだ展開している間に連れてこられます。
私たちは多くのランサムウェアを扱っており、被害者は何が起こったのかを理解するための助けを必要としています.
攻撃者はどのようにして侵入したのですか?
彼らはどのように彼らがしたことをしましたか?
彼らは何かを盗みましたか?
また、できるだけ早く安全に通常の運用に戻るにはどうすればよいでしょうか。
アヒル。 そして、多くのランサムウェア攻撃の問題は…
…彼らは明らかな理由ですべての見出しを取得しますが、それは多くの場合、長い攻撃期間であった可能性があるものの終わりであり、時には複数の詐欺師がネットワークに侵入していましたか?
ピーター。 はい。
私はランサムウェアを、彼らが最後に残す「領収書」と表現しています。
アヒル。 まあ。
ピーター。 そして、それは実際に、身代金の要求です。
アヒル。 そう、気付かずにはいられないからですよね?
壁紙には炎の頭蓋骨が描かれています… 身代金メモ。
そのとき、彼らはあなたに気づいてほしいと思っています…
ピーター。 それは彼らがあなたに彼らがそこにいると言っている.
彼らが隠したかったのは、数日前、数週間、または数か月前に行っていたことです。
ランサムウェアの被害者のほとんどは、「これはいつ起こったのですか?」と尋ねると…
…彼らはこう言うでしょう。 暗号化は午前 1 時に開始されました。 彼らはアラートを受け取り始めました。
侵入して調査すると、実際には、詐欺師が XNUMX 週間にわたってネットワークに侵入して準備を進めていたことがわかります。
自動化されていないため、簡単ではありません。適切な資格情報を取得する必要があります。 彼らはあなたのネットワークを理解する必要があります。 彼らはあなたのバックアップを削除したいと考えています。 彼らはデータを盗もうとしています。
そして、準備が整うと、ランサムウェアが起動されます。これが最終段階です。
アヒル。 そして、それは常に多くの詐欺師であるとは限りませんね?
「はい、あなたをネットワークに入れることができます」と言う詐欺師がいるでしょう。
「まあ、データ、スクリーンショット、銀行の認証情報、パスワードに興味があります」と言う詐欺師もいるでしょう。
そして、彼らが欲しいものをすべて手に入れたとき、彼らはそれを第 XNUMX のロットに引き渡すかもしれません。
ピーター。 最も単純なランサムウェア攻撃であっても、通常は数人が関与します。
あなたが持っているので 初期アクセス ブローカー それはネットワークへのアクセスを取得した可能性があります...基本的に、誰かが侵入し、資格情報を盗み、それらが機能することを確認し、それらを宣伝します.
他の誰かがそれらの資格情報を購入します...
アヒル。 それはダークウェブのことだと思いますか?
ピーター。 はい。
数週間または数か月後、誰かがそれらの資格情報を使用します。
彼らは入ってきて、ネットワークを理解し、データを盗み、バックアップを削除するなど、攻撃の役割を果たします。
そして、実際にランサムウェアの展開を行うために別の誰かがやってくるかもしれません。
しかし、本当に不運な犠牲者もいます…
私たちは最近、複数の攻撃者に関する記事を公開しました。10 つのランサムウェア グループが侵入し、朝の XNUMX 時頃に攻撃を開始したと思います。
XNUMX 時間後、最初のランサムウェア グループとはまったく関係のない別のランサムウェア グループが攻撃を開始しました…
アヒル。 [笑] 笑ってはいけない!
では、この連中は… XNUMX 組の詐欺師たちは、自分たちが競争していることに気付いていなかったのでしょうか?
ピーター。 彼らはそこにいることを知りませんでした!
残念ながら、どちらも同じ方法で提供されました。リモート デスクトップ プロトコル [RDP] を開きます。
その XNUMX 週間後、まだ回復しようとしているときに、*XNUMX 番目の* グループがやって来ました。
アヒル。 [うめき声] おおおおお…
ピーター。 つまり、最初のランサムウェアが侵入したとき、彼らはランサムウェアを実行し始めたということです。最初に実行されたのは、Alpha ランサムウェアとしても知られる BlackCat でした。
彼らはファイルの暗号化を開始しました。
XNUMX 時間後、Hive ランサムウェアが侵入しました。
しかし、BlackCat はまだ実行されていたため、Hive は BlackCat の暗号化済みファイルを暗号化することになりました。
その後、BlackCat は、すでに XNUMX 回暗号化されている Hive のファイルを暗号化しました…
…というわけで、基本的に *XNUMX* レベルの暗号化に行き着きました。
そしてその XNUMX 週間後、彼らはまだすべてを復元していなかったため、LockBit ランサムウェアが侵入し、それらのファイルを暗号化することになりました。
したがって、これらのファイルの一部は実際に *XNUMX 回* 暗号化されています。
アヒル。 [笑] 笑ってはいけない!
その場合、最初の XNUMX ロットの詐欺師は、たまたま偶然に資格情報を見つけたか、同じブローカーから資格情報を購入したため、侵入したと推測されます。
または、自動スキャン ツールを使用して見つけた可能性もあります。そのビットは自動化できますよね。どこに穴が見つかったのでしょうか。
ピーター。 はい。
アヒル。 では、XNUMX 番目のロットはどのようにして入ったのでしょうか。
ピーター。 同じ方法!
アヒル。 ああ、最初のくじが残した穴からじゃないの? [笑う]
ピーター。 いいえ、同じ方法です。
次に、次のように話します。 だからこそ調査が必要!
アヒル。 正確に。
ピーター。 マシンを拭くだけで、頭を砂に埋めることはできません。
組織は、XNUMX 回目の攻撃の後に私たちを連れてきました。彼らは、XNUMX 回目の攻撃を受けたことを実際には知りませんでした。
彼らはXNUMXつ持っていると思っていましたが、XNUMX週間後に別のものを持っていました.
「実は、最初の XNUMX 時間後に、気付かなかった別のものがあった」と指摘したのは私たちでした。
残念ながら、調査は行われませんでした。RDP がオープンであり、それが攻撃者の侵入方法であることを特定できませんでした。
だから彼らは、それが直さなければならない何かだとは知りませんでした。
…まさに彼らがしたことです。
アヒル。 したがって、持ち込まれたときは、明らかに、「すべてのマルウェアを見つけて、削除して、チェックを付けて、先に進みましょう」というだけではありません。
調べているとき、調べようとしているとき、「偶然や意図的にどのような穴が残っているのか?」…
…終了したことをどのように知ることができますか?
それらをすべて見つけたとどのように確信できますか?
ピーター。 私はあなたが確信できるとは思わない。
実際、この業界で何かに 100% 自信を持っていると言う人は、正直ではないでしょう。
アヒル。 それに+1! [笑う]
ピーター。 攻撃者が行ったことをできる限りすべて見つけ出して、「侵入できるようにバックドアを設定したか」を理解できるようにする必要があります。
彼らが何を盗んだかを理解する必要があります。それは明らかにコンプライアンスと報告の目的に関連している可能性があるからです。
アヒル。 一連の攻撃を受けている、またはネットワークに何日、何週間、時には何ヶ月もの間、詐欺師がいたとしましょう。
ピーター。 何年も、時々、そうです。
アヒル。 まあ!
何が起こった可能性があるのかを調査していると、将来的にネットワークの回復力が低下する可能性があります…
…攻撃をより幅広く、より深くするために、詐欺師が行うことは何ですか?
ピーター。 つまり、ネットワークに侵入した攻撃者が最初に行うことの XNUMX つは、自分がどのようなアクセス権を持っているかを知りたがるということです。
アヒル。 たとえば、オフィス ビルに侵入した場合、XNUMX つまたは XNUMX つの机の引き出しに行って、人々が財布を置き忘れたかどうかを確認することだけに関心があるわけではありません。
彼らは、どの部門がどこに住んでいるか、配線キャビネットはどこにあるのか、サーバー ルームはどこにあるのか、財務部門はどこにあるのか、納税記録はどこにあるのかを知りたいと考えています。
ピーター。 これは、サイバーの世界では、彼らがあなたのネットワークをスキャンしようとしていることを意味します.
彼らはサーバーの名前を識別します。
あなたが Active Directory を使用している場合、彼らはあなたの Active Directory を調べて、誰がドメイン管理者権限を持っているかを知りたがります。 誰が行きたい場所に行くのに最適なアクセス権を持っているか。
アヒル。 新しいユーザーを作成する必要がある場合、そのユーザーを呼び出すだけではありません WeGotcha99?
ピーター。 彼らはそうかもしれません!
文字通り新しいユーザーを作成し、ドメイン管理者を与えてそのユーザーに電話をかけたものを見てきました。 hacker…しかし、通常は一般的な名前を付けます。
アヒル。 それで、彼らはあなたの命名スケジュールを見て、それに合わせようとしますか?
ピーター。 はい、彼らはそれを呼び出します Administrat0r、O の代わりにゼロでつづる、そのようなもの。
ほとんどのランサムウェアは、それほど高度である必要がないため、それほど高度ではありません。
彼らは、ほとんどの企業が自社のネットワークで何が起こっているかを見ていないことを知っています。
攻撃者が行っていることの一部について警告を発するセキュリティ ソフトウェアがインストールされている可能性があります。
しかし、誰かが実際にそれらのアラートを見て調査し、実際にリアルタイムで応答しない限り、誰も実際にそれらを止めていなければ、攻撃者が何をしても問題ではありません.
犯罪を捜査している場合…家の中で銃を見つけたとしましょう。
銃を取り外すことができます - 素晴らしいです。
しかし、どうやってそこにたどり着いたのですか?
それがより大きな問題です。
不審な動作を警告するソフトウェアを導入していますか?
そして、それを見たとき、実際にマシンを隔離したり、ファイルをブロックしたり、IP アドレスをブロックしたりできるでしょうか?
アヒル。 おそらく、サイバーセキュリティ ソフトウェアの主な目標は、詐欺師を無期限に、永久に締め出すことになるでしょう…
…しかし、誰かが遅かれ早かれ間違いを犯したり、詐欺師が何らかの形で侵入したりすることを前提として、それが起こっても問題ありません。
ピーター。 人間が関与し始めるとすぐに…ブロックされた場合、彼らは別のことを試みます。
誰も止めなければ、退屈するか、成功するかのどちらかです。
それは時間の問題です。
アヒル。 10 年または 15 年前であれば、大成功として認められていたであろうマルウェア ファイルがディスクにドロップされました。 検出されました。 修復; 自動的に削除されます。 ログに入れます。 怒らせる; お互い背中を押し合いましょう…
…今日、それは実際には意図的である可能性があります。
詐欺師は非常に細かいことを試みている可能性があるため、あなたは彼らを打ち負かしたと思いますが、彼らが*実際に*しているのは、何が気づかれずに済む可能性があるかを解明しようとしていることです.
ピーター。 Mimikatz というツールがあります。正規の侵入テスト ツールとして分類する人もいます。 マルウェアとして分類する人もいます。
これは、メモリから資格情報を盗むためのツールです。
そのため、Mimikatz がマシン上で実行されていて、誰かがそのマシンにログオンすると、単純にユーザー名とパスワードが取得されます。
100 文字のパスワードを持っていても問題ありません。違いはありません。
アヒル。 メモリから持ち上げるだけですか?
ピーター。 はい。
そのため、セキュリティ ソフトウェアが Mimikatz を検出して削除すると、多くの人が「すごい! 私は救われました! 【劇的】ウイルスは消えた!」
しかし、問題の根本的な原因は、その XNUMX つのファイルが検出されて削除されたことではありません…
…そもそも誰かがそこに置く能力を持っていたということです。
アヒル。 すでにその作業を実行できるようにするには、システム管理者の権限が必要ですよね?
ピーター。 はい。
より優先すべきことは次のとおりだと思います。攻撃を受けるか、すでに攻撃されていると想定してください。
それに対処するためのプロセスを用意し、重要なドキュメントを XNUMX か所に保管して、全員がアクセスできないように、ネットワークを可能な限りセグメント化してください。
誰もが何にでもアクセスできる XNUMX つの大規模でフラットなネットワークを構築しないでください。これは、攻撃者にとって完璧です。
攻撃者の考え方を少し考えて、データを保護する必要があります。
私は個人的に、さまざまな企業のさまざまなインシデントを数千とは言わないまでも、数百件調査してきました…
…そして、環境内のすべてのマシンを保護している企業を XNUMX つも見たことがありません。
私は彼らがそうしていると*言う*多くの人に会いましたが、そうではないことを証明しました.
マシンが XNUMX 台しかないユーザーや会社もありましたが、彼らは「すべて保護されている」と言いました。
そうではなかったことが判明しました!
Cobalt Strike と呼ばれるツールがあり、機械に簡単にアクセスできます。
彼らはコバルトストライクを展開します....
アヒル。 これは、ライセンスのみの侵入テスト ツールのはずですよね。
ピーター。 ええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええええまで
それについての私の意見については、まったく別のポッドキャストを作成できます。
[大笑い]
アヒル。 詐欺師は著作権侵害についてそれほど心配していないとだけ言っておきましょう…
ピーター。 彼らはツールを使用しており、そのツールをネットワーク全体に (たとえば 50 台のマシンに) 展開しています。
アンチウイルスによって検出され、攻撃者は何が起こったのかわかりません...ただ機能しなかっただけです。
しかしその後、XNUMX 台のマシンがレポートを返し始めます。これらの XNUMX 台のマシンは保護されていないマシンだからです。
さて、攻撃者は、誰も監視していないことを知って、これら XNUMX 台のマシンに移動しようとしています。
これらは、ウイルス対策がないものです。
彼らは、ネットワーク上の他のマシンにアクセスするために、必要なだけ何日、何週間、何ヶ月、何年もそこに住むことができます。
すべてを保護する必要があります。
何が起こっているかを確認できるように、ツールを用意する必要があります。
そして、それに実際に対応できる人材を配置する必要があります。
アヒル。 詐欺師たちはこれでかなり組織化されているからですよね?
ランサムウェア ギャングの世界で最近起こったいくつかの影響から、私たちはいくつかのアフィリエイト (ランサムウェアを作成していない人々であり、攻撃を行っている) が存在することを知っています…
…彼らは、ギャングの中心にいる男たちによって、自分たちが軽視されていると感じていました。
ピーター。 はい。
アヒル。 そして、彼らはプレイブックや操作マニュアルを大量に漏らしました。
これは、個々の詐欺師がすべての専門家である必要がないことを示しています。
これらすべてを自分で学ぶ必要はありません。
必要に応じて、彼らはランサムウェアの乗組員に参加することができ、「これを試してください。 それがうまくいかない場合は、それを試してください。 これを探してください。 それを設定します。 バックドアを作る方法は次のとおりです。
ピーター。 はい、エントリーバーは今信じられないほど低いです。
あなたは行くことができます... ダークウェブでさえありません.これを始めるために知っておく必要があることのほとんどについて、Google と YouTube のビデオを見ることができます.
現在、LockBit、Alpha、Hive などの有名なランサムウェアがあります。
彼らは、誰を入れるかについて非常に厳しい規則を持っています.
しかし、Phobos ランサムウェアのような他のグループもあり、彼らはほとんど…
…彼らは台本に基づいて作業を行います。まるで、彼らに参加し、台本に従い、攻撃を行い、お金を稼ぐことができる人々のコール センターのようなものです。
比較的簡単です。
チュートリアルやビデオがあり、ランサムウェア グループとライブ チャットしてアドバイスを得ることができます… [笑い]
アヒル。 約XNUMX年前、それは何でしたか?…
…REvil ランサムウェアの乗組員が配置した場所 ビットコインで1万ドル オンライン フォーラムに前もって参加して、新しいランサムウェア オペレーターまたはアフィリエイトを募集します。
そして、「ああ、彼らはアセンブリ プログラミング、低レベルのハッキング スキル、およびカーネル ドライバーの専門知識を探しているだろう」と考えます。
違う!
彼らは、「バックアップ ソフトウェアと仮想マシンの経験はありますか?」などの質問をしていました。
彼らは、ネットワークに侵入し、バックアップの場所を見つけて、それらを破壊する方法を人々に知ってもらいたいのです!
ピーター。 それでおしまい。
前に言ったように、アクセス権を購入している可能性のある最初のアクセス ブローカーがいます…
…さて、ランサムウェア アフィリエイトとしてのあなたの仕事は、できるだけ多くの損害を与えて、被害者が支払いを余儀なくされるようにすることです。
アヒル。 これをプラスに変えましょう…
ピーター。 [OK]をクリックします。
アヒル。 一般に、誰かが気付いたときに呼び出されるインシデント対応者として、「ああ、私たちが別の方法で行っていればよかったのに」…
…あなたの XNUMX つの重要なヒントは何ですか?
あなたができるXNUMXつのことは、最大の違いを生むでしょうか?
ピーター。 最初のものは次のとおりです。 同僚とテーブルを囲んだり、Zoom を使ったりして、この種の卓上エクササイズを始めましょう.
お互いに質問を始めます。
ランサムウェア攻撃を受けた場合はどうなりますか?
すべてのバックアップが削除されたらどうなりますか?
ネットワークに攻撃者がいると言われたらどうなるでしょうか?
ツールは揃っていますか?
あなたには実際にそれに対応する経験と人々がいますか?
そのような質問をし始めて、それがあなたをどこに導くかを見てください…
…おそらく、自分には経験がなく、対応するツールがないことにすぐに気付くからです。
必要なときは、*事前に*用意しておく必要があります。
アヒル。 絶対に。
私はそれ以上に同意できませんでした。
それを「失敗覚悟」と感じている人は多いと思います。
しかし、それをしない、つまり「準備を怠る」ということは、本当に行き詰まっているということです。
なぜなら、最悪の事態が起こった場合、*それから*準備するには遅すぎるからです.
定義上、準備は事前に行うものです。
ピーター。 建物があなたの周りで燃えている間、あなたは防火マニュアルを読んではいけません!
アヒル。 そして、特にランサムウェア攻撃の場合、「IT チームは何をしているのか」ということだけではありません。
みたいなのもあるので…
誰がメディアに話しかけますか?
公式声明を顧客に出すのは誰ですか?
必要な場合、誰が規制当局に連絡しますか?
知っておかなければならないことがたくさんあります。
ピーター。 そしてXNUMXつ目は、先ほども言いましたが、 すべてを保護する必要があります.
ネットワーク上のすべてのマシン。
Windows、Mac、Linux… は関係ありません。
それを保護し、レポート機能を備えています。
アヒル。 [IRONIC] ああ、Linux はマルウェアの影響を受けないのですか? [笑う]
ピーター。 [重大] Linux ランサムウェアが増加しています…
アヒル。 しかし、Linux サーバーは出発点としてもよく使用されますね。
ピーター。 現時点で Linux の大きな領域は、ESXi 仮想ホスト サーバーなどです。
最近のほとんどのランサムウェア攻撃は大規模なグループです...彼らは ESXi サーバーを狙って、実際に仮想マシンを VMDK ファイル レベルで暗号化できるようにします。
つまり、それらのマシンは起動しません。
インシデント レスポンダーは、ブートすることさえできないため、実際にそれらを十分に調査することさえできません。
アヒル。 ああ、彼らは仮想マシン全体を暗号化するので、完全に暗号化されたディスクを持っているようなものですか?
ピーター。 はい。
アヒル。 彼らは VM を停止し、ファイルをスクランブルします…おそらくすべてのスナップショットとロールバックを削除しますか?
ピーター。 ですから、はい、すべてを保護する必要があります。
思い込むだけじゃない!
誰かが「私たちのマシンはすべて保護されています」と言った場合、それはおそらく不正確であると考えて、それをどのように確認したかを尋ねてください。
そして第三に、 セキュリティが複雑であることを受け入れる.
それは絶えず変化しています。
あなたは、あなたの役割で… 24 時間年中無休でこれに対処するためにそこにいるわけではありません。
おそらく他の優先事項があります。
Sophos や MDR Services などの企業と提携してください。
アヒル。 これは1日あたり 管理された検出と応答?
ピーター。 管理された検出と対応... ネットワークを監視できない場合は、24 時間年中無休で監視します。
アヒル。 つまり、「何か悪いことが起こった」というインシデント対応だけではありません。
それには、「何か悪いことが*もうすぐ*起こりそうです。それを止めましょう」ということを含めることができますか?
ピーター。 これらの人々は、日曜日の午前 2 時に作業するチームがないため、真夜中に…
…ネットワークで何が起こっているかを監視し、攻撃を阻止するためにリアルタイムで反応する人々です。
アヒル。 彼らは、あなたが玄関に置いた高価な南京錠を誰かが改ざんしているという事実を探していますか?
ピーター。 彼らは 24 時間年中無休の警備員で、南京錠が改ざんされているのを見に行きます。
アヒル。 繰り返しますが、それは失敗を認めているわけではありませんね。
「誰かを雇うということは、セキュリティについて何をしているのかわからないということだ」と言っているのではありませんか?
ピーター。 これは複雑な業界であることを受け入れています。 支援を受けることで、準備が整い、安全が確保されます。
また、自分のリソースの一部を解放して、彼らが集中する必要があることに集中できるようにします。
アヒル。 ピーター、私はそれが終わりの明るい場所だと思います!
今日、聞いてくださった皆様に感謝の意を表し、最後に一言お願いします。
つまり、次回まで安全を確保してください。
[モールス信号]
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2022/12/29/s3-ep115-true-crime-stories-a-day-in-the-life-of-a-cybercrime-fighter-audio-text/
