יועץ אבטחת מידע   |   אוגוסט 24, 2024

מרוץ נגד הזמן: כך חשפנו והתמודדנו עם התקפה סייברית

סיפור אמיתי על איך תוקפים יכולים לחדור לרשת ולהישאר בלתי מזוהים

למרות מאמצי אבטחה נרחבים, תוקף זדוני הצליח להישאר בלתי מזוהה במשך חמישה חודשים.
במאמר זה נבהיר מה תוכלו לעשות כדי להגן על העסק שלכם.

 

ניתוח אירוע ולמידה מהטעויות

סקירת האירוע:

במאמר זה, חברת IPV security מציגה אירוע סייבר שהתמודדנו איתו במהלך 2023. המאמר מדגיש איך קושי תפעולי בהחלפת סיסמה של משתמש חזק, אפשרה לתוקף לעקוף את כל מנגנוני ההגנה, לחדור לרשת ולהישאר בלתי מזוהה במשך תקופה של לא פחות מחמישה חודשים. במהלך זמן זה, לתוקף הייתה גישה בהרשאות Domain Admin.  באמצעות הנדסה חברתית התוקף הצליח גם לרשום טלפון לא מוכר לשירות הרב־גורמי (MFA) הארגוני. גישה ברמה גבוהה זו אפשרה לתוקף גישה לכל השרתים, אף שהוטמע בהם מנגנון MFA, וכל זאת ללא הפעלת התרעות, מה שגרם לאיום משמעותי על הארגון.

השתלטות חשאית: מאחורי הקלעים של התקפה סייברית

ציר הזמן המלא של אירוע הסייבר שנמשך חמישה חודשים:

  1. גישה ראשונית: התוקף השיג גישה ראשונית באמצעות חשבון Domain Admin שדלף, אך עדיין לא היה באפשרותו להתחבר לשרתים מפני שהוטמע בהם מנגנון הזדהות כפולה.
    התוקף ביצע פעולות הנדסה חברתיות והצליח לרשום מספר טלפון למנגנון ההזדהות הכפולה, מה שאפשר לו לנוע בחופשיות ברשת.
  2. הטריגר: האירוע התגלה לבסוף כאשר מרכז הפעולות של הרשת (NOC) חקר בעיה באחסון על שרת רגיש. האחסון של השרת היה מלא באופן בלתי צפוי, ובבדיקה נוספת התגלתה תיקייה גדולה עם המון מידע שאינו רלוונטי לשרת.
  3. גילוי: מערכת ה־EDR (Endpoint Detection and Response), שהייתה שקטה במשך חודשים ולא היו פעולות שהטריגו אותה, הפעילה התרעה בגלל קובץ חשוד בתיקיית temp של Windows. חקירה שלאחר מכן חשפה dump של LSASS (Local Security Authority Subsystem Service), מה שאישר שיש פרצה.
  4. תגובה מיידית: הרשת נותקה במהירות מהעולם החיצון והשרת המושפע בודד. צוות תגובה לאירוע (IR) הופנה במהירות לעניין כדי לבלום ולהעריך את גודל הפרצה. הפעולה המהירה שננקטה בנקודה קריטית זו "saved the day", ומנעה את מה שיכול היה להיות גניבת נתונים הרסנית והצפנה של הרשת.

ההתאוששות: צעדים נמרצים לבלימת ההתקפה

איפוס מערכות, חקירה מעמיקה וניתוח מקיף:

  1. איפוס הרשאות: כל סיסמאות האדמין ו־Kerberos הוגדרו מחדש באופן מיידי כדי למנוע גישה בלתי מורשית נוספת. שרתי הגיבוי נותקו כדי שהם לא ייפגעו.
  2. חקירה יסודית: החקירה חשפה כי חשבון דומיין אדמין, שהיה בשימוש במשך יותר מעשור, עדיין השתמש באותה סיסמה. סיסמה זו הייתה קשורה לשירותים רבים ומרכיבי תשתית, מה שהקשה על עדכון שלה, ולכן היא נעשתה מטרה ראשית עבור התוקף.
    נוסף לכך, התגלה כי התוקף הצליח לשכנע את צוות התמיכה החיצוני להוסיף את מספר הטלפון שלו להגדרת ה־MFA, מה שנתן לו גישה בלתי מוגבלת כמו לאדמינים הלגיטימיים.
  3. ניתוח נקודות קצה ושרתים: כל נקודות הקצה ברשת נבדקו בקפידה לגבי כל סימן של פגיעה.
    כמו כן, 12 שרתים מרכזיים, כולל Domain Controller (DC), נחקרו בקפידה לגבי backdoors ותוכן מזיק. בדיקות אלו אישרו כי לא נותרו backdoors או איומים מתמשכים, והבטיחו כי הרשת מאובטחת.
  4. תוצאה: יומני החברה הצביעו על כך שלא התרחשה גניבת נתונים בפועל, אך הארגון ניצל בקושי מפרצה הרסנית.

הכנה היא המפתח: כיצד להגן על ארגונכם מפני מתקפות סייבר

לקחים יקרי ערך שנלמדו בשטח:

  • עדכונים קבועים של סיסמאות: סיסמאות אדמין קריטיות חייבות להיות מוחלפות באופן קבוע, ללא קשר למורכבות. שימוש ארוך טווח באותן הרשאות הוא סיכון אבטחה חמור, וכמובן שמומלץ ליצור חשבון שירות ייעודי לכל שירות.
  • פרוטוקולי סקירת MFA: לבדוק הרשאות אדמין ו־MFA בכל רבעון. כל שינוי או תוספת, בייחוד כאלה הכוללים צדדים חיצוניים, צריכים להוביל לבדיקה מיידית.
  • הכשרת תמיכה חיצונית של IT: על צוותי תמיכה חיצוניים של IT לעבור הכשרה קבועה והדרכות כדי להבטיח שהם מעודכנים בפרוטוקולי אבטחה. נוסף לכך, צריכים להיות פרוטוקולים ונהלים ברורים לשינוי או רישום מכשירי MFA, עם שלבי אימות קפדניים כדי למנוע שינויים בלתי מורשים.
  • תהליכי סייבר ואבטחת אירועים: אבטחת סייבר ותגובה לאירועים יעילות מתחילות עם תהליכים מוגדרים היטב. היצמדות לתהליכים טובים מפחיתה את ההזדמנויות למתקפות מוצלחות. חוזק תוכניות (playbooks) תגובת האירוע (IR) שלכם, כמו במקרה זה, יכול לעשות את ההבדל בין אירוע מינורי לקטסטרופה.
  • פרוטוקולי בידוד רשת: פתחו ותחזקו פרוטוקול לניתוק הרשת במהירות במקרה של אירוע. עם זאת, ודאו כי מערכות אבטחה כמו EDR נותרות מחוברות לשירותי ענן כדי לשמור על נראות במהלך חקירה.
  • קביעת תצורת EDR: מערכות EDR חייבות להיות מוגדרות ומסוגלות לחסום כל סוגי dump LSASS, כדי למזער את שטח ההתקפה ולהקשות על גניבת חשבונות וסיסמאות.
  • תמיכה בצוות IR: במהלך אירוע ממושך, ודאו שצוות תגובה לאירוע מקבל תמיכה טובה. מחווה קטנה כמו אספקת פיצה וקולה עזרו מאוד בשמירה על ריכוז ומורל במהלך רגעים קריטיים.

לסיכום,

אירוע זה משמש תזכורת חדה לחשיבות של בדיקות אבטחה קבועות, ניטור פרואקטיבי ותגובה מהירה לאירועים. גם ארגון שמשקיע המון בחיזוק התהליכים ומעגלי ההגנה יכול להיפגע, לפעמים מספיקה נקודת כשל קטנה שתעקוף את מנגנוני ההגנה הרבים. הפעולות המיידיות שננקטו היו מכריעות בהפחתת הנזק הפוטנציאלי, ומדגישות את הצורך בתוכניות תגובה מוכנות היטב. על ידי התייחסות לפגיעויות אלו ויישום הלקחים המופיעים לעיל, ארגונים יכולים להפחית באופן משמעותי את הסיכון לפרצות דומות בעתיד.

מעוניינים לבדוק את רמת מוכנותכם לאירוע חדירה? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה