Vähänkään tietoturvan parissa työskentelevät eivät ole voineet välttyä kuulemasta CSOC:n eli kyberturvakeskuksen hyödyistä. Tositarinat konkreettisista toimista ovat kuitenkin harvemmassa, sillä organisaatiot eivät useinkaan halua tuoda kovin avoimesti esiin kohtaamiaan hyökkäyksiä, saati niiden yksityiskohtia. Onneksi haasteet usein saadaankin ratkottua heti alkumetreillä – siis, jos käytössä on CSOC.
Tässä blogissa esitellään yksi todellinen, anonymisoitu esimerkki kyberhyökkäyksestä taustoineen, vaiheineen ja ratkaisuineen. Vaikka CSOC ei ollutkaan hyökkäyksen sattuessa kyseisessä organisaatiossa vielä täysimääräisesti käytössä, siitä oli silti jo merkittävä apu tapauksen ratkaisemisessa ja todistusaineiston hankinnassa.
Jutun kertojana toimii Loihteen CSOC:ssa työskentelevä analyytikko. Kyseisen casen anonymisoituun esittämiseen on asiakkaan lupa.
Tausta
Mistä kaikki alkoi? Hyökkääjä pääsi alun perin tunkeutumaan organisaation verkkoympäristöön internetiin avoimena olevasta RDP-portista, jota käytettiin Windows-työasemien etähallintaan. Kun hyökkääjä pääsi tätä kautta käsiksi etähallintapalvelimelle, hän onnistui tekemään sisäverkossa sivuttaisliikehdintää (lateral movement). Asennettuaan hyökkäystyökaluja hyökkääjä skannasi tietoa sisäverkon laitteista. Hän mursi lopulta useita käyttäjätunnuksia ja työasemia sekä sai käsiinsä paljon tietoa.
Toimenpiteet
Jos käytössä olisi ollut täysimääräisesti toimiva CSOC-palvelu, hyökkäyksen kulku olisi voitu pysäyttää jo aiemmassa vaiheessa. Nyt hyökkäys havaittiin päätelaitesuojauspalvelun (EDR) avulla.
Kun asiakkaalle otettiin käyttöön CSOC, löydettiin Mimikatz-haittaohjelma, jolla voi tehdä muun muassa hyökkäyksiä Windowsin käyttäjätunnuksia vastaan.
Manuaalista tutkintaa toteutettiin SentinelOnen Deep Visibilityn ja Remote Shellin avulla. Niillä saatiin selville, missä ja kuinka organisaation verkossa vaikuttanut haittaohjelma on toiminut. Koska CSOC oli vasta juuri otettu käyttöön, lokeja ei ollut saatavilla yhtä kattavasti kuin jos CSOC olisi ollut täysin käytössä. Remote Shell -tutkintaa tehtiinkin tässä tapauksessa suoraan laitteella. Muun muassa Mimikatz-haittaohjelman lokitiedostoista löytyi vihjeitä ja siten lisätietoa ja todisteita tapauksesta.
Todistusaineisto ja häätöprosessi
Hakkeroiduilta laitteilta löytyi hyökkäystyökaluja, muun muassa jo mainittu Mimikatz sekä Cobalt Strike. Työasemille oli myös laitettu uhkailuviestejä ja niiden muoto täsmäsi Conti-haittaohjelmiston kanssa. Todistusaineiston keräämisen jälkeen selvitettiin, miten laaja murto oli kyseessä. Jäljille päästiin löydettyjen lokitietojen ja käytettyjen työkalujen selvittämisen avulla. Lisäksi piirrettiin myös aikajanaa siitä, mitä on missäkin vaiheessa hyökkäystä tapahtunut.
Ensimmäiseksi otettiin palomuurista vanha RDP-sääntö pois eli korjattiin se kohta, josta hyökkääjä oli päässyt organisaation verkkoon. Tämän jälkeen kaikille hakkeroiduille laitteille asennettiin SentinelOne ja poistettiin näiden laitteiden yhteys verkkoon. Kolmanneksi luotiin hakkeroidut käyttäjätilit uudelleen Active Directoryssä.
Jälkihoito
Asiakkaan palomuurisäännöt tarkistettiin ja seurattiin löydettyjä uhkamerkkejä SentinelOnen Deep Visibilitya hyödyntäen.
Vaikka asiakas oli vasta CSOC-taipaleensa alussa hyökkäyksen alkaessa, CSOC-palvelusta oli silti jo selkeää ja välitöntä hyötyä. Poikkeama huomattiin, ja se saatiin tulkittua. Asiakasta informoitiin aktiivisesti tilanteen eri vaiheessa. Asiakkaan toiminnan jatkuvuus saatiin varmistettua koko prosessin ajan. Lopuksi tutkinta vielä raportoitiin ja esiteltiin asiakkaalle.
Viisi tärppiä:
- Lokien säilytys: Näin todistusaineisto pysyy tallella
- Yhteyksien rajaaminen: Ainoastaan tarvittavien yhteyksien tulisi olla mahdollisia
- SentinelOne: Mitä modernimpi päätelaitesuojauspalvelu, sitä paremman näkyvyyden CSOC saa
- Ihminen on yleensä tietoturvan heikoin lenkki
- SOC-kolmio: SOC-palvelun tarjoaja tarvitsee riittävän näkyvyyden verkkoympäristöön ja tehdäkseen vastatatoimia. Kolmion kulmat ovat: lokien hallinta (SIEM), päätelaitesuojaus (EDR) ja verkkolaitesuojaus (NDR)
