jagt rotter hvordan man kan afbøde fjernadgang software risici banner

Jagt RAT'er: Sådan mindskes softwarerisici for fjernadgang

Fjernadgangssoftware har været et populært værktøj for it-administratorer, managed service providers (MSP'er), SaaS-firmaer og andre i mange år. Det tilbyder en uvurderlig måde at fjernadministrere og overvåge flere IT- og OT-slutpunkter fra en enkelt centraliseret placering. Men på samme måde giver de trusselsaktører en kraftfuld måde at omgå virksomhedens forsvar og fjernadgang til offernetværk.

Uanset om det er fjernadgangsværktøjer (RAT'er), fjernovervågnings- og administrationsprodukter (RMM) eller fjernadministrationsløsninger, er risikoen den samme. Det er på tide at lukke en potentielt farlig bagdør til virksomhedens it-miljøer.

Hvad er RAT'er?

Værktøjer som Atera, AnyDesk, ConnectWise og TeamViewer er velkendte i it-samfundet. Selvom de har været brugt i årevis til at hjælpe administratorer med at fejlfinde problemer, opsætte og konfigurere maskiner, patch endpoints og mere, kom RAT'er virkelig til deres ret under pandemien. Men ligesom angreb på fjernskrivebordsværktøjer steg i den periode, så vi også en voksende interesse for fjernadgangssoftware som en måde at omgå sikkerhedsværktøjer.

De er endda blevet indsat i angreb rettet mod enkeltpersoner, hvor offeret er socialt udviklet til at downloade en til deres pc eller mobilenhed for at give en svindler adgang til deres bank- og andre konti. Dette sker ofte i teknisk support-svindel og senest i en sofistikeret regeringens efterligningskampagne designet til at stjæle ofres kortoplysninger.

Hvorfor er RAT'er attraktive?

Det burde ikke komme som nogen overraskelse, at trusselsaktører retter sig mod sådanne værktøjer i større antal. De tilbyder en nyttig måde at blande sig med legitime værktøjer og processer på, på samme måde som leve af landangreb (LOTL). Fordi fjernadgangssoftware er signeret med betroede certifikater, vil den ikke blive blokeret af anti-malware eller EDR-værktøjer (endpoint detection and response). Andre fordele for modstandere omfatter det faktum, at fjernadgangssoftware:

  • Kan have forhøjede rettigheder, hvilket gør indledende adgang, vedholdenhed, lateral bevægelse, adgang til følsomme ressourcer og dataeksfiltrering lettere
  • Gør det muligt for trusselsaktører at udføre indtrængen uden at skulle bruge tid og penge på at udvikle malware som fjernadgangstrojanske heste (også forkortet til "RATs"), som sikkerhedsværktøjer kan identificere
  • Gør det muligt for modstandere at omgå softwarestyringskontrolpolitikker og potentielt endda udføre ikke-godkendt software på den målrettede maskine
  • Bruger ende-til-ende-kryptering, hvilket gør det muligt for angribere at downloade filer, som virksomhedens firewalls ellers ville stoppe
  • Kan understøtte flere samtidige angreb, for eksempel via en kompromitteret MSP

Hvordan modstandere målretter fjernadgang

Ifølge US Cybersecurity and Infrastructure Security Agency (CISA), kan trusselsaktører enten udnytte sårbare versioner af fjernadgangssoftware eller bruge legitime kompromitterede konti til at kapre brugen af ​​værktøjerne. Alternativt kunne de socialt konstruere ofre til at downloade legitim RMM-software eller lignende. I mere sofistikerede angreb kan de angribe en fjernadgangssoftwareleverandør og manipulere dens software med ondsindede opdateringer. De kan også bruge PowerShell eller andre legitime kommandolinjeværktøjer til hemmeligt at implementere en RMM-agent på ofrets maskine.

Nogle gange bruger trusselsaktører også fjernadgangssoftware sammen med penetrationstestværktøjer som Cobalt Strike eller endda fjernadgang malware for at sikre vedholdenhed. Når de har adgang til et målnetværk/-maskine, kan de bruge fjernadgangssoftware til at:

  • Bevæg dig sideværts gennem offerets netværk
  • Find lister over andre systemer til sidebevægelse
  • Etabler kommando- og kontrolkanaler (C2).

Sådanne teknikker bliver brugt af både cyberkriminalitetsgrupper og nationalstatsoperatører til sofistikerede datatyverioperationer og ransomware-angreb. De er blevet set rettet mod amerikanske statsansatte i økonomisk motiveret svindel. En sikkerhedsleverandør har også advaret om den "overdrevne" brug af non-enterprise grade RAT'er i OT-miljøer, hvilket ender med at udvide organisationers angrebsflade.

Dets forskning afslører, at 79% af virksomhederne har mere end to sådanne værktøjer installeret på OT-netværksenheder. Fordi disse mangler tilstrækkelig adgangskontrol og funktioner såsom multi-factor authentication (MFA), er de udsat for kapring af trusselsaktører.

I det vilde

Der er talrige eksempler på RAT-baserede brud med alvorlige konsekvenser i løbet af de seneste år. De omfatter:

  • I februar 2024, sårbarheder i ikke-patchet ScreenConnect-software blev udnyttet i flere organisationer for at implementere malware på servere og arbejdsstationer med fjernadgangssoftwaren installeret.
  • I februar 2022 advarede CISA og Storbritanniens National Cyber ​​Security Center (NCSC) om en kampagne af den iranske APT-gruppe MuddyWater som kan have haft både cyberspionage og økonomiske motiver. Trusselsaktørerne brugte ScreenConnect til indledende adgang og lateral bevægelse.
  • I januar 2023, CISA advarede af en kampagne, der bruger ScreenConnect og AnyDesk til at udføre et "refusionssvindel" på føderale regeringsansatte. Kampagnen brugte phishing-teknikker til at overtale ofrene til at downloade softwaren som selvstændige, bærbare eksekverbare filer, hvilket gjorde det muligt for dem at omgå sikkerhedskontrol.
  • I juli 2024 a sikkerhedsleverandør opdaget en modificeret version af open source RMM-værktøjet PuTTY (omdøbt til "KiTTY"), som kunne omgå sikkerhedskontrol. Taktikken gjorde det muligt for trusselsaktørerne at skabe omvendte tunneler over port 443 for at udsætte interne servere for en AWS EC2-boks under deres kontrol for at stjæle følsomme filer.

Sådan afbødes fjernadgangsangreb

CISA lister en række værts- og netværksbaserede kontroller og politiske/arkitektoniske anbefalinger, der kan hjælpe med at opbygge modstandskraft mod sådanne angreb. Disse omfatter:

  • Phishing-bevidsthedstræning for medarbejdere
  • Nul tillid og mindst privilegerede tilgange til identitet og slutpunktssikkerhed
  • SecOps-overvågning for mistænkelig aktivitet
  • Ekstern angrebsoverfladestyring (EASM) for forbedret synlighed i ukendte og ikke-administrerede aktiver
  • Multi-factor authentication (MFA) til fjernadgangssoftware
  • Revision af fjernadgangssoftware og konfigurationer
  • Applikationskontroller, herunder nul-tillidsprincipper og segmentering, til at styre og kontrollere softwareudførelse
  • Kontinuerlig risikobaseret patching
  • Netværkssegmentering for at begrænse sidebevægelser
  • Blokering af indgående/udgående forbindelser på almindelige RMM-porte og protokoller
  • Webapp-firewalls (WAF'er) til beskyttelse af fjernadgangssoftware

Sikkerhedsagenturet anbefaler dog også organisationer "opretholde en robust risikostyringsstrategi baseret på fælles standarder, såsom NIST Cybersecurity Framework". Javad Malik, ledende fortaler for sikkerhedsbevidsthed hos KnowBe4, er enig.

"NIST-rammens kernefunktioner giver en omfattende tilgang til styring af RMM-værktøjsrisici," siger han til ISMS.online.

"Dette inkluderer vedligeholdelse af en fortegnelse over systemer med RMM-software, håndhævelse af stærk autentificering, implementering af adfærdsanalyser til afsløring af anomalier, udvikling af specifikke hændelsesrespons-playbooks og sikring af forretningskontinuitetsplaner tager højde for RMM-værktøjsafhængigheder." Malik tilføjer, at ISO 27001 også kan hjælpe med at mindske risiciene ved at bruge fjernadgangssoftware.

"ISO 27001's kontroller af adgangsstyring, kryptografi, driftssikkerhed og leverandørforhold giver et solidt fundament," forklarer han. "For eksempel kan organisationer implementere formelle processer til administration af RMM-værktøjsadgang, sikre krypterede fjernsessioner og opsætte automatiske alarmer for usædvanlige aktiviteter."

Ian Stretton, direktør for EMEA hos cybersikkerhedskonsulenterne Green Raven, er enig i, at "succesfuld cybersikkerhed er baseret på et solidt grundlag som ISO 27001".

Han fortæller til ISMS.online, at en af ​​de vigtigste principper i sådanne tilgange er at implementere kontinuerlig overvågning understøttet af trusselsintelligens.

"Dette bringes i skarpere fokus af trusselsaktørernes adoption af AI som en udfordring for AI-baserede forsvarsværktøjer," slutter Stretton.

"Implementeringen af ​​værktøjer såsom anomalidetektionssystemer, der specifikt overvåger for mistænkelig adfærd i AI-processer - såsom fejlklassificering, pludselige skift i beslutningstagningslogik eller anden adfærd - kan hjælpe med at bekæmpe denne type AI-baseret trussel."

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!