Le tecniche di evasione sono da sempre il metodo utilizzato dagli attaccanti digitali per vanificare le misure di difesa delle organizzazioni: in particolare, nell’ambito della network security (sicurezza di rete) tali tecniche si sono diversificate al variare dei dispositivi di sicurezza che nel tempo sono stati introdotti nelle reti aziendali pubbliche e private.
Contrastare le tecniche di evasione è tuttavia possibile con l’accorgimento di essere mirati e rapidi ma soprattutto preventivi.
Indice degli argomenti
Le tecniche di evasione usate dagli attaccanti
I criminali informatici utilizzano una o più “tecniche di evasione” per evitare di essere individuati e per garantire che l’attacco vada a buon fine quale che sia l’intento finale (fonte: Science Direct).
Ad esempio, nel caso di esfiltrazione dati, il successo dell’attaccante avviene quando i dati sono spostati al di fuori dell’ambiente aziendale.
Per distinguer le diverse tecniche di evasione è necessario comprendere da cosa il criminale digitale tenta di evadere: una sandbox, un sistema di IDS (Intrusion Detection System), insomma da quale specifico sistema di detection l’attaccante tenti di sottrarsi.
Tipicamente le tecniche di evasione modificano gli attacchi di rete (tentando di sottrarsi dai controlli di firewalling, antivirus, IPS, IDS e tool di controlli di rete, n.d.r.). Ma in generale l’evadere le misure di sicurezza si potrebbe definire un’arte.
In effetti è un campo vastissimo e in continua evoluzione, con aggiornamenti anche in 24 ore tanto che si presta ad essere associato alla classica ricorsa fra “guardie e ladri” o meglio fra “attacco e difesa”.
Tecniche di evasione: le differenti tipologie
Il fine ultimo delle tecniche di evasione che potremmo definire dei “bypass”, è quello di superare i limiti e policy dettati dai firewall, antivirus, IPS e tecnologie di rete similari o correlate.
Le tecniche di evasione si possono racchiudere in due macro-tipologie:
- human-based
- tech-based
Le prime sono relative al mondo del social engineering e possono avere impatti devastanti per la vittima, ma efficaci dal punto di vista del ROI (poca spesa e massima resa) di un attacco.
Invece, la tipologia tech-based riguarda operazioni che possono essere eseguite durante le prime fasi di recognition per arrivare a sondare porzioni di rete, ma si possono attuare anche in post exploitation, durante i cosiddetti movimenti laterali.
Le tecniche di evasione tech-based possono essere eseguite da una minaccia di tipo logico, un malware, o di tipo fisico come un attore malevolo in collegamento diretto via wireless.
Un esempio del primo tipo potrebbe riguardare il superamento di due firewall perimetrali ben impostati. Piuttosto di un “brute force” per forzare i due bastioni di ingresso alla rete, è più efficace ed immediato inviare una mail che viene aperta già a diversi livelli dentro la struttura ed ecco che l’infezione ha guadagnato già terreno e superato due barriere non indifferenti senza particolare sforzo.
Forse sembra banale ma è quello che accade continuamente. Molti attacchi di grado Enterprise o APT sono iniziati con infezioni verso persone usate come vettori di infezione e in effetti rappresentano ancora un grosso anello debole nelle infrastrutture ancora non aggiornato periodicamente come si dovrebbe o come sarebbe necessario perché sia consapevole delle minacce.
Network security: le fasi di un attacco
In tutti gli altri casi di attacco un criminale digitale per aggirare una misura di sicurezza studia il bersaglio e verifica l’environment, cercando di capire quali siano la struttura delle Port Protocol and Service (PPS) o il sistema operativi in caso di minaccia locale.
Solo a quel punto, si può procedere con il secondo step provando a forzare, in analogia a come farebbe un ladro “analogico” davanti ad una serratura ed avesse il grimaldello.
Alcune tecniche usano probe specifiche per andare a capire meglio quali policy sono più deboli. Lo scopo è costruire il pacchetto di rete che viene accettato e riesca ad essere routato verso il bersaglio designato.
In locale, invece, si possono usare tecniche di offuscamento in real-time.
Un esempio di questo tipo potrebbe avvenire durante un movimento laterale, se l’attaccante prende il controllo di un host dentro il perimetro e vuole exploitare i server in un altro segmento LAN. Una tecnica consiste nello spoofare e quindi mascherarsi fisicamente da quell’unico IP permesso dalle ACL del firewall in ingresso dal perimetro della rete target.
Quando il perimetro aziendale si presenta come distribuito comprendendo environment diversi (Cloud, IT, OT) il vantaggio per l’attaccante aumenta perché un perimetro distribuito può facilmente non essere gestito correttamente e quando avviene, il perimetro distribuito è soggetto a maggiori rischi di un perimetro standard.
Anche in questo caso, un esempio potrebbe essere relativo ad una rete LAN blindata con una VPN monitorata per accesso remoti e senza wireless in cui però per comodità è stato reso possibile accedere al Cloud da altri dispositivi BYOD, smartphone e PC remoti.
E proprio qui la minaccia può agire trovando una porta aperta che le permette di replicarsi quando scaricata nella suddetta rete LAN. È infine importante sottolineare come i protocolli nelle comunicazioni di rete sono standard ed è su questo che contano gli attaccanti per attuare le tecniche di bypass che rimangono assolutamente valide, al variare dello scenario di applicazione e dell’approccio più o meno invasivo, o della complessità.
Network security: contrastare le tecniche di evasione
Per ingannare gli attaccanti e impedire loro di “evadere” dalla security è fondamentale calibrare bene le policy di sicurezza, in relazione alle ultime tecniche di attacco: conoscere il nemico è già una vittoria parziale.
Prendere accorgimenti, curare i dettagli della sicurezza permette di raggiungere un livello di protezione adeguata: applicare, quindi, i concetti di least privilege, patching periodico dei servizi e principalmente monitoraggio e compartimentazione sono alcuni dei temi base da applicare.
Ad esempio, il sistemista di rete potrebbe cambiare le porte standard di ascolto, per evitare che le più comuni tecniche di bypass possano andare a segno al primo colpo, e/o modificare i banner di risposta a tali servizi per “depistare” diverse tecniche di proliferazione della minaccia.
L’utilizzo di honeypot per rendere visibile una cyber minaccia il prima possibile è una misura utile per contribuire a fermarla in tempo utile specialmente in caso di environment piuttosto strutturati.
Certamente molte tecniche di evasione e di attacco possono basarsi su approcci assolutamente nuovi, associati anche a 0-day o attacchi crittografici in cui la minaccia si rende praticamente invisibile alla detection.
È proprio in questi casi che la prassi del monitoraggio si rivela fondamentale, perché ci si può accorgere dei movimenti laterali e paralleli che la minaccia effettua per rendersi persistente e/o propagarsi. Ma naturalmente vige la regola del continuo rincorrersi fra “guardia e ladri”.
Se si considera l’attacco secondo la kill chain standard (secondo il concetto di Cyber Kill Chain pubblicato per la prima volta dalla Lockheed Martin, nel white paper: “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”, di Eric M. Hutchins, Michael J. Cloppert e Rohan M. Amin) è possibile notare che la difesa deve invece agire per prevenire e collocare strategicamente i suoi strumenti di controllo.
In effetti adottare metodi preventivi rappresenta sempre un vantaggio anche per scoraggiare la minaccia nel ritentare l’accesso.
Dunque, agire in difesa durante le prime fasi di “Reconnaissance, Weaponization e Delivery” fornisce un vantaggio strategico non indifferente. In effetti durante queste fasi è possibile introdurre una prevenzione totale, mediante test attivi (assessment e penetration test) capaci di evidenziare se siano presenti falle scoperte nel network, o PPS ma è anche possibile prevenire attacchi di social engineering mediante formazione del personale perché possa individuare messaggi ingannatori o fraudolenti (magari di tipo phishing).
È bene ricordare che mentre la difesa non può fallire, un attaccante può tentare molte volte prima di riuscire a testare tutta la serie di misure di sicurezza implementate e trovare una eventuale falla. Se dovesse riuscire in una delle prime tre fasi, allora “ha fatto breccia” (fasi di Exploitation, Installation e Comando&Controllo) e si deve ricorrere ai monitoraggi e a tutti gli strumenti di difesa a disposizione per stanare l’attaccante e metterlo a nudo.
Tutto vale per non farlo arrivare allo step 7 della kill chain che nelle azioni di attacco esplicito per le quali è possibile effettuare solo remediation.
In sintesi, è bene monitorare costantemente il sistema di misure di sicurezza implementato, altrimenti sarebbe come avere un sistema di telecamere che nessun sorvegliante guarda mai.
La risposta operativa in pratica
Per applicare tutte le misure di contrasto alle diverse fasi di attacco della kill chain si rende necessario agire dall’interno e in modo parallelo sulla rete, supportando il “controllo a bypass di sicurezza”: un approccio innovativo che consiste nell’attuazione di una contromisura “definitiva” da utilizzare sia come misura preventiva, sia come contromisura finale contro una kill-chain che ha raggiunto il livello 7 di attacco.
Lavorando come un “ponte levatoio elettrico”, un approccio di questo tipo, permette di arrivare a spegnere energicamente un segmento di rete, o un qualsiasi tipo di device collegato, per proteggerlo da ulteriori minacce o evitare l’accesso a parti del network che devono essere difese assolutamente.
Un esempio può aiutare nella comprensione del meccanismo di difesa: supponiamo che l’attaccante sia nelle prime fasi di una kill-chain e supponiamo che la minaccia abbia già bypassato il perimetro.
A questo punto, l’approccio proposto permette di controllare il traffico dall’interno, di riconoscere l’anomalia salvaguardando in anticipo il segmento di rete dove risiedono i backup o i dati sensibili, e attuare la contromisura di air-gap (cioè disconnessione attiva) in modo automatico.
In presenza di uno switch o un nodo spento, la minaccia sicuramente non avrà modo di propagarsi oltre questo punto.
Lo stesso concetto è applicabile qualora ci si trovasse nella fase di data breach (livello 7 della kill chain n.d.r.). In questo caso l’approccio proposto può attivare il “ponte levatoio elettrico” e non far uscire la minaccia con il suo prezioso bottino di dati rubati, intrappolando la minaccia in un compartimento. Naturalmente il restore e l’allarme attivano il team di sicurezza che è chiamato ad intervenire per la bonifica necessaria.
Il vantaggio di usare una misura fisica quindi, rispetto ad una misura software è notevole, in quanto mentre il malware potrebbe bypassare le misure di sicurezza software, in modi spesso molto creativi, un sistema spento non permette alla minaccia alcuna azione evasiva ulteriore.
Chiaramente questo approccio è applicabile a qualunque ambiente e tipo di perimetro, fluido o statico e indipendentemente dai device, lavorando appunto su livello più basso dello stack ISO/OSI.
