Histórias do front: segmentação salvou a rede

Texto cedido pelo Check Point’s Incident Response Team

Em nossa indústria, contamos nossas histórias com os olhos voltados para os hackers. Enquanto eles ocupam todos os paplcos, os heróis que detêm os ataques são relegados a papéis secundários.

Felizmente, hoje em dia, líderes de opinião no setor de segurança estão mudando seus pontos de vista sobre o compartilhamento de informações após ataques cibernéticos – em vez de apenas envergonhar a vítima, há uma oportunidade de compartilhar  conhecimento em segurança e inteligência por uma causa maior.

Este blog vem diretamente das trincheiras da guerra cibernética. É a primeira parte de uma série de textos contando as histórias de guerra das equipes de resposta a incidentes da Check Point. Esperamos que nossas experiências e percepções possam ajudar a comunidade de segurança enquanto educamos o público sobre como lidar com ataques cibernéticos.

Em meados de abril de 2018, a equipe de Serviços de Segurança Gerenciada (MSS) da Check Point e da Check Point Incident Response notaram que algo estava errado em uma certa universidade na região Ásia-Pacífico. Um PC na rede da universidade exibia sinais de atividade maliciosa. Era um padrão conhecido de comunicação de comando e controle (C2) mal-intencionado – quando era conectado a equipamentos de pesquisa médica. As equipes da Check Point notificaram a universidade e incluíram a equipe da Check Point Incident Reponse para investigar o incidente.

Os perigos do movimento lateral

De início, identificamos uma atividade de scanning do bloco de mensagens do servidor (SMB) e começamos a trabalhar na análise forense. Encontramos três arquivos suspeitos e três drivers suspeitos, e mais análises de engenharia reversa de nossa equipe de pesquisa identificaram o nosso culpado: uma nova variante de um dropper sofisticado e virulento, o Glupteba.

O SMB é um protocolo da camada de rede de aplicativo usado principalmente para compartilhar arquivos – por exemplo, o diretório \\, normalmente encontrado em escritórios, é executado no protocolo SMB. Neste caso específico, uma vez que o malware infecta o computador, começa a escanear tanto a rede interna quanto a externa (como faz na Internet) para portas SMB abertas, tentando “saltar” para outras partes da rede e infectar toda a organização.

Isso significa que uma organização só precisa de uma vulnerabilidade, em apenas uma máquina, para que uma infecção dessas atinja toda a rede. Um funcionário conecta seu telefone a uma rede wi-fi não segura ou um usuário abre mão de suas credenciais para um esquema de e-mail com phishing e pronto … apenas um lapso momentâneo e toda a organização está em risco.

O WannaCry se espalhou por centenas de países e causou bilhões de dólares de danos usando o EternalBlue – a arma de hackers de nível militar roubada da NSA – e explorando uma vulnerabilidade conhecida do SMB Microsoft. Isso permitiu que o WannaCry se movesse lateralmente pelas redes que infectou, o que é uma razão fundamental para que ele e o NotPetya sejam considerados o ponto de virada entre os ataques cibernéticos de quarta e quinta geração.

Assim que a equipe de resposta a incidentes da Check Point viu o movimento lateral entre as portas SMB e identificou o malware, decidimos descobrir como um PC – conectado apenas à rede de pesquisa médica – foi infectado por esse malware.

Achando o paciente

A rede estava devidamente segmentada, o que significa que as diferentes redes com diferentes necessidades de segurança tinham barreiras eficazes para evitar a contaminação cruzada. Mas, de alguma forma, o malware conseguiu se mover lateralmente da rede de estudantes, pública e aberta, para a rede de pesquisa, privada e sensível. Felizmente, a equipe de TI da universidade estava mandando no jogo e consolidou seu gerenciamento com muita antecedência.

Em todas as equipes de TI há uma prática recomendada muito clara: consolide o gerenciamento do sistema de todas as redes em um único painel e você será muito mais eficaz contra ataques cibernéticos. E como a universidade já estava praticando esse conselho, conseguimos recuperar os logs da rede do laboratório de pesquisa e da rede pública de alunos, obtendo a pista que a equipe forense precisava.

Ao focarmos na rede pública de estudantes, vimos logo o que precisávamos ver: vários alunos tinham o mesmo malware no seu laptop. Depois de algumas perguntas para o corpo docente, encontramos nosso paciente zero: um aluno, voluntário ocasional no laboratório, acessou a máquina justamente no dia em que a atividade suspeita começou. Os logs confirmaram que, por alguns minutos, o aluno acessou um dispositivo médico e o conectou à rede sem fio dos alunos. Aqueles poucos minutos foram suficientes para a máquina ser infectada.

Muitas lições

Esse lapso momentâneo na higiene cibernética era a única maneira de o malware entrar na sensível rede de pesquisa, já que a equipe de TI da universidade estava em cima da jogada e havia segmentado as redes de maneira adequada com antecedência. Se a universidade não segmentasse as duas redes, o malware Glubepta entraria na rede pesquisa com muito mais facilidade. A melhor estratégia e prática de segurança não é compatível com erro humano, mas pode minimizar os riscos. Neste caso, a universidade segmentou as duas redes e consolidou a gestão do sistema, permitindo resposta rápida e eficaz da nossa parte. A universidade evitou o desastre, mas este caso destacou várias lições importantes:

  1. Segmentação de rede adequada ainda é um dos controles de segurança mais críticos – se a universidade não segmentasse sua rede de pesquisa, a máquina infectada teria permitido que o malware se espalhasse lateralmente, atacando rapidamente toda a organização mesmo sem contaminação cruzada.
  2. A conexão inadequada a uma rede desprotegida pode infectar sua máquina em um piscar de olhos – portanto, as organizações devem monitorar dispositivos que se conectam a redes sem fio.
  3. O patching é igualmente crucial, e é vital que os fornecedores que fornecem PCs para pesquisa médica forneçam / aprovem atualizações em tempo hábil.
  4. A maioria dos dispositivos médicos e ferramentas de pesquisa é de missão crítica e não é projetada com a segurança em mente, e assim atualizá-los significa down time – enquanto fazer patch, isolar e micro-segmentar funcionam em um piscar de olhos.

Na quinta geração de ataques cibernéticos, a prevenção é a melhor cura

Nossa inteligência mostra que muitas famílias de malware estão incorporando as sofisticadas ferramentas de movimento lateral de quinta geração que vimos neste incidente, e as organizações precisam estar preparadas para uma violação. Da perspectiva de resposta, a microssegmentação e a inspeção do tráfego interno para o movimento lateral, juntamente com o Endpoint Detection and Response, foram essenciais para a rápida resolução do problema. Mas ainda mais do que tudo, o principal argumento, como dizemos repetidas vezes é o seguinte: investir em prevenção é muito mais barato do que ter as melhores ferramentas para detectar uma violação.

Texto cedido pelo Check Point’s Incident Response Team