Blog technologiczny Web-News.pl

Wyciek danych LastPass z perspektywy piramidy bólu

W ostatnich miesiącach eksperci ds. cyberbezpieczeństwa szeroko komentowali szczegóły dotyczące naruszenia bezpieczeństwa LastPass. Pojawiły się zarówno opinie dotyczące niezbędnych kroków naprawczych dla klientów, jak i zasłużona krytyka dotycząca sposobu komunikacji o incydencie. W publicznym dyskursie zabrakło rozmowy na temat wskaźników, które można wyłuskać z różnych komunikatów LastPass. Eksperci Vectra AI podjęli się zadania, by nakreślić najważniejsze informacje zawarte w komunikatach LastPass i wyliczyć wskaźniki ataku, jednocześnie inicjując dyskusję wokół piramidy bólu.

wyciek lastpass

Piramida bólu dla wskaźników w chmurze

Piramida bólu to model koncepcyjny ułatwiający klasyfikację skuteczności zastosowanych metod kontroli. Po raz pierwszy opisany przez Davida Bianco w 2013 roku, “ból” odnosi się do trudności, jakie kontrola bezpieczeństwa przysporzy przeciwnikowi. Przesuwając się w górę piramidy, zwiększa się ból odczuwany przez atakującego zmuszonego do dostosowania się i unikania wykrycia przez obrońcę. Piramida bólu pokazuje, że nie wszystkie wskaźniki ataku (a więc i możliwości detekcji) są sobie równe.

Analiza komunikacji LastPass

Wyodrębnijmy fragmenty informacji z publicznych komunikatów LastPass – zwracając szczególną uwagę na wskaźniki ataku, których celem były dane przechowywane w chmurze.

Chociaż w tych komunikatach jest wiele ciekawych informacji dotyczących postawy ochronnej i obronnej LastPass, w Vectra AI skupiliśmy się na ujawnieniu możliwych zachowań wykazywanych przez atakującego – mówi Christian Putz, Country Manager w Vectra AI.

Pierwszy incydent: kradzież repozytoriów źródłowych i dokumentacji technicznej.

„Atakujący korzystał z usług VPN firm trzecich, do zatuszowania źródła swojej aktywności podczas uzyskiwania dostępu do rozwojowego środowiska programistycznego znajdującego się w chmurze i wykorzystywał ten dostęp do podszywania się pod inżyniera oprogramowania. Korzystając z tego podejścia, był w stanie „przeskoczyć” do środowiska programistycznego na żądanie za pośrednictwem naszej korporacyjnej sieci VPN, a także dedykowanego połączenia ze środowiskiem programistycznym w chmurze. Zrobili to, polegając na pomyślnym uwierzytelnieniu inżyniera oprogramowania za pomocą poświadczeń domeny i usługi MFA. Nie wykryto eskalacji uprawnień, która nie była potrzebna.”

Drugi incydent: kradzież kopii zapasowych klientów zawierających zaszyfrowane i niezaszyfrowane dane, seed haseł jednorazowych i prywatne klucze API używane w integracjach z produktami innych firm.

„Ze względu na kontrole bezpieczeństwa chroniące i zabezpieczające instalacje w lokalnych produkcyjnych centrach danych LastPass, celem cyberprzestępcy stał się jeden z czterech inżynierów DevOps, którzy mieli dostęp do kluczy deszyfrujących potrzebnych do uzyskania dostępu do usług przechowywania danych w chmurze”.

Możemy wykorzystać te informacje do omówienia możliwych wskaźników naruszenia bezpieczeństwa, jakie atakujący mógł po sobie zostawić.

Atak na LastPass: możliwości wykrywania i reagowania w chmurze

Biorąc pod uwagę to, co wiemy o wartości różnych wskaźników, w jaki sposób możemy zmapować możliwe wskaźniki naruszenia LastPass na piramidę bólu?

Wskaźniki stosunkowo “bezbolesne”

• Dostęp do Cloud API z nietypowych lokalizacji, co skutkuje wykryciem nieprawdopodobnych źródeł zapytań.
→ Jest mało prawdopodobne, że pierwszy incydent zostałby wykryty, jeśli szukano by tego wskaźnika, ale możliwe, że drugi incydent mógł wygenerować pewne sygnały.

Wskaźniki środka piramidy

• Aktywność rozpoznawcza
→ Po uzyskaniu dostępu do prawidłowych poświadczeń osoba atakująca mogła wykorzystać API w chmurze, aby wyliczyć swoje uprawnienia i/lub wyświetlić i opisać obiekty S3. Jednak podczas pierwszego incydentu skradziono dużą ilość dokumentacji technicznej. Całkiem możliwe, że wszystkie wymagane informacje zostały zawarte w tej dokumentacji, a atakujący nie musiał wykonywać dalszych czynności rozpoznawczych w chmurze.

Wskaźniki wierzchołka piramidy

Istnieje kilka wskaźników złamania zabezpieczeń, które można dostrzec na podstawie naruszenia LastPass i zmapować na wszystkich poziomach piramidy bólu. Chociaż zapewnienie wykrywania na wszystkich poziomach ma swoją wartość, ważne jest, aby zdawać sobie sprawę, że przebieg zdarzeń może być różny. Wykrywanie dostępu do chmury z nieznanych lub niezaufanych źródłowych adresów IP dla atakującego będzie łatwe do uniknięcia, podczas gdy wykrywanie TTP podejrzanego ruchu danych i dostępu do danych jest prawdopodobniej najbardziej wypróbowaną i pewną metodologią wykrywania ataku.

Źródło: vectra.ai

Exit mobile version