The Red Team Attack

A melhor forma de testar as defesas em cibersegurança pode ser simular um ataque. A equipa Red Team da S21sec fê-lo ao vivo, a convite da Microsoft, na simulação de um ataque à infraestrutura na plataforma Azure e Office 365

The Red Team Attack

No âmbito do evento IDC & AFCEA Cybersecurity Forum Cyberhack 2019, realizado no dia 23 deste mês, a S21sec juntou-se à Microsoft para a realização de um Workshop de Segurança constituído por um exercício de ataque e defesa ao vivo, que demonstrou na prática como operam as principais ciberameaças de hoje, como o phishing, password-spraying, malware para roubo de identidade, entre outros.

Desta forma, foram demonstrados possíveis cenários de reação por parte de uma organização, sendo que caberá à Red Team da S21sec, em colaboração com o parceiro da Microsoft Armis, a missão de desencadear um conjunto de ataques que “emulam” o comportamento de atacantes típicos.

De acordo com João Farinha, Head of Audit da S21sec em Portugal, -“o convite que nos foi feito pela Microsoft foi uma oportunidade única de utilizar a nossa experiência de Red Teaming para demonstrar como é que os atacantes estão a comprometer as infraestruturas digitais das organizações, independentemente da sua dimensão, e como é que novas tecnologias e novas abordagem à computação, como as utilizadas pela Microsoft, podem ajudar essas organizações a manter-se protegidas ou a detetar e reagir mais rapidamente aos ataques”.

Durante a simulação de ataque à infraestrutura simulada na plataforma Azure e Office365, foram feitos três tipos de ataque, frequentemente encontrados nas ações de resposta a incidentes realizadas pela S21sec:


1 - Password Spraying e comprometimento de contas de correio eletrónico

Este tipo de ataque tem como ponto de partida a recolha de informação disponível de forma pública sobre a organização que um atacante pretende atingir.

São pesquisadas as redes sociais, os motores de busca, as bases de dados de credenciais expostas em fugas de informação, entre outras fontes de informação disponíveis para um atacante. O objetivo nesta fase é identificar o maior número de contas de correio eletrónico da organização quanto possível, que servirão como alvo primário de ataque.

A informação recolhida serve ainda para identificar pessoas de interesse - com papéis importantes na organização, nomeadamente nas áreas do I.T., da gestão de topo, da área logística e financeira -, que serão utilizadas em fases mais avançadas do ataque. Nesta fase é também identificado que tipo de infraestrutura de correio eletrónico é utilizada pela organização. Na maioria dos casos, encaixam-se numa de duas possibilidades: servidores geridos e alojados pela própria organização, com exposição para a Internet (para acesso remoto) ou serviços baseados na Cloud (como o Office 365 ou a Google Suite).

O ataque de password spray é uma variante de um ataque clássico de ataque de força bruta, em que eram testadas milhares de palavras-passe diferentes para cada conta, na tentativa de encontrar a correta. Uma vez que a maioria das organizações implementa atualmente limitações no número de tentativas de autenticação erradas, após as quais a conta é bloqueada, no ataque de password spraying é utilizada a mesma lista de duas ou três palavras-passe frequentes, mas tentada em todas as contas que foram descobertas na fase de reconhecimento. Com uma boa escolha dessas duas ou três palavras-passe, e desde que a amostra de contas de correio eletrónico seja razoável, a probabilidade de sucesso é surpreendentemente alta.

Neste caso, a Red Team da s21sec foi bem sucedida ao encontrar uma conta com a palavra-passe. A partir desse momento, e utilizando mecanismos nativos da plataforma Office 365, a equipa atacante obteve a lista completa de todos os utilizadores da organização, e repetiu-se o ataque para essa nova amostra, tendo sido possível encontrar mais utilizadores com essa mesma palavra-passe.
Com base nesses acessos, foram feitas três atividades (típicas de um atacante):

  •  Criar regras de processamento de correio eletrónico para enviar uma cópia de todas as mensagens recebidas para uma conta controlada pelo atacante;
  • Criar uma regra de flow (funcionalidade nativa do Office 365) que permite copiar todos os anexos de todas as mensagens para uma conta de Dropbox, neste caso controlada pelo atacante;
  • Pesquisar caixas de correio com permissões menos controladas, que permitem o acesso por qualquer utilizador.


Este tipo de ataques são muitas vezes prolongados no tempo, em que o atacante mantém a organização sob monitorização durante meses, reunindo informação suficiente para lançar um ataque na altura certa, normalmente de modo a obter ganhos financeiros ao forçar transações para contas bancárias controladas por si.


2- Spear-Phishing

Por vezes os ataques de spraying não são bem sucedidos. Nesse caso, utilizando como base a mesma lista de endereços de correio eletrónico obtida na fase de reconhecimento, é lançada uma campanha de spear-phishing dirigida à organização, em que são criadas mensagens de correio eletrónico muito dirigidas, com recurso a temas adaptados à organização em causa. Este tipo de ataques, apesar de aumentarem a probabilidade de o atacante ser detetado, têm uma taxa de sucesso muito elevada (da experiência prática, são comuns resultados de comprometimento de credenciais na ordem dos 20 a 30% dos destinatários).
A partir do momento em que são obtidas essas credenciais, são usados métodos semelhantes ao do cenário 1 para comprometer mais contas.
Foi ainda lançada uma variante deste ataque, em que na mensagem de correio eletrónico foi embebida uma imagem alojada num servidor na Internet controlado pelo atacante. A forma como foi feita a ligação para esta imagem fez com que o dispositivo atacado, ao tentar obter a imagem, enviasse uma mensagem para o servidor, que inclui a password do utilizador numa forma codificada, e que é possível descodificar com base em ataques de força bruta.
 

3- Dispositivo USB malicioso

Este tipo de ataque requer acesso físico à máquina a atacar, o que é trivial em muitas organizações, por exporem portas USB de postos de trabalho em zonas de acesso público - por exemplo os postos de trabalho em zonas de atendimento ou de receção.
O dispositivo atacante utilizado simula um teclado ligado diretamente à máquina, que efetivamente funciona como se o atacante estivesse no controlo do posto de trabalho a introduzir o conjunto de comandos necessário para comprometer o dispositivo.
No caso exemplificado, em menos de dois segundos, e de forma impercetível para o utilizador do posto de trabalho, foi lançada uma sessão de controlo remoto para uma máquina controlada pelo atacante ligada através da Internet. A partir daí, já confortavelmente instalado numa esplanada de um café, o atacante conduziu os passos seguintes do ataque, até conseguir comprometer toda a rede da organização.

Estes ataques, embora nem sempre possíveis em todas as organizações, são muito frequentes. Cabe às organizações implementar formas de prevenir e detetá-los, e assegurar a realização de testes periódicos controlados, para assegurar que os controlos implementados funcionam. É nesse papel que surgem os serviços de Red Team da S21sec, a emular as metodologias utilizadas pelos atacantes para testar os controlos técnicos, os procedimentos implementados e as equipas de segurança da organização.

As organizações militares já o sabem há séculos: não se pode esperar por ser confrontado pelo inimigo para testar a capacidade de resposta. É necessário treinar regularmente, em condições controladas, mas o mais aproximadas possível da realidade.

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 20 Julho 2019

IT INSIGHT Nº 20 Julho 2019

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.