Praktická ukázka, jak se nemá chovat admin. Jak tomu zabránit?
Search
  • romansebranek

Praktická ukázka, jak se nemá chovat admin. Jak tomu zabránit?

Updated: Jan 23

I administrátoři jsou jen lidi. A často jsou líní. Nemění hesla nebo používají taková, která se dají snadno prolomit. Co se může stát, ukázala tisková zpráva společnosti Kaspersky, viz níže. Tři roky se hackeři procházeli bez povšimnutí firmou, protože se po celou dobu dokázali přihlašovat jako admin. Tři roky tak shromažďovali citlivé firemní údaje! 

Podnikové směrnice sice jasně říkají, jak se mají všichni v síti chovat, jaká hesla nastavovat a jak často je měnit, ale realita bývá jiná.

To ostatně potvrzuje i naše praxe. Hesla jako Zari2019, Prosinec2019, Brezen2020 jsou běžná a hackerům usnadňují práci. Nestojí totiž moc námahy přijít na další heslo v řadě. Co tedy s tím? Ani admin nemusí znát heslo k účtu s nejvyššími právy. Jak to potom celé funguje?

Admin se totiž přihlašuje také jako normální uživatel a až pro speciální operace musí použít admin účet. V tuto chvíli po něm například systém může chtít další verifikaci, například SMS kód nebo čipovou kartu. Až potom, co ho ověří, za něj vyplní heslo (které ale ani admin nezná!) a do systému ho pustí. Složitost a platnost hesla navíc lze libovolně měnit.

Důležité je, že systém zbaví uživatele kompletně povinnosti znát, používat a měnit svá hesla.  Systém i firemní data jsou tak výrazně odolnější vůči útokům. Jestli vás řešení zajímá a chcete chránit firemní data i před pohodlností zaměstnanců, koukněte na řešení AdmPwd.E (link https://www.greycorbel.com/admpwd-e)



Tři roky neaktualizované heslo umožnilo hackerům vysávat data z velké firmy


21. ledna 2020


Speciální tým společnosti Kaspersky, zaměřující se na reakci na kybernetické incidenty, sledoval, analyzoval a následně zastavil dlouhotrvající útok na soukromou organizaci. Útok probíhal od roku 2017 do roku 2019 a v jeho důsledku uniklo velké množství citlivých údajů. Hackeři se do systému dostali přes účet administrátora, který si neměnil přístupové heslo. Díky tomu infiltrovali systém, dostali se do několika pracovních stanic, vytvořili backdoory a nepozorovaně shromažďovali data.


Klient, velká nejmenovaná společnost, oslovil odborníky z Kaspersky poté, co detekovali podezřelé procesy ve své korporátní síti. Následná analýza odhalila, že byl systém napadnut prostřednictvím účtu lokálního administrátora (adm_Ivan), skrz nějž hackeři do sítě zanesli škodlivé dynamické knihovny. Později účet sloužil i ke krádežím dat ze systému. Ačkoliv není zcela jasné, jak došlo k prvotnímu prolomení administrátorského účtu, je naopak zcela zjevné, že jeho následná nečinnost umožnila dlouhé trvání útoku. Administrátor si totiž za celou dobu útoku ani jednou nezměnil heslo, i přes to, že by k jeho aktualizaci mělo dojít každé tři měsíce (jak udává bezpečnostní směrnice společnosti). To poskytlo útočníkům stálý přístup k systémům společnosti a vyústilo v únik tisíců citlivých souborů.


Útočníci pronikly do systému prostřednictvím administrátorského účtu a škodlivé soubory nahráli přímo do sítě. Mezi soubory byly jak dynamické knihovny tak downloadery a backdoor. Tyto škodlivé objekty byly v systému skryty pomocí upravených zástupců na ploše, v nabídce Start a na hlavním panelu. Po kliknutí na zástupce se spustil škodlivý soubor a až následně došlo ke spuštění dané originální aplikace. Tímto způsobem se útočníkům podařilo skrýt podezřelou aktivitu před bezpečnostními systémy firmy.


Firmu i povolané odborníky nejvíce zajímalo, jakým způsobem útočníci využili nainstalovaný backdoor. Analýza ukázala, že backdoor spustil různé příkazy a pomocí klíčových slov a souborových přípon vyhledával soubory. Uchovával také metadata stahovaných souborů. Je také zajímavé, že tento backdoor byl speciálně vytvořen pro tento útok, vzhledem k tomu, že více než rok nebyl detekován v rámci jiného incidentu. Dodatečné monitorování také organizaci umožnilo zjistit, do jaké míry byl systém ohrožen a jak došlo k pozměnění zástupů na škodlivé soubory. Podařilo se tak vytvořit velký počet indikátorů napadení pro tento konkrétní útok.


Útočníci dlouhou dobu selektivně útočili na jednotlivé části systému, shromažďovali data a poté „opustili“ infikovaný systém – což se již dělo pod dohledem bezpečnostních odborníků. V určitém okamžiku se ale útočníci rozhodli infikovat všechny systémy v síti s cílem získat alternativní přístupový bod. V tu chvíli kyberbezpečnostní odborníci probíhající útok zastavili a celou operaci zlikvidovali.

0 views

© 2020 by GreyCorbel s.r.o.