Paljasta verkkovakoilu - SecMeter

Paljasta verkkovakoilu

Verkkovakoilu havaitaan ja tunnistetaan usein liian myöhään, koska tietojärjestelmien lokit ovat puutteellisia tai niitä ei lueta. Puutteita saattaa ilmetä myös verkon valvonnan osalta, vaikka työvälineitä ja hyviä menettelytapoja on yleisesti tarjolla. Alla kuvataan yksinkertaistettu esimerkki ja joitakin kybertyökaluja, joiden avulla jokainen organisaatio voi kehittää kyberturvallisuutta ja saada kohtuullisen varmuuden tietojen luottamuksellisuudesta.

Esimerkki verkkovakoilun etenemisestä ja havaittavista merkeistä

1. Ensimmäinen pääsy

Hyökkääjä kirjautuu sisään joko varastetuilla VPN (Virtual Private Network) eli virtuaalisen erillisverkon tunnuksella tai varastetulla RDP (Remote Desktop Protocol) eli etätyöpöytäprotokollan tunnuksella. Mahdollinen lokimerkintä Windows Security Event Logissa:

yaml

Event ID: 4624

Logon Type: 10 (RemoteInteractive)

Account Name: s.kosonen

Source IP: 192.168.45.200

Time: 02:13 AM

Lokista on huomattava, että kirjautuminen on tapahtunut yöllä, vaikka kyseinen käyttäjä työskentelee normaalina työaikana klo 08:00 – 16:30 ja Source IP ei kuulu organisaation normaaliin alueeseen.

2. Tiedostojen selaus ja kopiointi

Hyökkääjä selaa verkkojaon kautta talouskansion sisältöä ja kopioi tiedostoja omaan käyttöönsä. kopioinnista tulee SIEM-hälytys:

pgsql

Unusual file access pattern detected

User: s.kosonen

Accessed: 245 confidential documents within 10 minutes

Location: \\fileserver\finance

Hälytyksessä on huomioitava, että on kopioitu poikkeava määrä tiedostoja lyhyessä ajassa, eikä käyttäjä yleensä työskentele kyseisessä kansiossa.

3. Tietojen siirto ulos (exfiltraatio)

Hyökkääjä pakkaa tiedostot ja lähettää ne salattuna ulkopuoliseen osoitteeseen käyttäen curl-komentoa. kopioinnista tulee EDR (Endpoint Detection and Response) tai palomuurihälytys.

EDR on tietoturvateknologia, joka valvoo, analysoi ja reagoi päätelaitteilla (eli koneilla, palvelimilla, työasemilla) tapahtuviin epäilyttäviin tapahtumiin ja uhkiin. EDR lokin hälytys:

yaml

Process: cmd.exe -> curl.exe

Target IP: 45.77.33.88

Port: 443

Payload: data.zip (150 MB)

Hälytyksessä on huomioitava curl-komennon käyttö komentoriviltä ilman hyvää syytä. Tässä vaiheessa tapahtuu suuri datasiirto tuntemattomaan IP-osoitteeseen

4. Jäljittäminen ja piiloutuminen

Hyökkääjä poistaa Windowsin tapahtumalokeja komennoilla:

nginx

wevtutil cl Security

Tässä vaiheessa on kiinnitettävä erityisesti huomiota tapahtumalokien tyhjennykseen, joka on merkki siitä, että joku yrittää peitellä jälkiään. Hyökkäys voidaan havaita yhdistämällä lokit eri lähteistä ja etsimällä poikkeavuuksia. Erityisesti käyttäytymisanalytiikka (UEBA) ja EDR/XDR ovat tehokkaita näissä tapauksissa.

Verkkoliikenteen analysointi

Vastatiedustelut käyttävät verkkoliikenteen analysointiin mm. Wireshark, Suricata ja Zeek kybertyökaluja. Ne ovat yleisesti käytössä tietoturva-alalla, mm. kybertiedustelussa, uhkien tunnistamisessa ja forensiikassa. Näitä voidaan käyttää verkkovalvontapisteissä esim. operaattorien solmukohdissa seuraamaan mahdollisia vakoilu- tai hyökkäysyrityksiä.

Kybervakoilua harjoittava valtiollinen tai kehittynyt toimija pyrkii pääsemään järjestelmiin esimerkiksi haavoittuvuuksia hyödyntämällä. Kohteena ovat mm. luottamukselliset tiedostot ja sähköpostit. Kun tieto on saatu hallintaan, hyökkääjän on kyettävä siirtämään tieto hiljaisesti ulos (data exfiltration) organisaatiosta. Lopuksi hyökkääjä pyrkii pysymään järjestelmässä huomaamatta niin pitkään kuin mahdollista. Alla on kuvattu työkaluja, joita käytetään vakoilun paljastamiseen ja verkon valvontaan.

1. Verkkoliikenteen valvontatyökalut

• Zeek,  syvä verkkoliikenteen analyysi ja käyttäytymismallit
• Suricata, IDS/IPS-tunnistepohjainen hyökkäystunnistus
• Wireshark, tarkka pakettikohtainen analyysi
• NetFlow/sFlow, liikennemäärien ja yhteyksien tilastollinen valvonta

2. Uhkatiedustelutyökalut

• MISP, IOC-listojen ja uhkakampanjoiden jakaminen.
• ThreatConnect, tiedusteluanalyysin hallinta + automaatio.
• VirusTotal, AbuseIPDB, tiedon rikastaminen yksittäisistä havainnoista.
• IOC = Indicator of Compromise tunnisteet.

IOC-lista on kokoelma tunnisteita, jotka viittaavat siihen, että tietojärjestelmä on joutunut hyökkäyksen tai haitallisen toiminnan kohteeksi. Tunnisteita käytetään automaattisesti tai manuaalisesti verkkoliikenteen, lokien ja järjestelmien tarkkailuun, jotta voidaan havaita haitallinen toiminta, kuten vakoilu, tietomurrot, kiristyshaittaohjelmat tai APT-hyökkäykset.

3. Lokinvalvonta ja SIEM-järjestelmät

• ELK-stack (Elasticsearch, Logstash, Kibana), tapahtumien indeksointi ja visualisointi.
• Splunk, SIEM-hälytykset, haku ja analytiikka.
• Graylog, keskitetty lokien hallinta.

4. Endpoint- ja käyttäjätason suojaus

• EDR (esim. CrowdStrike, SentinelOne), seuraa koneiden toimintaa ja tunnistaa hyökkäysketjuja
• Sysmon + Zeek, yhdistämällä endpoint- ja verkkomonitorointi saadaan kokonaiskuva
• CrowdStrike ja SentinelOne ovat EDR (Endpoint Detection and Response) ja XDR (Extended Detection and Response) ratkaisuja. Nämä ovat kyberturvallisuuden huipputason työkaluja, jotka suojaavat yksittäisiä koneita (työasemia, palvelimia, pilvialustoja) edistyneiltä hyökkäyksiltä, kuten:

• vakoiluohjelmilta
• kiristyshaittaohjelmilta (ransomware)
• APT-hyökkäyksiltä (valtiolliset toimijat)
• Zero-day-haavoittuvuuksien hyväksikäytöltä

Yllä esimerkkikaavio, joka näyttää miten Zeek + MISP + ELK + EDR liittyy toisiinsa ja muodostaa täydellisen vakoilun havaitsemisputken.

UBA tai UBEA

UBA tai UBEA (User Behavior Analytics, User and Entity Behavior Analytics) tunnistaa poikkeavaa käyttäytymistä käyttäjätilien tasolla. Kyseessä on kyberturvatyökalu tai tekniikka, joka analysoi käyttäjien ja järjestelmien toimintaa etsiäkseen poikkeamia ja mahdollisia uhkia. UBA seuraa esimerkiksi

• milloin käyttäjä kirjautuu sisään ja mistä
• mitä tiedostoja hän käyttää tai kopioi
• miten käyttäjä liikkuu sisäverkossa
• mitä sovelluksia hän käyttää
• poikkeaako hänen käytös tietojärjestelmässä aiemmasta
• yhteydet ulkomaisiin tuntemattomiin IP-osoitteisiin (C2)
• yksi kone ottaa yhteyttä 20:een eri maahan 5:ssä minuutissa
• PowerShellin, makrojen tai tunneloidun DNS:n käyttö
• suuri määrä asiakirjoja pakattuna ja siirretty kerralla ulos
• uusi käyttäjätili tai salasanamuutos ilman valvottua syytä
• ylläpitäjätili kirjautuu keskellä yötä IP:stä, jota ei ole aiemmin käytetty
• samalla tilillä kirjautumisia eri maista (geo-anomalia).

UBA vertaa nykyistä käytöstä normaaliin käyttäytymismalliin (omalta ajalta ja muiden saman roolin käyttäjien perusteella). Jos havaitaan poikkeama UBA antaa hälytyksen esimerkiksi ”HÄLYTYS! tutkimuspäällikkö kirjautui yöllä Kiinasta ja siirsi 100GB tiedostoja”.

Wireshark

Wireshark on verkkokaappaus- ja analysointityökalu, jonka pääasiallinen käyttötarkoitus on reaaliaikainen tarkastelu ja forensiikka. Ohjelmalla voi tarkastella yksityiskohtaisesti kaikkea, mitä tietokoneen verkkokortti näkee. Wireshark-ohjelma on tehokas haittaohjelma-analyysissä, vakoilun havaitsemisessa ja salatun liikenteen tarkastelussa (jos salaus on murrettu).

Wiresharkin avulla voi mm.

• seurata ja purkaa verkkoliikennettä reaaliajassa tai tallennettuna
• tarkastella pakettien sisältöä protokollatasolla (TCP, HTTP, DNS, TLS jne.)
• etsiä poikkeamia tai haitallista liikennettä
• käyttää analyysia forensiikassa ja vakoilussa (esim. milloin data on lähetetty, mihin, millä tavalla)

Suricata

Suricata on tunnetun allekirjoituspohjaisen uhkien tunnistusjärjestelmän (IDS/IPS) työkalu, jonka pääasiallinen käyttötarkoitus on identifioida tunnetut hyökkäykset ja uhkamallit. Suricata tunnistaa protokollia syvemmällä tasolla (deep packet inspection) ja tukee mm. TLS/SSL, HTTP, SMTP, DNS jne. Suricatan avulla voi mm.

• tunnistaa tunnettuja hyökkäysmalleja ja -signatuureita
• kirjata ja analysoida verkossa tapahtuvia poikkeamia
• havaita DDoS-yrityksiä, porttiskannauksia, haittakoodiyrityksiä jne.
• käyttää reaaliajassa suojausjärjestelmänä tai passiiviseen analyysiin.

Zeek

Zeek on verkon käyttäytymisen analysointialusta, joka pääasiallinen käyttötarkoitus on rakenne- ja kaavapohjainen tiedustelu. Zeek on hyvä ohjelma pitkäaikaiseen tiedusteluun ja analyysiin. Zeek ei etsi ainoastaan yksittäisiä paketteja, vaan kokonaisia tapahtumaketjuja ja kaavoja. Zeek auttaa paljastamaan ulkovaltojen vakoiluyrityksiä, jotka eivät näy yksittäisinä paketteina vaan pitkän aikavälin malleina. Zeek-ohjelmaa käytetään erityisesti kriittisen infrastruktuurin pitkäkestoisessa kybervalvonnassa. Zeekin avulla voi mm.

• luoda tapahtumalokeja, kuten "kuka otti yhteyden minne, milloin, ja mitä tapahtui"
• seurata epäilyttäviä sessioita ja käyttäytymismalleja
• skriptata omia tunnistuksia
• APT-toimijoiden (kehittyneet uhat) tunnistuksessa
• verkkovalvonnassa, jossa ei haluta "hälyjä" vaan kontekstitietoa.

Jos vastatiedustelu epäilee kohdehenkilön olevan yhteydessä vieraan valtion tiedustelupalveluun, Zeek auttaa tunnistamaan käytetyt työkalut, yhteystavat (VPN, TOR, DNS-tunnelointi), tapahtuma-aikajanat (milloin, mihin, mitä siirrettiin). Alla Zeek-skripti, joka tarkkailee kaikkia HTTP-pyyntöjä ja hälyttää, jos kohteena on GRU:n tunnettu tiedusteludomain.

# List of known GRU-related domains

const gru_domains = {

   "example-gru.ru",

   "secure-gru.net",

   "info.svr-gru.org"

};

event http_request(c: connection, method: string, host: string, uri: string) {

   if (host in gru_domains) {

       print fmt [GRU WATCH] HTTP-yhteys epäilyttävään domainiin: %s -> %s%s",

                 c$id$orig_h, host, uri);

   }

}

Huomaa, että kyseessä on yksinkertaistettu esimerkki. Todellisuudessa vastatiedustelu syöttää domainit uhkatiedustelusyötteistä (MISP ja ThreatConnect). Ne voivat olla fuzzy-match tai sisältää myös IP-osoitteita ja TLS SNI -kenttiä. Yhteydet voidaan korreloida käyttäjiin, aikaleimoihin, ja muihin indikaattoreihin.

Fuzzy match (eli epätarkka täsmäys) tarkoittaa menetelmää, jossa pyritään löytämään samankaltaisuuksia kahden datan välillä, vaikka ne eivät olisi täysin identtisiä. Tämä on hyödyllistä tilanteissa, joissa tiedot voivat olla virheellisiä, muokattuja, kirjoitusvirheellisiä tai muuten hieman erilaisia. Koska hyökkääjät yrittävät aktiivisesti harhauttaa ja välttää tunnistamista, fuzzy match auttaa tunnistamaan:

• Samankaltaiset haitalliset IP-osoitteet, domainit, URL-osoitteet.
• Uhkatoimijan nimien tai aliasten muunnelmat.
• Väärennettyjä dokumentteja tai viestejä.

MISP ja ThreatConnect ovat kaksi olennaisen keskeistä työkalua, joita käytetään uhkatiedon (threat intelligence) keräämiseen, jakamiseen ja hallintaan. Nämä työkalut ovat erityisen tärkeitä valtioiden vastatiedustelulle ja kyberturvayksiköille.

MISP

MISP on avoimen lähdekoodin yhteisöpohjainen, ilmainen uhkatiedon jakamistyökalu, jonka avulla organisaatiot voivat mm. kerätä, tallentaa ja analysoida uhkiin liittyvää tietoa (Indicators of Compromise, IOCs). MISP voi jakaa IP-osoitteet, domainit, hashit (MD5, SHA1, SHA256), haittaohjelmien tunnisteet, tiedostojen nimet ja polut, TLS-sertifikaatit. kampanjat, APT-ryhmien profiilit, hyökkäystavat ja tapahtumaketjut, kuten esimerkiksi GRU käytti spearphishingia Word-makroilla.

Esimerkiksi, jos Ruotsissa havaitaan GRU:n uusi IP-osoite, se voidaan jakaa automaattisesti kaikkien MISP-käyttäjien kesken, myös Suomelle, jos supo toimii osana samaa luottamusverkostoa.

ThreatConnect

ThreatConnect (TIP, Threat Intelligence Platform) on kaupallinen all-in-one alusta uhkatiedon analysointiin, automaatioon ja hallintaan, joka yhdistää uhkatiedon hallinnan, automaation, analytiikan ja riskienhallinnan. ThreatConnect työkalun pääasiallinen käyttäjäkunta on suuret yritykset, puolustussektori ja SOC.

ThreatConnect yhdistää useita tietolähteitä (MISP, VirusTotal, CISA, DHS, FireEye, oma data…), rikastaa IOC-tietoa automaattisesti, luo sääntöjä ja työnkulkuja esimerkiksi, jos IP näkyy Zeekin logeissa ja MISPissä, niin suoritetaan ”tee hälytys + blokkaa palomuurissa komento".