I recenti attacchi informatici russi alle organizzazioni ucraine ci ricordano che l’attaccante non cerca sempre di rubare dati o estorcere denaro. A volte vuole solo causare più danni possibili. Sia Microsoft che Mandiant hanno recentemente pubblicato alcune preziose informazioni su questi attacchi distruttivi e su come proteggersi meglio da essi.

Indipendentemente dalla posizione geografica, tutti noi possiamo imparare da come si verificano e vengono mitigati questi attacchi. Quelli russi sono stati “estremi” nel loro grado di distruzione come ha scritto la stessa Microsoft nel suo blog: “Il malware in questo caso sovrascrive l’MBR [master boot record] senza alcun meccanismo per il ripristino”. Ciò porta il sistema a non essere avviabile e non riparabile senza una reinstallazione completa o un ripristino da un backup completo del sistema. Pertanto, la prima lezione è assicurarsi di disporre degli strumenti e delle risorse per ridistribuire completamente le immagini della workstation o di avere la piena capacità di ripristinare le piattaforme.

Il documento di Mandiant fornisce inoltre informazioni utili sui modi migliori per proteggersi dai danni di attacchi simili. Mentre leggete il documento, considerate se avete queste protezioni in atto.

Proteggere i dispositivi e i sistemi rivolti verso l’esterno con l’autenticazione a più fattori

Mandiant consiglia di iniziare con i dispositivi e sistemi esterni. Una volta infatti che l’esterno è penetrato, è relativamente facile lanciare attacchi laterali all’interno delle risorse dell’ufficio. Quindi, per prima controllate se i vostri dispositivi rivolti verso l’esterno e qualsiasi altra cosa che consenta l’accesso remoto richiedono l’autenticazione a più fattori.

Nessuno o nessuna cosa dovrebbe essere in grado di accedere con un semplice nome utente e password. Esaminate quindi ogni dispositivo perimetrale per determinare se in modo nativo il dispositivo supporta l’uso di un’applicazione di autenticazione anziché una semplice password.

Identificare obiettivi di alto valore sulla vostra rete

Esaminate la vostra rete per individuare obiettivi di alto valore che potrebbero essere presi di mira per attacchi distruttivi. La difesa chiave che avete a disposizione non è rivoluzionaria e la usiamo da anni: il backup. Bisogna avere una rotazione dei backup per assicurarsi di disporre di supporti di backup fuori sede e fuori dominio. Se tutte le posizioni di backup sono unite a un dominio e l’autore dell’attacco può accedere a tale posizione, i backup stessi possono risentirne. L’accesso all’infrastruttura di virtualizzazione dovrebbe avvenire tramite account limitati e progettati per avere tale accesso. Ancora una volta, prendete in considerazione l’autenticazione a due fattori e altri processi di accesso con privilegi quando si tratta di proteggere HyperV e altre piattaforme di virtualizzazione.

Proteggersi dai movimenti laterali

Prendete in esame le protezioni che avete per il movimento laterale. Nel mio ufficio, ho implementato Local Administrator Password Solution (LAPS) per garantire che non si possano verificare movimenti laterali a causa di una password amministrativa locale condivisa. Esaminate l’utilizzo delle porte firewall tipiche che gli aggressori prenderanno di mira per l’accesso laterale, ovvero le porte 445, 135 e 139. Scoprite quali workstation e server sono in ascolto su queste porte e il modo migliore per isolare e limitare le porte del firewall nella vostra rete.

Web application firewall

Esaminare l’uso e l’esposizione dei protocolli remoti

Assicuratiìevu innanzitutto di non avere Remote Desktop Protocol (RDP) esposto all’esterno. Se è esposto, limitatelo solo a quei dispositivi che lo richiedono. Come sottolinea Mandiant, i protocolli remoti che dovreste bloccare sui vostri dispositivi sensibili includono Condivisione di file e stampanti, Desktop remoto, Strumentazione gestione Windows (WMI) e Gestione remota di Windows. Ciò significa che dovrete rivedere il modo in cui il vostro personale IT gestisce e mantiene i sistemi. Assicuratevi inoltre che i vostri processi di gestione non introducano insicurezza nel processo.

Verificare la presenza di password esposte o legacy

I nomi utente e le password sono un punto di accesso chiave e quindi un punto di attacco chiave. Spesso riutilizziamo le password e le applicazioni spesso inseriscono le credenziali nei sistemi e di conseguenza introducono punti deboli. Mandiant sottolinea che spesso abbiamo password nascoste lasciate nelle nostre reti e che non siamo consapevoli del rischio che ciò comporta.

Molti di noi hanno reti Active Directory (AD) che sono state aggiornate nel tempo da un’infrastruttura AD meno recente e meno sicura. Potremmo però avere ancora molte di queste impostazioni legacy ancora in vigore sulla nostra rete. Qui entra in gioco l’autenticazione WDigest; sebbene sia disabilitata per impostazione predefinita in Windows 8.1 e Windows Server 2012 R2 e versioni successive, è possibile che le password con testo non crittografato siano ancora archiviate nella memoria LSASS per supportare l’autenticazione. Mandiant consiglia di modificare la seguente chiave di registro per bloccare il salvataggio delle password:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential

REG_DWORD = “0”

Implementare Windows Defender Credential Guard

Introdotto in Windows 10 Enterprise e Windows Server 2016, lo strumento Windows Defender Credential Guard usa la sicurezza basata su virtualizzazione per isolare i segreti, in modo che siano accessibili solo dal software di sistema con privilegi. L’accesso non autorizzato a questi segreti può produrre attacchi di furto delle credenziali di tipo Pass-the-Hash o Pass-The-Ticket. Credential Guard impedisce questi attacchi proteggendo gli hash delle password NTLM, i ticket di concessione Ticket Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.

Windows dispone di API documentate che consentono al software di accedere alle credenziali e ai segreti in esecuzione in memoria. Microsoft non può disabilitare queste API perché tutti abbiamo creato software che fanno affidamento su di esse. L’esecuzione di Credential Guard rende quindi più difficile per gli aggressori l’accesso a queste credenziali.

La maggior parte dei consigli di Mandiant può essere eseguita sulle reti di cui disponiamo attualmente. Non abbiamo bisogno di una nuova distribuzione del sistema operativo del server o di workstation con Windows 11 per implementare molti di questi consigli. Tutto ciò di cui abbiamo bisogno sono test e tempo per apportare le modifiche necessarie al modo in cui le nostre reti vengono implementate.