Hvor god er reaksjonsevnen din?

The DFIR Report skrev nylig en artikkel om en økonomisk motivert trusselaktør, sannsynligvis gruppa/samlingen som kalles TA551. Bruken av malspam, skadevare og andre verktøy er på ingen måte oppsiktsvekkende eller nyhetsverdig, men at det tar én time fra en bruker lures til å åpne et ondsinnet Word-dokument til trusselaktøren har skaffet seg kontroll over infrastrukturen, er definitivt noe å stoppe opp og tenke over. Dersom tilsvarende ikke ble fanget opp av sikringstiltakene i din infrastruktur, og fikk lov til å utfolde seg på samme måten – hva hadde resultatet blitt? Hvor god er reaksjonsevnen din?

Secunor hadde et møte med TA551 i april, så The DFIR Report sin beretning går vi god for. Den gangen var det malspam levert til en vanlig bruker som førte til kompromittering av brukerens vituelle Citrix-klient (!). Trusselaktør skaffet seg raskt lokale administratorprivilegier, og i løpet av noen timer også domeneadministrator og bredt fotfeste i den større infrastrukturen. Det var Cobalt Strike og named pipes på kryss og tvers. Se for deg whack-a-mole – de dukket stadig opp nye steder uten forvarsel. En skikkelig shit storm.

Vi slet med å holde tritt grunnet manglende deteksjon og synlighet, men av og til har man litt flaks, og det hadde vi denne gangen. Trusselaktøren er nok veldig fokusert på å operere hurtig, og her gikk det utover forsyningslinjene og kvaliteten på fotfestet. De hadde ikke sørget for å etablere alternative kommunikasjonslinjer, så da vi fant og blokkerte trafikken til kommando- og kontrolldomenet deres, falt hele operasjonen sammen. Vi slapp å håndtere en ransomware-hendelse!

Parallelt med huntingen ble det lagt ned betydelig innsats i bedring av deteksjonsevne og synlighet på både nettverk og endepunkter. Det var avgjørende for å kunne friskmelde infrastrukturen etter en så inngripende inntrenging. I fremtiden vil virksomheten kunne avdekke hendelser langt tidligere, og håndteringen vil være mye mer effektiv og treffsikker.

Synlighet, deteksjonsevne og hendelseshåndtering er sikkerhetsnettet som skal fange opp det som ikke blir stoppet av de andre sikringstiltakene. Ikke glem det.

Leave a Reply

%d bloggers like this: