L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”.
Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia.
Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti.
L’abbandono di uno strumento di attacco automatico quale il malware va anche oltre, essendo stato osservato un comportamento più sfrontato, ambizioso e tecnicamente capace degli agenti di minaccia nel cimentarsi nelle loro scorribande attraverso meccanismi definiti nel rapporto come “interattivi” (diremmo “manuali”). Questo appare soprattutto evidente in quel sottoinsieme delle minacce che il rapporto chiama eCrime, ossia gli agenti del cyber crimine, ormai la minaccia più diffusa.
L’attore più prolifico in questo comportamento è stato identificato come PROPHET SPIDER, anche se questo ha assunto come limite la ricerca dell’accesso, molto probabilmente perché la sua specializzazione criminale è la vendita di tali accessi a coloro che intendano effettivamente operare sull’obiettivo. Pertanto la strategia non centra l’interesse sulla specifica vittima, ma si espande alla ricerca del maggior numero di vittime possibili al fine di ampliare il suo guadagno.
E veniamo ai numeri che corroborano l’ipotesi iniziale. Il rapporto indica che nel 71% degli attacchi non è stato utilizzato in malware, ma opzioni più semplici (come credenziali valide). Il 30% delle intrusioni è proseguita poi con un movimento laterale fulmineo (sotto i 30 minuti): pertanto è evidente la qualità delle tecniche di ricerca delle vulnerabilità adottate dagli agenti di minaccia e della conseguente facilità nel rendere operativo un exploit.
Il numero delle vulnerabilità di questo anno dimostra una forte crescita rispetto agli anni precedenti e probabilmente questo ostacola il lavoro di molte organizzazioni che prese dall’urgenza delle correzioni a breve termine non riescono ad adeguarsi sul lungo termine, lasciando spesso vulnerabilità “legacy” scoperte, facilitando il lavoro degli agenti di minaccia. Un esempio su tutti è lo sfruttamento della catena di exploit ProxyShell che consente RCE su server Microsoft Exchange, vulnerabilità ormai di un anno fa e ancora presente.
Tra le tecniche emergenti c’è lo sfruttamento di host vulnerabili che abbiano accesso privilegiato al cloud (in particolare è stato osservato verso della console di Amazon Web Services mediante lo strumento a linea di comando aws, ma anche Office 365 su Azure), realizzando così una particolare movimento laterale.
Un'altra strategia di movimento laterale (dopo un accesso ottenuto a forza bruta) è appoggiarsi a servizi RDP (metodologia utilizzata da affiliati al gruppo Phobos).
Se è vero dunque che la maggioranza degli sforzi di ingegno (quasi artigianali) sono rivolti alla post exploitation, tra movimenti laterali e persistenza, l’accesso viene più spesso ottenuto da vulnerabilità vecchie e note sui sistemi da compromettere: nel settore dell’assistenza sanitaria è stato osservato ad esempio un incedere della minaccia attraverso differenti strumenti di attacco noti come Mimikatz, Netscan, PsExec, CobaltStrike, ecc.
Ma la cosa forse più sorprendente è il delivery attraverso strumenti che potevamo pensare obsoleti, come file ISO (è la strategia del gruppo WIDARD SPIDER).
Insomma, il mondo della minaccia è cambiato, e probabilmente cambierà ancora.
