Gli attacchi “nation state” e RansomOps eseguiti manualmente sono diventati tra i principali e più distruttivi metodi di attacco usati dai cybercriminali. Tra i più pericolosi, sono anche difficili da individuare. La decriptazione dei payload dei pacchetti è efficace dal punto di vista operativo per aiutare gli analisti ad individuare i segnali di questi attacchi avanzati all’interno di una rete?
La risposta breve è “no”, almeno per tre ragioni.
La decriptazione passiva della crittografia standard, come TLS, è operativamente costosa, basti pensare che con TLS 1.3 richiede l’installazione di un agente su tutti gli endpoint connessi. La decriptazione, inoltre, non offre al difensore molti vantaggi che non siano già offerti dalla decriptazione attiva con firewall o proxy. Infine, nessuna delle due aiuta effettivamente i difensori a rintracciare il canale C2 di un attaccante avanzato o l’esfiltrazione dei dati.
Se consideriamo il traffico ai confini della rete di un’organizzazione, dove la crittografia è prevalente, e cerchiamo segni di command and control e di esfiltrazione dei dati, scopriremo che la decriptazione offre pochissimi vantaggi ai difensori, se non addirittura nessuno, quando si tratta di rilevare attacchi avanzati nation state o attacchi criminali eseguiti manualmente come i RansomOps. Ecco perché.
Gli strumenti di attacco nation state sono personalizzati
Gli attori nation state di solito assemblano diverse tool chian in modo che possano essere utilizzate dalle proprie squadre di attacco. Queste tool chain spesso includono strumenti sviluppati internamente e altri standard; questi ultimi saranno altamente personalizzati per evitare di essere rilevati con metodi semplici che ne rilevino la semplice presenza. Inoltre, gli attori nation state più capaci aggiungeranno ulteriore complessità: configureranno gli strumenti personalizzati e quelli standard in modo diverso per ogni obiettivo e non riutilizzeranno nessuna delle infrastrutture utilizzate per condurre attacchi su obiettivi diversi. Di conseguenza, la decriptazione dei payload per eseguire le firme non produce alcun vantaggio significativo sulle capacità di rilevamento.
Gli strumenti di attacco (RansomOps) vengono modificati
Gli attacchi eseguiti manualmente, come accade nella maggior parte degli attacchi RansomOps, sono al servizio di un modello di business criminale che punta a fare soldi. Ecco perché per i cyber criminali non ha senso spendere grandi risorse per costruire strumenti da zero, poiché ciò riduce semplicemente i potenziali profitti.
Al contrario, quasi tutti i cyber criminali fanno uso massiccio di strumenti disponibili sul mercato, modificando le impostazioni predefinite che la maggior parte delle soluzioni di security basate sulle firme rileverebbe. Per evitarlo, gli attaccanti sovrascrivono la configurazione standard, rendendo inutili le firme. L’infrastruttura è più comunemente riutilizzata, ma può essere identificata tramite domini e/o IP senza decriptazione. Proprio come nel caso degli attacchi nation state, quindi, la decriptazione dei payload per eseguire le firme non produce alcun beneficio significativo per il rilevamento.
La decriptazione non aiuta a difendersi da attacchi avanzati
Che ci si trovi di fronte a un attacco nation state o in presenza di un RansomOps, la violazione della crittografia TLS esterna per ottenere l’accesso alla richiesta HTTP interna non aiuta il difensore. Non esiste uno schema fisso per creare una firma e il payload effettivo (comandi inviati, risultati dei comandi restituiti, software scaricato, ecc.) è oscurato da una crittografia leggera che utilizza la chiave generata casualmente dall’attaccante.
Quindi, a meno che un’organizzazione non sia disposta ad adottare una politica di accesso a Internet molto restrittiva (in pratica, una “whitelist” che includa solo i siti Internet di cui si fida), i canali C2 non possono essere individuati cercando pattern di byte nei payload HTTP decriptati. Il rilevamento dell’esfiltrazione segue più o meno la stessa logica. I payload interni crittografati sono impermeabili agli approcci DLP standard. L’unico altro mezzo di rilevamento di C2 o Exfil si basa sull’analisi delle informazioni sulle serie temporali dei trasferimenti di dati o sull’osservazione di semplici anomalie di volume e nessuna delle due richiede la decriptazione dell’involucro esterno.
di Alessio Mercuri, Security Engineer di Vectra AI
