Netbios, SMB, UDP: Konkrete anbefalinger fra CFCS efter energisektor-angreb

Illustration: adrian825/Bigstock
På baggrund af angreb mod den danske energisektor udgiver Center for Cybersikkerhed nu en rapport med flere konkrete beskyttelsestiltag, andre organisationer kan få glæde af.

I kølvandet på en trusselsvurdering om angreb mod energisektoren i Danmark udgiver Center for Cybersikkerhed nu en undersøgelsesrapport med flere konkrete sikkerheds-anbefalinger (PDF).

Rapporten tager afsæt i konkrete angreb mod energisektoren og indeholder på den baggrund flere konkrete forslag til, hvordan myndigheder og virksomheder bedre kan sikre sig.

Som det kom frem i forbindelse med trusselsvurderingen, så er truslen fra cyberspionage ifølge CFCS meget høj. I den forbindelse har cyber-myndigheden observeret angreb via spear phishing og vandhuller.

Undersøgelsesrapporten fortæller i flere detaljer, hvad det involverer.

Spear phishing

En angriber, som CFCS beskriver som en statslig aktør, har forsøgt at tiltvinge sig adgang til netværk i organisationer i energisektoren.

»En del af de ramte organisationer driver samfundsvigtig infrastruktur, hvilket vil sige, at de varetager grundlæggende systemer, der er væsentlige for, at det danske samfund kan fungere,« står der i undersøgelsesrapporten.

Aktøren har blandt andet forsøgt at stjæle login-oplysninger via mails med vedhæftede filer af ondsindet karakter.

Formålet har her været at lokke modtageren til at åbne det vedhæftede indhold, så modtageren er blevet kompromitteret.

»Mailene og de vedhæftede dokumenter imiterer legitime henvendelser for at narre modtagerne. Aktøren har sendt en del af phishing-mailsene til funktionspostkasser, som bl.a. bruges af jobansøgere, der er offentligt tilgængelige på visse af organisationernes hjemmesider. Når det vedhæftede dokument åbnes, igangsættes tyveriet automatisk, medmindre relevante sikkerhedsforanstaltninger er implementeret,« står der i rapporten.

For at begrænse truslen fra spear phishing-angreb henviser CFCS til sikkerhedsvejledningen 'Spear-phishing - et voksende problem' (PDF).

Vandhul

Hvad vandhulsangrebet angår, fremgår det af rapporten, at aktøren har udvalgt en række legitime hjemmesider, som er blevet kompromitteret. Herefter er siderne blevet brugt som platform for angreb på udvalgte besøgende.

»En del af de hjemmesider, aktøren har udnyttet som vandhuller, er relateret til og normalt anvendt i energisektoren. Det øger sandsynligheden for, at en medarbejder fra energisektoren besøger hjemmesiden og bliver kompromitteret. Når vandhullet besøges, indlæses et indlagt ondsindet script derfra, og tyveriet igangsættes automatisk, medmindre relevante sikkerhedsforanstaltninger er implementeret,« fremgår det af rapporten.

For at reducere truslen fra vandhulsangreb henviser CFCS til sikkerhedsvejledningen 'Cyberforsvar der virker' (PDF).

Samme teknik

Uanset om angrebet er via phishing-mailen eller et vandhul, så er det samme teknik til at stjæle login-oplysninger, der i sidste ende bliver anvendt, fremgår det af rapporten.

En illustration af de spear phishing- og vandhulsangreb, der har ramt den danske energisektor. Formålet har været at stjæle login-oplysninger, men der er ifølge CFCS ingen indikationer på, at angrebene er lykkedes. Illustration: Screenshot fra 'Målrettede forsøg på hacking af den danske energisektor', CFCS

»Offerets maskine lokkes til automatisk at spørge efter en fil fra en server på internettet kontrolleret af aktøren. Dette sker uden offerets viden eller godkendelse. Kommunikationen foregår via server message block (SMB) og web-based distributed authoring and versioning (WebDAV). De to protokoller anvendes begge legitimt til bl.a. fjernadministration af filer og dokumenter,« oplyses det i rapporten.

Som en del af kommunikationen bliver maskinens Windows-login-oplysninger sendt som en hash-værdi til aktørens server. Serveren gemmer hash-værdien, som ifølge rapporten nu kan udnyttes til at få adgang til organisationens netværk.

»Efter hashen er stjålet, kan den potentielt udsættes for offline-forcering af aktøren. I et forceringsangreb forsøges på automatiseret vis at gætte kodeordet, der matcher den stjålne hash-værdi. Hvis forceringen lykkes, vil offerets login-oplysninger fremgå i klar tekst,« står der i rapporten, som fortsætter:

»Med de stjålne login-oplysninger kan aktøren derefter potentielt logge ind i organisationens netværk over internettet, f.eks. via et almindeligt fjernstyringsprogram, og fremstå som en legitim bruger. Aktøren kan også forsøge at udnytte en sårbarhed i Windows’ håndtering af kodeord, der gør det muligt at logge ind blot med hash’en i et pass-the-hash-angreb (link indsat af Version2). CFCS har ikke set tegn på, at disse ting er sket.«

CFCS oplyser, at man ikke har set tegn på, at det er lykkedes aktøren at stjæle login-oplysninger eller få adgang til de ramte organisationens netværk i forbindelse med hændelserne, som er beskrevet i undersøgelsesrapporten.

Vurderingen fra CFCS er, at der er tale om en statslig aktør med tilknytning til et andet lands efterretningstjeneste. Ingen lande bliver nævnt i rapporten, og det gør ingen af de berørte organisationer i energisektoren i øvrigt heller ikke.

Anbefalinger

Rapporten indeholder en stribe konkrete tiltag og anbefalinger, som kan reducere risikoen for den type angreb, energisektoren har været udsat for. Flere private og offentlige organisationer udenfor energisektoren kan givetvis få glæde af at tage et kig på anbefalingerne.

En del af anbefalingerne er rettet mod it-miljøer baseret på Microsoft, men som det bemærkes, kan flere af tiltagene også bruges til andre styresystemer.

For at sprede budskabet og give Version2's generelt teknisk kyndige læsere mulighed for også at komme med input har vi tilladt os at kopiere listen med anbefalinger, som ser således ud:

  • Bloker for trafik over TCP port 139 (NETBIOS) og 445 (SMB) samt UDP port 137-138 (NETBIOS) i internetvendte routere. Alle versioner af SMB er sårbare. Dertil bør det overvejes at blokere for WebDAV-forbindelser samme sted. Bemærk at filtreringen risikerer at forstyrre legitim trafik til internettet. Overvej dertil at lukke for alle ubrugte porte.

  • Begræns rettighederne på nettet for den enkelte bruger til kun det, som brugerens jobfunktion kræver.

  • Undgå at standardbrugere er lokaladministrator på deres arbejdsstation.

  • Begræns antallet og brugen af privilegerede konti.

  • Begræns privilegerede kontis adgange til internettet og brug af mailservice.

  • Udfør kun it-administrative opgaver fra dedikerede og gerne ekstra hærdede arbejdsstationer.

  • Anvend Microsoft Management Console (MMC)-værktøjer i stedet for værktøjer baseret på Remote Desktop Protokollen. Derved undgås det, at hash-værdier fra privilegerede konti efterlades i lageret på ikke-relevante arbejdsstationer i netværket.

  • Skift password på privilegerede konti ofte. Det kan eksempelvis være én gang om måneden.

  • Anvend to- eller fler-faktor-autentifikation.

  • Opdater løbende operativsystemer og applikationer.

  • Fjern muligheden for, at brugerens password-hash gemmes, ved at sætte Group policy 'Network security: Do not store LAN Manager hash value on next password change' til 'Enable' på Active Directory-serveren.

  • Segmenter netværket, således at kritiske dele ikke umiddelbart er tilgængelige fra alle steder i netværket. Eksempelvis kan man begrænse adgangene til visse dele af netværket, hvis brugeren logger på netværket hjemmefra. Vær opmærksom på, at alle brugere efterfølgende skal skifte password, og at nogle ældre ikke-Microsoft-applikationer kan holde op med at fungere korrekt.

  • Følg de syv trin i CFCS’ sikkerhedsvejledning 'Cyberforsvar der virker' (PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Netbios
Microsoft Management Console
Active Directory
Etc, etc

Bevares, som der står, så er "en del af anbefalingerne er rettet mod it-miljøer baseret på Microsoft, men som det bemærkes, kan flere af tiltagene også bruges til andre styresystemer," men ikke at det måske ville være en rigtig god ide at tage et opgør med monokulturen.

Og så er der det helt oplagte - hvorfor skal infrastruktur overhovedet have nogen som helst forbindelse med internettet?

Lasse Mølgaard

Netbios
Microsoft Management Console
Active Directory
Etc, etc

Hvem har brug for NetBIOS trafik over Internettet?

I stedet for at bruge en opt-out løsning i firewallen, så vil jeg mene at standarden er burde være opt-in.

Som i bloker ALT - og åben kun for porte der er strengt nødvendigt.

Derover kommer de klassiske dyder såsom:

  • Kun adgang til servere via VPN med login og certifikater.
  • Segmentering af netværk internt i firmaet, så eksempelvis produktionen deler ikke netværk med administrationen.
  • Det eneste netværk der er tilgængeligt fra Internettet er DMZ og selv der kun udvalgte host og porte.

Med andre ord: Gøre ens snitflader til omverdenen så små så mulige.

Det er svært nok at forsvare sig mod phising, så der er ingen grund til ligefrem hjælpe hackeren.

Log ind eller Opret konto for at kommentere