Monitoraggio della sicurezza informatica e riconoscimento degli attacchi
La maggior parte degli attacchi, di qualsiasi tipo, lasciano tracce all’interno dei log di uno o più sistemi. Una volta che questi log sono arrivati al sistema di log management, il team di sicurezza può comprendere che qualcosa di sospetto sta accadendo.
Di seguito viene presentato un sommario di alcuni eventi contenuti in un attacco e che possono essere identificabili (riconoscimento degli attacchi informatici) e alcuni modi in cui può essere configurato il sistema di log management per identificarli rapidamente.
Scansione e riconoscimento
Normalmente la fase preliminare di ogni attacco prevede la scansione della rete per identificarne la topologia, i sistemi che ne fanno parte e la presenza di eventuali servizi vulnerabili. Tale attività si compone normalmente di due fasi, una fase di fingerprinting, durante la quale l’attaccante cerca di identificare la struttura del sistema IT, le sottoreti IP e i sistemi di tali sottoreti, e la fase di footprinting, nella quale l’attaccante cerca di identificare la natura dei nodi individuati durante la fase precedente, sistema operativo, servizi attivi e relative versioni, livello di patching; ciò allo scopo di individuare all’interno della rete i sistemi più appetibili, o per la rilevanza dei dati contenuti, o per la presenza di vulnerabilità che permettano facilmente di prenderne possesso.
Durante tale fase, soprattutto se svolta con tool automatici, avremo, nell’arco di un periodo di tempo limitato, una certa quantità di pacchetti provenienti da un unico indirizzo IP verso molti indirizzi della rete o verso molte porte tcp e udp di un singolo target. L’attaccante può svolgere la scansione e il riconoscimento in maniera manuale, diradando la frequenza dei pacchetti e utilizzando più indirizzi IP sorgenti, rendendo l’identificazione di questo tipo di attività più complicata.
Malware
Una volta che l’attaccante ha un’idea della topologia della rete ed ha identificato uno o più sistemi target che espongono vulnerabilità o che sono appetibili, la fase successiva può essere quella di installare malware sui sistemi target nella speranza di comprometterli. Questa fase può avvenire anche direttamente, saltando la fase di scansione e riconoscimento, per esempio attraverso attacchi automatici fatti da un worm che cerca di propagarsi.
Esempi di malware sono i virus e i worm. I virus si iniettano all’interno del codice eseguibile e una volta che il codice eseguibile viene lanciato, il codice del virus viene eseguito con i privilegi dell’utente che lo ha lanciato. Normalmente il virus replica sé stesso, oltre ad eseguire le attività malevole definite all’interno del suo codice. I worm sono un tipo malware che si auto-propaga e che sfrutta vulnerabilità note all’interno di applicazioni o servizi. Una prevenzione per i worm è l’installazione tempestiva delle patch di sicurezza sui sistemi.
I malware vengono rilevati dai sistemi antivirus, che devono essere configurati per inviare i log al sistema di log management. All’interno del sistema di log management, occorre essere in grado di rilevare la presenza dello stesso malware su diversi sistemi o l’individuazione di un malware che l’antivirus non è in grado di eliminare.
IP spoofing
Molti attacchi provenienti dall’esterno vengono fatti in modo da presentarsi come provenienti da IP appartenenti alla rete interna (ip spoofing dall’esterno), in generale IP privati. Alla stessa maniera, un malintenzionato che si trova su una rete interna privata, può generare pacchetti con IP sorgente pubblico, diretti verso l’esterno (ip spoofing dall’interno). In entrambi i casi il firewall dovrà bloccare tale tipo di pacchetti e inviare i log di tali blocchi al sistema di log management.
Denial-of-service distribuito (DDoS)
In questo attacco, molti IP sorgenti diversi inviano pacchetti ad un singolo indirizzo IP ad una tale frequenza che il sistema sotto attacco, cercando di soddisfare queste false richieste, finisce per non rispondere più alle richieste di servizio lecite. Questo tipo di attacco è difficile da individuare; il sistema migliore sono le segnalazioni di sistemi IDS basati sull’analisi delle anomalie di comportamento, eventualmente correlate con segnalazioni di utenti.
Buffer overflow e attacchi di SQL injection
Sono attacchi che sfruttano vulnerabilità causate da errori di programmazione nelle applicazioni, in particolare la mancata validazione dell’input dell’utente. Gli attaccanti possono sfruttare tali vulnerabilità per ottenere l’accesso a sistemi o a database. A parte la necessità di eliminare preventivamente vulnerabilità di tale tipo, attraverso processi di vulnerability assessement o di auditing del codice, tentativi di attacco di tale tipo possono essere individuati attraverso l’analisi dei log degli application server, che segnalano eventuale input dell’utente rigettato. Anche i sistemi IDS contengono le signature di molti di questi attacchi.
Attacchi di forza bruta alle password
Un malintenzionato potrebbe tentare di ottenere l’accesso ad un sistema o ad un’applicazione provando diverse combinazioni di password, generalmente con l’aiuto di apposite applicazioni. Una contromisura a questo tipo di minaccia può essere quella di bloccare temporaneamente un account dopo un certo numero di errori di autenticazione, anche se tale contromisura può rendere vulnerabili ad attacchi di denial of service. Attacchi di questo tipo possono essere rilevati attraverso il monitoraggio dei log dei sistemi di autenticazione.
Attacchi ai sistemi IPS/IDS
I sistemi IPS/IDS sono un componente fondamentale del monitoraggio della sicurezza. È bene monitorare i pacchetti diretti a tali sistemi, in quanto normalmente non esistono pacchetti destinati ai sistemi IPS/IDS, se non provenienti dai sistemi di management.
Nel caso un attacco sia andato a buon fine, l’attaccante provvederà a nascondere le sue tracce, in modo da poter continuare indisturbato a svolgere le sue attività.
Di seguito viene presentato un sommario delle modalità con cui un attaccante può procedere a tale scopo.
Disattivazione degli aggiornamenti di sistema operativo
Al fine di mantenere la vulnerabilità appena sfruttata, l’attaccante potrebbe disabilita- re l’installazione delle patch di sistema, che rimuovono le vulnerabilità note. Occorre tenere costantemente monitorata l’installazione delle patch di sicurezza. Un’altra tecnica più sofisticata consiste nella modifica delle impostazioni per la risoluzione dei nomi per far puntare il sistema compromesso ad un server DNS sotto il controllo dell’attaccante. In questa maniera gli aggiornamenti di sicurezza verranno scaricati da un sito sotto il controllo dell’attaccante. Occorre monitorare le connessioni dirette alla porta 53 di indirizzi IP diversi dai server DNS legittimi. Un’altra tecnica con le stesse finalità consiste nel modificare il file hosts locale al sistema compromesso: occorre tenere modificate tutte le modifiche al file hosts dei sistemi.
Disattivazione degli aggiornamenti del software antivirus e antispyware
Al fine di evitare che il malware installato venga rilevato, l’attaccante potrebbe impedire al sistema di connettersi ai server da cui vengono scaricate le signature e gli aggiornamenti per i software antivirus e antispyware. Anche in questo caso occorre monitorare gli aggiornamenti dei sistemi, le connessioni aperte verso la porta 53 di indirizzi IP diversi dai server DNS legittimi.
Disattivazione del forwarding dei log al sistema di log management
L’attaccante, al fine di disperdere le proprie tracce, potrebbe disabilitare il forwarding dei log verso il sistema di log management. Occorre monitorare, sul sistema di log management, se i sistemi interrompono la trasmissione dei log.
Modifica alle configurazioni dei sistemi
Allo scopo di aprire nuove backdoor e assicurarsi la possibilità di accedere nuovamente al sistema, l’attaccante potrebbe effettuare modifiche alla configurazione del sistema compromesso. Queste modifiche possono essere rilevate da tool di verifica dell’integrità. I log di tali sistemi possono essere inviati al sistema di log management.
Installazione di nuovi servizi e disattivazione di altri servizi
Allo scopo di aprire nuove backdoor e assicurarsi la possibilità di accedere nuovamente al sistema, l’attaccante potrebbe avviare servizi esistenti o installare nuovi servizi. Potrebbe inoltre arrestare o disabilitare servizi legati alla sicurezza del sistema. Anche in questo caso occorre rilevare le modifiche alle configurazioni dei sistemi, inviando i riscontri al sistema di log management.
Inoltre l’attaccante, dopo essersi nascosto, avrà necessità di installare dei tool e malware che gli permettano di operare un controllo maggiore sulla rete dell’organizzazione. A tale scopo provvederà a fare un download di rootkit o collezione di malware da installare all’interno della rete compromessa.
Di seguito viene presentato un elenco di tecniche usate dagli attaccanti a tale scopo.
Reset della home page di default del browser
Quando un browser carica un sito web, script ed eseguibili possono essere messi in esecuzione sul sistema client. Se l’attaccante può modificare la home page di default del browser, eventuale software malevolo contenuto in tale home page verrà eseguito non appena l’utente apre il browser. Se poi la home page è costruita in modo da assomigliare a quella legittima, tale malware può essere eseguito più volte. Una protezione a questo tipo di attacco può essere quella di impostare a livello centrale la home page di default del browser.
Uso di IP che fanno parte di blacklist
Gli attaccanti hanno spesso necessità di mantenere risorse raggiungibili da Internet, per ottenere i loro scopi. Alcuni server che ospitano attività malevole sono conosciuti e finiscono nelle cosiddette “black list”. Ci sono parecchi siti su Internet che mantengono blacklist aggiornate e rendono tali liste disponibili per il download. Alcuni IDS hanno la possibilità di consultare e scaricare blacklist in modo da monitorare pacchetti distinati ad IP appartenenti ad esse.
Traffico anomalo
Spesso le risorse esterne dell’attaccante non sono ancora state identificate e non sono ancora entrate a far parte di blacklist, oppure dopo essere entrate a far parte di blacklist l’attaccante ha spostato il server su un altro indirizzo IP. Occorre quindi monitorare la rete alla ricerca di traffico anomalo, pur diretto ad IP leciti. Esempi di questo tipo di monitoraggio possono essere upload e download di file di grandi dimensioni, traffico verso porte note per essere utilizzate da malware, traffico eccessivo verso IP di paesi da cui notoriamente arriva il maggior numero di attacchi.
Infine, una volta che l’attaccante ha una conoscenza approfondita della rete compromessa, ha individato alcuni sistemi da attaccare, ha preso possesso di tali sistemi, ha coperto le proprie tracce, si è assicurato la possibilità di continuare ad accedere, ha contattato il proprio repository esterno per il download della versione aggiornata della propria collezione di malware, avrà necessità di inviare dati all’esterno.
Di seguito verrà presentato un elenco di tecniche utilizzate in questa fase.
IRC(Internet Relay Chat)
Questo protocollo è spesso usato come mezzo di comunicazione fra l’attaccante e la sua collezione di sistemi compromessi, chiamata zombies. Una chat room può essere utilizzata dall’attaccante per isolarsi dai suo zombies, rimanendo così anonimo. Gli zombies possono essere istruiti per ricevere comandi attraverso una chat room. Normalmente il protocollo IRC non è utilizzato all’interno delle organizzazioni, per cui occorre monitorare la propria rete alla ricerca di tentativi d’uso di tale protocollo.
Porte conosciute come destinazione di traffico malevolo
Molti tipi di malware utilizzano porte specifiche per comunicare. Occorre monitorare il traffico diretto verso tali porte.
Protocolli inattesi/atipici
Il traffico e i protocolli usati all’interno della rete di un’organizzazione rientrano spesso in una lista standard e predicibile. Occorre monitorare l’uso di protocolli e destinazioni che non rientrano in tale lista.
