De jongen die “Veilig!” riep

Omdat dit een relatief nieuwe beveiligingscategorie is, hebben veel beveiligingsoperators en leidinggevenden die ik heb ontmoet ons de vraag gesteld: “Wat zijn deze Automated Security Validation (ASV)-tools?” We hebben daar in het verleden behoorlijk uitgebreid over gesproken, dus vandaag, in plaats van de “Wat is ASV?” Ik wilde het hebben over de “Waarom ASV?” vraag. In dit artikel bespreken we enkele veelvoorkomende gebruiksscenario’s en misvattingen over hoe mensen ASV-tools dagelijks misbruiken en verkeerd begrijpen (omdat dat veel leuker is). Om de zaken op gang te brengen: er is geen betere plek om te beginnen dan bij het begin.

Geautomatiseerde beveiligingsvalidatietools zijn ontworpen om continue, realtime beoordeling van de cyberbeveiligingsverdediging van een organisatie te bieden. Deze tools zijn continu en maken gebruik van exploitatie om verdedigingsmechanismen zoals EDR, NDR en WAF’s te valideren. Ze zijn diepgaander dan kwetsbaarheidsscanners, omdat ze tactieken en technieken gebruiken die u terugvindt in handmatige penetratietests. Kwetsbaarheidsscanners geven geen hashes door en combineren geen kwetsbaarheden met verdere aanvallen, en dat is waar ASV’s uitblinken. Hun doel ligt in de naam: verdedigingen ‘valideren’. Wanneer problemen of lacunes worden aangepakt, moeten we valideren dat ze ook daadwerkelijk zijn opgelost.

Waarom is ASV nodig?

En dat brengt ons bij de tonen een deel hiervan, en onze leraar hiervoor is Aesopus, de Griekse verhalenverteller die rond 600 voor Christus leefde. Hij schreef een verhaal genaamd The Boy Who Cried Wolf waarvan ik weet dat je het al eerder hebt gehoord, maar ik zal het nog een keer delen voor het geval je een opfrisser nodig hebt:

De fabel vertelt het verhaal van een herdersjongen die het dorp steeds voor de gek houdt door te laten geloven dat hij een wolf heeft gezien. Of hij nu werd gemotiveerd door aandacht, angst of een vreselijk gezichtsvermogen? Ik weet het niet. Het punt is dat hij herhaaldelijk met zijn handen in de lucht zwaait en ‘Wolf!’ roept. als er geen wolf te zien is. Hij doet dit zo vaak dat hij de stadsmensen ongevoelig maakt voor zijn oproepen, zodat als er echt een wolf is, de stad hem niet gelooft en de herdersjongen wordt opgegeten. Het is een heel hartverwarmend verhaal, zoals de meeste Griekse verhalen.

De systeembeheerder die huilde, is hersteld

In de moderne cyberbeveiliging is het false positive het equivalent van een ‘huilende wolf’. Een veel voorkomend praktijkprobleem, waarbij bedreigingen worden gewaarschuwd terwijl er geen enkele kans bestaat dat ze worden uitgebuit. Maar laten we dit verhaal opnieuw bekijken, want het enige dat erger is dan een vals-positief, is een vals-negatief.

Stel je voor dat de jongen in plaats van ‘wolf huilen’ terwijl er geen wolf was, zei ‘alles is duidelijk’, zonder te beseffen dat de wolf zich tussen de schapen verstopte. Dit is een vals negatief, waarbij hij niet wordt gewaarschuwd als er een dreiging heerst. Toen de jongen eenmaal de vallen had opgezet, was hij ervan overtuigd dat er geen dreiging meer bestond, maar hij bevestigde niet dat de vallen daadwerkelijk werkten om de wolf tegen te houden. Dus de herziene versie van Crying Wolf ging ongeveer zo:

“Ah, ik dacht dat er een wolf op de loer lag. Ik zal er wel voor zorgen”, zegt de jongen.

Dus volgt de herder de instructies: hij zet wolvenvallen op, koopt een beveiligingshulpmiddel om wolven te doden, hij plaatst zelfs een Group Policy Object (GPO) om die wolf uit zijn veld te krijgen. Dan gaat hij trots op zijn werk naar de stad.

“Ze vertelden me dat er een wolf was, dus ik heb er voor gezorgd”, vertelt hij zijn herdersvrienden terwijl hij een biertje drinkt in de plaatselijke taverne.

Ondertussen is de realiteit dat de wolf de vallen kan ontwijken, langs het verkeerd geconfigureerde instrument voor het doden van wolven kan slenteren en nieuw beleid op applicatieniveau kan instellen, zodat hij zich niets aantrekt van het GPO. Hij verzamelt een aantal domeinbeheerdersgegevens (DA) van de stad, geeft deze door, roept zichzelf uit tot burgemeester en houdt de stad vervolgens bloot aan een ransomware-aanval. Voordat ze het weten, is de stad 2 Bitcoin schuldig aan een wolf, anders raken ze hun schapen en een vrachtwagen vol PII kwijt.

Wat de herdersjongen deed, wordt vals negatief genoemd. Hij dacht dat er geen wolf bestond en leefde in een vals gevoel van veiligheid terwijl de dreiging nooit echt werd geneutraliseerd. En hij is nu om de verkeerde redenen trending op Twitter.

Real-life scenariotijd!

Wolven vormen zelden een bedreiging voor de informatiebeveiliging, maar weet u wie dat wel is? Die slechte acteur met een achterdeur, voet aan de grond in je netwerk, luisterend naar inloggegevens. Het wordt allemaal mogelijk gemaakt door hun zeer goede vrienden, oude naamresolutieprotocollen.

Naamresolutie-vergiftigingsaanvallen zijn een lastige bug om te onderdrukken als het om herstel gaat. Als uw DNS onjuist is geconfigureerd (wat verrassend vaak voorkomt) en u de goede oude LLMNR-, NetBIOS NS- en mDNS-protocollen die worden gebruikt bij man-in-the-middle-aanvallen via GPO, opstartscripts of uw eigen protocollen niet hebt uitgeschakeld speciale saus, dan zit u misschien in de problemen. En waar de wolf zichzelf misschien aan een glas melk heeft geholpen, zal jouw aanvaller zichzelf aan gevoelige gegevens hebben geholpen.

Als een aanvaller inloggegevens opspoort en SMB-ondertekening niet is ingeschakeld En vereist is op al uw machines die lid zijn van een domein (als u zich afvraagt ​​of dit het geval is, dan is dat waarschijnlijk niet het geval), dan kan die aanvaller de hash doorgeven. Hiermee krijgt u toegang tot de machine die bij het domein hoort, zonder zelfs maar de vastgelegde hash te kraken.

Jawel!

Nu heeft je vriendelijke dorpspentester dit probleem gevonden en vertelt hij de systeembeheerder, ook wel onze herder genoemd, om een ​​van de bovengenoemde oplossingen uit te voeren om deze hele reeks aanvallen te voorkomen. Hij herstelt dit naar beste vermogen. Ze plaatsen de GPO’s, ze krijgen de mooie tools, ze doen ALLE dingen. Maar is de dode wolf gezien? WETEN we dat de dreiging is verholpen?

Via een montagewaardige set hoekgevallen kan de aanvaller alsnog binnenkomen, want er zullen vrijwel altijd hoekgevallen zijn. Je hebt een Linux-server die niet aan een domein is gekoppeld, een applicatie die GPO negeert en toch zijn inloggegevens uitzendt. Erger nog (*huivert*), een tool voor het ontdekken van activa die gebruikmaakt van geverifieerde opsomming die het netwerk als geheel vertrouwt en DA-referenties naar iedereen verzendt.

Valse alarmen verholpen

Dat is de reden waarom de cybergoden ons ASV hebben gegeven, omdat ASV de houthakker uit de gescheurde stad is met een bijzaak als wolvenfantoom. Het zal zich gedragen als een wolf. Het snuffelt aan de inloggegevens, vangt de hash op en stuurt deze door naar de machine die lid is van het domein, zodat de systeembeheerder de enige vervelende server kan vinden die niet bij het domein is aangesloten en niet naar het GPO luistert.

Laten we het allemaal mee naar huis nemen. Er zijn dingen die gewoon logisch zijn. Je zou een wolf niet dood noemen voordat je hem hebt gezien, en zonder enige twijfel zou je iets niet hersteld noemen voordat je het daadwerkelijk hebt gevalideerd. Word dus niet ‘de systeembeheerder die remedieerde’.

Dit artikel is geschreven door Joe Nay, Solutions Architect bij Pentera.

Ga voor meer informatie naar pentera.io.

Thijs Van der Does