Sammanfattning: FireEye M-Trends 2021

Saturday, April 24, 2021

UnderrättelserSammanfattningFireEye2021

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Detta är en sammanfattning av Fireye M-Trends 2021 en årsrapport från FireEye Mandiant. Först och främst är detta en läsvärd rapport, och det är värdefullt att läsa den i sin helhet. Från sidan 50 och framåt är fallstudier med djupdykningar i enskilda aktörer och dessa är trevliga att läsa.

Nyckelinsikter

  • Ransomwareangrepp har blivit så mycket mer än att låsa filer; du hotas, dina kunder hotas, dina filer publiceras. Och så utgör de också 25% av samtliga utredningar, genomförs på 5 dagar och orsakar enorma skador. Ransomware kräver ett nytt tänk kring detection/response.
  • En stor del av den skadliga kod som har observerats utgörs av bakdörrar och downloaders. Detta leder till den naturliga slutsats att det är väsentligt och av vikt att fokusera på en god förmåga avseende analys av nätverkstrafik.
  • Vilken bransch du är verksam inom spelar mindre roll då angrepp kan börja opportunistiskt för att sedan bli riktat. Argumenten om att “vi är inte intressanta” håller inte längre. Tar man inte cybersäkerhet på allvar är det bara en tidsfråga.

Inledning

De här sammanfattningarna har blivit mycket populära och det är givetvis mycket roligt. Samtidigt innebär detta ett visst ansvar från min sida. Min ambition är givetvis att i möjligaste mån ge en någorlunda representativ bild av rapporten. Men även om många rapporter innehåller ord, meningar och stycken som absolut inte är nödvändiga för essensen är en sammanfattning… en nedkortad version av helheten.

Och så kan det vara utmanande att inte låta personliga reflektioner blandas med fakta. Därför tänkte jag prova något nytt för den här rapporten. Jag kommer fortsätta att försöka besvara frågorna vem, vad, hur, när, varför och andra eventuellt relevanta detaljer. Det jag tänkte tillföra är ett “Personliga reflektioner” för varje avsnitt.

Tanken är då att göra det tydligare vad som framgår av rapporten, och vad som är mina … personliga reflektioner av innehållet. Förhoppningsvis ger detta dig som läsare en bättre förståelse för vad som är fakta men samtidigt ändå en viss tolkning av dessa fakta.

Det är värt ett försök åtminstone. Hör gärna av dig och berätta vad du tycker om upplägget. Det är trots allt i stor utsträckning för DIG jag skriver (och sammanfattar!).

Vilka utsätts?

(S18) De mest utsatta branscherna är:

  1. Affärs- och konsulttjänster (Business and professional services)
  2. Detaljhandel, och Hotell/Boende (Retail and hospitality)
  3. Finans (Finance) (delad med 4)
  4. Sjukvård (Healthcare) (delad med 3)
  5. Avancerad teknologi (High tech)

Personliga reflektioner

De här branschdetaljerna är rätt svåra att ta till sig tycker jag och kanske rent av missvisande. Affärs- och konsulttjänster (vilket för övrigt är min helt fria översättning) är extremt omfattande. Kolla t.ex. den här sajten för att se vilka olika tjänster som omfattas av business services.

Jag tror helt enkelt att upplösningen på denna typ av indelning är alldeles för låg. Och frågan är om den överhuvudtaget är intressant? Nu vet vi inte om det avser riktade angrepp, eller opportunistiska. Företaget Truesec har åtminstone vid ett tillfälle förklarat att vissa angrepp kan börja som opportunistiska för att senare omvandlas till riktade.

Så vad innebär det att affärs- och konsulttjänster är mest utsatta? Kanske är förklaringen så enkelt att detta är en “vertikal” som är, relativt andra, väldigt stor?

Hur?

(S19) De initiala vektorerna är inte särskilt anmärkningsvärda. För den här rapporten är användningen av exploits vanligast (29%) tätt följt av phishing (23%) och därefter kommer stulna inloggningsuppgifter (19%) som tredje vanligaste metoden. (S19)

Personliga reflektioner

Ja, nu finns det ju liksom inte särskilt många andra vektorer kvar. Så självklart kommer vi se dessa tampas om första platsen. Här är några frågor som skulle kunna vara intressanta att försöka besvara:

  1. Avser exploitation externt tillgängliga tjänster (T1190)?
  2. Avser exploitation kända, eller okända sårbarheter?
  3. Om kända sårbarheter, hur snabbt efter att en sårbarhet har publicerats/annonserats utnyttjas den?
  4. Utnyttjas sårbarheterna genom publika exploits?

Och för phishingen skulle det givetvis vara intressant att förstå om försöken är någorlunda anpassade/riktade till mottagaren eller mer generella. Hur ser det ut i Sverige? Får vi phishing på engelska eller svenska? Är det fortfarande användar-aktiverade makron som gäller?

Varför?

(S19) Pengar driver “branschen” och 36% av samtliga utredda incidenter kunde troligen kopplas till direkta finansiella motiv (utpressning, lösensumma etc.). (S13) Ransomware utgjorde under 2020 cirka 25% av samtliga utredningar. Detta är en ökning från 2019 då andelen var 14%.

Utöver direkta finansiella motiv var datastöld (intellektuella rättigheter, forskning osv) ett annat vanligt motiv som driver mer traditionella spionage-operationer.

Angrepp som har sin början i insidern står för ringa 1% av utredningarna.

Personliga reflektioner

Först och främst låt mig avhandla det här med insiderhotet. Det finns flera nyanser av det här. Vissa branscher rapporterar fler intrång från insidan än andra. Men det tar diskussionen till vad som kan anses vara ett intrång. Exempelvis har sjukvården tämligen hög representation (48%)1 av “insiders”. Detta beror bland annat på att det är vanligt med felaktig användning av system.

Ransomware utgör 1/4 av alla utredningar och det är anmärkningsvärt många. Här ska vi nog undvika att prata om vilken sektor som är drabbad. Här kan något börja opportunistiskt. En anställd förlorar sina inloggningsuppgifter och dessa säljs sedan vidare. Någon snappar upp och genomför ett riktat angrepp. Börjar opportunistiskt avslutas som riktat.

Här försvinner argumenten om att “vi kommer inte drabbas” eller att sektorn inte är intressant. Utpressningar kan ske var som helst. Detta nödvändiggör ett annat fokus på hur säkerhet upprättas. Ställ detta i proportion till att mediantiden för hur länge en hotaktör som ägnar sig åt ransomware uppehåller sig i en miljö… 5 dagar. Du har alltså 5 dagar på dig att upptäcka ett intrång, roota ut angriparen och dess bakdörrar.

Det finns en del mer att säga om motiven bakom, kanske behöver jag fläska ut detta i ett separat inlägg med någon slags historisk tillbakablick på tidigare intrång.

Aktörerna

(S19) I 29% av alla utredningar upptäckte Mandiant FLER än en distinkt hotaktör i miljön. (S20) Totalt 246 distinkta grupperingar under 2020, varav 161 nya för året. Sverige omnämns husera åtminstone EN uncategorized grupp (UNC).

Personliga reflektioner

Sverige omnämns och ska alltså husera åtminstone en UNC-grupp som FireEye kunnat koppla till vårt vackra land. Det finns inga övriga detaljer, men det är åtminstone intressant. Det är inte ett särskilt angenämnt sällskap då exempelvis Ryssland, Nigeria, Iran, Kina, Ukraina och Vietnam också nämns vara värdar för totalt 55 aktiva icke-kategoriserade grupperingar.

De menar att totalt 6 namngivna APT-grupper varit aktiva från Kina, Iran och Vietnam. Men i övrigt sägs ganska lite om de statliga aktörerna.

Verktygen

294 distinkta malware-familjer varav 144 är helt nya för 2020. I huvudsak bakdörrar och downloaders. (S25) En majoritet av all programvara som används vid angrepp har icke-publik källa. Cobalt strike och Empire är väldigt vanligt förekommande. 70% av all skadlig kod som använts vid intrång observerades endast under ett enda intrång.

Personliga reflektioner

Eftersom en väsentlig andel av all skadlig kod utgörs av downloaders och bakdörrar är det således vettigt att fokusera på verktyg/produkter/tjänster som hjälper dig att analysera nätverkstrafik. Angriparen behöver ansluta till sina bakdörrar och downloaders behöver oftast ladda ner ytterligare “steg” i/till den skadliga programvaran.

Detta förstärker åtminstone min tro på vikten av att ha en väl etablerad förmåga för att kunna analysera nätverkstrafik.

Teknik och metod

Stor spridning men några saker är mycket framstående och kanske föga förvånande. Remote Desktop Protocol (RDP), i 25% av intrången, Windows Services i 31% och så PowerShell i 41% av intrången.

Sidorna 30-35 måste läsas i sin helhet då de redogör för MITRE ATT&CK och det är nästan garanterat väl investerade minutrar om du spenderar dem där. Självklart behöver du expandera från teknikerna till specifika åtgärder, men det ger dig en grym utgångspunkt för vilka områden som kommer generera mest pang-för-pengarna.

Övriga observationer

Sidorna 41 till 44 är riktigt trevliga med detaljer och innehåller extremt mycket värdefull information om hur härdning kan genomföras i en Microsoft-baserad miljö.

Från sidan 50 till 55 handlar det om FIN11, en ny gruppering som FireEye följer och nyligen “uppgraderat” till en namngiven FIN-grupp.

Från sidan 62 till slutet beskrivs enskilda utredningar och är i sig intressanta att läsa, men blir självklart anekdotiska och bristerna som beskrivs skulle eventuellt kunna utvärderas. Bristande konfiguration för hur exemeplvis RDP kräver MFA men WMI inte gör det osv.

Referenser


  1. https://enterprise.verizon.com/resources/reports/dbir/ s.54 ↩︎

UnderrättelserSammanfattningFireEye2021

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Introduktion till Payment Card Industry Data Security Standard (PCI DSS)

Sverige på första plats i världens största cyberförsvarsövning, Locked Shields 2021