4 februari, 2020

Incidentutredaren: “Dörren var vidöppen mot internet”

Flera gånger i månaden kontaktas Sentor av kunder som har drabbats av en säkerhetsincident. I regel uppstår ett tillstånd av handfallenhet och förvirring, där kunden behöver hjälp att komma på fötter. Det här är en incidentutredares skildring av en aktuell säkerhetsincident.

“Allt börjar med att telefonen ringer. I andra änden svarar VD:n på ett svenskt medelstort företag inom teknikbranschen. Han är påtagligt uppjagad och han går rakt på sak. Han berättar att ingen av bolagets datorer fungerar som de ska och att deras tekniker tror att det rör sig om ett intrång. Han behöver hjälp med att reda ut situationen, och det på en gång.

I det här läget är mitt mål att försöka bilda mig en uppfattning om vad som har hänt och få en kontext: hur många klienter, servrar och användare är påverkade? Det är även av intresse att veta vad företaget sysslar med för att kunna spekulera i eventuella motiv. Finns det till exempel några politiska motiv eller någon hotbild mot företaget? Det är stor skillnad på intresset för en aktör med redan känd teknologi, jämfört med en där intellectual property är värdefull.

I det här fallet visar det sig att företagets produkt är väldigt lätt att återskapa. Det utgör med andra ord inte ett hot mot verksamheten om någon utomstående kommer över ritningar eller mjukvara. Hade det istället rört sig om ett företag som tillverkar teknik med värdefull intellectual property så kan ett intrång resultera i att samma produkt dyker upp på en handelsplats för en tiondel av priset. Då är situationen betydligt allvarligare.

Innan vi lägger på ber jag honom, som jag alltid gör vid dessa situationer, att inte röra något, och absolut inte stänga av eller starta om datorn. Tyvärr får han den informationen lite för sent.

Två parallella spår tar form

Efter samtalet samlar jag ihop mitt team och åker direkt ut till “brottsplatsen”. Jag ber personen som möter oss att samla all relevant personal till ett möte. Under mötet fortsätter utfrågningen: hur ser miljön ut? Finns det skyddsklassad information att ta hänsyn till? Vilka system är affärskritiska?

Vi målar upp worst case scenario. För det här företaget innebär det produktionsstopp och att alla backuper går förlorade. Det är med andra ord av prioritet att se till att kunden kommer tillbaka i drift så fort som möjligt. För varje minut produktionen ligger nere förlorar företaget pengar.

Efter det initiala mötet tar två parallella spår form. Det ena går ut på att se till att kunden kommer tillbaka i drift så fort som möjligt. Första steget för åstadkomma det är att byta ut alla berörda datorer. De nya maskinerna ansluts inte till domänen utan får istället ett helt eget nätverk. Det innebär att de inte har tillgång till sina interna system och verktyg, men användarna kan åtminstone använda internet tills dess att saker är på plats igen.

Det andra spåret handlar om att utreda incidenten. Jag och mina kollegor slår upp en incidentstation och ägnar de kommande dagarna åt att spegla hårddisken och analysera det vi hittar. Värt att notera i det här fallet är att anledningen till att vi inte tittar på minnet är att kunden redan själv hade startat om datorn. Annars är det en av de första sakerna man gör. Så återigen, när det skiter sig: starta aldrig om datorn.

Vad vi däremot kan titta på är bland annat på filsystem, olika Windows-specifika datastrukturer och alla relevanta loggar som finns tillgängliga. Vi letar även efter konstiga filer, udda användarkonton och diverse tecken på att någon har försökt röja sina spår. Under tiden har vi ständig kontakt med kunden för att säkerställa att arbetet från deras sida går rätt till och för att stötta dem i det arbetet.

Angriparens tillvägagångssätt

Analysen resulterar i starka misstankar om att en angripare har fått tillgång till en specifik domänkontrollant, det vill säga en användare med höga behörigheter i företagets AD. AD:t, eller Active Directory, är den nod som styr och ställer över alla andra system och användare i nätverket. Med andra ord: tar du över domänkontrollanten, tar du över allt.

Vi plockar med oss hårddiskarna som tillhör domänkontrollanten för ytterligare analys.

Det första vi kan konstatera är att intrånget har skett från internet där ett administrationsgränssnitt har exponerats helt öppet. Via det har man med stor sannolikhet fått tillgång till den kapade domänkontrollanten.

I vanlig ordning saknar kunden centraliserad logg. All den logg vi egentligen är intresserad av, främst den som berättar vem som har loggat in när och var, finns inte kvar. I det här läget hade den varit väldigt användbar: vi hade både kunnat se när och var angriparen loggade in första gången, och sedan följa hur den har spridit sig i miljön. Vi kan dra slutsatsen att angriparen har haft åtkomst till miljön mycket längre än vad loggen sträcker sig, vilket bara är ett par veckor. Enligt vår bedömning rör det sig om minst ett par månader.

Vi vet alltså inte exakt hur länge angriparen har rört sig i miljön. Vad vi däremot kan se är att personen eller personerna i fråga har använt sig av flera angreppsverktyg och stulit alla krypterade lösenord. Med hjälp av dessa verktyg kunde angriparen installera skadlig kod på alla system som var anslutna till den drabbade domänkontrollanten.

Lång återhämtningstid

När vi har fastställt orsaken till incidenten är det dags att påbörja uppstädningsarbetet. Hur lång tid det tar för en organisation att återhämta sig efter en säkerhetsincident varierar. Det beror dels på incidentens omfattning som skalar exponentiellt mot hur stor miljön är; i en liten miljö med få maskiner är återhämtningstiden kortare än i en stor miljö med många maskiner.

I det här fallet var de viktigaste systemen i drift inom ett dygn. I andra fall kan det ta upp till flera veckor, eller till och med månader. Under den korta perioden hinner man dock gå miste om flera viktiga saker: förutom att produktionen låg nere har även andra verksamhetskritiska system som rör kundregister och fakturor påverkats.

Det kommer dröja cirka fem månader innan verksamheten är helt återhämtad från incidenten. Vid det laget har arbetet ätit upp hela IT-budgeten och alla resurser har allokerats till att sätta upp miljön igen. Incidenter är kostsamt, både i termer av produktionsstopp, ny hårdvara, nedlagd tid och extern hjälp från sådana som oss.

Lärdomar

Vad är då kontentan? Just i det här fallet saknades säkerheten i grunden, eftersom företagets IT-leverantör inte hade tagit det i beaktning. Många förlitar sig på att IT-leverantören har koll på de här sakerna - det har de oftast inte.

Den eller de personerna som utförde arbetet hade lämnat dörren vidöppen mot internet, antagligen utan att riktigt förstå det själv. För en person med säkerhetskompetens hade det inte krävts många minuter för att upptäcka detta. Men istället för att ta in en säkerhetskonsult i en timme får vi göra detta i efterhand istället, vilket blir både jobbigare och betydligt dyrare för kunden.

Dessvärre är det mer regel än undantag att företag tar in den här typen av kompetens först när det redan är försent. Mina många år i branschen har tyvärr gjort mig ganska mörkrädd, efter att ha bevittnat hur vanligt det är att företag exponerar sina allra viktigaste system vidöppna för vem som helst att angripa. Och det är företagens egna ansvar att se till att det inte händer. För det går inte att outsourca risken till sin leverantör - ligger grejerna nere är det din fabrik som står still.”

Vill du veta mer?

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.