Klaidingi EDR suveikimai: sertifikatų trižas su Censys

Sertifikatai .cer, .crt ar .pem formatų esmės skiriasi nuo klasikinio kenkėjiško kodo, nes jie nevykdomi ir nekuria slaptų procesų atmintyje. Windows aplinkoje šie failai yra skaitmeninio pasitikėjimo architektūros pagrindas. Kibernetiniai nusikaltėliai iš tiesų naudoja pavogtus ar padirbtus sertifikatus tam, kad maskuotų kenkėjišką kodą ir dislokuotų Command & Control. Tačiau neteisingo teisėto šakninio sertifikato izoliavimo atveju antivirusinė programinė įranga masiškai blokuoja teisėtus ryšius.

Analitikams kyla nelengva užduotis: išsiaiškinti failo fizinę buvimą, jo poveikį validavimo procesams ir atsiradimo priežastį, nesiremti aklai vietiniu apsaugos įrankių sprendimu.

Norint greitai patvirtinti arba atšaukti pranešimus, reikalingas patikimas ir nepriklausomas patikros šaltinis, kuriuo yra Censys platforma.

Bendrovė siūlo prieigą prie didžiausios kriptografinės informacijos bazės, kurioje yra daugiau kaip 15 milijardų sertifikatų įrašų. Užuot bergždžiai mėginus surinkti detales po trupinį, SOC komanda iš Censys gauna išsamų ir struktūruotą kontekstą: išskaidytus laukus, validavimą pagrindinėse pasitikėjimo saugyklose ir Certificate Transparency istoriją. Tai leidžia per kelias sekundes deanonimizuoti nesuprantamus hešus ir paversti chaotišką analizę į sisteminį loginį procesą, paremtą patikimais faktais.

Gegužės incidento metu su sertifikatais 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 ir DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 Censys duomenų bazė aiškiai juos identifikavo kaip teisėtus DigiCert Assured ID Root CA ir DigiCert Trusted Root G4.

Inžinieriaus darbas panašiuose scenarijuose grindžiamas aiškiai apibrėžtu patikrinimų sąrašu:

• Pirma, nustatoma failo hierarchija – įrašai patvirtino, kad tai būtent šakniniai sertifikavimo centrai su savęs pasirašymu.
• Antra, patikrinamas tinklo atšaukimo statusas, kuris buvo neigiamas.
• Trečia, sistema rodo dokumento statusą globaliame lygmenyje: abu identifikatoriai nuolat buvo pripažįstami galiojančiais pagrindinėse pasitikėjimo saugyklose Microsoft, Apple, NSS ir Chrome.

Svarbiausias pilno tyrimo etapas lieka aktyvaus sertifikato buvimo atviruose internetiniuose ryšiuose patikrinimas. Specialus tikslinis užklausimas Censys šeimininkams patvirtino apie 2100 interneto serverių, kurie viešai naudojo šiuos hešus savo tranzitiniuose protokolo validavimo grandinėse. Ši statistika neatspindi absoliučio maksimumo paplitimo, tačiau yra nenuginčijamas argumentas, kad objektai priklauso įprastai ir atvirai infrastruktūrai, o ne šešėlinei segmentui. Tokio išorinio informacijos konteksto buvimas yra lemiamas veiksnys, leidžiantis vidinėms komandoms panaikinti apsaugos sistemos nurodymą ir atkurti įprastą įmonės prietaisų veikimą.

Kritinės saugumo sistemų klaidos išliks neatsiejamu bet kurios išplėstinės skaitmeninės tinklo veiklos atributu. Tačiau specialistų gebėjimas greitai patikrinti techninius rodiklius per globalią analizę leidžia išvengti infrastruktūros paralyžiaus. Patikimas išorinis kontekstas neatšaukia pagrindinio tikrinimų poreikio, bet daro juos greitus, tikslius ir galutinius.

iIT Distribution bendrovė kaip kibernetinio saugumo sprendimų platintoja užtikrina patikimą palaikymą visais šiuolaikinės apsaugos architektūros vystymo etapais. iITD komanda padeda partneriams integruoti pažangias analitines platformas į kasdienius darbo procesus, suteikdama gilų techninį ekspertizą, specialistų mokymus ir pilną projektų bet kurios sudėtingumo ciklą.