Mr. Robot Disassemblato: 3.4_Runtime-Error.R00

Ciao amico. Sono Ryan Kazanciyan, consulente tecnico per Mr. Robot e Chief Security Architect per Tanium. Ho lavorato con Kor Adana - scrittore, produttore e mente dietro l'ARG - e il resto del team di Mr. Robot dalla seconda metà della stagione 2. Per tutta la stagione 3, scriverò degli hack descritti in lo spettacolo, come si sono uniti e le loro basi nella realtà.

Avviso spoiler! Questo post discute gli eventi del quinto episodio della terza stagione.

Ho aspettato con impazienza che questo episodio andasse in onda - è il mio preferito della stagione. Mentre guardavo i miei appunti, sono stato sorpreso di scoprire che Kor e io abbiamo iniziato a lavorare sulle scene per "eps3.4_runtime-err0r.r00" già da gennaio. Gli attacchi contro Hardware Security Modules (HSM) di E Corp sono tra gli hack più complessi che abbiamo descritto nello show - e le riprese dell'intero episodio come "oner" hanno aggiunto un'ulteriore ruga.

Questa maggior parte del write-up della settimana si concentra sulle scene dell'HSM. Alla fine, fornirò anche un po 'di informazioni su come Elliot stava monitorando le attività dell'esercito oscuro usando ELK.

Fiction Mirrors Reality

Ho tratto ispirazione per l'hack di HSM da un'indagine sulla violazione che ho condotto nel 2013 per una grande multinazionale. A metà del caso, abbiamo scoperto che gli aggressori - ritenuti sostenuti dallo stato - avevano preso di mira l'infrastruttura di firma del codice del software della vittima. Questo è uno scenario peggiore per molte aziende. Nel giro di pochi giorni, gli aggressori hanno ottenuto l'accesso a sistemi appartenenti a architetti e ingegneri chiave, hanno rubato un ampio set di credenziali e documentazione e alla fine si sono rivolti per colpire gli HSM e i sistemi che li gestivano.

Gli HSM sono simili a un caveau antimanomissione progettato per archiviare segreti importanti, come chiavi crittografiche e certificati. Sono progettati per facilitare il caricamento dei dati, ma è molto difficile estrarli. Quando è necessario utilizzare qualcosa archiviato su un HSM - diciamo una chiave privata utilizzata per firmare digitalmente il software - strumenti specializzati ti consentono di farlo sul dispositivo, senza che i segreti lascino completamente i confini del suo hardware sicuro. Gli HSM sono tra i dispositivi più sensibili e ben protetti che troverai nelle reti aziendali.

Mentre gli attaccanti non hanno mai violato con successo gli HSM, si sono spaventosamente avvicinati al successo. Sono comunque riusciti a rubare alcune chiavi private e certificati di firma del codice erroneamente memorizzati su altri sistemi. E questo chiaramente non era il loro primo rodeo: alcuni dei loro malware erano firmati digitalmente con certificati che erano stati precedentemente rubati da un'altra società. In effetti, la ricerca recentemente pubblicata ([1], [2]) ha gettato nuova luce sulla prevalenza degli attacchi ai certificati di firma del codice negli ultimi anni.

Pianificare l'attacco

Quando Kor e io abbiamo iniziato a discutere della terza stagione, ha descritto un arco di hack e risposte crescenti tra l'Esercito oscuro (DA) e Elliot. Ho lanciato un attacco HSM come il culmine di questo gioco di gatto e topo. Da un punto di vista tecnico, un compromesso HSM riuscito consentirebbe al DA di firmare digitalmente il software con chiavi crittografiche appartenenti a E Corp. Ciò significa che potrebbero creare un aggiornamento del firmware dannoso che ha aggirato la patch UPS di Elliot. Dal punto di vista della narrazione, ha supportato una scena piena di tensione con compiti fisici complessi che dovevano essere eseguiti in un laboratorio protetto all'interno delle viscere di E Corp.

Perché l'Armata Oscura non potrebbe andare dritto per gli HSM attraverso un attacco remoto, usando una delle loro backdoor di recente costituzione? Gli HSM - e i sistemi di gestione che si interfacciano direttamente con essi - sarebbero intercettati dalla maggior parte della rete E Corp. Sono inoltre bloccati dietro ulteriori controlli fisici, che richiedono credenziali specializzate e chiavi USB (ad esempio dongle) per ottenere l'accesso autorizzato.

Tuttavia, i membri del Code Signing Architecture Team (CSAT) che amministrano gli HSM hanno ancora normali computer che si collegano alla rete E Corp per attività di lavoro di base come la posta elettronica. Ciò ha rappresentato un'opportunità. Compromettendo questi sistemi, il DA potrebbe raccogliere informazioni tecniche, passcode e altri dati necessari per preparare un attacco di follow-up contro l'infrastruttura di firma del codice in loco.

Un pugno di dongle

Angela si ritrova nella sala server CSAT con una borsa piena di attrezzi e un elenco di istruzioni. Ha assunto il compito di clonare uno degli HSM di E Corp su un dispositivo portatile di backup HSM. Questo è un processo complesso che comporta un alto rischio di fallimento. Fortunatamente per Angela, l'Esercito oscuro ha fatto i compiti.

Ho basato questo attacco sui passaggi necessari per clonare un SafeNet Luna HSM, un modello popolare per le aziende. È un processo complicato e complicato per non dire altro.

Diagramma del processo di backup per un dispositivo SafeNet Luna HSM

Seguendo la numerazione del diagramma: Angela lavora dal laptop admin (2) utilizzando le credenziali di accesso fornite nelle sue istruzioni (ovvero rubate dagli hack precedenti dell'armata oscura). Il sistema si collega su una rete privata locale all'HSM montato su rack (3). Le sue istruzioni includono le credenziali di accesso al laptop. Ha un backup HSM (5) fornito dall'Esercito Oscuro, ma non ha il Pin Entry Device (PED) (1) o la chiave USB rossa (4) necessaria per autorizzare l'operazione di clonazione.

Angela trova rapidamente il PED in uno dei cassetti del server rack. Ma manca la chiave USB, che la porta a cercare freneticamente la stanza adiacente nel laboratorio CSAT.

Questa è la parte più rischiosa del piano: i dongle USB HSM sono pensati per essere attentamente custoditi e molte aziende li tengono chiusi in cassaforte quando non in uso. L'operazione non può avere successo senza una. Fortunatamente per Angela, anche gli amministratori della sicurezza possono essere negligenti (per non parlare in fretta di fuggire durante una rivolta), e trova una delle chiavi lasciate in una borsa.

Una volta che tutto è collegato, Angela esegue gli strumenti su una levetta fornita dall'Armata Oscura per automatizzare il processo di clonazione. L'immagine sotto mostra la prima serie di testi sullo schermo che ho preso in giro per questa scena. Puoi anche consultare la documentazione su questi comandi e il loro output previsto per i dispositivi del mondo reale.

Prima serie di script e comandi e output dal lavoro di clonazione HSM

C'è un momento in cui lo schermo visualizza "Per favore partecipa al PED". Angela deve inserire un codice PIN - di nuovo, fornito nelle istruzioni del DA - sulla tastiera allegata. Una volta completata questa fase di autenticazione finale, può iniziare il processo di backup. Mentre la telecamera si sposta sullo schermo, puoi vedere decine di linee contenenti le parole "Oggetto clonato" che scorre. Questi "oggetti" sono gli elementi nella memoria protetta, come le chiavi private, copiati nel backup HSM appena autorizzato.

Mock-up delle fasi finali del lavoro di clonazione HSM. Come filmato, molte altre file di

Dopo un minuto di tensione, l'operazione è completa. Angela disconnette tutto e impacchetta il backup HSM, la chiave USB e la levetta (il PED può rimanere dietro). Fatto e fuori.

Per fortuna, ho avuto la fortuna di unirmi a Kor sul set per dare una mano durante le riprese di questa scena. È stato impressionante vedere la grande quantità di sforzi e coordinazione - sia dal cast che dalla troupe - per eseguire le riprese estremamente lunghe viste durante l'episodio. E devo dare enormi oggetti di scena a Portia Doubleday per aver inchiodato in modo assoluto l'hack dell'HSM - in particolare la serie contorta di cavi e dispositivi che devono essere collegati in sequenza - in una scena intensa.

conseguenze

Una volta che l'Armata Oscura mette le mani sul dongle di backup HSM e USB, cosa potrebbero fare dopo? È ragionevole aspettarsi che abbiano già eseguito simili attacchi contro altre vittime - e ci sono solo una manciata di produttori di hardware HSM. Dati tutti questi elementi, potevano seguire la stessa serie di passaggi necessari per firmare il loro malware come se fosse un software E Corp legittimo. Potrebbero anche possedere exploit che consentono loro di estrarre le chiavi da un HSM vulnerabile, dato l'accesso fisico a un dispositivo originale o clonato.

Un attacco riuscito acquista il tempo dell'Armata Oscura, ma non indefinitamente. E Corp può revocare i certificati rubati e adottare misure per garantire che non vengano più accettati da alcun sistema o dispositivo. Per un compromesso su larga scala, potrebbe essere uno sforzo significativo e che richiede tempo.

Addendum: monitoraggio dell'esercito oscuro con ELK

L'inizio di questo episodio offre uno sguardo agli strumenti di sicurezza che Elliot ha messo in atto per monitorare gli attacchi dell'Esercito oscuro contro E Corp. Sta usando "ELK", una piattaforma open source composta da tre strumenti: Elasticsearch per l'indicizzazione e l'analisi dei dati; Logstash per la raccolta di registri e altre fonti di dati; e Kibana per la visualizzazione. ELK è popolare tra i professionisti della sicurezza e abbastanza leggero da consentire a Elliot di creare ragionevolmente la propria VM di monitoraggio, piuttosto che fare affidamento sull'infrastruttura di sicurezza "ufficiale" di E Corp.

Kibana ti consente di creare dashboard personalizzabili composte da informazioni da qualsiasi sistema o sorgente di log che desideri monitorare. Per aiutare Elliot a tenere d'occhio i sistemi che sono già stati compromessi e backdoor dall'Armata Oscura. Ho impostato pannelli che mostravano i tipi di dati che vedevi da uno strumento di rilevamento e risposta degli endpoint (EDR): attività di processo storica, utenti che hanno effettuato l'accesso e così via.

Dashboard di Kibana come mostrato nell'episodio. Il pannello in alto a sinistra contiene una cronologia dei comandi interessante da un sistema con backdoor ...

Ho anche incluso un pannello con l'etichetta "Stato del firmware UPS". Questo visualizza l'ultima riga del registro degli aggiornamenti, avvisando di eventuali tentativi di caricare firmware dannoso. Come puoi vedere dallo screenshot, il pannello indica che un aggiornamento del firmware non riuscito è avvenuto alle 06:07:20. Ciò significa che la patch di Elliot ha funzionato ... ma che l'Armata Oscura ha in qualche modo riguadagnato l'accesso ai sistemi UPS nella struttura di documentazione cartacea.

Il pannello in alto a sinistra mostra un estratto di comandi precedentemente eseguiti da uno dei sistemi compromessi dell'Armata Oscura all'interno della rete E Corp. Quando Elliot rivede queste informazioni all'inizio dell'episodio, riconosce che stanno prendendo di mira il Team di architettura della firma del codice (CSAT). Questi comandi imitano il tipo di attività post-violazione che vedresti in un vero compromesso.

Ecco una ripartizione di cosa significano:

gruppo netto "amministratori CSAT" / dominio

Elencare tutti gli utenti nel gruppo Windows Active Directory denominato "CSAT Administrators"

utente netto Frank.Bowman / dominio`

Elencare le informazioni sull'account dell'utente "Frank Bowman" (presumibilmente identificato dall'output del comando precedente)

dsquery computer ou = csat, dc = e-corp, dc = usa, dc = com

Elencare i computer che appartengono all'unità organizzativa "CSAT" all'interno di E Corp.

net view \\ csat-fs01

Visualizza condivisioni sul file server CSAT-FS01 (presumibilmente identificato dal comando precedente)

mimi.exe "privilege :: debug" "kerberos :: ptt c: \ temp \ ticket \"

Eseguire una versione rinominata dell'utilità di furto delle credenziali mimikatz.exe. Gli argomenti della riga di comando invocano la modalità Pass-the-Ticket utilizzando i ticket Kerberos memorizzati nella directory "c: \ temp \ ticket \". (Il DA avrebbe precedentemente recuperato e copiato questi ticket prima di eseguire questo comando).

net use y: \\ csat-fs01 \ D $

Montare il volume "D" su CSAT-FS01 per guidare la lettera Y: sul sistema infetto.

xcopy y: \ hsm c: \ temp / s / e

Copia in modo ricorsivo tutto il contenuto di “Y: \ hsm” (che, ricorda, si associa a “\\ CSAT-FS01 \ D $ \ hsm”) nella cartella temp locale

In sintesi, questa sequenza cattura parte degli sforzi dell'Armata Oscura per rubare i dati dal team CSAT come precursore della messa in scena dell'attacco dell'HSM.

Per garantire che questa scena sembrasse realistica, ho costruito una vera VM ELK e l'ho popolata con i dati di alcuni sistemi Windows e Linux su cui ho falsificato l'attività dannosa. Di seguito ho incluso uno degli screenshot dei miei disegni originali.

Mock-up originale per la dashboard di monitoraggio host Kibana di Elliot

Mentre ci allontaniamo dallo schermo, Elliot avvia una connessione SSH al suo server ELK per visualizzare il set completo di registri degli aggiornamenti UPS ingeriti da logstash. La fase 2 potrebbe essere in corso ...