Cisco 2022 ハッキングの分析
公開: 2022-09-212022 年 5 月 24 日、シスコはセキュリティ チームから侵害があったことを知らされました。 攻撃者は、アクセス権を取得し、権限を昇格させ、リモート アクセスとハッキング ソフトウェアをインストールし、システムへのアクセスを維持するための措置を講じることに成功しました。 彼らは、このすべてを一度に 1 ステップずつ行うことができました。 後述するように、これは簡単に防ぐことができたはずです。
物事を振り返ってみると誰もが賢くなりますが、シスコに起こったことは、WordPress 環境を管理しているすべての人に起こり得るというのが真実です。
この記事では、侵害を成功させるためのハッカーの手順と、すべての WordPress Web サイトの所有者と管理者が WordPress Web サイトでの再発を防ぐ方法について説明します。
シスコを侵害したのは誰ですか?
シスコの侵害の背後にいる人物についてはあまり知られていません。 調査の結果、IAB (Initial Access Broker) が攻撃を実行したことが判明しました。 名前が示すように、IAB はシステムに侵入しますが、攻撃は実行しません。 侵害が成功すると、ソフトウェアをインストールしてそのアクセスを維持します。 その後、アクセス権は、そのアクセス権を使用して実際の攻撃を実行する別の誰かに販売または譲渡されます。 証拠は、UNC2447、Lapsus$、および Yanluowang の 3 つの悪意のあるアクターとのつながりを示しています。
彼らがどのようにシスコを侵害したか
ステップ 1: ブラウザのパスワード
攻撃者はまず、従業員の個人的な Google アカウントにアクセスしました。 攻撃者は、盗んだ資格情報を使用して Chrome ブラウザーにログインすることで、従業員のパスワードにアクセスできる可能性があります。これは、従業員のパスワードがブラウザーに保存され、同期するように構成されているためです。
分析
ブラウザーは、Netscape と Internet Explorer の昔から長い道のりを歩んできました (両方のブラウザーは、それ以来、コンピューターの歴史の記録に委ねられています)。 それらは以前よりもはるかに堅牢で、より豊富な機能セットを提供し、より安全です。
ブラウザーのパスワードはそのような改善の 1 つです。ユーザーはユーザー名とパスワードをブラウザーに直接保存できます。 これは非常に便利ですが、ブラウザーはパスワード マネージャーが行うようなセキュリティのベスト プラクティスを適用しないため、ハッキングに対して脆弱になります。
パスワード マネージャーは、適切に複雑なマスター パスワードを使用し、保存されたパスワードを暗号化して、盗みにくくすることをユーザーに要求します。 一部のパスワード マネージャーでは、指紋や顔などのバイオメトリクスを使用できるようになり、セキュリティと利便性が向上します。
ブラウザはパスワード セキュリティの面で追いつき始めていますが、パスワード マネージャーのレベルにはまだ達しておらず、不適切なオプションになっています。
ここでのもう 1 つの潜在的なセキュリティ リスクは、単純なパスワードの使用です。 2021 年に NordPass が実施した調査によると、かなりの意識向上キャンペーンにもかかわらず、途方もなく安全でないパスワードがいまだに蔓延しています。 実際、研究者は、パスワード「123456」が 1 億 300 万回以上使用されていることを発見し、同様に疑わしい「123456789」が 4600 万回以上使用されました。 ご参考までに、'password'、'qwerty'、'iloveyou' などのクラシックはすべてリストに残っています。
これらのパスワードは解読に 1 秒もかからないため、信じられないほど安全ではありません。 問題を複雑にしているのは、パスワード クラッキング ソフトウェアがより高度になり、a を @ に、または e を 3 に置き換えるなどの特殊文字の置換を説明できるようになったことです。
防止
長くて複雑なパスワードを入力することを好む人はほとんどいないため、ショートカットを使用するようになります。 研究はこの主張を支持しており、ユーザーがより良いパスワードを使用できるようにすることが非常に重要である理由です。
パスワードの衛生状態を改善するよう奨励します。
強力なパスワードは、リスクを軽減するために実行できる最も重要な手順の 1 つです。 強力な WordPress パスワード ポリシーは、ユーザーが「123456」などのパスワードを使用していないことを確認するのに役立ちます。調査によると、これは依然として非常に一般的です。
WordPress のパスワード セキュリティ プラグインである WPassword を使用すると、適切なパスワード プラクティスが T に従っていることを確認できます。独自のポリシーを設定して、快適で満足できるポリシー プロファイルを実現できます。
ユーザーがブラウザーにパスワードを保存しないようにすることは、あなた (およびあなたのユーザー) がリスクを軽減するのに役立つもう 1 つの重要なステップです。 結局のところ、盗まれるリスクがあるのは WordPress のパスワードだけではありません。ソーシャル メディア、バンキング、その他すべてのパスワードが同様に危険にさらされています。
パスワード マネージャーは主流になり、多くのソリューションから選択できます。 パスワード マネージャーは、ブラウザーにパスワードを保存することに伴うリスクを排除するだけでなく、より強力なパスワードを作成するのにも役立ちます。また、パスワード リークがあった場合に警告を表示するものもあります。
ステップ 2: ソーシャル エンジニアリング
攻撃者は従業員のアカウントへのアクセスに成功すると、2FA によって提供されるセキュリティ メカニズムをバイパスするために 2FA デバイスの登録に着手しました。 2FA は非常に堅牢であるため、攻撃者はソーシャル エンジニアリング戦術を利用して 2FA をバイパスする 2 つの側面からの攻撃を開始しました。
- プロング 1: 2FA 疲労– 2FA 疲労攻撃では、攻撃者は複数の 2FA デバイスを登録しようとし、被害者に複数の 2FA リクエストを処理するよう強制します。 このタイプの攻撃は、被害者がしなければならないことは、無知、疲労、またはその他によるものであるかにかかわらず、受け入れることだけであるため、プッシュ通知で最も一般的です.
- プロング 2: ビッシング– ビッシングは、攻撃者が被害者に電話をかける (音声フィッシング) ソーシャル エンジニアリング攻撃の一種で、自分が権限のある立場にある人物であると主張します。 この偽りの権威は、犠牲者を発信者の要求に従う以外に選択肢がないと感じる立場に置くことによって悪用されます。 これらの要求には、情報を漏らしたり、特定のリンクをクリックするなどの特定のアクションを実行したりすることが含まれます。
分析
ソーシャル エンジニアリングは、攻撃者がセキュリティ対策を回避するために使用する最もよく使用されるツールの 1 つです。 場合によっては、攻撃者は、セキュリティ システムに対処するよりも、人を騙す方が簡単だと感じることがあります。 この場合、攻撃者は 2FA を回避するためにソーシャル エンジニアリングに頼る必要がありました。
ソーシャル エンジニアリングにはさまざまな形態があり、攻撃が成功しないようにするための包括的なセキュリティ ポリシーが必要です。 ソーシャル エンジニアリングは人々を対象としているため、継続的な意識向上キャンペーンは、リスクの最小化と軽減に大いに役立ちます。
ソーシャル エンジニアリングは、脅迫、緊急性、親しみやすさ、社会的証明、権威、希少性など、多くの原則に依存しています。 これらの原則は、他の方法では同意しないであろう要求に人々が従うようにするために、悪意を持って使用されます。
防止
2 要素認証を追加する
強力なパスワードは、防御の最前線にすぎません。 2FA は、優れたオンライン s のもう 1 つの重要な側面です。
オンライン攻撃の大部分を阻止できるセキュリティ。 2FA、潜在的な攻撃者が必要
登録ユーザーの電話にアクセスすることもできますが、これは非常に困難です。
Cisco の攻撃者は 2FA の防御を回避できませんでした。
彼は彼らの要求に応じることになり、最終的には 2FA をバイパスすることができました。
それでも、2FA は依然としてオンライン アカウントのセキュリティに対する手ごわいソリューションであり、攻撃を阻止するのに役立ちます。
少なくとも、それらを遅くします。 幸いなことに、WordPress Web サイトに 2FA を追加するのは簡単です。
ユーザーに投資する
ユーザー教育は強力なツールですが、インシデントが発生するまで無視されることがよくあります。 古いことわざにあるように、予防は治療に勝ります。 積極的に行動することは、損傷を修復するよりもはるかに有益です。
とりわけ、ユーザーが予期していなかった 2FA 要求を報告するよう求めるポリシーを作成し、そのような要求を誤って受け入れた場合でも報告する必要があることを明確にします。 ユーザーは、このような間違いから生じる影響を恐れていることが多く、そのようなインシデントが報告されないことにつながります. これは誰にでも起こり得ることを理解してください。寛大さと理解は、あなたとあなたのユーザーの両方に役立ちます。
時間をかけてポリシーを頻繁に確認し、可能であれば、担当者向けに設計された短いサイバーセキュリティ コースにユーザーを登録してください。
ステップ 3: 権限昇格
攻撃者が最初のアクセス権を取得すると、管理者レベルの権限に昇格し、複数のシステムにアクセスできるようになりました。 これが、セキュリティ対応チームに警告を発したときに最終的にそれらを解放したものであり、チームは調査して環境からそれらを削除することができました.
分析
権限昇格では、攻撃者は最初に侵害されたものよりも高い権限セットを持つアカウントへのアクセスを取得しようとします。 権限の低いアカウントは通常、権限の高いアカウントほど厳重に保護されていないため、簡単に侵入できます。 最初のアクセスが取得されると、攻撃者は権限をエスカレートして、より機密性の高いデータにアクセスしたり、より多くの損害を与えたりする可能性があります。
防止
WordPress は概して安全なアプリケーションですが、攻撃に対して無防備ではありません。 リスクを最小限に抑えるには、攻撃対象領域を減らすことが不可欠です。 攻撃対象領域を縮小するこのプロセスは強化と呼ばれ、次のようないくつかのレベルで実行できます。
WordPress の強化
PHP の強化
Web サーバーの強化
OS(オペレーティングシステム)の強化
MySQL の強化
どのサブシステムを強化できるかは、WordPress のホスト方法によって異なります。 WordPress ホスティング プランを利用している場合、ホスティング プロバイダーがほとんどのタスクを実行します。 一方、独自のサーバーを管理する場合は、各サブシステムを自分で強化する必要があります。
ステップ 4: ツールのインストール
攻撃者は、(インシデント対応チームがアクセスを終了する前に) 十分な権限を取得すると、さまざまな永続化ツールをインストールして、アクセスを維持できるようにしました。 これらのツールは、攻撃者が再訪問するか、サードパーティにアクセスを販売することを計画しているかにかかわらず、将来のアクセスを提供したでしょう.
分析
バックドアとしても知られる持続性ツールと方法は、将来の攻撃にアクセスできるようになるため、2 重に危険です。 検出されない場合でも、攻撃者に環境への継続的なアクセスを提供し続けます。 これらのツールのほとんどは検出を回避するように設計されているため、それらを見つけるには少し余分な作業が必要になる場合があります。
Google などのベンダーもドメインや IP をブロックリストに登録し、検索エンジンのランキングに悪影響を与える可能性があります。 これは、特に違反に気付く前にかなりの損害が発生した場合、回復がさらに困難になる可能性があります.
また、WordPress のバックドアはいくつかの PHP 関数を利用するため、検出が容易になります。 これは、すべてのバックドアが特定の PHP 関数を使用するという意味ではありませんが、留意すべき点です。
防止
攻撃者が残したすべてのマルウェアとソフトウェアを見つけることは、非常に困難な場合があります。 ほとんどの WordPress 管理者は、最初の侵害の前からの以前のバックアップに頼る傾向があります。 専門的な WordPress クリーニング サービスを提供している会社もいくつかあります。 特定のプラグインは、WordPress マルウェアの検出にも役立ちます。
使用すべき貴重なツールの 1 つは、WordPress のファイル整合性モニターである WordPress File Changes Monitor です。 この無料のプラグインは基本的に、実行するたびにファイル システムのハッシュを取得し、それを以前のハッシュと比較します。 いずれかのファイルにわずかな変更があると、ハッシュは完全に変更されます。 これにより、違反が発生したかどうかを判断するための調査を開始できます。
内部で何が起こっているかを追跡するのに役立つもう 1 つの重要なツールは、WP アクティビティ ログです。 このプラグインを使用すると、WordPress Web サイトのユーザーとシステムのアクティビティに関する詳細な洞察を提供する WordPress アクティビティ ログを保持し、疑わしい動作を早い段階で調べることができます。 サードパーティのプラグイン統合や電子メールまたは SMS アラートなどの機能により、常に最新情報を入手できます。
包括的なセキュリティ計画は唯一のセキュリティ計画です
シスコへの攻撃は、ハッカーが攻撃を実行する際により革新的かつ巧妙になっていることを示しています。複数のベクトルを使用して、侵害が成功する可能性を高めています。 ファイアウォールの設置などの対策は引き続き重要ですが、従来の通念が示す特効薬ではありません。 代わりに、WordPress Web サイトをあらゆる面で確実に保護するには、より包括的なアプローチが必要です。
シスコの侵害が示しているように、WordPress のセキュリティ強化には複数のレイヤーが不可欠です。 ただし、人間の要素は依然として不可欠です。 多くの点で、ユーザーは WordPress Web サイトの成功に関係しています。最小限の権限などのポリシーを実装することは必須ですが、ユーザー教育も同様です。