Panoramica della soluzione:
- L'aeroporto ha implementato il software IBM® Security QRadar EDR, che utilizza la tecnologia NanoOS per offrire una visibilità eccezionale su endpoint e infrastrutture.
- I motori comportamentali dell'EDR QRadar operano senza cali su reti isolate.
- Utilizzando potenti funzionalità di ricerca delle minacce, l'aeroporto può ricostruire e analizzare gli incidenti.
L'aeroporto ha utilizzato il software IBM Security QRadar EDR per eseguire una verifica dell'igiene della rete protetta da air-gap, in quanto alcuni endpoint apparivano rallentati nel funzionamento. Una volta implementato QRadar EDR su un segmento iniziale, i motori hanno rilevato attività potenzialmente malevole provenienti da un piccolo numero di dispositivi. L’analisi iniziale indicava, come punto di ingresso, un terminale pubblicamente accessibile ma, a una successiva analisi, è stato evidenziato un secondo punto di ingresso, costituito da un dispositivo presente nell’area check-in. Questi due vettori malevoli erano riusciti a diffondersi in un numero limitato di dispositivi, toccando diversi segmenti della rete.
La visibilità fornita dalla piattaforma QRadar EDR ha consentito di ricostruire l'incidente dall'inizio e di correggere in modo sicuro l'infezione, senza interrompere la continuità di servizio dell'aeroporto.
Analisi dell'origine del problema
L’implementazione iniziale ha evidenziato diverse anomalie comportamentali. Un’applicazione aveva installato un key logger in memoria, immettendolo in un’istanza nascosta del browser predefinito. In seguito, un ulteriore thread era riuscito a ripulire il disco alla ricerca di file Microsoft Word, file PDF, cookie e database dei browser. I dati erano stati raccolti in una cartella nascosta ed erano stati effettuati, a intervalli regolari, dei tentativi di inviarli presso un server C2 (command and control), pur non riuscendovi, grazie all’isolamento completo della rete dal mondo esterno.
Un'analisi più approfondita del vettore di infezione ha portato a risultati interessanti: il vettore era insolitamente ampio e conteneva una serie di meccanismi utili a bypassare non solo un antivirus locale, ma anche un'analisi sandbox. La dimensione faceva probabilmente parte di un tentativo di eludere un motore di emulazione antivirus, poiché tali sistemi solitamente emulano solo un piccolo blocco del binario completo.
Alla fine, sono stati identificati due vettori, uno installato su un terminale pubblico e un altro su un dispositivo che faceva parte del sensore della rete per la gestione dei check-in. Benché i due vettori si presentassero in modo diverso, specie in ragione della notevole quantità di istruzioni-spazzatura usate per evitare il rilevamento, il malware è parso essere lo stesso. In entrambi i casi, stava tentando di contattare lo stesso server C2 e si comportava nello stesso modo.
La ricostruzione dell’attacco
Quando QRadar EDR è implementato dopo la violazione, non tutti i dati sono disponibili e l’infrastruttura nativa usa solo una registrazione minima a livello di sistema operativo. Nonostante la quantità minima di dati, l’analisi di follow-up ha indicato che l’infezione era avvenuta cinque mesi prima e che erano stati infettati due endpoint a distanza di pochi giorni, da due diverse unità USB. Altri endpoint erano stati infettati da uno di questi vettori, specie a causa di password deboli che il malware tentava di far corrispondere, a intervalli casuali, presso ogni dispositivo cui riusciva a connettersi. Il malware era riuscito a raccogliere costantemente dati e non sembrava adottare alcun controllo di conservazione, né applicare limiti alla propria memorizzazione. Ogni otto ore, veniva tentato un collegamento al C2, operazione mai riuscita grazie all’air-gap.
L’analisi conclusiva ha mostrato come, nonostante il malware disponesse di funzionalità di autoreplicazione e fosse in grado di copiare automaticamente il proprio archivio su un’unità USB esterna, la funzionalità non era però abilitata. Probabilmente l’avvio della sottrazione era previsto manualmente.
Risposta e correzione
L'aeroporto ha utilizzato il modulo correttivo di QRadar EDR per ripulire i dispositivi infetti ed eliminare le cartelle di archiviazione identificate per evitare qualsiasi perdita di dati. L'interfaccia di ricerca delle minacce della soluzione si è dimostrata essenziale nel confermare l'assenza dello stesso vettore nel resto dell'intera infrastruttura, salvo che nei dispositivi già identificati. L’aeroporto ha inoltre condotto una ricerca comportamentale per assicurare che nessuna istanza del malware fosse in esecuzione, non rilevata, su altri dispositivi. Ha effettuato una ricerca tra tutti i comportamenti identificati, le minacce persistenti e i metodi di raccolta dei dati fino a confermare l'assenza di quel vettore e delle sue varianti dall'infrastruttura.
Il team di sicurezza locale, infine, ha fissato un insieme più rigido di regole per il controllo del traffico interno. La parte pubblica della rete è stata isolata dalle operazioni, e il team di sicurezza locale ha iniziato a eseguire un monitoraggio continuativo degli endpoint e campagne periodiche di individuazione delle minacce.