Violación de LastPass: La pirámide del dolor

14 de marzo de 2023

Los expertos en ciberseguridad se han apresurado a responder a los detalles de la brecha de LastPass en los últimos meses. Se han publicado artículos de opinión en los que se abordan tanto los pasos críticos de reparación para los clientes como las críticas merecidas a la comunicación del incidente. En el discurso público no se ha hablado de los indicadores que pueden extraerse de las diversas comunicaciones de LastPass. En este blog pretendo esbozar la información contenida en los comunicados de LastPass y enumerar los indicadores de los atacantes, enmarcando el debate en torno a la Pirámide del Dolor.

Este artículo pretende seguir de cerca el consejo del autor de la Pirámide del Dolor, David Bianco: "Cada vez que recibas nueva información sobre un adversario (ya sea APT1/Comment Crew o cualquier otro actor de amenazas), revísala cuidadosamente comparándola con la Pirámide del Dolor. Por cada párrafo, pregúntate '¿Hay algo aquí que pueda usar para detectar la actividad del adversario, y dónde cae esto en la pirámide?'".

La pirámide del dolor para los indicadores de Cloud

La Pirámide del Dolor es un modelo conceptual para clasificar la eficacia de los controles detectivescos. Descrita por primera vez por David Bianco en 2013, el "dolor" se refiere al dolor que un control detectivesco infligirá al adversario. Cuanto más se asciende en la pirámide, más dolor sentirá el atacante al adaptarse y evadir necesariamente las capacidades detectivescas del defensor. La pirámide del dolor reconoce que no todos los indicadores de compromiso (y, por tanto, las capacidades de detección) son iguales. Algunos indicadores son triviales para que un atacante los modifique y evada, mientras que otros comportamientos son fundamentales para su objetivo declarado y no pueden alterarse tan fácilmente.

En la base de la pirámide se encuentran indicadores simples como las direcciones IP y los valores hash. Esto incluye detecciones cloud basadas en la dirección IP de origen o la firma de la herramienta de ataque. Los defensores pueden encontrar cierta comodidad en el despliegue de detecciones dirigidas a indicadores en la parte baja de la pirámide del dolor, sin embargo, deben ser conscientes de la simplicidad de la evasión.

En la cúspide de la Pirámide del Dolor se encuentran los indicadores que son fundamentales para que un atacante consiga sus objetivos. Se trata de las tácticas, técnicas y procedimientos (TTP) que son difíciles o imposibles de modificar para el actor de la amenaza. Imaginemos una suite de detección que identifique las llamadas a las API implicadas en la transferencia de datos fuera de un entorno de cloud de confianza. Este indicador sería imposible de modificar para un atacante a menos que fuera capaz de aprovechar mecanismos desconocidos e indocumentados del proveedor de cloud para transferir datos.

En medio se encuentran los indicadores que un adversario podría modificar o evitar mostrar con cierta dificultad. Al analizar la cloud, este nivel incluye patrones de eventos que indican un compromiso inicial. El descubrimiento y la enumeración de un entorno de cloud se realiza de forma más sencilla consultando directamente las API de cloud y dejando un rastro de indicadores en el plano de control de cloud . Sin embargo, estos indicadores pueden evitarse y, en su lugar, puede obtenerse la misma información a través de inteligencia de código abierto o recopilando información de la documentación interna.

Comunicaciones de LastPass Intel

Vamos a desentrañar las piezas de información de las comunicaciones públicas de LastPass - prestando especial atención a los indicadores del atacante, ya que se dirigieron a los datos alojados cloud . Aunque hay numerosos detalles interesantes en estas comunicaciones sobre la postura protectora y defensiva de LastPass, este artículo se centra en sacar a la luz los posibles comportamientos del atacante.

1er incidente: El resultado fue el robo de repositorios de fuentes y documentación técnica.

"El actor de la amenaza utilizó servicios VPN de terceros para ofuscar el origen de su actividad al acceder al entorno de desarrollo cloud nube y utilizó su acceso para hacerse pasar por el ingeniero de software. Utilizando este método, fueron capaces de "colarse" en el entorno de desarrollo bajo demanda a través de nuestra VPN corporativa, así como una conexión dedicada al entorno de desarrollo cloud nube. Lo hicieron confiando en la autenticación correcta del ingeniero de software con credenciales de dominio y MFA. No se identificó ni fue necesaria ninguna escalada de privilegios".

Esto indica que el entorno de desarrollo cloud tenía conectividad híbrida y estaba disponible para usuarios autenticados en el dominio dentro del espacio IP corporativo.
Cualquier control de detección orientado a direcciones IP inusuales o mal conocidas probablemente habría pasado por alto al actor de la amenaza que utilizaba la VPN corporativa cuando se originaba desde el punto final del ingeniero de software, sin embargo, si la conexión no se establecía fuera de la estación de trabajo, se podrían haber implementado controles para evitar o detectar una conexión VPN inusual.

2º incidente: Tuvo como resultado el robo de copias de seguridad de bóvedas de clientes que contenían datos cifrados y sin cifrar, semillas de contraseñas de un solo uso y secretos de API utilizados en integraciones de terceros.

"Debido a los controles de seguridad que protegen y aseguran las instalaciones del centro de datos local de producción de LastPass, el actor de la amenaza apuntó a uno de los cuatro ingenieros de DevOps que tenían acceso a las claves de descifrado necesarias para acceder al servicio de almacenamiento cloud nube."

Los autores del informe parecen indicar que el autor de la amenaza eligió como objetivo los datos almacenados cloud en lugar de los datos locales debido a unos controles de seguridad menos sólidos.

"En concreto, el actor de la amenaza fue capaz de aprovechar credenciales válidas robadas a un ingeniero senior de DevOps para acceder a un entorno compartido cloud, lo que inicialmente dificultó a los investigadores diferenciar entre la actividad del actor de la amenaza y la actividad legítima en curso."

"Para acceder a los recursos de almacenamiento en cloud- en particular S3 bucket.....Los servicios de almacenamiento cifrado cloud albergan copias de seguridad de los datos de los clientes de LastPass y de la bóveda cifrada."

Juntando estas frases, podemos deducir que el atacante accedió a los objetos de AWS S3 utilizando credenciales válidas robadas.

"Para acceder a los recursos de almacenamiento cloud-en particular los buckets S3 que están protegidos con cifrado AWS S3-SSE, cifrado AWS S3-KMS o cifrado AWS S3-SSE-C-, el actor de la amenaza necesitaba obtener las claves de acceso de AWS y las claves de descifrado generadas por LastPass."

Si se necesitaba una clave de acceso de AWS para acceder a los recursos de almacenamiento cloud y ese acceso fue finalmente exitoso, podemos concluir que un usuario de IAM fue comprometido y aprovechado para acceder a los objetos almacenados en S3, ya que son los únicos principales de IAM a los que se les pueden asignar claves de acceso.
Dado que los datos a los que se accedió eran copias de seguridad cloud , podríamos suponer que la identidad comprometida estaba destinada a ser aprovechada durante escenarios de recuperación de desastres.

".....el actor de la amenaza explotó una vulnerabilidad en un software de terceros, eludió los controles existentes y acabó accediendo a entornos de desarrollo y almacenamiento de copias de seguridad que no estaban en producción.⁴"

LastPass confirma que el actor de la amenaza accedió a los datos de copia de seguridad de los que se informó en comunicaciones anteriores como almacenados en AWS S3. Podemos utilizar esta información para analizar los posibles indicadores de compromiso que podría dejar un atacante.

Violación de LastPass: Oportunidades de detección y respuesta Cloud

Teniendo en cuenta lo que sabemos sobre el valor de los distintos indicadores, ¿cómo podemos situar los posibles indicadores de la violación de LastPass en la Pirámide del Dolor?

Indicadores relativamente "indoloros

Estos indicadores son fáciles de evitar para un adversario, tienden a dar lugar a detecciones positivas verdaderas de alta confianza, pero no es probable que reciban una acción oportuna de un equipo de operaciones de seguridad, ya que tienden a no ilustrar el impacto en los recursos de cloud .

Acceso a la API de Cloud desde ubicaciones poco comunes que da lugar a la detección de viajes improbables.
→ Es poco probable que el primer incidente se hubiera detectado si se buscaba este indicador, pero es posible que el segundo incidente haya producido algunas señales.

Indicadores de la pirámide media

Un adversario podría evitar el uso de estos indicadores con cierta dificultad, pero aun así no es probable que reciba una acción oportuna de un equipo de operaciones de seguridad, ya que no suelen ilustrar el impacto en los recursos de cloud .

Actividad de reconocimiento
→ Tras obtener acceso a credenciales válidas, el atacante puede haber aprovechado las API de cloud nube tanto para enumerar sus permisos y/o listar y describir los objetos S3. Sin embargo, durante el primer incidente se robó un gran volumen de documentación técnica. Es muy posible que toda la información necesaria estuviera incluida en esta documentación, y que el atacante no necesitara realizar ninguna otra actividad de reconocimiento en la cloud.

Indicadores de la pirámide superior

El actor de la amenaza no podría evitar dejar estos indicadores y aun así lograr sus objetivos, como la exfiltración de datos. La modificación de estos indicadores para evitar su detección requeriría el uso de una API o técnica desconocida. Es probable que las detecciones realizadas en torno a estos indicadores atraigan rápidamente la atención de un equipo de operaciones de seguridad.

Movimiento de objetos de S3 a destinos sospechosos
→ Los datos se movieron de repositorios de datos cloud autorizados a ubicaciones controladas por atacantes. Esta transferencia es una oportunidad para elaborar detecciones en torno al movimiento de datos a ubicaciones desconocidas, no fiables o externas.

Acceso a un gran volumen de objetos de S3
→ Podemos suponer, a partir de las comunicaciones de LastPass, que se transfirieron grandes volúmenes de datos aprovechando la velocidad y la escala de las API de Cloud AWS. El acceso a un gran volumen de datos es un indicador que vive en la parte superior de la Pirámide del Dolor y es una señal para detectar la recuperación de datos sospechosos.

Hay varios indicadores de compromiso que pueden extraerse de la brecha de LastPass y asignarse a todos los niveles de la Pirámide del Dolor. Aunque proporcionar cobertura de detección en todos los niveles es valioso, es importante reconocer que su kilometraje puede variar. La detección del acceso a cloud desde direcciones IP de origen desconocido o no fiable será trivial de evitar para un atacante, mientras que la detección de las TTP de movimiento de datos sospechosos y el acceso a los datos es probable que sea una metodología de detección probada.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos