Případová studie ransomwaru Microsoft DART

Ransomwar provozovaný člověkem si i nadále udržuje svou pozici jednoho z nejvýznamnějších trendů kybernetických útoků na celém světě a představuje významnou hrozbu, se kterou řada organizací v posledních letech čelí. Tyto útoky využívají nesprávné konfigurace sítě a daří se jim slabé vnitřní zabezpečení organizace. I když tyto útoky představují jasné a současné nebezpečí pro organizace a jejich IT infrastrukturu a data, představují předejít havárii.

Microsoft Detection and Response Team (DART) reaguje na ohrožení zabezpečení, které pomáhá zákazníkům stát se odolnějšími vůči kybernetickým hrozbám. DART poskytuje reaktivní reakci na incidenty na místě a vzdálené proaktivní vyšetřování. DART využívá strategická partnerství Microsoftu s organizacemi zabezpečení po celém světě a interními produktovými skupinami Microsoftu, aby bylo možné provést co nejúplnější a nejúplnější šetření.

Tento článek popisuje, jak SPOLEČNOST DART prošetřila nedávný incident ransomwaru s podrobnostmi o taktikách útoku a mechanismech detekce.

Další informace najdete v části 1 a 2 příručky dartu pro boj proti ransomwaru provozovaném člověkem.

Útok

DART využívá nástroje a taktiku reakce na incidenty k identifikaci chování aktérů hrozeb pro ransomwar provozovaný člověkem. Veřejné informace týkající se událostí ransomwaru se zaměřují na konečný dopad, ale jen zřídka zdůrazňují podrobnosti operace a způsob, jakým byli aktéři hrozeb schopni eskalovat svůj přístup, který nezjišťoval, zpeněžit a vydírání.

Tady je několik běžných technik, které útočníci používají pro útoky ransomwaru založené na taktikách MITRE ATTCK&.

Common techniques that attackers use for ransomware attacks.

DART použil Microsoft Defender for Endpoint ke sledování útočníka prostřednictvím prostředí, vytvoření příběhu znázorňujícího incident a následnému vymýcení hrozby a nápravě. Po nasazení začal Defender for Endpoint zjišťovat úspěšná přihlášení z útoku hrubou silou. Po zjištění tohoto problému služba DART zkontrolovala data zabezpečení a našla několik ohrožených internetových zařízení pomocí protokolu RDP (Remote Desktop Protocol).

Po získání počátečního přístupu použil objekt pro získávání přihlašovacích údajů Mimikatz k výpisu hodnot hash hesel, kontrole přihlašovacích údajů uložených ve formátu prostého textu, vytvoření zadních vrátek s manipulací s jedním klíčem a k laterálnímu přesunu po síti pomocí relací vzdálené plochy.

V této případové studii je zde zvýrazněná cesta, kterou útočník zvolil.

The path the ransomware attacker took for this case study.

Následující části popisují další podrobnosti založené na taktikách MITRE ATTCK& a obsahují příklady toho, jak byly na portálu Microsoft 365 Defender zjištěny aktivity aktérů hrozeb.

Počáteční přístup

Kampaně ransomwaru používají známá ohrožení zabezpečení pro jejich počáteční vstup, obvykle používají phishingové e-maily nebo slabá místa v hraniční obraně, jako jsou zařízení s povolenou službou Vzdálená plocha vystavená na internetu.

V případě tohoto incidentu služba DART dokázala najít zařízení s portem TCP 3389 pro protokol RDP vystaveným na internetu. To umožnilo aktérům hrozeb provést útok hrubou silou na ověřování a získat počáteční oporu.

Defender for Endpoint použil analýzu hrozeb, aby zjistil, že došlo k mnoha přihlášením ze známých zdrojů hrubou silou a zobrazil je na portálu Microsoft 365 Defender. Tady je příklad.

An example of known brute-force sign-ins in the Microsoft 365 Defender portal.

Průzkum

Po úspěšném počátečním přístupu začal výčet prostředí a zjišťování zařízení. Tyto aktivity umožnily aktérům hrozeb identifikovat informace o interní síti organizace a cílových důležitých systémech, jako jsou řadiče domény, záložní servery, databáze a cloudové prostředky. Po výčtu a zjišťování zařízení provedli aktéři hrozeb podobné aktivity, aby identifikovali ohrožené uživatelské účty, skupiny, oprávnění a software.

Herec hrozeb využil advanced IP Scanner, nástroj pro kontrolu IP adres, aby vyčíslit IP adresy používané v prostředí a provést následné prohledávání portů. Vyhledáním otevřených portů objekt pro analýzu hrozeb zjistil zařízení, která byla přístupná z původně ohroženého zařízení.

Tato aktivita byla zjištěna v programu Defender for Endpoint a použita jako indikátor ohrožení zabezpečení (IoC) pro další šetření. Tady je příklad.

An example of port scanning in the Microsoft 365 Defender portal.

Krádež přihlašovacích údajů

Po získání počátečního přístupu provedli aktéři hrozeb získávání přihlašovacích údajů pomocí nástroje pro načítání hesel Mimikatz a vyhledáním souborů obsahujících "heslo" na původně ohrožených systémech. Tyto akce umožnily aktérům hrozeb přístup k dalším systémům s legitimními přihlašovacími údaji. V mnoha situacích účastníci hrozeb používají tyto účty k vytvoření dalších účtů pro zachování trvalosti po identifikaci a nápravě počátečních ohrožených účtů.

Tady je příklad zjištěného použití mimikatzu na portálu Microsoft 365 Defender.

An example of Mimikatz detection in the Microsoft 365 Defender portal

Laterální pohyb

Pohyb mezi koncovými body se může v různých organizacích lišit, ale účastníci hrozeb běžně používají různé druhy softwaru pro vzdálenou správu, který už na zařízení existuje. Díky využití metod vzdáleného přístupu, které IT oddělení běžně používá ve svých každodenních aktivitách, můžou účastníci hrozeb letět pod radarem po delší dobu.

Pomocí programu Microsoft Defender for Identity dokázal DART namapovat cestu, kterou si objekt actor hrozeb vzal mezi zařízeními, a zobrazit účty, které se používaly a ke kterým přistupoval. Tady je příklad.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Úniky před obranou

Aby se předešlo odhalení, použili účastníci hrozeb techniky úniků před únikem, aby se vyhnuli identifikaci a dosáhli svých cílů v průběhu celého cyklu útoku. Mezi tyto techniky patří zakázání nebo manipulace s antivirovými produkty, odinstalace nebo zakázání produktů nebo funkcí zabezpečení, úprava pravidel brány firewall a použití technik obfuskace ke skrytí artefaktů vniknutí z produktů a služeb zabezpečení.

Aktér hrozeb pro tento incident pomocí PowerShellu zakázal ochranu v reálném čase pro Microsoft Defender na Windows 11 a Windows 10 zařízeních a místních síťových nástrojích k otevření portu TCP 3389 a povolení připojení RDP. Tyto změny snížily pravděpodobnost detekce v prostředí, protože upravily systémové služby, které detekují škodlivou aktivitu a upozorňují na ně.

Defender for Endpoint ale nejde zakázat z místního zařízení a dokázal tuto aktivitu rozpoznat. Tady je příklad.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Trvalosti

Techniky trvalosti zahrnují akce aktérů hrozeb za účelem zachování konzistentního přístupu k systémům poté, co bezpečnostní pracovníci vynakládají úsilí, aby znovu získali kontrolu nad ohroženými systémy.

Účastníci hrozeb pro tento incident použili hack s rychlými klíči, protože umožňuje vzdálené spuštění binárního souboru uvnitř Windows operačního systému bez ověření. Tuto funkci pak použili ke spuštění příkazového řádku a provedení dalších útoků.

Tady je příklad detekce hacku s rychlými klíči na portálu Microsoft 365 Defender.

An example of detecting the Sticky Keys hack in the Microsoft 365 Defender portal.

Dopad

Aktéři hrozeb obvykle šifrují soubory pomocí aplikací nebo funkcí, které už v prostředí existují. Použití PsExec, Zásady skupiny a Microsoft Endpoint Configuration Management jsou metody nasazení, které umožňují objektu actor rychle dosáhnout koncových bodů a systémů bez narušení normálních operací.

Aktér hrozeb pro tento incident využil nástroj PsExec ke vzdálenému spuštění interaktivního skriptu PowerShellu z různých vzdálených sdílených složek. Tato metoda útoku randomizuje distribuční body a znesnadňuje nápravu během konečné fáze útoku ransomwarem.

Spuštění ransomwaru

Spuštění ransomwaru je jednou z primárních metod, které aktér hrozeb používá k zpeněžení útoku. Bez ohledu na metodologii provádění mají odlišné architektury ransomwaru po nasazení společný vzor chování:

  • Obfuskace akcí aktérů hrozeb
  • Vytvoření trvalosti
  • Zakázání obnovení chyb systému Windows a automatické opravy
  • Zastavení seznamu služeb
  • Ukončení seznamu procesů
  • Odstranění stínových kopií a záloh
  • Šifrování souborů, potenciálně určení vlastních vyloučení
  • Vytvoření poznámky k ransomwaru

Tady je příklad poznámky k ransomwaru.

An example of a ransomware note.

Další prostředky ransomwaru

Klíčové informace od Microsoftu:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Defender for Cloud Apps:

Microsoft Azure:

Blogové příspěvky týmu zabezpečení Microsoftu: