Případová studie ransomwaru Microsoft DART

Ransomwar provozovaný člověkem si i nadále udržuje svou pozici jednoho z nejvýznamnějších trendů kybernetických útoků na celém světě a představuje významnou hrozbu, se kterou řada organizací v posledních letech čelí. Tyto útoky využívají nesprávné konfigurace sítě a daří se jim slabé vnitřní zabezpečení organizace. I když tyto útoky představují jasné a současné nebezpečí pro organizace a jejich IT infrastrukturu a data, představují předejít havárii.

Microsoft Detection and Response Team (DART) reaguje na ohrožení zabezpečení, které pomáhá zákazníkům stát se odolnějšími vůči kybernetickým hrozbám. DART poskytuje reaktivní reakci na incidenty na místě a vzdálené proaktivní vyšetřování. DART využívá strategická partnerství Microsoftu s organizacemi zabezpečení po celém světě a interními produktovými skupinami Microsoftu, aby bylo možné provést co nejúplnější a nejúplnější šetření.

Tento článek popisuje, jak SPOLEČNOST DART prošetřila nedávný incident ransomwaru s podrobnostmi o taktikách útoku a mechanismech detekce.

Další informace najdete v části 1 a 2 příručky dartu pro boj proti ransomwaru provozovaném člověkem.

Útok

DART využívá nástroje a taktiku reakce na incidenty k identifikaci chování aktérů hrozeb pro ransomwar provozovaný člověkem. Veřejné informace týkající se událostí ransomwaru se zaměřují na konečný dopad, ale jen zřídka zdůrazňují podrobnosti operace a způsob, jakým byli aktéři hrozeb schopni eskalovat svůj přístup, který nezjišťoval, zpeněžit a vydírání.

Tady je několik běžných technik, které útočníci používají pro útoky ransomwaru založené na taktikách MITRE ATTCK&.

DART použil Microsoft Defender for Endpoint ke sledování útočníka prostřednictvím prostředí, vytvoření příběhu znázorňujícího incident a následnému vymýcení hrozby a nápravě. Po nasazení začal Defender for Endpoint zjišťovat úspěšná přihlášení z útoku hrubou silou. Po zjištění tohoto problému služba DART zkontrolovala data zabezpečení a našla několik ohrožených internetových zařízení pomocí protokolu RDP (Remote Desktop Protocol).

Po získání počátečního přístupu použil objekt pro získávání přihlašovacích údajů Mimikatz k výpisu hodnot hash hesel, kontrole přihlašovacích údajů uložených ve formátu prostého textu, vytvoření zadních vrátek s manipulací s jedním klíčem a k laterálnímu přesunu po síti pomocí relací vzdálené plochy.

V této případové studii je zde zvýrazněná cesta, kterou útočník zvolil.

Následující části popisují další podrobnosti založené na taktikách MITRE ATTCK& a obsahují příklady toho, jak byly na portálu Microsoft 365 Defender zjištěny aktivity aktérů hrozeb.

Počáteční přístup

Kampaně ransomwaru používají známá ohrožení zabezpečení pro jejich počáteční vstup, obvykle používají phishingové e-maily nebo slabá místa v hraniční obraně, jako jsou zařízení s povolenou službou Vzdálená plocha vystavená na internetu.

V případě tohoto incidentu služba DART dokázala najít zařízení s portem TCP 3389 pro protokol RDP vystaveným na internetu. To umožnilo aktérům hrozeb provést útok hrubou silou na ověřování a získat počáteční oporu.

Defender for Endpoint použil analýzu hrozeb, aby zjistil, že došlo k mnoha přihlášením ze známých zdrojů hrubou silou a zobrazil je na portálu Microsoft 365 Defender. Tady je příklad.

Průzkum

Po úspěšném počátečním přístupu začal výčet prostředí a zjišťování zařízení. Tyto aktivity umožnily aktérům hrozeb identifikovat informace o interní síti organizace a cílových důležitých systémech, jako jsou řadiče domény, záložní servery, databáze a cloudové prostředky. Po výčtu a zjišťování zařízení provedli aktéři hrozeb podobné aktivity, aby identifikovali ohrožené uživatelské účty, skupiny, oprávnění a software.

Herec hrozeb využil advanced IP Scanner, nástroj pro kontrolu IP adres, aby vyčíslit IP adresy používané v prostředí a provést následné prohledávání portů. Vyhledáním otevřených portů objekt pro analýzu hrozeb zjistil zařízení, která byla přístupná z původně ohroženého zařízení.

Tato aktivita byla zjištěna v programu Defender for Endpoint a použita jako indikátor ohrožení zabezpečení (IoC) pro další šetření. Tady je příklad.

Krádež přihlašovacích údajů

Po získání počátečního přístupu provedli aktéři hrozeb získávání přihlašovacích údajů pomocí nástroje pro načítání hesel Mimikatz a vyhledáním souborů obsahujících "heslo" na původně ohrožených systémech. Tyto akce umožnily aktérům hrozeb přístup k dalším systémům s legitimními přihlašovacími údaji. V mnoha situacích účastníci hrozeb používají tyto účty k vytvoření dalších účtů pro zachování trvalosti po identifikaci a nápravě počátečních ohrožených účtů.

Tady je příklad zjištěného použití mimikatzu na portálu Microsoft 365 Defender.

Laterální pohyb

Pohyb mezi koncovými body se může v různých organizacích lišit, ale účastníci hrozeb běžně používají různé druhy softwaru pro vzdálenou správu, který už na zařízení existuje. Díky využití metod vzdáleného přístupu, které IT oddělení běžně používá ve svých každodenních aktivitách, můžou účastníci hrozeb letět pod radarem po delší dobu.

Pomocí programu Microsoft Defender for Identity dokázal DART namapovat cestu, kterou si objekt actor hrozeb vzal mezi zařízeními, a zobrazit účty, které se používaly a ke kterým přistupoval. Tady je příklad.

Úniky před obranou

Aby se předešlo odhalení, použili účastníci hrozeb techniky úniků před únikem, aby se vyhnuli identifikaci a dosáhli svých cílů v průběhu celého cyklu útoku. Mezi tyto techniky patří zakázání nebo manipulace s antivirovými produkty, odinstalace nebo zakázání produktů nebo funkcí zabezpečení, úprava pravidel brány firewall a použití technik obfuskace ke skrytí artefaktů vniknutí z produktů a služeb zabezpečení.

Aktér hrozeb pro tento incident pomocí PowerShellu zakázal ochranu v reálném čase pro Microsoft Defender na Windows 11 a Windows 10 zařízeních a místních síťových nástrojích k otevření portu TCP 3389 a povolení připojení RDP. Tyto změny snížily pravděpodobnost detekce v prostředí, protože upravily systémové služby, které detekují škodlivou aktivitu a upozorňují na ně.

Defender for Endpoint ale nejde zakázat z místního zařízení a dokázal tuto aktivitu rozpoznat. Tady je příklad.

Trvalosti

Techniky trvalosti zahrnují akce aktérů hrozeb za účelem zachování konzistentního přístupu k systémům poté, co bezpečnostní pracovníci vynakládají úsilí, aby znovu získali kontrolu nad ohroženými systémy.

Účastníci hrozeb pro tento incident použili hack s rychlými klíči, protože umožňuje vzdálené spuštění binárního souboru uvnitř Windows operačního systému bez ověření. Tuto funkci pak použili ke spuštění příkazového řádku a provedení dalších útoků.

Tady je příklad detekce hacku s rychlými klíči na portálu Microsoft 365 Defender.

Dopad

Aktéři hrozeb obvykle šifrují soubory pomocí aplikací nebo funkcí, které už v prostředí existují. Použití PsExec, Zásady skupiny a Microsoft Endpoint Configuration Management jsou metody nasazení, které umožňují objektu actor rychle dosáhnout koncových bodů a systémů bez narušení normálních operací.

Aktér hrozeb pro tento incident využil nástroj PsExec ke vzdálenému spuštění interaktivního skriptu PowerShellu z různých vzdálených sdílených složek. Tato metoda útoku randomizuje distribuční body a znesnadňuje nápravu během konečné fáze útoku ransomwarem.

Spuštění ransomwaru

Spuštění ransomwaru je jednou z primárních metod, které aktér hrozeb používá k zpeněžení útoku. Bez ohledu na metodologii provádění mají odlišné architektury ransomwaru po nasazení společný vzor chování:

• Obfuskace akcí aktérů hrozeb
• Vytvoření trvalosti
• Zakázání obnovení chyb systému Windows a automatické opravy
• Zastavení seznamu služeb
• Ukončení seznamu procesů
• Odstranění stínových kopií a záloh
• Šifrování souborů, potenciálně určení vlastních vyloučení
• Vytvoření poznámky k ransomwaru

Tady je příklad poznámky k ransomwaru.

Další prostředky ransomwaru

Klíčové informace od Microsoftu:

• Rostoucí hrozba ransomware, Microsoft On the Issues blog post dne 20. července 2021
• Ransomware provozovaný člověkem
• Rychlá ochrana před ransomwarem a vydíráním
• 2021 Microsoft Digital Defense Report (viz stránky 10-19)
• Ransomware: Všudypřítomná a průběžná sestava analýzy hrozeb na portálu Microsoft 365 Defender
• Přístup k ransomwaru Microsoft DART a osvědčené postupy

Microsoft 365:

• Nasazení ochrany ransomwaru pro vašeho tenanta Microsoft 365
• Maximalizace odolnosti ransomwaru s využitím Azure a Microsoft 365
• Zotavení z útoku ransomwaru
• Ochrana před malwarem a ransomwarem
• Ochrana počítače Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePoint Online
• Sestavy analýzy hrozeb pro ransomwar na portálu Microsoft 365 Defender

Microsoft 365 Defender:

• Vyhledání ransomwaru s pokročilým proaktivním vyhledáváním

Microsoft Defender for Cloud Apps:

• Vytvoření zásad detekce anomálií v Defender for Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti ransomwaru s využitím Azure a Microsoft 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
• Zotavení ze systémového ohrožení identity
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Detekce fúze pro Ransomware ve službě Microsoft Sentinel

Blogové příspěvky týmu zabezpečení Microsoftu:

• 3 kroky pro prevenci ransomwaru a zotavení z ransomwaru (září 2021)

• Příručka pro boj proti ransomwaru provozovanému člověkem: Část 1 (září 2021)

  Klíčové kroky týkající se toho, jak Tým pro detekci a reakci Microsoftu (DART) provádí vyšetřování incidentů ransomwaru.

• Příručka pro boj proti ransomwaru provozovanému člověkem: část 2 (září 2021)

  Recommendations a osvědčené postupy.

• Odolnější pochopením rizik kybernetické bezpečnosti: Část 4 – Navigace v aktuálních hrozbách (květen 2021)

  Viz část Ransomware .

• Útoky ransomwaru provozované člověkem: Předejítelná havárie (březen 2020)

  Zahrnuje analýzy řetězu útoků skutečných útoků.

• Reakce ransomwaru – platit nebo ne platit? (prosinec 2019)

• Norsk Hydro reaguje na útok ransomwaru s transparentností (prosinec 2019)