Microsoft DART ransomware esettanulmány

Az ember által üzemeltetett zsarolóprogramok világszerte továbbra is az egyik leghatásosabb kibertámadási trendként tartják fenn pozícióit, és jelentős fenyegetést jelentenek, amelyekkel számos szervezet szembesült az elmúlt években. Ezek a támadások kihasználják a hálózat helytelen konfigurációját, és a szervezet gyenge belső biztonságára támaszkodnak. Bár ezek a támadások egyértelmű és veszélyt jelentenek a szervezetekre, valamint az informatikai infrastruktúrájukra és adataikra, megelőzhető katasztrófa.

A Microsoft észlelési és reagálási csapata (DART) a biztonsági kompromisszumokre reagálva segít az ügyfeleknek a kiberbűnözővé válásban. A DART helyszíni reaktív incidensmegoldást és távoli proaktív vizsgálatokat biztosít. A DART a Microsoft stratégiai partnerségeit használja ki a világ különböző biztonsági szervezeteivel és a Microsoft belső termékcsoportjaival, hogy a lehető legteljesebb és legáttekintőbb vizsgálatot biztosítsa.

Ez a cikk azt ismerteti, hogyan vizsgálta meg a DART egy közelmúltbeli zsarolóprogram-incidenst a támadási taktikák és észlelési mechanizmusok részleteivel.

További információt a DART emberi beavatkozású zsarolóprogramok elleni küzdelemről szóló útmutatójának 1 . és 2. részében talál.

A támadás

A DART incidensmegoldási eszközöket és taktikákat használ az emberi üzemeltetésű zsarolóprogramok fenyegetési szereplői viselkedésének azonosítására. A zsarolóprogramok eseményeivel kapcsolatos nyilvános információk a hatásukra összpontosítanak, de ritkán emelik ki a művelet részleteit, valamint azt, hogy a fenyegetést figyelő szereplők hogyan eszkalálhatták hozzáférésüket észlelés, bevételszerzés és zsarolás nélkül.

Íme néhány gyakori technika, amelyet a támadók a MITRE ATTCK-taktikán& alapuló zsarolóprogram-támadásokhoz használnak.

Common techniques that attackers use for ransomware attacks.

A DART Végponthoz készült Microsoft Defender használta a támadó nyomon követésére a környezetben, létrehozott egy történetet az incidensről, majd megsemmisítette a fenyegetést és elhárított. Az üzembe helyezést követően a Defender for Endpoint elkezdte észlelni a találgatásos támadásból származó sikeres bejelentkezéseket. Ennek felderítése után a DART áttekintette a biztonsági adatokat, és több sebezhető, internetkapcsolattal rendelkező eszközt talált a Remote Desktop Protocol (RDP) használatával.

A kezdeti hozzáférés megszerzése után a fenyegetést jelölő szereplő a Mimikatz hitelesítőadat-gyűjtési eszközzel memóriaképet készített a jelszókivonatokról, beolvasta az egyszerű szövegben tárolt hitelesítő adatokat, a Sticky Key manipulációval létrehozott backdoorokat, és a távoli asztali munkamenetekkel oldalirányban áthelyezte a hálózatot.

Ebben az esettanulmányban a támadó által kijelölt utat mutatjuk be.

The path the ransomware attacker took for this case study.

A következő szakaszok a MITRE ATTCK-taktikán& alapuló további részleteket ismertetik, és példákat tartalmaznak arra, hogyan észlelték a fenyegetés aktor tevékenységeit a Microsoft 365 Defender portálon.

Kezdeti hozzáférés

A zsarolóvírus-kampányok jól ismert biztonsági réseket használnak a kezdeti belépésükhöz, általában adathalász e-maileket vagy szegélyvédelmi hiányosságokat használnak, például olyan eszközöket, amelyeken engedélyezve van az interneten elérhető Távoli asztal szolgáltatás.

Ebben az incidensben a DART olyan eszközt talált, amelyen az RDP 3389-ös TCP-portja elérhetővé vált az interneten. Ez lehetővé tette, hogy a fenyegetést indító támadók találgatásos hitelesítési támadást hajtsanak végre, és megszerezték a kezdeti láblécet.

A Defender for Endpoint fenyegetésfelderítéssel állapította meg, hogy számos bejelentkezés történt ismert találgatásos forrásokból, és megjeleníti őket a Microsoft 365 Defender portálon. Íme egy példa.

An example of known brute-force sign-ins in the Microsoft 365 Defender portal.

Felderítés

Miután a kezdeti hozzáférés sikeres volt, megkezdődött a környezet számbavétele és az eszközfelderítés. Ezek a tevékenységek lehetővé tették, hogy a fenyegetést jelentő szereplők azonosítsák a szervezet belső hálózatával és a kritikus fontosságú rendszerekkel kapcsolatos információkat, például a tartományvezérlőket, a biztonsági mentési kiszolgálókat, az adatbázisokat és a felhőbeli erőforrásokat. Az enumerálás és az eszközfelderítés után a fenyegetéselemzők hasonló tevékenységeket végeztek a sebezhető felhasználói fiókok, csoportok, engedélyek és szoftverek azonosításához.

A fenyegetést jelentő szereplő az Advanced IP Scannert, az IP-címvizsgálati eszközt használta a környezetben használt IP-címek számbavételéhez és az ezt követő portkereséshez. A nyitott portok keresésével a fenyegetést okozó szereplő olyan eszközöket talált, amelyek az eredetileg feltört eszközről voltak elérhetők.

A rendszer ezt a tevékenységet észlelte a Defender for Endpointban, és biztonsági rést (IoC) jelez a további vizsgálathoz. Íme egy példa.

An example of port scanning in the Microsoft 365 Defender portal.

Hitelesítő adatok ellopása

A kezdeti hozzáférés megszerzése után a fenyegetéselemzők a Mimikatz jelszólekérési eszközzel és a "jelszót" tartalmazó fájlok keresésével végezték el a hitelesítő adatok begyűjtését az eredetileg feltört rendszereken. Ezekkel a műveletekkel a fenyegetést jelölő szereplők további, megbízható hitelesítő adatokkal rendelkező rendszerekhez is hozzáférhetnek. A fenyegetést jelentő aktorok sok esetben további fiókok létrehozására használják ezeket a fiókokat az adatmegőrzés fenntartásához a kezdeti sérült fiókok azonosítása és elhárítása után.

Íme egy példa a Mimikatz észlelt használatára a Microsoft 365 Defender portálon.

An example of Mimikatz detection in the Microsoft 365 Defender portal

Oldalirányú mozgás

A végpontok közötti mozgás különböző szervezetekben eltérő lehet, de a fenyegetéskezelők általában különböző típusú távfelügyeleti szoftvereket használnak, amelyek már léteznek az eszközön. Az informatikai részleg által a mindennapi tevékenységeik során gyakran használt távelérési módszerek használatával a veszélyforrások hosszabb ideig a radar alá repülhetnek.

A Microsoft Defender for Identity használatával a DART le tudta képezni a fenyegetést okozó eszköz közötti útvonalat, megjelenítve a használt és elért fiókokat. Íme egy példa.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Védelmi kijátszás

A fenyegetésészlelés elkerülése érdekében a fenyegetéselkerülési technikákkal elkerülték az azonosítást és elérték a céljukat a támadási ciklus során. Ezek a technikák magukban foglalják a víruskereső termékek letiltását vagy illetéktelen módosítását, a biztonsági termékek vagy szolgáltatások eltávolítását vagy letiltását, a tűzfalszabályok módosítását, valamint a behatolás összetevőinek elrejtését a biztonsági termékek és szolgáltatások elől.

Az incidens fenyegetést jelentő szereplője a PowerShell használatával letiltotta a Microsoft Defender valós idejű védelmét Windows 11 és Windows 10 eszközökön, valamint a helyi hálózati eszközökön a 3389-as TCP-port megnyitásához és az RDP-kapcsolatok engedélyezéséhez. Ezek a változások csökkentették az észlelés esélyét egy környezetben, mivel módosították a kártékony tevékenységek észlelésére és riasztására szolgáló rendszerszolgáltatásokat.

A Végponthoz készült Defender azonban nem tiltható le a helyi eszközről, és nem tudta észlelni ezt a tevékenységet. Íme egy példa.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Kitartás

Az adatmegőrzési technikák közé tartoznak a fenyegetést jelentő szereplők által végrehajtott műveletek, amelyek biztosítják a rendszerekhez való következetes hozzáférést, miután a biztonsági személyzet erőfeszítéseket tesz a feltört rendszerek feletti ellenőrzés visszaszerzésére.

Az incidens fenyegetést jelölő szereplői azért használták a Sticky Keys hacket, mert lehetővé teszi a bináris fájlok távoli végrehajtását az Windows operációs rendszeren belül hitelesítés nélkül. Ezután ezt a képességet egy parancssor végrehajtására és további támadások végrehajtására használták.

Íme egy példa a Sticky Keys hack észlelésére a Microsoft 365 Defender portálon.

An example of detecting the Sticky Keys hack in the Microsoft 365 Defender portal.

Hatása

A fenyegetést okozó aktorok általában a környezetben már meglévő alkalmazásokkal vagy funkciókkal titkosítják a fájlokat. A PsExec, a Csoportházirend és a Microsoft Endpoint Configuration Management olyan üzembe helyezési módszerek, amelyek lehetővé teszik, hogy az aktor a normál műveletek megzavarása nélkül gyorsan elérje a végpontokat és a rendszereket.

Az incidens fenyegetést jelentő szereplője a PsExec segítségével távolról indított egy interaktív PowerShell-szkriptet a különböző távoli megosztásokból. Ez a támadási módszer véletlenszerűvé teszi a terjesztési pontokat, és megnehezíti a szervizelést a zsarolóprogram-támadás utolsó fázisában.

Zsarolóprogram végrehajtása

A zsarolóprogramok végrehajtása az egyik elsődleges módszer, amelyet a fenyegetést okozó szereplő a támadás bevételszerzéséhez használ. A végrehajtási módszertől függetlenül a különböző zsarolóprogram-keretrendszerek általában az üzembe helyezés után általános viselkedési mintával rendelkeznek:

  • A fenyegetés aktorműveleteinek elrejtése
  • Adatmegőrzés létrehozása
  • Windows-hibák helyreállításának és automatikus javításának letiltása
  • Szolgáltatások listájának leállítása
  • Folyamatok listájának megszüntetése
  • Árnyékmásolatok és biztonsági másolatok törlése
  • Fájlok titkosítása, esetleg egyéni kizárások megadása
  • Zsarolóprogram-megjegyzés létrehozása

Íme egy példa egy zsarolóprogram-megjegyzésre.

An example of a ransomware note.

További zsarolóprogram-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Defender for Cloud Apps:

Microsoft Azure:

A Microsoft security csapatának blogbejegyzései: