Microsoft DART ransomware esettanulmány

  • Cikk

Az ember által üzemeltetett ransomware továbbra is fenntartja pozícióját, mint az egyik leghatásosabb kibertámadási trend világszerte, és jelentős fenyegetés, amellyel sok szervezet szembesült az elmúlt években. Ezek a támadások kihasználják a hálózati helytelen konfigurációkat, és a szervezet gyenge belső biztonságára támaszkodnak. Bár ezek a támadások egyértelmű és súlyos veszélyt jelentenek a szervezetekre és informatikai infrastruktúrájukra és adataikra , megelőzhető katasztrófa.

A Microsoft észlelési és válaszcsapata (DART) válaszol a biztonsági résekre, hogy segítsen az ügyfeleknek a kiberbűnözővé válásban. A DART helyszíni reaktív incidenskezelést és távoli proaktív vizsgálatokat biztosít. A DART a Microsoft stratégiai partnerségeit használja ki a világ biztonsági szervezeteivel és belső Microsoft-termékcsoportokkal, hogy a lehető legteljesebb és legáttételesebb vizsgálatot nyújthassa.

Ez a cikk azt ismerteti, hogy a DART hogyan vizsgálta meg a legutóbbi ransomware incidenst a támadási taktikák és az észlelési mechanizmusok részleteivel.

További információért lásd a DART útmutatójának 1 . és 2 . részét az ember által működtetett zsarolóprogramok elleni küzdelemről.

A támadás

A DART incidenskezelési eszközöket és taktikákat használ az emberi üzemeltetésű zsarolóprogramok veszélyforrás-viselkedésének azonosításához. A ransomware-eseményekre vonatkozó nyilvános információk a végső hatásra összpontosítanak, de ritkán emelik ki a művelet részleteit, és azt, hogy a fenyegetések szereplői észrevétlenül eszkalálhatták hozzáférésüket, hogy felfedezzék, bevételt és zsarolják.

Íme néhány gyakori módszer, amelyet a támadók a MITRE ATT&CK-taktikán alapuló zsarolóprogram-támadásokhoz használnak.

Common techniques that attackers use for ransomware attacks.

A DART Végponthoz készült Microsoft Defender használt a támadó környezeten keresztüli nyomon követésére, az incidenst ábrázoló történet létrehozására, majd a fenyegetés megszüntetésére és elhárítására. Az üzembe helyezést követően a Defender for Endpoint megkezdte a sikeres bejelentkezések észlelését egy találgatásos támadásból. Ennek felfedezése után a DART áttekintette a biztonsági adatokat, és több sebezhető, internetre irányuló eszközt talált a Távoli asztali protokoll (RDP) használatával.

A kezdeti hozzáférés megszerzése után a fenyegetést kezelő szereplő a Mimikatz hitelesítőadat-gyűjtési eszközzel memóriaképet készített a jelszókivonatokról, beolvasta az egyszerű szövegben tárolt hitelesítő adatokat, sticky key manipulációval létrehozott backdoorokat, és a távoli asztali munkamenetek használatával oldalirányban mozgatta a hálózatot.

Ebben az esettanulmányban itt találja a támadó által kijelölt útvonalat.

The path the ransomware attacker took for this case study.

A következő szakaszok a MITRE ATT&CK-taktikán alapuló további részleteket ismertetik, és példákat is tartalmaznak a fenyegetéselktori tevékenységek észlelésére a Microsoft Defender portálon.

Kezdeti hozzáférés

A ransomware-kampányok jól ismert biztonsági réseket használnak a kezdeti belépéshez, általában adathalász e-maileket vagy a szegélyvédelem gyengeségeit, például az interneten közzétett, engedélyezett távoli asztali szolgáltatással rendelkező eszközöket.

Ebben az incidensben a DART olyan eszközt talált, amely 3389-ös TCP-portot adott meg az interneten elérhető RDP-hez. Ez lehetővé tette, hogy a fenyegetést indító szereplők találgatásos hitelesítési támadást hajtsanak végre, és megszerezték a kezdeti láblécet.

A Defender for Endpoint fenyegetésfelderítést használt annak megállapítására, hogy számos bejelentkezés történt ismert találgatásos forrásokból, és megjelenítette őket a Microsoft Defender portálon. Íme egy példa.

An example of known brute-force sign-ins in the Microsoft Defender portal.

Felderítés

Miután a kezdeti hozzáférés sikeres volt, megkezdődött a környezet számbavétele és az eszközfelderítés. Ezek a tevékenységek lehetővé tették, hogy a fenyegetést figyelő szereplők azonosíthassák a szervezet belső hálózatával kapcsolatos információkat, és olyan kritikus rendszereket célozhassanak meg, mint a tartományvezérlők, a biztonsági mentési kiszolgálók, az adatbázisok és a felhőbeli erőforrások. Az enumerálás és az eszközfelderítés után a veszélyforrások szereplői hasonló tevékenységeket hajtottak végre a sebezhető felhasználói fiókok, csoportok, engedélyek és szoftverek azonosításához.

A fenyegetési szereplő az Advanced IP Scannert, egy IP-címolvasó eszközt használta a környezetben használt IP-címek számbavételére és az azt követő portvizsgálat elvégzésére. Nyitott portok keresésével a fenyegetéskezelő felderítette az eredetileg feltört eszközről elérhető eszközöket.

Ezt a tevékenységet a Végponthoz készült Defenderben észlelték, és a biztonsági rés (IoC) jelzéseként használták a további vizsgálathoz. Íme egy példa.

An example of port scanning in the Microsoft Defender portal.

Hitelesítő adatok ellopása

A kezdeti hozzáférés megszerzése után a fenyegetést figyelő szereplők hitelesítő adatok begyűjtését végezték a Mimikatz jelszólekérési eszközével, és megkeresték a "jelszót" tartalmazó fájlokat az eredetileg feltört rendszereken. Ezek a műveletek lehetővé ták, hogy a fenyegetést jelölő szereplők további, megbízható hitelesítő adatokkal rendelkező rendszerekhez férjenek hozzá. A fenyegetést javító szereplők sok esetben további fiókokat hoznak létre a kezdeti feltört fiókok azonosítása és szervizelése után a megőrzés fenntartása érdekében.

Íme egy példa a Mimikatz észlelt használatára a Microsoft Defender portálon.

An example of Mimikatz detection in the Microsoft Defender portal

Oldalirányú mozgás

A végpontok közötti mozgás különböző szervezetekben eltérő lehet, de a fenyegetéskezelők általában az eszközön már létező távfelügyeleti szoftverek különböző fajtáit használják. Az informatikai részleg által a mindennapi tevékenységeik során gyakran használt távelérési módszerek használatával a fenyegetést okozó szereplők hosszabb ideig repülhetnek a radar alatt.

A Microsoft Defender for Identity használatával a DART le tudta képezni a fenyegetést okozó szereplő által az eszközök között megtett utat, megjelenítve a használt és elért fiókokat. Íme egy példa.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Védelmi kijátszás

Az észlelés elkerülése érdekében a fenyegetések szereplői védelmi kijátszási technikákat alkalmaztak az azonosítás elkerülése érdekében, és céljukat a támadási ciklus során érték el. Ezek a technikák közé tartozik a vírusirtó termékek letiltása vagy illetéktelen módosítása, a biztonsági termékek vagy szolgáltatások eltávolítása vagy letiltása, a tűzfalszabályok módosítása, valamint a behatolás összetevőinek elrejtése a biztonsági termékek és szolgáltatások elől.

Az incidens veszélyforrás-szereplője a PowerShell használatával letiltotta a Microsoft Defender valós idejű védelmét Windows 11- és Windows 10-eszközökön, valamint helyi hálózati eszközökön a 3389-as TCP-port megnyitásához és RDP-kapcsolatok engedélyezéséhez. Ezek a módosítások csökkentették az észlelés esélyét egy környezetben, mivel módosították a kártékony tevékenységek észlelésére és riasztására szolgáló rendszerszolgáltatásokat.

A Defender for Endpoint azonban nem tiltható le a helyi eszközről, és képes volt észlelni ezt a tevékenységet. Íme egy példa.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Kitartás

Az adatmegőrzési technikák közé tartoznak a fenyegetést figyelő szereplők által végrehajtott műveletek, amelyek a biztonsági személyzet erőfeszítéseit követően egységes hozzáférést biztosítanak a rendszerekhez a feltört rendszerek ellenőrzésének visszaszerzése érdekében.

Az incidens fenyegetéskezelői azért használták a Sticky Keys hacket, mert lehetővé teszi a bináris fájlok távoli végrehajtását a Windows operációs rendszeren hitelesítés nélkül. Ezt a képességet egy parancssor végrehajtására és további támadások végrehajtására használták.

Íme egy példa a Sticky Keys hack észlelésére a Microsoft Defender portálon.

An example of detecting the Sticky Keys hack in the Microsoft Defender portal.

Hatás

A veszélyforrás-szereplők általában a környezetben már létező alkalmazásokkal vagy funkciókkal titkosítják a fájlokat. A PsExec, a csoportházirend és a Microsoft Endpoint Configuration Management olyan üzembe helyezési módszerek, amelyek lehetővé teszik a szereplők számára, hogy a normál műveletek megzavarása nélkül gyorsan elérjék a végpontokat és a rendszereket.

Az incidens fenyegetési szereplője a PsExec segítségével távolról indított egy interaktív PowerShell-szkriptet különböző távoli megosztásokból. Ez a támadási módszer véletlenszerűvé teszi a terjesztési pontokat, és megnehezíti a szervizelést a ransomware-támadás utolsó fázisában.

Zsarolóprogramok végrehajtása

A zsarolóprogram-végrehajtás az egyik elsődleges módszer, amelyet a fenyegetést okozó szereplő a támadás bevételszerzésére használ. A végrehajtási módszertantól függetlenül a különböző ransomware-keretrendszerek általában általános viselkedési mintával rendelkeznek az üzembe helyezés után:

  • Fenyegetéselküldő műveletek elrejtése
  • Állandóság megállapítása
  • Windows-hibák helyreállításának és automatikus javításának letiltása
  • Szolgáltatások listájának leállítása
  • Folyamatok listájának leállása
  • Árnyékmásolatok és biztonsági másolatok törlése
  • Fájlok titkosítása, egyéni kizárások megadása
  • Zsarolóprogram-megjegyzés létrehozása

Íme egy példa egy ransomware megjegyzésre.

An example of a ransomware note.

További ransomware-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft Defender XDR:

Felhőhöz készült Microsoft Defender alkalmazások:

Microsoft Azure:

A Microsoft Security csapatának blogbejegyzései: