Casestudy microsoft DART ransomware

Door de mens uitgevoerde ransomware blijft zijn positie behouden als een van de meest impactvolle cyberaanvallen wereldwijd en is een aanzienlijke bedreiging waar veel organisaties de afgelopen jaren mee te maken hebben gehad. Deze aanvallen profiteren van onjuiste netwerkconfiguraties en profiteren van de zwakke beveiliging van een organisatie. Hoewel deze aanvallen een duidelijk en huidig gevaar vormen voor organisaties en hun IT-infrastructuur en -gegevens, vormen ze een onherstelbare ramp.

Het Microsoft Detection and Response Team (DART) reageert op beveiligingsrisico's om klanten te helpen cybertolerant te worden. DART biedt responsieve incidentrespons op locatie en externe proactieve onderzoeken. DART maakt gebruik van de strategische partnerschappen van Microsoft met beveiligingsorganisaties over de hele wereld en interne Microsoft-productgroepen om het meest complete en grondige onderzoek mogelijk te maken.

In dit artikel wordt beschreven hoe DART een recent ransomware-incident heeft onderzocht met details over de aanvaltactieken en detectiemechanismen.

Zie deel 1 en deel 2 van DART's guide to combatting human-operated ransomware for more information.

De aanval

DART maakt gebruik van hulpprogramma's en tactieken voor het reageren op incidenten om gedrag van bedreigingsacters voor door mensen uitgevoerde ransomware te identificeren. Openbare informatie over ransomware-gebeurtenissen is gericht op de impact op het einde, maar markeert zelden de details van de bewerking en hoe bedreigingsactoren hun toegang onopgemerkt konden escaleren om te ontdekken, geld te verdienen en af tepersen.

Hier zijn enkele algemene technieken die aanvallers gebruiken voor ransomware-aanvallen op basis van MITRE ATTCK-tactieken&.

Common techniques that attackers use for ransomware attacks.

DART gebruikte Microsoft Defender voor Eindpunt om de aanvaller in de omgeving bij te houden, een verhaal te maken dat het incident weergeeft en vervolgens de bedreiging uit te bannen en op te lossen. Na de implementatie is Defender voor Eindpunt begonnen met het detecteren van geslaagde aanmeldingen na een beveiligingsaanval. Bij het detecteren hiervan heeft DART de beveiligingsgegevens gecontroleerd en verschillende kwetsbare internetgerichte apparaten gevonden met behulp van het Remote Desktop Protocol (RDP).

Nadat de eerste toegang was verkregen, gebruikte de bedreigingsacteur het hulpprogramma voor het oogsten van Mimikatz-referenties om wachtwoord-hashes te dumpen, gescand op referenties die zijn opgeslagen in tekst zonder opmaak, backdoors met Plaksleutelmanipulatie gemaakt en lateraal door het netwerk verplaatst met behulp van extern bureaublad-sessies.

Voor deze casestudy is dit het gemarkeerde pad dat de aanvaller heeft gevolgd.

The path the ransomware attacker took for this case study.

In de volgende secties worden aanvullende details beschreven op basis van de MITRE ATTCK-tactieken& en voorbeelden van hoe de activiteiten van de bedreigingsactacteur zijn gedetecteerd met de Microsoft 365 Defender-portal.

Initiële toegang

Ransomwarecampagnes maken gebruik van bekende beveiligingsproblemen voor hun eerste vermelding, meestal met phishing-e-mails of zwakke punten in de perimeterbeveiliging, zoals apparaten met de ingeschakelde Extern bureaublad-service die beschikbaar is op internet.

Voor dit incident kon DART een apparaat vinden met TCP-poort 3389 voor RDP dat is blootgesteld aan internet. Hierdoor konden bedreigingsactoren een beveiligingsaanval op verificatie uitvoeren en de eerste voet aan de grond krijgen.

Defender voor Eindpunt gebruikte bedreigingsinformatie om te bepalen dat er talloze aanmeldingen van bekende beveiligingsbronnen waren en deze in de Microsoft 365 Defender-portal werden weergegeven. Hier is een voorbeeld.

An example of known brute-force sign-ins in the Microsoft 365 Defender portal.

Reconnaissance

Zodra de eerste toegang is geslaagd, zijn omgevingsinventeratie en apparaatdetectie gestart. Met deze activiteiten konden de bedreigingsactoren informatie identificeren over het interne netwerk van de organisatie en kritieke systemen zoals domeincontrollers, back-upservers, databases en cloudresources identificeren. Na de inventarisatie en apparaatdetectie hebben de bedreigingsactoren vergelijkbare activiteiten uitgevoerd om kwetsbare gebruikersaccounts, groepen, machtigingen en software te identificeren.

De bedreigingsacteur maakt gebruik van Advanced IP Scanner, een hulpprogramma voor het scannen van IP-adressen, om de IP-adressen te inventariseren die in de omgeving worden gebruikt en om de volgende poortscans uit te voeren. Door te scannen op open poorten, heeft de bedreigingsacteur apparaten gedetecteerd die toegankelijk waren vanaf het in eerste instantie aangetaste apparaat.

Deze activiteit is gedetecteerd in Defender voor Eindpunt en gebruikt als indicator voor inbreuk (IoC) voor verder onderzoek. Hier is een voorbeeld.

An example of port scanning in the Microsoft 365 Defender portal.

Referentiediefstal

Na het verkrijgen van initiële toegang, hebben de bedreigingsactoren het verzamelen van referenties uitgevoerd met behulp van het hulpprogramma voor het ophalen van Mimikatz-wachtwoorden en door te zoeken naar bestanden die 'wachtwoord' bevatten op in eerste instantie aangetaste systemen. Met deze acties konden de bedreigingsactoren toegang krijgen tot aanvullende systemen met legitieme referenties. In veel situaties gebruiken bedreigingsactoren deze accounts om extra accounts te maken om persistentie te behouden nadat de eerste gecompromitteerde accounts zijn geïdentificeerd en hersteld.

Hier is een voorbeeld van het gedetecteerde gebruik van de Mimikatz in de Microsoft 365 Defender-portal.

An example of Mimikatz detection in the Microsoft 365 Defender portal

Laterale beweging

De verplaatsing tussen eindpunten kan variëren tussen verschillende organisaties, maar bedreigingsactoren gebruiken vaak verschillende soorten software voor extern beheer die al op het apparaat bestaat. Door gebruik te maken van methoden voor externe toegang die de IT-afdeling vaak gebruikt in hun dagelijkse activiteiten, kunnen bedreigingsactoren langere tijd onder de radar vliegen.

Met behulp van Microsoft Defender for Identity kon DART het pad in kaart brengen dat de bedreigingsacteur heeft genomen tussen apparaten, waarbij de accounts worden weergegeven die zijn gebruikt en geopend. Hier is een voorbeeld.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Ontwijking van de verdediging

Om detectie te voorkomen, gebruikten de bedreigingsactoren technieken om identificatie te voorkomen en hun doelstellingen tijdens de aanvalscyclus te bereiken. Deze technieken omvatten het uitschakelen of manipuleren van antivirusproducten, het verwijderen of uitschakelen van beveiligingsproducten of -functies, het wijzigen van firewallregels en het gebruik van verduisteringstechnieken om de artefacten van een inbraak te verbergen voor beveiligingsproducten en -services.

De bedreigingsacteur voor dit incident heeft PowerShell gebruikt om realtime-beveiliging voor Microsoft Defender op Windows 11- en Windows 10-apparaten en lokale netwerkhulpprogramma's uit te schakelen om TCP-poort 3389 te openen en RDP-verbindingen toe te staan. Deze wijzigingen hebben de kans op detectie in een omgeving verkleind omdat ze systeemservices hebben gewijzigd die schadelijke activiteiten detecteren en waarschuwen.

Defender voor Eindpunt kan echter niet worden uitgeschakeld vanaf het lokale apparaat en kan deze activiteit detecteren. Hier is een voorbeeld.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Persistentie

Persistentietechnieken omvatten acties van bedreigingsactoren om consistente toegang tot systemen te behouden nadat beveiligingspersoneel de controle over aangetaste systemen heeft hersteld.

De bedreigingsactoren voor dit incident gebruikten de Sticky Keys-hack omdat het externe uitvoering van een binair bestand in het Windows besturingssysteem zonder verificatie mogelijk maakt. Vervolgens hebben ze deze mogelijkheid gebruikt om een opdrachtprompt uit te voeren en verdere aanvallen uit te voeren.

Hier is een voorbeeld van de detectie van de sticky keys hack in de Microsoft 365 Defender portal.

An example of detecting the Sticky Keys hack in the Microsoft 365 Defender portal.

Impact

Bedreigingsactoren versleutelen meestal bestanden met behulp van toepassingen of functies die al in de omgeving aanwezig zijn. Het gebruik van PsExec, groepsbeleid en Microsoft Endpoint Configuration Management zijn implementatiemethoden waarmee een actor snel eindpunten en systemen kan bereiken zonder normale bewerkingen te verstoren.

De bedreigingsacteur voor dit incident heeft PsExec gebruikt om op afstand een interactief PowerShell-script te starten vanuit verschillende externe shares. Deze aanvalsmethode randomiseert distributiepunten en maakt herstel moeilijker tijdens de laatste fase van de ransomware-aanval.

Ransomware-uitvoering

Ransomware-uitvoering is een van de primaire methoden die een bedreigingsacteur gebruikt om geld te verdienen met hun aanval. Ongeacht de uitvoeringsmethodologie hebben afzonderlijke ransomware-frameworks vaak een gemeenschappelijk gedragspatroon nadat ze zijn geïmplementeerd:

  • Acties voor bedreigingsacters verbergen
  • Persistentie tot stand brengen
  • Windows-foutherstel en automatisch herstellen uitschakelen
  • Een lijst met services stoppen
  • Een lijst met processen beëindigen
  • Schaduwkopieën en back-ups verwijderen
  • Bestanden versleutelen, mogelijk aangepaste uitsluitingen opgeven
  • Een ransomwarenotitie maken

Hier is een voorbeeld van een ransomware notitie.

An example of a ransomware note.

Aanvullende ransomware-resources

Belangrijke informatie van Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Defender for Cloud Apps:

Microsoft Azure:

Blogberichten van het Microsoft Security-team: