Analiza przypadku oprogramowania wymuszającego okup Microsoft DART

Oprogramowanie wymuszające okup obsługiwane przez człowieka nadal utrzymuje swoją pozycję jako jeden z najbardziej wpływowych trendów cyberataku na całym świecie i jest znaczącym zagrożeniem, z jakim borykało się wiele organizacji w ostatnich latach. Ataki te wykorzystują błędną konfigurację sieci i rozwijają się na słabym bezpieczeństwie wewnętrznym organizacji. Chociaż ataki te stanowią wyraźne i obecne zagrożenie dla organizacji oraz ich infrastruktury informatycznej i danych, są one katastrofą, jakiej można zapobiec.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom w reagowaniu na zagrożenia cybernetyczne. DART zapewnia na miejscu reaktywną reakcję na incydenty i zdalne proaktywne dochodzenia. Dart wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami bezpieczeństwa na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić jak najbardziej kompleksowe i dokładne badanie.

W tym artykule opisano, jak dart zbadał niedawny incydent ransomware ze szczegółowymi informacjami na temat taktyki ataku i mechanizmów wykrywania.

Aby uzyskać więcej informacji, zobacz Część 1 i Część 2 przewodnika DART dotyczącego zwalczania oprogramowania wymuszającego okup obsługiwane przez człowieka.

Atak

DART wykorzystuje narzędzia reagowania na incydenty i taktykę do identyfikowania zachowań aktora zagrożeń dla oprogramowania wymuszającego okup obsługiwane przez człowieka. Publiczne informacje dotyczące zdarzeń oprogramowania wymuszającego okup skupiają się na końcowym wpływie, ale rzadko podkreślają szczegóły operacji i sposób, w jaki podmioty zagrożeń były w stanie eskalować swój dostęp niewykryty, aby odkryć, zarabiać i wyłudzić.

Poniżej przedstawiono niektóre typowe techniki, których atakujący używają do ataków ransomware opartych na taktyce MITRE ATTCK&.

DART użył Ochrona punktu końcowego w usłudze Microsoft Defender do śledzenia napastnika przez środowisko, stworzenia historii przedstawiającej incydent, a następnie wyeliminowania zagrożenia i rozwiązania. Po wdrożeniu usługa Defender for Endpoint zaczęła wykrywać udane logowania po brutalnym ataku siłowym. Po odkryciu tego, DART przejrzał dane dotyczące bezpieczeństwa i znalazł kilka wrażliwych urządzeń internetowych za pomocą protokołu Remote Desktop Protocol (RDP).

Po uzyskaniu początkowego dostępu aktor zagrożeń użył narzędzia do zbierania poświadczeń Mimikatza do zrzutu haseł, zeskanowany w poszukiwaniu poświadczeń przechowywanych w postaci zwykłego tekstu, stworzył backdoory z manipulacją Sticky Key i przeniósł się później po całej sieci za pomocą sesji pulpitu zdalnego.

W tym studium przypadku, oto wyróżniona ścieżka, którą napastnik podjął.

Poniższe sekcje opisują dodatkowe szczegóły oparte na taktyce MITRE ATTCK& i zawierają przykłady tego, jak działania aktora zagrożenia zostały wykryte w portalu Microsoft 365 Defender.

Dostęp początkowy

Kampanie oprogramowania wymuszającego okup wykorzystują znane luki w zabezpieczeniach w początkowym wpisie, zazwyczaj używając wiadomości e-mail wyłudzających informacje lub słabych punktów w zabezpieczeniach obwodu, takich jak urządzenia z włączoną usługą pulpitu zdalnego udostępnioną w Internecie.

W przypadku tego incydentu funkcja DART mogła zlokalizować urządzenie, na których port TCP 3389 dla protokołu RDP był narażony na dostęp do Internetu. Umożliwiło to podmiotom zagrożeń przeprowadzenie ataku uwierzytelniania siłą brutalną i uzyskanie początkowego przyczółka.

Usługa Defender for Endpoint wykorzystała analizę zagrożeń do ustalenia, że było wiele logowania ze znanych źródeł siłowych i wyświetlała je w portalu Microsoft 365 Defender. Oto przykład.

Rozpoznania

Po pomyślnym uzyskaniu dostępu początkowego rozpoczęto wyliczania środowiska i odnajdowanie urządzeń. Te działania umożliwiły podmiotom odpowiedzialnym za zagrożenia identyfikowanie informacji o sieci wewnętrznej organizacji i kierowanie krytycznych systemów, takich jak kontrolery domeny, serwery kopii zapasowych, bazy danych i zasoby w chmurze. Po wyliczaniu i odnajdyniu urządzenia aktorzy zagrożeń wykonali podobne działania w celu zidentyfikowania wrażliwych kont użytkowników, grup, uprawnień i oprogramowania.

Podmiot zagrożenia wykorzystał Advanced IP Scanner, narzędzie do skanowania adresów IP, aby wyliczyć adresy IP używane w środowisku i wykonać kolejne skanowanie portów. Skanując w poszukiwaniu otwartych portów, aktor zagrożenia odkrył urządzenia, które były dostępne z urządzenia, które było początkowo zagrożone.

To działanie zostało wykryte w usłudze Defender dla punktu końcowego i użyte jako wskaźnik kompromisu (IoC) do dalszego badania. Oto przykład.

Kradzież poświadczeń

Po uzyskaniu początkowego dostępu aktorzy zagrożeń wykonali zbieranie poświadczeń za pomocą narzędzia pobierania haseł Mimikatz i wyszukując pliki zawierające "hasło" w początkowo zaatakowanych systemach. Te działania umożliwiły podmiotom zagrożeń dostęp do dodatkowych systemów z wiarygodnymi poświadczeniami. W wielu sytuacjach podmioty zagrożeń używają tych kont do tworzenia dodatkowych kont w celu utrzymania trwałości po zidentyfikowaniu i rozwiązaniu początkowych naruszonych kont.

Oto przykład wykrytego użycia mimikatza w portalu Microsoft 365 Defender.

Ruch boczny

Ruch między punktami końcowymi może się różnić w różnych organizacjach, ale podmioty odpowiadające za zagrożenia często używają różnych odmian oprogramowania do zdalnego zarządzania, które już istnieje na urządzeniu. Korzystając z metod zdalnego dostępu, z których często korzysta dział IT w codziennych działaniach, podmioty zagrożeń mogą latać pod radarem przez dłuższy czas.

Za pomocą Microsoft Defender for Identity, DART był w stanie odwzorować ścieżkę, którą aktor zagrożenia wziął między urządzeniami, wyświetlając konta, które były używane i do których uzyskiwano dostęp. Oto przykład.

Uchylanie się od obrony

Aby uniknąć wykrycia, podmioty zagrożeń używały technik uchylania się od obrony, aby uniknąć identyfikacji i osiągnięcia swoich celów w całym cyklu ataku. Techniki te obejmują wyłączanie lub manipulowanie produktami antywirusowymi, odinstalowywanie lub wyłączanie produktów lub funkcji zabezpieczeń, modyfikowanie reguł zapory oraz ukrywanie artefaktów włamań przed produktami i usługami zabezpieczającymi za pomocą technik zaciemniania.

Aktor zagrożenia dla tego incydentu użył programu PowerShell do wyłączenia ochrony w czasie rzeczywistym dla usługi Microsoft Defender na urządzeniach Windows 11 i Windows 10 oraz lokalnych narzędziach sieciowych w celu otwarcia portu TCP 3389 i zezwolenia na połączenia RDP. Te zmiany zmniejszyły szanse wykrycia w środowisku, ponieważ zmodyfikowały usługi systemowe wykrywające złośliwą aktywność i ostrzegające o nich.

Nie można jednak wyłączyć programu Defender dla punktu końcowego z urządzenia lokalnego i było możliwe wykrycie tej aktywności. Oto przykład.

Trwałości

Techniki trwałości obejmują działania podmiotów zagrożeń mające na celu utrzymanie spójnego dostępu do systemów po podjętych przez pracowników ochrony wysiłkach na rzecz odzyskania kontroli nad zaatakowanymi systemami.

Podmioty zagrożenia dla tego incydentu używane Sticky Keys hack, ponieważ pozwala na zdalne wykonanie binarnego wewnątrz systemu operacyjnego Windows bez uwierzytelniania. Następnie wykorzystali tę możliwość do wykonania wiersza polecenia i wykonania dalszych ataków.

Oto przykład wykrywania Sticky Keys hack w portalu Microsoft 365 Defender.

Wpływ

Podmioty zagrożeń zazwyczaj szyfruje pliki przy użyciu aplikacji lub funkcji, które już istnieją w środowisku. Korzystanie z PsExec, zasady grupy i Microsoft Endpoint Configuration Management to metody wdrażania, które pozwalają aktorowi szybko dotrzeć do punktów końcowych i systemów bez zakłócania normalnych operacji.

Aktor zagrożenia dla tego incydentu wykorzystał PsExec do zdalnego uruchomienia interakcyjnego skryptu powershell z różnych zdalnych udostępnień. Ta metoda ataku randomizuje punkty dystrybucji i utrudnia rozwiązywanie problemów w ostatniej fazie ataku oprogramowania wymuszającego okup.

Wykonywanie oprogramowania wymuszającego okup

Wykonanie oprogramowania wymuszającego okup jest jedną z podstawowych metod używanych przez aktora zagrożenia do zarabiania na ataku. Niezależnie od metodologii wykonywania różne struktury oprogramowania wymuszającego okup zwykle mają wspólny wzorzec zachowania po wdrożeniu:

• Obfuscate threat actor actions
• Ustanawianie trwałości
• Wyłączanie odzyskiwania błędów systemu Windows i automatycznej naprawy
• Zatrzymywanie listy usług
• Zamknięcie listy procesów
• Usuwanie kopii zapasowych i kopii zapasowych w tle
• Szyfruj pliki, potencjalnie określając wykluczenia niestandardowe
• Tworzenie notatki oprogramowania wymuszającego okup

Oto przykład notatki dotyczącej oprogramowania wymuszającego okup.

Dodatkowe zasoby oprogramowania wymuszającego okup

Najważniejsze informacje od firmy Microsoft:

• Rosnące zagrożenie oprogramowaniem wymuszającym okup, wpis na blogu Microsoft On the Issues z 20 lipca 2021 r.
• Oprogramowanie wymuszające okup obsługiwane przez człowieka
• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniami
• 2021 Raport microsoft digital defense (patrz strony 10-19)
• Oprogramowanie wymuszające okup: wszechobecny raport z analizy zagrożeń w portalu Microsoft 365 Defender
• Podejście firmy Microsoft do oprogramowania wymuszającego okup DART i najlepsze rozwiązania

Microsoft 365:

• Wdrażanie ochrony przed oprogramowaniem wymuszającym okup dla dzierżawy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i Microsoft 365
• Odzyskiwanie po ataku oprogramowania wymuszającego okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dla oprogramowania wymuszającego okup w portalu Microsoft 365 Defender

Microsoft 365 Defender:

• Znajdź oprogramowanie wymuszające okup dzięki zaawansowanej polowaniu

Microsoft Defender for Cloud Apps:

• Tworzenie zasad wykrywania anomalii w aplikacji Defender dla Chmury

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i Microsoft 365
• Kopia zapasowa i przywracanie planu ochrony przed oprogramowaniem wymuszającym okup
• Pomóż chronić przed oprogramowaniem wymuszającym okup za pomocą kopii zapasowej Microsoft Azure (26-minutowe wideo)
• Odzyskiwanie po systemowym kompromisie tożsamości
• Zaawansowane wykrywanie wieloetapowego ataku w programie Microsoft Sentinel
• Wykrywanie fuzji oprogramowania wymuszającego okup w firmie Microsoft Sentinel

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• 3 kroki, aby zapobiec oprogramowaniu wymuszającym okup i odzyskać je (wrzesień 2021 r.)

• Przewodnik po zwalczaniu oprogramowania wymuszającego okup obsługiwane przez człowieka: część 1 (wrzesień 2021 r.)

  Kluczowe kroki dotyczące sposobu, w jaki zespół wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania przypadków oprogramowania wymuszającego okup.

• Przewodnik po zwalczaniu oprogramowania wymuszającego okup obsługiwane przez człowieka: część 2 (wrzesień 2021 r.)

  Rekomendacje i najlepszych praktyk.

• Odporność dzięki zrozumieniu zagrożeń dla cyberbezpieczeństwa: część 4 — poruszanie się po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Oprogramowanie wymuszające okup .

• Ataki oprogramowania wymuszającego okup obsługiwane przez człowieka: Klęska żywiołowa, która można zapobiec (marzec 2020 r.)

  Zawiera analizy łańcucha ataków rzeczywistych ataków.

• Odpowiedź oprogramowania wymuszającego okup — zapłacić, czy nie zapłacić? (grudzień 2019 r.)

• Norsk Hydro reaguje na atak ransomware z przezroczystością (grudzień 2019)