Analiza przypadku oprogramowania wymuszającego okup Microsoft DART

Oprogramowanie wymuszające okup obsługiwane przez człowieka nadal utrzymuje swoją pozycję jako jeden z najbardziej wpływowych trendów cyberataku na całym świecie i jest znaczącym zagrożeniem, z jakim borykało się wiele organizacji w ostatnich latach. Ataki te wykorzystują błędną konfigurację sieci i rozwijają się na słabym bezpieczeństwie wewnętrznym organizacji. Chociaż ataki te stanowią wyraźne i obecne zagrożenie dla organizacji oraz ich infrastruktury informatycznej i danych, są one katastrofą, jakiej można zapobiec.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom w reagowaniu na zagrożenia cybernetyczne. DART zapewnia na miejscu reaktywną reakcję na incydenty i zdalne proaktywne dochodzenia. Dart wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami bezpieczeństwa na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić jak najbardziej kompleksowe i dokładne badanie.

W tym artykule opisano, jak dart zbadał niedawny incydent ransomware ze szczegółowymi informacjami na temat taktyki ataku i mechanizmów wykrywania.

Aby uzyskać więcej informacji, zobacz Część 1 i Część 2 przewodnika DART dotyczącego zwalczania oprogramowania wymuszającego okup obsługiwane przez człowieka.

Atak

DART wykorzystuje narzędzia reagowania na incydenty i taktykę do identyfikowania zachowań aktora zagrożeń dla oprogramowania wymuszającego okup obsługiwane przez człowieka. Publiczne informacje dotyczące zdarzeń oprogramowania wymuszającego okup skupiają się na końcowym wpływie, ale rzadko podkreślają szczegóły operacji i sposób, w jaki podmioty zagrożeń były w stanie eskalować swój dostęp niewykryty, aby odkryć, zarabiać i wyłudzić.

Poniżej przedstawiono niektóre typowe techniki, których atakujący używają do ataków ransomware opartych na taktyce MITRE ATTCK&.

Common techniques that attackers use for ransomware attacks.

DART użył Ochrona punktu końcowego w usłudze Microsoft Defender do śledzenia napastnika przez środowisko, stworzenia historii przedstawiającej incydent, a następnie wyeliminowania zagrożenia i rozwiązania. Po wdrożeniu usługa Defender for Endpoint zaczęła wykrywać udane logowania po brutalnym ataku siłowym. Po odkryciu tego, DART przejrzał dane dotyczące bezpieczeństwa i znalazł kilka wrażliwych urządzeń internetowych za pomocą protokołu Remote Desktop Protocol (RDP).

Po uzyskaniu początkowego dostępu aktor zagrożeń użył narzędzia do zbierania poświadczeń Mimikatza do zrzutu haseł, zeskanowany w poszukiwaniu poświadczeń przechowywanych w postaci zwykłego tekstu, stworzył backdoory z manipulacją Sticky Key i przeniósł się później po całej sieci za pomocą sesji pulpitu zdalnego.

W tym studium przypadku, oto wyróżniona ścieżka, którą napastnik podjął.

The path the ransomware attacker took for this case study.

Poniższe sekcje opisują dodatkowe szczegóły oparte na taktyce MITRE ATTCK& i zawierają przykłady tego, jak działania aktora zagrożenia zostały wykryte w portalu Microsoft 365 Defender.

Dostęp początkowy

Kampanie oprogramowania wymuszającego okup wykorzystują znane luki w zabezpieczeniach w początkowym wpisie, zazwyczaj używając wiadomości e-mail wyłudzających informacje lub słabych punktów w zabezpieczeniach obwodu, takich jak urządzenia z włączoną usługą pulpitu zdalnego udostępnioną w Internecie.

W przypadku tego incydentu funkcja DART mogła zlokalizować urządzenie, na których port TCP 3389 dla protokołu RDP był narażony na dostęp do Internetu. Umożliwiło to podmiotom zagrożeń przeprowadzenie ataku uwierzytelniania siłą brutalną i uzyskanie początkowego przyczółka.

Usługa Defender for Endpoint wykorzystała analizę zagrożeń do ustalenia, że było wiele logowania ze znanych źródeł siłowych i wyświetlała je w portalu Microsoft 365 Defender. Oto przykład.

An example of known brute-force sign-ins in the Microsoft 365 Defender portal.

Rozpoznania

Po pomyślnym uzyskaniu dostępu początkowego rozpoczęto wyliczania środowiska i odnajdowanie urządzeń. Te działania umożliwiły podmiotom odpowiedzialnym za zagrożenia identyfikowanie informacji o sieci wewnętrznej organizacji i kierowanie krytycznych systemów, takich jak kontrolery domeny, serwery kopii zapasowych, bazy danych i zasoby w chmurze. Po wyliczaniu i odnajdyniu urządzenia aktorzy zagrożeń wykonali podobne działania w celu zidentyfikowania wrażliwych kont użytkowników, grup, uprawnień i oprogramowania.

Podmiot zagrożenia wykorzystał Advanced IP Scanner, narzędzie do skanowania adresów IP, aby wyliczyć adresy IP używane w środowisku i wykonać kolejne skanowanie portów. Skanując w poszukiwaniu otwartych portów, aktor zagrożenia odkrył urządzenia, które były dostępne z urządzenia, które było początkowo zagrożone.

To działanie zostało wykryte w usłudze Defender dla punktu końcowego i użyte jako wskaźnik kompromisu (IoC) do dalszego badania. Oto przykład.

An example of port scanning in the Microsoft 365 Defender portal.

Kradzież poświadczeń

Po uzyskaniu początkowego dostępu aktorzy zagrożeń wykonali zbieranie poświadczeń za pomocą narzędzia pobierania haseł Mimikatz i wyszukując pliki zawierające "hasło" w początkowo zaatakowanych systemach. Te działania umożliwiły podmiotom zagrożeń dostęp do dodatkowych systemów z wiarygodnymi poświadczeniami. W wielu sytuacjach podmioty zagrożeń używają tych kont do tworzenia dodatkowych kont w celu utrzymania trwałości po zidentyfikowaniu i rozwiązaniu początkowych naruszonych kont.

Oto przykład wykrytego użycia mimikatza w portalu Microsoft 365 Defender.

An example of Mimikatz detection in the Microsoft 365 Defender portal

Ruch boczny

Ruch między punktami końcowymi może się różnić w różnych organizacjach, ale podmioty odpowiadające za zagrożenia często używają różnych odmian oprogramowania do zdalnego zarządzania, które już istnieje na urządzeniu. Korzystając z metod zdalnego dostępu, z których często korzysta dział IT w codziennych działaniach, podmioty zagrożeń mogą latać pod radarem przez dłuższy czas.

Za pomocą Microsoft Defender for Identity, DART był w stanie odwzorować ścieżkę, którą aktor zagrożenia wziął między urządzeniami, wyświetlając konta, które były używane i do których uzyskiwano dostęp. Oto przykład.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Uchylanie się od obrony

Aby uniknąć wykrycia, podmioty zagrożeń używały technik uchylania się od obrony, aby uniknąć identyfikacji i osiągnięcia swoich celów w całym cyklu ataku. Techniki te obejmują wyłączanie lub manipulowanie produktami antywirusowymi, odinstalowywanie lub wyłączanie produktów lub funkcji zabezpieczeń, modyfikowanie reguł zapory oraz ukrywanie artefaktów włamań przed produktami i usługami zabezpieczającymi za pomocą technik zaciemniania.

Aktor zagrożenia dla tego incydentu użył programu PowerShell do wyłączenia ochrony w czasie rzeczywistym dla usługi Microsoft Defender na urządzeniach Windows 11 i Windows 10 oraz lokalnych narzędziach sieciowych w celu otwarcia portu TCP 3389 i zezwolenia na połączenia RDP. Te zmiany zmniejszyły szanse wykrycia w środowisku, ponieważ zmodyfikowały usługi systemowe wykrywające złośliwą aktywność i ostrzegające o nich.

Nie można jednak wyłączyć programu Defender dla punktu końcowego z urządzenia lokalnego i było możliwe wykrycie tej aktywności. Oto przykład.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Trwałości

Techniki trwałości obejmują działania podmiotów zagrożeń mające na celu utrzymanie spójnego dostępu do systemów po podjętych przez pracowników ochrony wysiłkach na rzecz odzyskania kontroli nad zaatakowanymi systemami.

Podmioty zagrożenia dla tego incydentu używane Sticky Keys hack, ponieważ pozwala na zdalne wykonanie binarnego wewnątrz systemu operacyjnego Windows bez uwierzytelniania. Następnie wykorzystali tę możliwość do wykonania wiersza polecenia i wykonania dalszych ataków.

Oto przykład wykrywania Sticky Keys hack w portalu Microsoft 365 Defender.

An example of detecting the Sticky Keys hack in the Microsoft 365 Defender portal.

Wpływ

Podmioty zagrożeń zazwyczaj szyfruje pliki przy użyciu aplikacji lub funkcji, które już istnieją w środowisku. Korzystanie z PsExec, zasady grupy i Microsoft Endpoint Configuration Management to metody wdrażania, które pozwalają aktorowi szybko dotrzeć do punktów końcowych i systemów bez zakłócania normalnych operacji.

Aktor zagrożenia dla tego incydentu wykorzystał PsExec do zdalnego uruchomienia interakcyjnego skryptu powershell z różnych zdalnych udostępnień. Ta metoda ataku randomizuje punkty dystrybucji i utrudnia rozwiązywanie problemów w ostatniej fazie ataku oprogramowania wymuszającego okup.

Wykonywanie oprogramowania wymuszającego okup

Wykonanie oprogramowania wymuszającego okup jest jedną z podstawowych metod używanych przez aktora zagrożenia do zarabiania na ataku. Niezależnie od metodologii wykonywania różne struktury oprogramowania wymuszającego okup zwykle mają wspólny wzorzec zachowania po wdrożeniu:

  • Obfuscate threat actor actions
  • Ustanawianie trwałości
  • Wyłączanie odzyskiwania błędów systemu Windows i automatycznej naprawy
  • Zatrzymywanie listy usług
  • Zamknięcie listy procesów
  • Usuwanie kopii zapasowych i kopii zapasowych w tle
  • Szyfruj pliki, potencjalnie określając wykluczenia niestandardowe
  • Tworzenie notatki oprogramowania wymuszającego okup

Oto przykład notatki dotyczącej oprogramowania wymuszającego okup.

An example of a ransomware note.

Dodatkowe zasoby oprogramowania wymuszającego okup

Najważniejsze informacje od firmy Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Defender for Cloud Apps:

Microsoft Azure:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: