Analiza przypadku oprogramowania wymuszającego oprogramowanie microsoft DART

  • Artykuł

Oprogramowanie wymuszające okup obsługiwane przez człowieka nadal utrzymuje swoją pozycję jako jeden z najbardziej wpływowych trendów cyberataku na całym świecie i jest znaczącym zagrożeniem, z którym boryka się wiele organizacji w ostatnich latach. Te ataki wykorzystują błędy konfiguracji sieci i rozwijają się w słabym bezpieczeństwie wewnętrznym organizacji. Chociaż te ataki stanowią wyraźne i obecne zagrożenie dla organizacji i ich infrastruktury IT i danych, są one możliwe do uniknięcia awarii.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. DART zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. DART wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft w celu zapewnienia najbardziej kompletnych i dokładnych badań.

W tym artykule opisano, w jaki sposób DART zbadał niedawne zdarzenie wymuszające okup z informacjami na temat taktyki ataku i mechanizmów wykrywania.

Aby uzyskać więcej informacji, zobacz część 1 i część 2 przewodnika DART w celu zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka.

Atak

DART wykorzystuje narzędzia reagowania na zdarzenia i taktykę do identyfikowania zachowań aktorów zagrożeń dla oprogramowania wymuszającego okup obsługiwane przez człowieka. Publiczne informacje dotyczące zdarzeń okupu koncentrują się na wpływie na koniec, ale rzadko podkreśla szczegóły operacji i sposób, w jaki aktorzy zagrożeń byli w stanie eskalować ich dostęp niewykryty w celu odnalezienia, zarabiania i wyłudzenia.

Poniżej przedstawiono niektóre typowe techniki używane przez osoby atakujące do ataków wymuszających okup w oparciu o taktykę MITRE ATT&CK.

Common techniques that attackers use for ransomware attacks.

DART użył Ochrona punktu końcowego w usłudze Microsoft Defender do śledzenia atakującego za pośrednictwem środowiska, utworzyć historię przedstawiającą incydent, a następnie wyeliminować zagrożenie i skorygować. Po wdrożeniu usługa Defender for Endpoint zaczęła wykrywać pomyślne logowania z ataku siłowego. Po odkryciu tego narzędzia DART przejrzył dane zabezpieczeń i znalazł kilka zagrożonych urządzeń dostępnych z Internetu przy użyciu protokołu RDP (Remote Desktop Protocol).

Po uzyskaniu dostępu początkowego aktor zagrożeń użył narzędzia zbierania poświadczeń Mimikatz w celu zrzutu skrótów haseł, zeskanowany pod kątem poświadczeń przechowywanych w postaci zwykłego tekstu, utworzył backdoors z manipulacją sticky key i przeniósł się później w całej sieci przy użyciu sesji pulpitu zdalnego.

W przypadku tej analizy przypadku wyróżniona ścieżka, którą podjęła osoba atakująca.

The path the ransomware attacker took for this case study.

W poniższych sekcjach opisano dodatkowe szczegóły oparte na taktyki MITRE ATT&CK i opisano przykłady wykrywania działań aktora zagrożeń w portalu usługi Microsoft Defender.

Dostęp początkowy

Kampanie wymuszania oprogramowania wymuszającego okup używają dobrze znanych luk w zabezpieczeniach do początkowego wpisu, zazwyczaj przy użyciu wiadomości e-mail wyłudzających informacje lub słabości w zabezpieczeniach obwodowych, takich jak urządzenia z włączoną usługą pulpitu zdalnego uwidacznianą w Internecie.

W przypadku tego incydentu narzędzie DART mogło zlokalizować urządzenie z portem TCP 3389 dla protokołu RDP uwidocznione w Internecie. Umożliwiło to aktorom zagrożeń przeprowadzenie ataku siłowego i uzyskanie początkowego przyczółka.

Usługa Defender for Endpoint użyła analizy zagrożeń, aby ustalić, że w portalu usługi Microsoft Defender było wiele logów ze znanych źródeł siłowych i były wyświetlane. Oto przykład.

An example of known brute-force sign-ins in the Microsoft Defender portal.

Rozeznanie

Po pomyślnym zakończeniu początkowego dostępu rozpoczęto wyliczanie środowiska i odnajdywanie urządzeń. Te działania umożliwiły aktorom zagrożeń identyfikowanie informacji o wewnętrznej sieci organizacji i docelowych systemach krytycznych, takich jak kontrolery domeny, serwery kopii zapasowych, bazy danych i zasoby w chmurze. Po wyliczaniu i odnajdowaniu urządzeń aktorzy zagrożeń wykonali podobne działania, aby zidentyfikować wrażliwe konta użytkowników, grupy, uprawnienia i oprogramowanie.

Aktor zagrożeń skorzystał z zaawansowanego skanera adresów IP, narzędzia do skanowania adresów IP, aby wyliczyć adresy IP używane w środowisku i przeprowadzić kolejne skanowanie portów. Skanując otwarte porty, aktor zagrożeń wykrył urządzenia, które były dostępne z początkowo naruszonego urządzenia.

To działanie zostało wykryte w usłudze Defender dla punktu końcowego i używane jako wskaźnik naruszenia zabezpieczeń (IoC) do dalszego badania. Oto przykład.

An example of port scanning in the Microsoft Defender portal.

Kradzież poświadczeń

Po uzyskaniu dostępu początkowego aktorzy zagrożeń wykonali zbieranie poświadczeń przy użyciu narzędzia do pobierania haseł Mimikatz i wyszukując pliki zawierające "hasło" w początkowo naruszonych systemach. Te akcje umożliwiły aktorom zagrożeń dostęp do dodatkowych systemów przy użyciu wiarygodnych poświadczeń. W wielu sytuacjach podmioty zagrożeń używają tych kont do tworzenia dodatkowych kont w celu utrzymania trwałości po zidentyfikowaniu i skorygowaniu początkowych kont, których bezpieczeństwo zostało naruszone.

Oto przykład wykrytego użycia narzędzia Mimikatz w portalu usługi Microsoft Defender.

An example of Mimikatz detection in the Microsoft Defender portal

Ruch boczny

Przenoszenie między punktami końcowymi może się różnić w różnych organizacjach, ale podmioty zagrożeń często używają różnych odmian oprogramowania do zarządzania zdalnego, które już istnieje na urządzeniu. Korzystając z metod dostępu zdalnego, które dział IT często używa w swoich codziennych działaniach, aktorzy zagrożeń mogą latać pod radarem przez dłuższy czas.

Korzystając z usługi Microsoft Defender for Identity, dart był w stanie zamapować ścieżkę, którą aktor zagrożenia wziął między urządzeniami, wyświetlając używane konta i uzyskiwane do nich dostęp. Oto przykład.

The path that the threat actor took between devices in Microsoft Defender for Identity.

Uchylanie się od obrony

Aby uniknąć wykrywania, podmioty zagrożeń używały technik uchylania się od obrony w celu uniknięcia identyfikacji i osiągnięcia celów w całym cyklu ataku. Te techniki obejmują wyłączanie lub manipulowanie produktami antywirusowymi, odinstalowywanie lub wyłączanie produktów lub funkcji zabezpieczeń, modyfikowanie reguł zapory oraz używanie technik zaciemniania w celu ukrycia artefaktów włamań z produktów i usług zabezpieczeń.

Aktor zagrożeń dla tego incydentu używał programu PowerShell do wyłączania ochrony w czasie rzeczywistym dla usługi Microsoft Defender na urządzeniach z systemem Windows 11 i Windows 10 oraz lokalnych narzędziach sieciowych do otwierania portu TCP 3389 i zezwalania na połączenia RDP. Te zmiany zmniejszyły prawdopodobieństwo wykrycia w środowisku, ponieważ zmodyfikowały usługi systemowe, które wykrywają złośliwe działania i ostrzegają o nich.

Usługa Defender dla punktu końcowego nie może być jednak wyłączona z urządzenia lokalnego i mogła wykryć to działanie. Oto przykład.

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

Trwałość

Techniki trwałości obejmują działania podmiotów zagrożeń w celu utrzymania spójnego dostępu do systemów po podjęciu działań przez personel ds. zabezpieczeń w celu odzyskania kontroli nad zagrożonymi systemami.

Aktorzy zagrożeń dla tego incydentu wykorzystali hack sticky keys, ponieważ umożliwia zdalne wykonywanie pliku binarnego wewnątrz systemu operacyjnego Windows bez uwierzytelniania. Następnie wykorzystali tę możliwość do wykonania wiersza polecenia i wykonania dalszych ataków.

Oto przykład wykrywania włamania do kluczy sticky w portalu Usługi Microsoft Defender.

An example of detecting the Sticky Keys hack in the Microsoft Defender portal.

Wpływ

Aktorzy zagrożeń zazwyczaj szyfrują pliki przy użyciu aplikacji lub funkcji, które już istnieją w środowisku. Korzystanie z programu PsExec, zasad grupy i zarządzania konfiguracją punktu końcowego firmy Microsoft to metody wdrażania, które umożliwiają aktorowi szybkie dotarcie do punktów końcowych i systemów bez zakłócania normalnego działania.

Aktor zagrożenia dla tego zdarzenia wykorzystał program PsExec do zdalnego uruchomienia interaktywnego skryptu programu PowerShell z różnych udziałów zdalnych. Ta metoda ataku losuje punkty dystrybucji i utrudnia korygowanie w ostatniej fazie ataku wymuszającego okup.

Wykonywanie oprogramowania wymuszającego okup

Wykonywanie oprogramowania wymuszającego okup jest jedną z podstawowych metod, których aktor zagrożeń używa do zarabiania na ataku. Niezależnie od metodologii wykonywania różne struktury oprogramowania wymuszającego okup zwykle mają wspólny wzorzec zachowania po wdrożeniu:

  • Zaciemnianie akcji aktora zagrożeń
  • Ustanawianie trwałości
  • Wyłączanie odzyskiwania błędów systemu Windows i automatycznej naprawy
  • Zatrzymywanie listy usług
  • Kończenie listy procesów
  • Usuwanie kopii w tle i kopii zapasowych
  • Szyfrowanie plików, potencjalnie określanie wykluczeń niestandardowych
  • Tworzenie notatki o oprogramowaniem wymuszającym okup

Oto przykład notatki dotyczącej oprogramowania wymuszającego okup.

An example of a ransomware note.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft Defender XDR:

aplikacje Microsoft Defender dla Chmury:

Microsoft Azure:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: