Případová studie Microsoft DART ransomware

Ransomwar provozovaný lidmi nadále udržuje svou pozici jako jeden z nejvýraznějších kyberútokových trendů po celém světě a je významnou hrozbou, se kterou se v posledních letech setkalo mnoho organizací. Tyto útoky využívají chybnou konfiguraci sítě a úspěšně se využívají slabého vnitřního zabezpečení organizace. I když tyto útoky představují jasné a přítomné nebezpečí organizacím a jejich IT infrastruktuře a datům, představují předcházet katastrofě.

Tým Microsoftu pro detekci a reakce (DART) reaguje na bezpečnostní kompromisy, které zákazníkům pomůžou stát se kyberneticky odolnými. DART poskytuje reakce na reaktivní incidenty na místě a vzdálené proaktivní vyšetřování. DART využívá strategická partnerství Microsoftu s bezpečnostními organizacemi po celém světě a interními skupinami produktů Microsoftu k zajištění nejúplnějšího a důkladného vyšetřování.

Tento článek popisuje, jak DART vyšetřoval nedávný incident ransomwaru s podrobnostmi o taktikách útoku a mechanismech detekce.

Další informace najdete v části 1 a 2 příručky DART k boji proti ransomwaru provozovanému člověkem.

Útok

DarT využívá nástroje pro reakce na incidenty a taktiku k identifikaci chování herců hrozeb pro lidské provozované ransomware. Veřejné informace týkající se událostí ransomwaru se zaměřují na konečný dopad, ale zřídka zvýrazňují podrobnosti o operaci a o tom, jak dokázali aktéři hrozeb eskalovat jejich přístup k nezjištěným zjištěním, monetizaci a extortizaci.

Tady je několik běžných technik, které útočníci používají pro útoky ransomwarem na základě taktiky MITRE ATT&CK.

DarT použil Microsoft Defender for Endpoint ke sledování útočníka prostřednictvím prostředí, vytvoření scénáře znázorňujícího incident a následnému vymýcení hrozby a nápravu. Po nasazení začal Defender for Endpoint zjišťovat úspěšná přihlášení z útoku hrubou silou. Po zjištění této možnosti nástroj DART zkontroloval bezpečnostní data a zjistil několik ohrožených internetových zařízení pomocí protokolu RDP (Remote Desktop Protocol).

Po získání počátečního přístupu objekt actor hrozby použil nástroj pro získávání přihlašovacích údajů Mimikatz k výpisu hodnot hash hesel, naskenoval přihlašovací údaje uložené v prostém textu, vytvořil zadní vrátka s manipulací s Sticky Key a přesunul se později v síti pomocí relací vzdálené plochy.

V této případové studii je zvýrazněná cesta, kterou útočník vzal.

Následující části popisují další podrobnosti na základě taktiky MITRE ATT&CK a obsahují příklady toho, jak byly aktivity objektu actor hrozeb zjištěny pomocí portálu Microsoft Defender.

Počáteční přístup

Ransomwarové kampaně používají pro svůj počáteční vstup dobře známá ohrožení zabezpečení, obvykle používají phishingové e-maily nebo slabá místa v hraniční ochraně, jako jsou zařízení s povolenou službou Vzdálená plocha vystavená na internetu.

V případě tohoto incidentu nástroj DART dokázal najít zařízení, které mělo port TCP 3389 pro protokol RDP vystavené internetu. Tím umožnili aktéři hrozeb provést útok hrubou silou a získat počáteční zápatí.

Defender for Endpoint používal inteligentní informace o hrozbách k určení, že na portálu Microsoft Defenderu došlo k mnoha přihlášením ze známých zdrojů hrubou silou a zobrazili je. Následuje příklad.

Průzkum

Po úspěšném počátečním přístupu začal výčet prostředí a zjišťování zařízení. Tyto aktivity umožňují subjektům hrozeb identifikovat informace o interní síti organizace a cílových důležitých systémech, jako jsou řadiče domény, záložní servery, databáze a cloudové prostředky. Po výčtu a zjišťování zařízení provedli aktéři hrozeb podobné aktivity k identifikaci ohrožených uživatelských účtů, skupin, oprávnění a softwaru.

Objekt actor hrozby využil advanced IP Scanner, nástroj pro kontrolu IP adres, k vytvoření výčtu IP adres použitých v prostředí a provedení následné kontroly portů. Když hledá otevřené porty, aktér hrozeb zjistil zařízení, která byla přístupná z původně ohroženého zařízení.

Tato aktivita se zjistila v defenderu for Endpoint a použila se jako indikátor ohrožení (IoC) k dalšímu šetření. Následuje příklad.

Krádež přihlašovacích údajů

Po získání počátečního přístupu aktéři hrozeb provedli získávání přihlašovacích údajů pomocí nástroje pro načítání hesla Mimikatz a vyhledáváním souborů obsahujících "heslo" na původně ohrožených systémech. Tyto akce aktivují aktéři hrozeb přístup k dalším systémům s legitimními přihlašovacími údaji. V mnoha situacích používají aktéři hrozeb tyto účty k vytvoření dalších účtů pro zachování trvalosti po zjištění a nápravě počátečních ohrožených účtů.

Tady je příklad zjištěného použití Mimikatz na portálu Microsoft Defender.

Laterální pohyb

Přesun mezi koncovými body se může mezi různými organizacemi lišit, ale aktéři hrozeb běžně používají různé druhy softwaru pro vzdálenou správu, který už na zařízení existuje. Pomocí metod vzdáleného přístupu, které IT oddělení běžně používá ve svých každodenních aktivitách, můžou aktéři hrozeb letět pod radarem po delší dobu.

Pomocí Programu Microsoft Defender for Identity bylo možné pomocí programu DART namapovat cestu, kterou aktér hrozeb vzal mezi zařízeními, a zobrazit použité účty a přístup k němu. Následuje příklad.

Obrana před únikem

Aby se zabránilo detekci, aktéři hrozeb použili techniky úniku obrany, aby se vyhnuli identifikaci a dosažení svých cílů v průběhu cyklu útoku. Mezi tyto techniky patří zakázání nebo manipulace s antivirovými produkty, odinstalace nebo zakázání bezpečnostních produktů nebo funkcí, úprava pravidel brány firewall a použití obfuskací technik ke skrytí artefaktů vniknutí z bezpečnostních produktů a služeb.

Objekt actor hrozby pro tento incident pomocí PowerShellu zakázal ochranu v reálném čase v programu Microsoft Defender na zařízeních s Windows 11 a Windows 10 a místních síťových nástrojích pro otevření portu TCP 3389 a povolení připojení RDP. Tyto změny snížily pravděpodobnost detekce v prostředí, protože upravily systémové služby, které detekují škodlivou aktivitu a upozorňují na je.

Defender pro koncový bod však nelze zakázat z místního zařízení a podařilo se mu zjistit tuto aktivitu. Následuje příklad.

Uchování

Techniky trvalosti zahrnují akce, které aktéři hrozeb za účelem zachování konzistentního přístupu k systémům po provedení úsilí bezpečnostních pracovníků znovu získali kontrolu nad ohroženými systémy.

Aktéři hrozeb pro tento incident použili hack Sticky Keys, protože umožňuje vzdálené spuštění binárního souboru v operačním systému Windows bez ověřování. Potom tuto funkci použili ke spuštění příkazového řádku a dalším útokům.

Tady je příklad detekce hacku Sticky Keys na portálu Microsoft Defender.

Dopad

Aktéři hrozeb obvykle šifrují soubory pomocí aplikací nebo funkcí, které už v prostředí existují. Použití psExec, zásad skupiny a správy konfigurace koncového bodu Microsoftu jsou metody nasazení, které objektu actor umožňují rychle se dostat ke koncovým bodům a systémům bez narušení normálních operací.

Objekt actor hrozby pro tento incident využil Nástroj PsExec ke vzdálenému spuštění interaktivního skriptu PowerShellu z různých vzdálených sdílených složek. Tato metoda útoku randomizuje distribuční body a ztěžuje nápravu během poslední fáze útoku ransomwarem.

Spuštění ransomwaru

Spuštění ransomwaru je jednou z primárních metod, kterou aktér hrozeb používá ke zpeněžení útoku. Bez ohledu na metodu provádění mají různé architektury ransomwaru po nasazení společný vzor chování:

• Obfuscate threat actor actions
• Vytvoření trvalosti
• Zakázání obnovení chyb systému Windows a automatická oprava
• Zastavení seznamu služeb
• Ukončení seznamu procesů
• Odstranění stínových kopií a záloh
• Šifrování souborů, potenciálně určení vlastních vyloučení
• Vytvoření poznámky k ransomwaru

Tady je příklad poznámky ransomwaru.

Další zdroje informací o ransomwaru

Klíčové informace od Microsoftu:

• Rostoucí hrozba ransomware, Microsoft On the Issues blogový příspěvek 20. července 2021
• Ransomwar provozovaný člověkem
• Rychlá ochrana před ransomwarem a vydíráním
• 2021 Microsoft Digital Defense Report (viz stránky 10–19)
• Ransomwaru: Sestava analýzy hrozeb pro trvalou a průběžnou hrozbu na portálu Microsoft Defender
• Přístup k ransomwaru Microsoft DART a osvědčené postupy

Microsoft 365:

• Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Zotavení z útoku ransomwarem
• Ochrana proti malwaru a ransomwaru
• Ochrana počítače s Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePointu Online
• Sestavy analýzy hrozeb pro ransomware na portálu Microsoft Defenderu

XDR v programu Microsoft Defender:

• Vyhledání ransomwaru s pokročilým vyhledáváním

Microsoft Defender for Cloud Apps:

• Vytváření zásad detekce anomálií v Defenderu pro Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
• Zotavení z ohrožení systémové identity
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Fúzní detekce ransomwaru v Microsoft Sentinelu

Blogové příspěvky týmu zabezpečení Microsoftu:

• 3 kroky k prevenci a zotavení ransomwaru (září 2021)

• Průvodce bojem proti ransomwaru provozovanému člověkem: část 1 (září 2021)

  Klíčové kroky týkající se toho, jak tým Microsoftu pro detekci a reakce (DART) provádí vyšetřování incidentů ransomwaru.

• Průvodce bojem proti ransomwaru provozovanému člověkem: část 2 (září 2021)

  Doporučení a osvědčené postupy

• Stát se odolným pochopením rizik kybernetické bezpečnosti: Část 4 – navigace v aktuálních hrozbách (květen 2021)

  Viz část Ransomware.

• Útoky ransomwaru provozované lidmi: Prevence havárie (březen 2020)

  Zahrnuje analýzy skutečných útoků z řetězu útoků.

• Reakce ransomwaru – platit nebo neplatit? (prosinec 2019)

• Norsk Hydro reaguje na útok ransomwaru s transparentností (prosinec 2019)