Analiza przypadku oprogramowania wymuszającego oprogramowanie wymuszane przez oprogramowanie DART firmy Microsoft

Oprogramowanie wymuszające okup obsługiwane przez człowieka nadal utrzymuje swoją pozycję jako jeden z najbardziej wpływowych trendów cyberataków na całym świecie i jest poważnym zagrożeniem, przed którym w ostatnich latach stanęły wiele organizacji. Te ataki wykorzystują błędy konfiguracji sieci i rozwijają się na słabym bezpieczeństwie wewnętrznym organizacji. Chociaż te ataki stanowią jasne i obecne zagrożenie dla organizacji i ich infrastruktury IT i danych, są one możliwe do uniknięcia awarii.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. FUNKCJA DART zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. DART wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić najbardziej kompletne i dokładne badanie możliwe.

W tym artykule opisano sposób, w jaki DART zbadał niedawne zdarzenie okupu ze szczegółowymi informacjami na temat taktyki ataku i mechanizmów wykrywania.

Aby uzyskać więcej informacji, zobacz część 1 i część 2 przewodnika DART dotyczącego zwalczania oprogramowania wymuszającego okup obsługiwane przez człowieka.

Atak

DART wykorzystuje narzędzia i taktykę reagowania na zdarzenia, aby zidentyfikować zachowania aktorów zagrożeń dla oprogramowania wymuszającego okup obsługiwane przez człowieka. Publiczne informacje dotyczące zdarzeń okupu koncentrują się na wpływie na koniec, ale rzadko podkreśla szczegóły operacji i sposób, w jaki aktorzy zagrożeń byli w stanie eskalować swój dostęp niewykryty, aby odkryć, zarobić i wywrzeć.

Poniżej przedstawiono kilka typowych technik używanych przez osoby atakujące do ataków wymuszających okup na podstawie taktyki MITRE ATT&CK.

DART użył Ochrona punktu końcowego w usłudze Microsoft Defender do śledzenia osoby atakującej w środowisku, tworzenia historii przedstawiającej incydent, a następnie wyeliminowania zagrożenia i korygowania. Po wdrożeniu usługa Defender for Endpoint zaczęła wykrywać pomyślne logowania z ataku siłowego. Po odnalezieniu tego narzędzia DART przejrzyła dane zabezpieczeń i znalazła kilka narażonych urządzeń z Internetem przy użyciu protokołu RDP (Remote Desktop Protocol).

Po uzyskaniu początkowego dostępu aktor zagrożeń użył narzędzia do zbierania poświadczeń Mimikatz w celu zrzutu skrótów haseł, zeskanowany pod kątem poświadczeń przechowywanych w postaci zwykłego tekstu, utworzył backdoors z manipulacją sticky key i przeniósł się później w całej sieci przy użyciu sesji pulpitu zdalnego.

W tym badaniu przypadku wyróżniona jest wyróżniona ścieżka, którą wziął osoba atakująca.

W poniższych sekcjach opisano dodatkowe szczegóły na podstawie taktyki MITRE ATT&CK i przedstawiono przykłady wykrywania działań aktorów zagrożeń za pomocą portalu Microsoft 365 Defender.

Dostęp początkowy

Kampanie wymuszania oprogramowania wymuszającego okup używają dobrze znanych luk w zabezpieczeniach początkowych, zwykle używając wiadomości e-mail wyłudzających informacje lub słabych stron w ochronie obwodowej, takich jak urządzenia z włączoną usługą pulpitu zdalnego uwidocznionymi w Internecie.

W przypadku tego zdarzenia dart mógł zlokalizować urządzenie z portem TCP 3389 dla protokołu RDP uwidocznione w Internecie. Umożliwiło to aktorom zagrożeń przeprowadzenie ataku siłowego i uzyskanie początkowego przyczółka.

Usługa Defender for Endpoint użyła analizy zagrożeń w celu ustalenia, że w portalu Microsoft 365 Defender pojawiły się liczne logowania ze znanych źródeł sił siłowych. Oto przykład.

Rekonesans

Po pomyślnym zakończeniu początkowego dostępu rozpoczęto wyliczanie środowiska i odnajdywanie urządzeń. Te działania umożliwiły aktorom zagrożeń zidentyfikowanie informacji o sieci wewnętrznej organizacji i docelowych systemach krytycznych, takich jak kontrolery domeny, serwery kopii zapasowej, bazy danych i zasoby w chmurze. Po wyliczeniem i odnajdaniu urządzeń aktorzy zagrożeń wykonali podobne działania, aby zidentyfikować wrażliwe konta użytkowników, grupy, uprawnienia i oprogramowanie.

Aktor zagrożeń korzystał z zaawansowanego skanera adresów IP, narzędzia do skanowania adresów IP, aby wyliczyć adresy IP używane w środowisku i przeprowadzić kolejne skanowanie portów. Skanując otwarte porty, aktor zagrożeń wykrył urządzenia, które były dostępne z początkowo naruszonego urządzenia.

To działanie zostało wykryte w usłudze Defender dla punktu końcowego i użyte jako wskaźnik naruszenia zabezpieczeń (IoC) do dalszego badania. Oto przykład.

Kradzież poświadczeń

Po uzyskaniu dostępu początkowego aktorzy zagrożeń wykonali zbieranie poświadczeń przy użyciu narzędzia pobierania hasła Mimikatz i wyszukując pliki zawierające "hasło" w początkowo naruszonych systemach. Te akcje umożliwiły aktorom zagrożeń dostęp do dodatkowych systemów z uzasadnionymi poświadczeniami. W wielu sytuacjach aktorzy zagrożeń używają tych kont do tworzenia dodatkowych kont w celu utrzymania trwałości po zidentyfikowaniu i skorygowaniu początkowych kont, których bezpieczeństwo zostało naruszone.

Oto przykład wykrytego użycia narzędzia Mimikatz w portalu Microsoft 365 Defender.

Ruch boczny

Przenoszenie między punktami końcowymi może się różnić w różnych organizacjach, ale aktorzy zagrożeń często używają różnych odmian oprogramowania do zarządzania zdalnego, które już istnieje na urządzeniu. Korzystając z metod dostępu zdalnego, które dział IT często używa w codziennych działaniach, aktorzy zagrożeń mogą latać pod radarem przez dłuższy czas.

Korzystając z Microsoft Defender for Identity, DART był w stanie zamapować ścieżkę, którą aktor zagrożeń wziął między urządzeniami, wyświetlając używane konta i uzyskiwane do nich dostęp. Oto przykład.

Uchylanie się od obrony

Aby uniknąć wykrywania, aktorzy zagrożeń wykorzystali techniki uchylania się od obrony, aby uniknąć identyfikacji i osiągnąć swoje cele w całym cyklu ataków. Te techniki obejmują wyłączanie lub manipulowanie produktami antywirusowymi, odinstalowywanie lub wyłączanie produktów lub funkcji zabezpieczeń, modyfikowanie reguł zapory oraz używanie technik zaciemniania w celu ukrycia artefaktów włamań z produktów i usług zabezpieczeń.

Aktor zagrożeń dla tego zdarzenia używał programu PowerShell do wyłączania ochrony w czasie rzeczywistym dla Microsoft Defender na urządzeniach Windows 11 i Windows 10 urządzeniach oraz lokalnych narzędziach sieciowych do otwierania portu TCP 3389 i zezwalania na połączenia RDP. Zmiany te zmniejszyły prawdopodobieństwo wykrycia w środowisku, ponieważ zmodyfikowały usługi systemowe, które wykrywają złośliwe działania i ostrzegają o nich.

Usługa Defender for Endpoint nie może być jednak wyłączona z urządzenia lokalnego i mogła wykryć to działanie. Oto przykład.

Trwałość

Techniki trwałości obejmują działania podmiotów zagrożeń w celu utrzymania spójnego dostępu do systemów po podjęciu wysiłków przez personel ds. zabezpieczeń w celu odzyskania kontroli nad naruszonym systemem.

Aktorzy zagrożeń dla tego incydentu wykorzystali hack Sticky Keys, ponieważ umożliwia zdalne wykonywanie pliku binarnego wewnątrz systemu operacyjnego Windows bez uwierzytelniania. Następnie wykorzystali tę możliwość do wykonania wiersza polecenia i wykonania dalszych ataków.

Oto przykład wykrywania włamania sticky keys w portalu Microsoft 365 Defender.

Wpływ

Aktorzy zagrożeń zazwyczaj szyfrują pliki przy użyciu aplikacji lub funkcji, które już istnieją w środowisku. Korzystanie z programu PsExec, zasady grupy i zarządzania konfiguracją punktu końcowego firmy Microsoft to metody wdrażania, które umożliwiają aktorowi szybkie uzyskiwanie dostępu do punktów końcowych i systemów bez zakłócania normalnych operacji.

Aktor zagrożeń dla tego zdarzenia wykorzystał program PsExec do zdalnego uruchamiania interaktywnego skryptu programu PowerShell z różnych udziałów zdalnych. Ta metoda ataku losuje punkty dystrybucji i utrudnia korygowanie w ostatniej fazie ataku wymuszającego okup.

Wykonywanie oprogramowania wymuszającego okup

Wykonanie oprogramowania wymuszającego okup jest jedną z podstawowych metod, których aktor zagrożeń używa do zarabiania na ataku. Niezależnie od metodologii wykonywania różne struktury oprogramowania wymuszającego okup zwykle mają wspólny wzorzec behawioralny po wdrożeniu:

• Zaciemnianie akcji aktora zagrożeń
• Ustanawianie trwałości
• Wyłączanie odzyskiwania błędów systemu Windows i automatycznej naprawy
• Zatrzymywanie listy usług
• Kończenie listy procesów
• Usuwanie kopii w tle i kopii zapasowych
• Szyfrowanie plików, potencjalnie określanie wykluczeń niestandardowych
• Tworzenie notatki o okupie

Oto przykład notatki o okupie.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

• Rosnące zagrożenie oprogramowaniem wymuszającym okup, Microsoft On the Issues — wpis w blogu 20 lipca 2021 r.
• Oprogramowanie wymuszane przez człowieka oprogramowanie wymuszającego okup
• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
• Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2021 r. (patrz strony 10–19)
• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu Microsoft 365 Defender
• Podejście i najlepsze rozwiązania firmy Microsoft dotyczące oprogramowania wymuszającego okup DART

Microsoft 365:

• Wdrażanie ochrony przed oprogramowaniem wymuszającym okup dla dzierżawy platformy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu Microsoft 365 Defender

Microsoft 365 Defender:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Defender for Cloud Apps:

• Tworzenie zasad wykrywania anomalii w usłudze Defender for Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Ochrona przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
• Odzyskiwanie po naruszeniu tożsamości systemowej
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• 3 kroki, aby zapobiec wymuszaniu oprogramowania wymuszającego okup i jego odzyskaniu (wrzesień 2021 r.)

• Przewodnik dotyczący zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka: część 1 (wrzesień 2021 r.)

  Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.

• Przewodnik dotyczący zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka: część 2 (wrzesień 2021 r.)

  Zalecenia i najlepsze rozwiązania.

• Stanie się odporne na zagrożenia związane z cyberbezpieczeństwem: część 4 — nawigowanie po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Wymuszanie oprogramowania wymuszającego okup .

• Ataki wymuszania oprogramowania wymuszającego okup przez człowieka: katastrofa, która można zapobiec (marzec 2020 r.)

  Obejmuje analizę łańcucha ataków rzeczywistych ataków.

• Odpowiedź na oprogramowanie wymuszającego okup — aby zapłacić, czy nie zapłacić? (grudzień 2019)

• Norsk Hydro reaguje na atak oprogramowania wymuszającego okup dzięki przejrzystości (grudzień 2019 r.)