CSI: Indicadores de evidencia de ataques de ransomware dirigidos – Parte I


Durante muchos años, he estado trabajando y enseñando en el campo del análisis forense electronic, el análisis de malware y la inteligencia de amenazas. Durante una de las clases siempre hablamos sobre el principio de intercambio de Lockard: «con el contacto entre dos elementos, habrá un intercambio». Si traducimos eso al mundo electronic: «cuando un adversario infringe un sistema, dejará rastros de evidencia». El desafío es a menudo cómo descubrir esa evidencia de manera oportuna para tomar medidas y descubrir qué fuentes están disponibles para la detección. Las fuentes de evidencia volátiles deben asegurarse lo antes posible, mientras que las fuentes no volátiles tienen una prioridad más baja. Un ejemplo de orden de volatilidad:

Tabla 1: Orden de volatilidad

En esta serie de dos artículos, verá un ejemplo que hemos observado como una tendencia preocupante en los últimos meses.

En la primera etapa, las empresas están infectadas por algún tipo de malware que roba información (Azorult, Dridex, Trickbot), o se viola al tener un servidor RDP débilmente protegido en el borde de la red.

La etapa dos ocurre unas semanas después cuando la campaña de ransomware dirigida golpea a la misma víctima usando Ryuk, Bitpaymer u otra familia de ransomware a la que el atacante tiene acceso.

Un ejemplo reciente fue cubierto por el equipo en este artículo sobre Bitpaymer. El adversario que ejecuta la etapa uno no necesariamente tiene que ser el mismo que el actor que ejecuta la etapa dos. Hay muchas credenciales cosechadas por Azorult o RDP en los mercados subterráneos. A continuación se muestra una captura de pantalla de un anunciante que demuestra el número de víctimas de Azorult (13k) que han realizado, incluida la información que les han robado:

Figura 1 Ejemplo de Azorult C2

Etapa 1: la infección inicial

Figura 2 Etapa 1

Aunque puede haber algunas variaciones, la descripción gráfica muestra cómo comienzan la mayoría de estos ataques. Ya sea por un compromiso de conducir cuando un usuario visita un sitio net infectado con un script malicioso o una campaña de phishing, el resultado es una infección de malware que roba credenciales, las extrae y da como resultado cuentas válidas de la víctima. El otro escenario es comprar la información de cuenta válida desde el subsuelo. Tener cuentas válidas dará acceso a un servicio remoto o acceso directo a la máquina de la víctima utilizando el malware. Cuando un adversario realiza el siguiente movimiento, 9 de cada 10 veces observamos el uso de una herramienta de descarga de credenciales como Mimikatz, o la actividad relacionada con PowerShell nuevamente para el volcado de contraseña. ¿La meta? Para obtener derechos de administrador neighborhood, administrador de dominio o sistema en un sistema dentro de la crimson de la víctima. El objetivo secundario que observamos con el uso de herramientas / scripts de PowerShell es realizar un reconocimiento de la pink.

Etapa de acceso inicial de evidencia digital:

Compromiso T1189 Travel-By

En este escenario, la víctima probablemente navega por World-wide-web y visita una página website que contiene un script malicioso. Siguiendo el orden de la volatilidad, ¿dónde podríamos encontrar evidencia? Dependiendo del tipo de acciones definidas en el script malicioso, podría dejar rastros en el disco o en la memoria cuando se inyecta.

Enlace / accesorio T1192 y T1193 Spear-phishing

En este escenario, la víctima recibe un correo electrónico con un enlace (T1192) o un archivo adjunto armado (T1193). Al hacer clic en el enlace, se abre un sitio web y las acciones de seguimiento se ejecutan como se explain anteriormente en el compromiso T1189 Push-by. El orden de volatilidad es equivalent pero tendrá una cadena de ejecución más grande. Desde que el usuario inició la acción, habrá más evidencia electronic disponible en la máquina de la víctima:

  1. Ejecución de un programa (Electronic mail-cliente)
  2. Al hacer clic en el enlace, se abrirá el navegador website configurado por defecto
  3. Enlace de visitas al navegador net
  4. El script se ejecutará

Para la ejecución de un programa y su lanzamiento, hay evidencia de proceso, el directorio de captación previa, UserAssist, Shimcache, RecentApps y muchas más fuentes para rastrear cuándo se lanzaron y ejecutaron. El correo electrónico en sí puede recuperarse de la bandeja de entrada de la víctima o, en el caso de Webmail, puede haber restos de él en los archivos temporales de Net. La mayoría de los artefactos de evidencia mencionados son no volátiles y fáciles de extraer en una materia forense sólida.

En el caso de un ataque de phishing con un accesorio armado, el flujo se verá mayormente similar al siguiente (por supuesto, hay variaciones):

  1. Ejecución de un programa (Electronic mail-cliente)
  2. Archivo adjunto de apertura
  3. Lanzamiento de la aplicación de Place of work
  4. Ejecución de la macro.
  5. PowerShell / WMIC seguido del archivo de descarga de tráfico de World wide web
  6. Ejecución de script / archivo
  7. Ejecución en memoria o escrita en disco y ejecución

Ya discutimos la evidencia no volátil disponible para la ejecución de un programa. En este ejemplo, habrá evidencia del lanzamiento / ejecución del cliente de correo electrónico y la apertura de una aplicación de Office para ejecutar el archivo adjunto. En caso de que se abriera el archivo adjunto antes de guardarlo en el disco, en Outlook el archivo se copió a la carpeta «SecureTemp», que es una carpeta oculta en archivos temporales de Web.

Dependiendo de la carga útil de la macro, existirá evidencia de tráfico relacionado con World wide web. Cuando se usa PowerShell o WMIC, el inicio de este se registra en el directorio Prefetch de Home windows y hay rastros en el registro y / o en los registros de eventos. Dependiendo del tipo de script o archivo que se ejecute, se pueden descubrir rastros en la memoria o en el disco, con la memoria más volátil y el disco no volátil.

Cuando, por ejemplo, se instala un malware como Azorult en la máquina de la víctima, el flujo se verá así:

Figura 3 Exfiltración y Comunicación

La exfiltración de los datos se deliver principalmente a través del puerto TCP 80 hacia un tablero C2 (comando y regulate), como se demuestra en la Figura 1. Tanto T1043 como T1041 son técnicas que probablemente dejarán rastros no volátiles en registros de pink de dispositivos como Un proxy / gateway / firewall.

Lo que notamos a menudo es que las infecciones con, por ejemplo, AZORULT son ignoradas / subestimadas. Se están detectando y la infección se bloquea o se detecta y luego se limpia, sin embargo, las capacidades del malware se subestiman / ignoran.

Si volvemos a mirar la tabla 1, el orden de volatilidad, el marco de tiempo en el que operamos es de segundos a minutos con respecto al tráfico de purple inicial y la ejecución de procesos. Entre la infección y la exfiltración es nuevamente en el lapso de minutos, más que suficiente para filtrar las credenciales antes de que se tome una acción. Este es también el delta en el que tenemos el desafío: ¿nuestra gente, procesos y tecnología combinados son capaces de responder dentro de esta ventana de ataque? Anticipar señales de advertencia tempranas y comprender las capacidades del malware puede ayudar a prevenir daños mayores.

¿Qué sucede cuando el compromiso inicial resulta en tener credenciales válidas o acceso a la víctima a través del RAT (troyano de acceso aleatorio), que se utiliza para un ataque de ransomware dirigido? Discutiremos eso en el próximo artículo.





Enlace a la noticia first