CSI: Indicadores de evidencia de ataques de ransomware dirigidos – Parte II


En nuestro primer artículo discutimos el patrón creciente de ataques de ransomware dirigidos donde la primera etapa de infección es a menudo un tipo de malware de robo de información utilizado para obtener credenciales / acceso para determinar si el objetivo sería valioso para un ataque de ransomware. En esta segunda parte, retomaremos donde lo dejamos: el atacante tiene un punto de apoyo en la red controlando un host infectado o tiene una cuenta válida para acceder a un servicio remoto.

Figura 1 El adversario tiene cabeza de playa

Con una cuenta válida o teniendo acceso a un sistema en una empresa, las dos primeras cosas que desea descubrir son:

  1. ¿Qué tipo de derechos tengo de esta máquina?
  2. ¿Dónde diablos estoy en esta red?

Uno de los primeros comandos que observaría como respondedor es "whoami / all". El resultado de este comando proporcionará los detalles de la cuenta que el atacante tiene en la máquina con respecto al grupo / privilegios. Una excelente manera de detectar actividades sospechosas en su red es configurar una regla de detección para el comando "whoami" y asignarla a los activos en uso por parte de ejecutivos o titulares de puestos clave en la empresa. Es posible que siempre haya un ejecutivo técnico en la empresa, pero la mayoría de ellos nunca usará un comando o una línea de comando.

En el contexto de los ataques de ransomware dirigidos, el atacante preferiblemente quiere tener derechos de administrador / dominio-administrador local o del sistema. Esas serán las llaves del reino y abrirán todas las puertas.

En el siguiente paso, observe principalmente alguna variante de Mimikatz u otras herramientas de volcado de contraseña que volcarán las credenciales de una máquina. O la herramienta Mimikatz se compila en varios formatos o es parte de un kit de herramientas remoto de PowerShell como Empire:

Figura 2 Empire Mimikatz (fuente powershellempire.com)

Comenzamos esta serie de artículos con el hecho de que cada toque de un sistema dejará huellas digitales, en este ejemplo con Empire, sucede lo siguiente:

  • El atacante tiene una conexión con un sistema mediante el uso de un "script de lanzamiento"
  • El atacante está usando un C2 (comando y control) para interactuar
  • El atacante está usando PowerShell para ejecutar comandos

Desde la perspectiva de MITER ATT & CK Techniques, veríamos este resumen de técnicas e interacción:

Figura 3 Atacante usando Empire

¿Qué etapas y fuentes de evidencia crearán visibilidad e indicadores de alerta temprana?

Para el uso de PowerShell, hay varias ubicaciones de evidencia digital disponibles. Además de los rastros en la memoria, puede haber rastros descubiertos en los registros de eventos de Windows, el Registro, en el sistema de archivos como el directorio Prefetch e incluso hay un archivo de historial de comandos de PowerShell disponible si se usa una versión de PowerShell v5 y superior. Esa ubicación se puede encontrar en:

C: Usuarios AppData Roaming Microsoft Windows PowerShell PSReadline ConsoleHost_history.txt

Empire, por diseño, está encriptando sus comunicaciones, realiza conexiones poco frecuentes y aleatorias y, por último, pero no menos importante, está reflejando la actividad HTTP para permanecer oculta en el tráfico "normal". Si observamos el orden de volatilidad de nuestro primer artículo, el tráfico de la red cambiará de segundos a minutos, lo que nos dará una ventana muy corta a menos que hagamos una captura completa de paquetes e inspección del tráfico de nuestra red.

La actividad de la red puede ser difícil de notar, sin embargo, hay posibles indicadores que pueden ayudar al posible tráfico de Empire. Para configurar el tráfico C2, el atacante debe configurar un "oyente" que contenga todas las configuraciones para la interacción del tráfico C2.

Figura 4 Configuración de Empire Listener

En la pantalla de configuración parcial en la Figura 4, vemos que se configuran tres URI que se solicitarán con frecuencia y se combinarán con un Encabezado HTTP. Una detección combinada de los tres URI sondeados en un marco de tiempo x combinado con el encabezado HTTP podría ser un muy buen indicador de red para detectar el tráfico de Empire C2. Como respondedor, cuando detecte estos indicadores, mire hacia atrás en la Figura 3 y comience a buscar hacia atrás. Descubrió la actividad de C2, pero significa que los hosts que interactúan con C2 tienen actividad de PowerShell y tiempo para asegurar su evidencia. Así es como me gusta aplicar el modelo MITER ATT & CK: entienda lo que acaba de descubrir, y las implicaciones luego busque evidencia o anticipe el próximo paso y acción del atacante.

Tenga en cuenta que esta es una configuración predeterminada y el atacante puede cambiarla. La experiencia sugiere que los actores motivados por el delito cibernético tienen prisa por el dinero y usan una instalación predeterminada de herramientas, mientras que las operaciones de espionaje cibernético de los estados nacionales se están personalizando ya que quieren operar más tiempo en la red de una víctima.

Ahora volvamos a nuestro escenario. El atacante ha adquirido los privilegios correctos y se ha movido lateralmente a través de la red para tener una idea de cuán grande es y posiblemente ha identificado activos críticos: les encantan las carpetas compartidas con una gran cantidad de datos.

Luego, el atacante preparará una versión personalizada del ransomware y podría haberlo probado en servicios de prueba AV subterráneos para asegurarse de que sea completamente indetectable (FUD). Dependiendo de las habilidades y capacidades, el ransomware se cargará a la red de la víctima o usará scripts distribuidos y ejecutados a través de la red. Hemos observado casos en los que se utilizaron una serie de scripts .bat y donde la carga útil se descargó de Pastebin y PowerShell la ejecutó en los hosts: suficiente variedad y opciones. Una vez ejecutadas, las primeras llamadas entrarán al servicio de asistencia informando las notas de rescate.

Muchas de las técnicas anteriores están disponibles dentro de los marcos posteriores a la explotación, de las cuales hay varias opciones entre las que los atacantes pueden elegir. Con cualquiera de estos, la herramienta es solo un conducto y siempre debemos centrarnos en detectar técnicas en lugar de detalles de implementación. Las opciones disponibles vienen en forma de kits de herramientas subterráneas y herramientas de prueba de penetración diseñadas para crear conciencia sobre los ataques. Desafortunadamente, aquellos diseñados como herramientas de seguridad también pueden usarse para propósitos nefastos. Esta situación de "huevo y gallina" es a menudo la causa de un acalorado debate, ya que, por un lado, las herramientas pueden simplificar los escenarios de ataque, mientras que, por otro lado, sin tenerlas a disposición de los defensores, es imposible probar las precauciones de manera adecuada.

El imperio fue mencionado anteriormente. Este excelente marco de posexplotación basado en PowerShell ya no es mantenido ni respaldado por sus autores. Aunque existen horquillas, la tracción se ha ralentizado pero aún se detecta su uso. Golpe de cobalto, una plataforma comercial de simulación de adversarios utilizada regularmente por equipos rojos para probar medidas de seguridad de infraestructura y capacidad de detección, es cada vez más adoptado por actores criminales. " Aunque su licencia está estrictamente controlada, las versiones de prueba pirateadas y crackeadas están disponibles en el inframundo criminal. Cobalt Strike se actualiza regularmente para incluir las últimas técnicas y herramientas como Mimikatz, al tiempo que permite mucha flexibilidad para la adición de nuevas y únicas técnicas de ataque y derivación. Esto puede aumentar la probabilidad de éxito, incluso en las versiones más recientes del sistema operativo.

Se ha observado que los grupos de amenazas que distribuyen el ransomware GoGalocker, MegaCortex y Maze utilizan Cobalt Strike. En esta etapa de nuestro escenario, con un punto de apoyo en la red, Cobalt Strike ofrece muchas opciones que se pueden utilizar para completar su objetivo. Estos incluyen T1075 Pass the Hash, T1097 Pass the Ticket, T1105 Remote File Copy, T1021 Remote Services y el viejo y confiable: T1077 Windows Admin Shares.

Como se detalla en la parte 1 , esta evidencia permanece en un sistema para diferentes períodos de tiempo. Al estudiar ataques anteriores, podemos ver un modo general de operación y una secuencia en la que se ejecutan estas técnicas. Esto puede ayudarnos a guiarnos al elegir el momento y los métodos de recopilación de evidencia.

La detección de estos ataques no es una tarea fácil. Los marcos de explotación a menudo son de código abierto, en cuyo caso el atacante puede modificar el código para manipular los IOC (indicadores de compromiso). Alternativamente, y como es el caso de nuestro ejemplo, Cobalt Strike, el marco proporcionará una configuración específica en torno a la forma final de cuentagotas binarios, formato de tráfico de red, temporización y parámetros específicos, etc. Por lo tanto, las firmas genéricas solo detectarán las más básicas de ataques y, como se mencionó anteriormente, centrarse en técnicas y comportamientos en lugar de herramientas se vuelve crítico. La creación de una detección genérica de Cobalt Strike puede perder el punto de su existencia: educación sobre técnicas y comportamientos maliciosos. Sin embargo, podemos aprender mucho sobre varias categorías de indicadores que pueden monitorearse para detectar valores atípicos funcionales y comportamientos inusuales y, cuando la herramienta se fusiona en cepas de malware, los marcadores para esa instancia específica a menudo pueden convertirse en IOC específicos.

En muchos casos, comprender el comportamiento normal del sistema es crucial para descubrir valores atípicos y tener un sistema de referencia para la comparación puede ayudar al análisis.

Algunos ejemplos de estos incluyen:

  • Memoria
    • El Santo Grial. Los goteros binarios pueden modificarse para enmascarar sus verdaderas intenciones, sin embargo, en la memoria pueden ser visibles en un formato decodificado.
    • Busque marcadores de funcionalidad como llamadas sospechosas al sistema o lecturas / escrituras de ubicaciones sensibles del sistema (por ejemplo, memoria lsass).
  • Procesos corriendo
    • Del mismo modo, ejecutar procesos puede ser muy revelador.
    • Aunque la "migración" del proceso a menudo se lleva a cabo, revise las jerarquías de procesos anormales.
    • ¿El proceso lleva a cabo una funcionalidad que no se espera? P.ej. ¿el bloc de notas realiza solicitudes http a un dominio externo?
  • Tráfico de red
    • Los dominios deben coincidir con el bien conocido.
    • Picos o patrones de sincronización regulares en el tipo de tráfico o en servidores específicos.
    • Variables utilizadas de manera inusual, p. encabezados http que incluyen datos binarios codificados.
  • Disco
    • Archivos binarios y de configuración disponibles para ingeniería inversa.
    • Este análisis estático no es tan poderoso como el software dinámico y en ejecución.
    • La depuración de un binario malicioso puede ayudar, pero tenga cuidado con la detección de sandbox / depurador.
  • Copia de seguridad / archivos de registro
    • Nunca confíes completamente en los archivos de registro, ya que los atacantes pueden falsificarlos fácilmente. Fuentes externas, p. Syslog yendo a una base de datos externa, puede mejorar la fiabilidad de los datos de registro si están disponibles.
    • Busque marcadores específicos de actividad maliciosa. Algunos elementos útiles para incluir: registros de línea de comandos, registro de bloque de secuencia de comandos PowerShell, registros específicos para aplicaciones de red como servidores web, instalación de servicios, acceso compartido, particularmente C $, inicio de proceso, inicio de sesión de cuenta.

Como destacamos en los dos artículos, los ataques de ransomware dirigidos han aumentado enormemente en los últimos 8 meses. Apuntando a los MSP para golpear a muchos al mismo tiempo, víctimas que realizan operaciones críticas, servicios públicos, etc. Muchos de ellos están utilizando un plan similar al que tratamos de resaltar.

Aprenda de los artículos, identifique qué tecnología puede darle esa visibilidad, qué fuentes de evidencia digital tiene y ¿puede detectar lo suficientemente rápido como para preservar y responder? Si se pasa la "etapa de acceso inicial", ¿dónde puede recoger en su línea de defensa y detener la amenaza?

Estén atentos para la parte 3, donde discutimos los controles técnicos que están disponibles para ayudar a su organización a reaccionar ante estas señales de advertencia tempranas dentro de un plazo aceptable.





Enlace a la noticia original