Blog de McAfee Defender: NetWalker | Blogs de McAfee


Construyendo Arquitectura de Seguridad Adaptable Contra NetWalker

Descripción general de NetWalker

El ransomware NetWalker, inicialmente conocido como Mailto, se detectó por primera vez en agosto de 2019. Desde entonces, se descubrieron nuevas variantes a lo largo de 2019 y principios de 2020, con un fuerte repunte observado en marzo de este año. NetWalker ha evolucionado notablemente hacia un modelo de ransomware como servicio (RaaS) más estable y robusto, y la investigación de McAfee sugiere que los operadores de malware están apuntando y atrayendo una gama más amplia de afiliados criminales emprendedores y técnicamente avanzados. McAfee Advanced Threat Research (ATR) descubrió una gran suma de bitcoins vinculados a NetWalker que sugieren que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales. Para obtener más detalles sobre NetWalker, consulte el blog McAfee ATR aquí.

No queremos que sea una de esas víctimas, por lo que este blog se centra en cómo construir una arquitectura de seguridad adaptable para vencer esta amenaza y, específicamente, cómo la cartera de McAfee ofrece la capacidad de prevenir, detectar y responder al ransomware NetWalker.

Recopilación de inteligencia en NetWalker

Como siempre, la construcción de una arquitectura defensiva adaptable comienza con la inteligencia. En la mayoría de las organizaciones, el equipo de Operaciones de Seguridad es responsable del análisis de inteligencia de amenazas, así como de la respuesta a amenazas e incidentes. La vista previa de McAfee MVISION Insights es un vistazo de algunas de las capacidades de MVISION Insights para el analista de inteligencia de amenazas y el respondedor de amenazas. La vista previa identifica la prevalencia y la gravedad de las principales amenazas emergentes seleccionadas en todo el mundo, lo que permite que el Centro de Operaciones de Seguridad (SOC) priorice las acciones de respuesta a las amenazas y recopile inteligencia relevante sobre amenazas cibernéticas (CTI) asociada con la amenaza, en este caso el ransomware NetWalker. El CTI se proporciona en forma de indicadores técnicos de compromiso (COI), así como tácticas y técnicas marco MITER ATT & CK.

Como analista o respondedor de inteligencia de amenazas, puede profundizar para recopilar información más específica sobre NetWalker, como prevalencia y enlaces a otras fuentes de información.

Como analista o respondedor de inteligencia de amenazas, puede profundizar más para recopilar inteligencia accionable más específica en NetWalker, como indicadores de compromiso y tácticas / técnicas alineadas con el marco MITER ATT & CK.

Desde la vista previa de MVISION Insights, puede ver que NetWalker aprovecha las tácticas y técnicas comunes a otros ataques de ransomware, como los archivos adjuntos de phishing para el acceso inicial, el uso de PowerShell para la implementación, la modificación de la carpeta de claves de registro / inicio para la persistencia y el cifrado de archivos para el impacto por supuesto.

Descripción de la arquitectura defensiva

La empresa digital actual es un entorno híbrido de sistemas locales y servicios en la nube con múltiples puntos de entrada para ataques como NetWalker. El modelo de trabajo desde el hogar forzado por COVID-19 solo ha expandido la superficie de ataque y aumentado el riesgo de un ataque de ransomware exitoso si las organizaciones no adaptaron su postura de seguridad. La mitigación del riesgo de ataques como NetWalker requiere una arquitectura de seguridad con los controles correctos en el dispositivo, en la red y en las operaciones de seguridad (operaciones secundarias). El Centro de Seguridad de Internet (CIS) Los 20 mejores controles de seguridad cibernética proporciona una buena guía para construir esa arquitectura. Para ransomware, y NetWalker en particular, los controles deben estar en capas en toda la empresa. A continuación se describen los controles de seguridad clave necesarios en cada capa de la arquitectura para proteger su empresa contra el ransomware.

Para evaluar su capacidad contra NetWalker, debe hacer coincidir sus controles existentes con las etapas de ataque que aprendimos de la Vista previa de MVISION Insights. Para un análisis detallado del ataque del ransomware NetWalker, consulte el blog de McAfee ATR, pero, para simplificar, comparamos las etapas del ataque con el Marco MITER ATT & CK a continuación.

Descripción defensiva de la etapa de acceso inicial

Según Threat Intelligence and Research, el acceso inicial se realiza a través de la explotación de vulnerabilidades o archivos adjuntos de phishing. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa inicial y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Capacidad McAfee
Acceso inicial Explotar aplicaciones públicas (T1190)

Tomcat, lógica web

CSC 2 Inventario de activos de software

CSC 3 Evaluación continua de vulnerabilidad

CSC 5 Configuración segura de hardware y software

CSC 9 Limitación de puertos y protocolos de red

CSC 12 Defensa de límites

CSC 18 Seguridad del software de aplicación

Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC)

Plataforma de seguridad de red (NSP)

Acceso inicial Adjuntos de Spear Phishing (T1566.001) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Acceso inicial Cuentas válidas (T1078) RDP comprometido CSC 5 Configuración segura de hardware y software

CSC 9 Limitación de puertos y protocolos de red

CSC 12 Defensa de límites

Endpoint Security Platform 10.7, Prevención de amenazas

Como los atacantes pueden cambiar rápidamente los archivos adjuntos de la suplantación de identidad (phishing), es importante contar con defensas adaptables que incluyan capacitación de concientización del usuario y procedimientos de respuesta, defensas de malware basadas en el comportamiento en sistemas de correo electrónico, acceso web y sistemas de punto final, y finalmente libros de operaciones op para detección y respuesta tempranas contra archivos adjuntos sospechosos u otras técnicas de phishing. Para obtener más información sobre cómo McAfee puede proteger contra archivos adjuntos sospechosos de correo electrónico, revise esta publicación de blog adicional.

El uso de cuentas y protocolos válidos, como el Protocolo de escritorio remoto, es una técnica de ataque que hemos visto aumentar durante el período COVID-19 inicial. Para comprender mejor cómo McAfee se defiende contra RDP como un vector de acceso inicial, y cómo los atacantes lo están utilizando para implementar ransomware, consulte nuestras publicaciones anteriores.

RDP Security Explained

Cybercriminals Actively Exploiting RDP to Target Remote Organizations

ENS 10.7 Rolls Back the Curtain on Ransomware

Descripción defensiva de la etapa de explotación

La etapa de explotación es donde el atacante obtiene acceso al sistema de destino. La protección en esta etapa depende en gran medida de la gestión de vulnerabilidades del sistema, el antimalware adaptable tanto en los dispositivos y servidores del usuario final como en las herramientas de operaciones de seguridad, como la detección de puntos finales y los sensores de respuesta.

McAfee Endpoint Security 10.7 proporciona una capacidad de defensa en profundidad que incluye firmas e inteligencia de amenazas para cubrir indicadores o programas defectuosos conocidos.

Además, el aprendizaje automático y la protección basada en el comportamiento reduce la superficie de ataque contra NetWalker y detecta nuevas técnicas de ataque de explotación.

Para obtener más información sobre cómo McAfee Endpoint Security 10.7 puede prevenir o identificar las técnicas utilizadas en NetWalker, revise estas publicaciones de blog adicionales.

ENS 10.7 Rolls Back the Curtain on Ransomware

McAfee AMSI Integration Protects Against Malicious Scripts

How To Use McAfee ATP to Protect Against Emotet, LemonDuck and PowerMiner

El siguiente cuadro resume los controles de seguridad críticos que se espera que tengan el mayor efecto contra las técnicas de la etapa de explotación y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Ejecución PowerShell (T1059.001) Script de PowerShell CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Ejecución Ejecución de servicio (T1569.002) PS Exec CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Ejecución Intérprete de comandos y secuencias de comandos (T1059.003)

Shell de comandos de Windows

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Ejecución API nativa (T1106) Use las funciones de la API de Windows para inyectar DLL CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Ejecución Instrumentación de administración de Windows ((T1047) CSC 4 Uso controlado de privilegios de administrador

CSC 5 Configuración segura

CSC 9 Limitación de puertos y protocolos de red

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Persistencia Clave de registro: colocar el valor en la tecla Ejecutar una vez (T1060) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7 Prevención de amenazas
Persistencia Modificar clave de registro – Crear clave propia (T1112) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7 Prevención de amenazas
Escalada de privilegios Explotación para la explotación de privilegios ((T1068) CVE-2020-0796 CSC 3 Gestión de vulnerabilidades

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Plataforma de seguridad de red (CVE-2020-0796)
Escalada de privilegios Explotación para la explotación de privilegios ((T1068) CVE-2019-1458 CSC 3 Gestión de vulnerabilidades

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Plataforma de seguridad de red (CVE-2019-1458); Endpoint Security Platform 10.7 (CVE-2019-1458) Prevención de amenazas, control de aplicaciones (MAC)
Escalada de privilegios Explotación para la explotación de privilegios ((T1068) CVE-2017-0213 CSC 3 Gestión de vulnerabilidades

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Plataforma de seguridad de red (CVE-2017-0213); Endpoint Security Platform 10.7 (CVE-2017-0213) Prevención de amenazas, control de aplicaciones (MAC)
Escalada de privilegios Explotación para la explotación de privilegios ((T1068) CVE-2015-1701 CSC 3 Gestión de vulnerabilidades

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Plataforma de seguridad de red (CVE-2015-1701); Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC)
Escalada de privilegios Inyección de proceso: DLL reflectante (T1055) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR
Evasión defensiva Desactivación de las herramientas de seguridad (T1562.001) ESET, Trend Micro, MS CSC 5 Configuración segura

CSC 8 Defensas de malware

Evasión defensiva Inyección de proceso: DLL reflectante (T1055) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR
Evasión defensiva Desobuscar / decodificar archivos o información (T1140)

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR
Evasión defensiva Información o archivos ofuscados (T1027): PowerShell Script utiliza Base64 y codificación hexadecimal y cifrado XOR

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR
Acceso de credenciales Descarga de credenciales (T1003) Mimikatz, Mimidogz, Mimikittenz, Pwdump, LaZagne, Windows Credentials CSC 4 Uso controlado de privilegios de administrador

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR
Acceso de credenciales Fuerza bruta (T1110) NL Brute CSC 4 Uso controlado de privilegios de administrador

CSC 16 Monitoreo de cuenta

Enterprise Security Manager – Análisis de registro

Descripción defensiva de la etapa de impacto

La etapa de impacto es donde el atacante encripta el sistema de destino, los datos y quizás se mueve lateralmente a otros sistemas en la red. La protección en esta etapa depende en gran medida del antimalware adaptable en los dispositivos y servidores del usuario final, los controles de red y la capacidad de la operación de seguridad para monitorear los registros en busca de anomalías en el acceso privilegiado o el tráfico de red. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa de impacto y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Descubrimiento Escaneo de servicios de red (T1046)

Escáner de red

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC), Network Security Platform
Movimiento lateral Software de terceros (T1072)

TeamViewer, Anydesk

CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Endpoint Security Platform 10.7, Prevención de amenazas, Network Security Platform
Movimiento lateral Ejecución de servicio (T1035) Ejecución PS CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 12 Defensas límite

Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR
Colección Datos de repositorios de información (T1213) CSC 4 Controlar los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registro

Administrador de seguridad empresarial: recopilación y análisis de registros
Colección Datos del sistema local (T1005) CSC 4 Controlar los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registro

Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR
Colección Datos del disco compartido de red (T1039) CSC 4 Controlar los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registro

Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR
Comando y control Transferencia de herramienta de ingreso (T1105) CSC 8 Defensas de malware

CSC 12 Defensas límite

Pasarela web, plataforma de seguridad de red
Impacto Datos cifrados (T1486) Netwalker Ransomeware CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR, Pasarela web
Impacto Inhibir la recuperación del sistema (T1490) Shadow CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR, Pasarela web

Búsqueda de indicadores de NetWalker

Como analista o cazador de amenazas de inteligencia, es posible que desee escanear rápidamente sus sistemas en busca de indicadores de NetWalker. Por supuesto, puede hacerlo manualmente descargando una lista de indicadores y buscando con las herramientas disponibles. Sin embargo, si tiene MVISION EDR, podrá realizar esa búsqueda directamente desde Insights, ahorrando un tiempo precioso. Cazar al atacante puede ser un juego de pulgadas, por lo que cada segundo cuenta. Por supuesto, si encontró sistemas infectados o sistemas con indicadores, puede tomar medidas para contener e iniciar una investigación de respuesta a incidentes inmediatamente desde la consola MVISION EDR.

Detección proactiva de técnicas de NetWalker

Muchas de las técnicas de la etapa de explotación en este ataque utilizan herramientas legítimas de Windows o cuentas válidas para explotar, evitar la detección o moverse lateralmente. Estas técnicas no se pueden prevenir fácilmente, pero se pueden detectar con MVISION EDR. Como analistas de seguridad, queremos centrarnos en técnicas sospechosas, como PowerShell, utilizadas para descargar archivos …

o ejecutar scripts …

o evadir las defensas …

Monitoreo o informes sobre eventos de NetWalker

Los eventos de McAfee Endpoint Protection y Web Gateway juegan un papel clave en la respuesta a incidentes y amenazas de NetWalker. McAfee ePO centraliza la recopilación de eventos de todos los sistemas de punto final administrados. Como respondedor de amenazas, es posible que desee crear un panel para eventos de amenazas relacionados con NetWalker para comprender la exposición actual. Aquí hay una lista (no exhaustiva) de eventos de amenazas relacionadas con NetWalker según lo informado por el Módulo de prevención de amenazas de Endpoint Protection Platform y McAfee Web Gateway.

Eventos de prevención de amenazas de McAfee Endpoint
Ransom-NetW! AB8D59ABA3DC GenericRXKU-HO! E33E060DA1A5 PS / Netwalker.a Ransom-NetW! 1B6A2BFA39BC
Artemis! 2F96F8098A29 GenericRXKD-DA! 645C720FF0EB Genérico RXKD-DA! 4E59FBA21C5E Ransom-NetW! A9E395E478D0
Ransom-NetW! A0BC1AFED896 PS / Netwalker.c Artemis! F5C877335920 Genérico RXKD-DA! B862EBC24355
Artemis! 2F96F8098A29 GenericRXKD-DA! 63EB7712D7C9 RDN / rescate GenericRXKD-DA! F0CC568491CD
Artemis! 0FF0D5085F7E GenericRXKD-DA! 9172586C2F87 RDN / Generic.dx Ransom-NetW! BFF6F7B3A7DB
Ransom-NetW! 7B77B436360A GenericRXKD-DA! BC75859695F6 GenericRXKD-DA! FCEDEA8111AB GenericRXKD-DA! 5ABF6ED342FD
PS / Netwalker.d GenericRXKD-DA! C0DDA75C6EAE GenericRXKD-DA! ADDC865F6169 GenericRXKD-DA! DBDD7A1F53AA
Artemisa! 1527DAF8626C Genérico RXKD-DA! 608AC26EA80C Ransom-NetW! 3A601EE68000 GenericRXKD-DA! 8102821249E1
Ransom-NetW! 2E2F5FE8ABA4 Genérico RXKD-DA! F957F19CD9D7 GenericRXKD-DA! 3F3CC36F4298 Genérico RXKD-DA! 9001DFA8D69D
PS / Agent.bu Genérico RXKD-DA! 5F55AC3DD189 Genérico RXKD-DA! 18C32583A6FE GenericRXKD-DA! 01F703234047
Ransom-NetW! 62C71449FBAA Genérico RXKD-DA! 6A64553DA499 Genérico RXKD-DA! 0CBA10DF0C89 Artemis! 50C6B1B805EC
PS / Netwalker.b Genérico RXKD-DA! 59B00F607A75 Artemisa BC96C744BD66 GenericRXKD-DA! DE0B8566636D
Ransom-NetW! 8E310318B1B5 GenericRXKD-DA! 0537D845BA09 Genérico RXKU-HO! DE61B852CADA Genérico RXKD-DA! B4F8572D4500
PS / Netwalker.c GenericRXKD-DA! D09CFDA29F17 PS / Agent.bx Genérico RXKD-DA! 0FF5949ED496
GenericRXKD-DA! 2B0384BE06D2 Genérico RXKD-DA! 5CE75526A25C GenericRXKD-DA! BDC345B7BCEC Ransom-CWall! 993B73D6490B
Genérico RXKD-DA! 0E611C6FA27A GenericRXKU-HO! 961942A472C2 Ransom-NetW! 291E1CE9CD3E Ransom-Mailto! D60D91C24570
PS / Agent.bu Genérico RXKU-HO! 997F0EC7FCFA PS / Agent.bx Ransom-CWall! 3D6203DF53FC
Ransom-Netwalker Ransom-NetW! BDE3EC20E9F8 .Kk genérico
GenericRXKU-HO! 1DB8C7DEA2F7 GenericRXKD-DA! DD4F9213BA67 Genérico RXKD-DA! 729928E6FD6A
Genérico RXKU-HO! 9FB87AC9C00E Genérico RXKU-HO! 187417F65AFB PS / Netwalker.b
Eventos de McAfee Web Gateway
RDN / rescate BehavesLike.Win32.RansomCWall.mh
BehavesLike.Win32.Generic.kh Ransom-NetW! 1B6A2BFA39BC
BehavesLike.Win32.MultiPlug.kh Rescate: Win32 / NetWalker.H! Rsm
BehavesLike.Win32.Generic.qh BehavesLike.Win32.Trojan.kh
GenericRXKD-DA! DD4F9213BA67 BehavesLike.Win32.Ipamor.kh
BehavesLike.Win64.Trojan.nh BehavesLike.Win32.Generic.cz
RDN / Generic.dx BehavesLike.Win32.RansomCWall.mm
BehavesLike.Win64.BadFile.nh BehavesLike.Win32.Generic.dm

Resumen

El ransomware se ha convertido en un negocio lucrativo para los actores de amenazas, desde foros clandestinos que venden ransomware, hasta ofrecer servicios como portales de soporte para guiar a las víctimas a través de la adquisición de moneda criptográfica para el pago, hasta la negociación del rescate. Sin embargo, al igual que los atacantes trabajan juntos, los defensores deben colaborar interna y externamente para construir una arquitectura de seguridad adaptativa que dificultará el éxito de los actores de amenazas y generar resiliencia en el negocio. Este blog destaca cómo usar las soluciones de seguridad de McAfee para prevenir, detectar y responder a NetWalker y a los atacantes utilizando técnicas similares.

McAfee ATR está monitoreando activamente las amenazas de ransomware y continuará actualizando McAfee MVISION Insights y sus canales de redes sociales con información nueva y actual. ¿Quieres estar por delante de los adversarios? Consulte McAfee MVISION Insights para obtener más información.





Enlace a la noticia original