Construyendo Arquitectura de Seguridad Adaptable Contra NetWalker
Descripción general de NetWalker
El ransomware NetWalker, inicialmente conocido como Mailto, se detectó por primera vez en agosto de 2019. Desde entonces, se descubrieron nuevas variantes a lo largo de 2019 y principios de 2020, con un fuerte repunte observado en marzo de este año. NetWalker ha evolucionado notablemente hacia un modelo de ransomware como servicio (RaaS) más estable y robusto, y la investigación de McAfee sugiere que los operadores de malware están apuntando y atrayendo una gama más amplia de afiliados criminales emprendedores y técnicamente avanzados. McAfee Advanced Threat Research (ATR) descubrió una gran suma de bitcoins vinculados a NetWalker que sugieren que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales. Para obtener más detalles sobre NetWalker, consulte el blog McAfee ATR aquí.
No queremos que sea una de esas víctimas, por lo que este blog se centra en cómo construir una arquitectura de seguridad adaptable para vencer esta amenaza y, específicamente, cómo la cartera de McAfee ofrece la capacidad de prevenir, detectar y responder al ransomware NetWalker.
Recopilación de inteligencia en NetWalker
Como siempre, la construcción de una arquitectura defensiva adaptable comienza con la inteligencia. En la mayoría de las organizaciones, el equipo de Operaciones de Seguridad es responsable del análisis de inteligencia de amenazas, así como de la respuesta a amenazas e incidentes. La vista previa de McAfee MVISION Insights es un vistazo de algunas de las capacidades de MVISION Insights para el analista de inteligencia de amenazas y el respondedor de amenazas. La vista previa identifica la prevalencia y la gravedad de las principales amenazas emergentes seleccionadas en todo el mundo, lo que permite que el Centro de Operaciones de Seguridad (SOC) priorice las acciones de respuesta a las amenazas y recopile inteligencia relevante sobre amenazas cibernéticas (CTI) asociada con la amenaza, en este caso el ransomware NetWalker. El CTI se proporciona en forma de indicadores técnicos de compromiso (COI), así como tácticas y técnicas marco MITER ATT & CK.
Como analista o respondedor de inteligencia de amenazas, puede profundizar para recopilar información más específica sobre NetWalker, como prevalencia y enlaces a otras fuentes de información.
Como analista o respondedor de inteligencia de amenazas, puede profundizar más para recopilar inteligencia accionable más específica en NetWalker, como indicadores de compromiso y tácticas / técnicas alineadas con el marco MITER ATT & CK.
Desde la vista previa de MVISION Insights, puede ver que NetWalker aprovecha las tácticas y técnicas comunes a otros ataques de ransomware, como los archivos adjuntos de phishing para el acceso inicial, el uso de PowerShell para la implementación, la modificación de la carpeta de claves de registro / inicio para la persistencia y el cifrado de archivos para el impacto por supuesto.
Descripción de la arquitectura defensiva
La empresa digital actual es un entorno híbrido de sistemas locales y servicios en la nube con múltiples puntos de entrada para ataques como NetWalker. El modelo de trabajo desde el hogar forzado por COVID-19 solo ha expandido la superficie de ataque y aumentado el riesgo de un ataque de ransomware exitoso si las organizaciones no adaptaron su postura de seguridad. La mitigación del riesgo de ataques como NetWalker requiere una arquitectura de seguridad con los controles correctos en el dispositivo, en la red y en las operaciones de seguridad (operaciones secundarias). El Centro de Seguridad de Internet (CIS) Los 20 mejores controles de seguridad cibernética proporciona una buena guía para construir esa arquitectura. Para ransomware, y NetWalker en particular, los controles deben estar en capas en toda la empresa. A continuación se describen los controles de seguridad clave necesarios en cada capa de la arquitectura para proteger su empresa contra el ransomware.
Para evaluar su capacidad contra NetWalker, debe hacer coincidir sus controles existentes con las etapas de ataque que aprendimos de la Vista previa de MVISION Insights. Para un análisis detallado del ataque del ransomware NetWalker, consulte el blog de McAfee ATR, pero, para simplificar, comparamos las etapas del ataque con el Marco MITER ATT & CK a continuación.
Descripción defensiva de la etapa de acceso inicial
Según Threat Intelligence and Research, el acceso inicial se realiza a través de la explotación de vulnerabilidades o archivos adjuntos de phishing. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa inicial y las soluciones de McAfee para implementar esos controles cuando sea posible.
| Táctica MITRE | Técnicas MITRE | Controles CSC | Capacidad McAfee |
| Acceso inicial | Explotar aplicaciones públicas (T1190)
Tomcat, lógica web |
CSC 2 Inventario de activos de software
CSC 3 Evaluación continua de vulnerabilidad CSC 5 Configuración segura de hardware y software CSC 9 Limitación de puertos y protocolos de red CSC 12 Defensa de límites CSC 18 Seguridad del software de aplicación |
Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC)
Plataforma de seguridad de red (NSP) |
| Acceso inicial | Adjuntos de Spear Phishing (T1566.001) | CSC 7 – Protección de correo electrónico y navegador web
CSC 8 – Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas,
Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS) |
| Acceso inicial | Cuentas válidas (T1078) RDP comprometido | CSC 5 Configuración segura de hardware y software
CSC 9 Limitación de puertos y protocolos de red CSC 12 Defensa de límites |
Endpoint Security Platform 10.7, Prevención de amenazas |
Como los atacantes pueden cambiar rápidamente los archivos adjuntos de la suplantación de identidad (phishing), es importante contar con defensas adaptables que incluyan capacitación de concientización del usuario y procedimientos de respuesta, defensas de malware basadas en el comportamiento en sistemas de correo electrónico, acceso web y sistemas de punto final, y finalmente libros de operaciones op para detección y respuesta tempranas contra archivos adjuntos sospechosos u otras técnicas de phishing. Para obtener más información sobre cómo McAfee puede proteger contra archivos adjuntos sospechosos de correo electrónico, revise esta publicación de blog adicional.
El uso de cuentas y protocolos válidos, como el Protocolo de escritorio remoto, es una técnica de ataque que hemos visto aumentar durante el período COVID-19 inicial. Para comprender mejor cómo McAfee se defiende contra RDP como un vector de acceso inicial, y cómo los atacantes lo están utilizando para implementar ransomware, consulte nuestras publicaciones anteriores.
Cybercriminals Actively Exploiting RDP to Target Remote Organizations
Descripción defensiva de la etapa de explotación
La etapa de explotación es donde el atacante obtiene acceso al sistema de destino. La protección en esta etapa depende en gran medida de la gestión de vulnerabilidades del sistema, el antimalware adaptable tanto en los dispositivos y servidores del usuario final como en las herramientas de operaciones de seguridad, como la detección de puntos finales y los sensores de respuesta.
McAfee Endpoint Security 10.7 proporciona una capacidad de defensa en profundidad que incluye firmas e inteligencia de amenazas para cubrir indicadores o programas defectuosos conocidos.
Además, el aprendizaje automático y la protección basada en el comportamiento reduce la superficie de ataque contra NetWalker y detecta nuevas técnicas de ataque de explotación.
Para obtener más información sobre cómo McAfee Endpoint Security 10.7 puede prevenir o identificar las técnicas utilizadas en NetWalker, revise estas publicaciones de blog adicionales.
How To Use McAfee ATP to Protect Against Emotet, LemonDuck and PowerMiner
El siguiente cuadro resume los controles de seguridad críticos que se espera que tengan el mayor efecto contra las técnicas de la etapa de explotación y las soluciones de McAfee para implementar esos controles cuando sea posible.
| Táctica MITRE | Técnicas MITRE | Controles CSC | Mitigación de la cartera de McAfee |
| Ejecución | PowerShell (T1059.001) Script de PowerShell | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Ejecución | Ejecución de servicio (T1569.002) PS Exec | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Ejecución | Intérprete de comandos y secuencias de comandos (T1059.003)
Shell de comandos de Windows |
CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Ejecución | API nativa (T1106) Use las funciones de la API de Windows para inyectar DLL | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Ejecución | Instrumentación de administración de Windows ((T1047) | CSC 4 Uso controlado de privilegios de administrador
CSC 5 Configuración segura CSC 9 Limitación de puertos y protocolos de red CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Persistencia | Clave de registro: colocar el valor en la tecla Ejecutar una vez (T1060) | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7 Prevención de amenazas |
| Persistencia | Modificar clave de registro – Crear clave propia (T1112) | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7 Prevención de amenazas |
| Escalada de privilegios | Explotación para la explotación de privilegios ((T1068) CVE-2020-0796 | CSC 3 Gestión de vulnerabilidades
CSC 5 Configuración segura CSC 8 Defensas de malware CSC 12 Defensas límite |
Plataforma de seguridad de red (CVE-2020-0796) |
| Escalada de privilegios | Explotación para la explotación de privilegios ((T1068) CVE-2019-1458 | CSC 3 Gestión de vulnerabilidades
CSC 5 Configuración segura CSC 8 Defensas de malware CSC 12 Defensas límite |
Plataforma de seguridad de red (CVE-2019-1458); Endpoint Security Platform 10.7 (CVE-2019-1458) Prevención de amenazas, control de aplicaciones (MAC) |
| Escalada de privilegios | Explotación para la explotación de privilegios ((T1068) CVE-2017-0213 | CSC 3 Gestión de vulnerabilidades
CSC 5 Configuración segura CSC 8 Defensas de malware CSC 12 Defensas límite |
Plataforma de seguridad de red (CVE-2017-0213); Endpoint Security Platform 10.7 (CVE-2017-0213) Prevención de amenazas, control de aplicaciones (MAC) |
| Escalada de privilegios | Explotación para la explotación de privilegios ((T1068) CVE-2015-1701 | CSC 3 Gestión de vulnerabilidades
CSC 5 Configuración segura CSC 8 Defensas de malware CSC 12 Defensas límite |
Plataforma de seguridad de red (CVE-2015-1701); Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC) |
| Escalada de privilegios | Inyección de proceso: DLL reflectante (T1055) | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR |
| Evasión defensiva | Desactivación de las herramientas de seguridad (T1562.001) ESET, Trend Micro, MS | CSC 5 Configuración segura
CSC 8 Defensas de malware |
|
| Evasión defensiva | Inyección de proceso: DLL reflectante (T1055) | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR |
| Evasión defensiva | Desobuscar / decodificar archivos o información (T1140) | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR |
| Evasión defensiva | Información o archivos ofuscados (T1027): PowerShell Script utiliza Base64 y codificación hexadecimal y cifrado XOR | CSC 5 Configuración segura
CSC 8 Defensas de malware CSC 12 Defensas límite |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR |
| Acceso de credenciales | Descarga de credenciales (T1003) Mimikatz, Mimidogz, Mimikittenz, Pwdump, LaZagne, Windows Credentials | CSC 4 Uso controlado de privilegios de administrador
CSC 5 Configuración segura CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, Control de aplicaciones (MAC), MVISION EDR |
| Acceso de credenciales | Fuerza bruta (T1110) NL Brute | CSC 4 Uso controlado de privilegios de administrador
CSC 16 Monitoreo de cuenta |
Enterprise Security Manager – Análisis de registro |
Descripción defensiva de la etapa de impacto
La etapa de impacto es donde el atacante encripta el sistema de destino, los datos y quizás se mueve lateralmente a otros sistemas en la red. La protección en esta etapa depende en gran medida del antimalware adaptable en los dispositivos y servidores del usuario final, los controles de red y la capacidad de la operación de seguridad para monitorear los registros en busca de anomalías en el acceso privilegiado o el tráfico de red. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa de impacto y las soluciones de McAfee para implementar esos controles cuando sea posible.
| Táctica MITRE | Técnicas MITRE | Controles CSC | Mitigación de la cartera de McAfee |
| Descubrimiento | Escaneo de servicios de red (T1046)
Escáner de red |
CSC 5 Configuración segura
CSC 8 Defensas de malware CSC 12 Defensas límite |
Endpoint Security Platform 10.7, Prevención de amenazas, Control de aplicaciones (MAC), Network Security Platform |
| Movimiento lateral | Software de terceros (T1072)
TeamViewer, Anydesk |
CSC 5 Configuración segura
CSC 8 Defensas de malware CSC 12 Defensas límite |
Endpoint Security Platform 10.7, Prevención de amenazas, Network Security Platform |
| Movimiento lateral | Ejecución de servicio (T1035) Ejecución PS | CSC 5 Configuración segura
CSC 8 Defensas de malware CSC 12 Defensas límite |
Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR |
| Colección | Datos de repositorios de información (T1213) | CSC 4 Controlar los privilegios de administrador
CSC 5 Configuración segura CSC 6 Análisis de registro |
Administrador de seguridad empresarial: recopilación y análisis de registros |
| Colección | Datos del sistema local (T1005) | CSC 4 Controlar los privilegios de administrador
CSC 5 Configuración segura CSC 6 Análisis de registro |
Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR |
| Colección | Datos del disco compartido de red (T1039) | CSC 4 Controlar los privilegios de administrador
CSC 5 Configuración segura CSC 6 Análisis de registro |
Endpoint Security Platform 10.7, Prevención de amenazas, MVISION EDR |
| Comando y control | Transferencia de herramienta de ingreso (T1105) | CSC 8 Defensas de malware
CSC 12 Defensas límite |
Pasarela web, plataforma de seguridad de red |
| Impacto | Datos cifrados (T1486) Netwalker Ransomeware | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR, Pasarela web |
| Impacto | Inhibir la recuperación del sistema (T1490) Shadow | CSC 5 Configuración segura
CSC 8 Defensas de malware |
Endpoint Security Platform 10.7, Prevención de amenazas, Protección adaptable frente a amenazas, MVISION EDR, Pasarela web |
Búsqueda de indicadores de NetWalker
Como analista o cazador de amenazas de inteligencia, es posible que desee escanear rápidamente sus sistemas en busca de indicadores de NetWalker. Por supuesto, puede hacerlo manualmente descargando una lista de indicadores y buscando con las herramientas disponibles. Sin embargo, si tiene MVISION EDR, podrá realizar esa búsqueda directamente desde Insights, ahorrando un tiempo precioso. Cazar al atacante puede ser un juego de pulgadas, por lo que cada segundo cuenta. Por supuesto, si encontró sistemas infectados o sistemas con indicadores, puede tomar medidas para contener e iniciar una investigación de respuesta a incidentes inmediatamente desde la consola MVISION EDR.
Detección proactiva de técnicas de NetWalker
Muchas de las técnicas de la etapa de explotación en este ataque utilizan herramientas legítimas de Windows o cuentas válidas para explotar, evitar la detección o moverse lateralmente. Estas técnicas no se pueden prevenir fácilmente, pero se pueden detectar con MVISION EDR. Como analistas de seguridad, queremos centrarnos en técnicas sospechosas, como PowerShell, utilizadas para descargar archivos …
o ejecutar scripts …
o evadir las defensas …
Monitoreo o informes sobre eventos de NetWalker
Los eventos de McAfee Endpoint Protection y Web Gateway juegan un papel clave en la respuesta a incidentes y amenazas de NetWalker. McAfee ePO centraliza la recopilación de eventos de todos los sistemas de punto final administrados. Como respondedor de amenazas, es posible que desee crear un panel para eventos de amenazas relacionados con NetWalker para comprender la exposición actual. Aquí hay una lista (no exhaustiva) de eventos de amenazas relacionadas con NetWalker según lo informado por el Módulo de prevención de amenazas de Endpoint Protection Platform y McAfee Web Gateway.
| Eventos de prevención de amenazas de McAfee Endpoint | |||
| Ransom-NetW! AB8D59ABA3DC | GenericRXKU-HO! E33E060DA1A5 | PS / Netwalker.a | Ransom-NetW! 1B6A2BFA39BC |
| Artemis! 2F96F8098A29 | GenericRXKD-DA! 645C720FF0EB | Genérico RXKD-DA! 4E59FBA21C5E | Ransom-NetW! A9E395E478D0 |
| Ransom-NetW! A0BC1AFED896 | PS / Netwalker.c | Artemis! F5C877335920 | Genérico RXKD-DA! B862EBC24355 |
| Artemis! 2F96F8098A29 | GenericRXKD-DA! 63EB7712D7C9 | RDN / rescate | GenericRXKD-DA! F0CC568491CD |
| Artemis! 0FF0D5085F7E | GenericRXKD-DA! 9172586C2F87 | RDN / Generic.dx | Ransom-NetW! BFF6F7B3A7DB |
| Ransom-NetW! 7B77B436360A | GenericRXKD-DA! BC75859695F6 | GenericRXKD-DA! FCEDEA8111AB | GenericRXKD-DA! 5ABF6ED342FD |
| PS / Netwalker.d | GenericRXKD-DA! C0DDA75C6EAE | GenericRXKD-DA! ADDC865F6169 | GenericRXKD-DA! DBDD7A1F53AA |
| Artemisa! 1527DAF8626C | Genérico RXKD-DA! 608AC26EA80C | Ransom-NetW! 3A601EE68000 | GenericRXKD-DA! 8102821249E1 |
| Ransom-NetW! 2E2F5FE8ABA4 | Genérico RXKD-DA! F957F19CD9D7 | GenericRXKD-DA! 3F3CC36F4298 | Genérico RXKD-DA! 9001DFA8D69D |
| PS / Agent.bu | Genérico RXKD-DA! 5F55AC3DD189 | Genérico RXKD-DA! 18C32583A6FE | GenericRXKD-DA! 01F703234047 |
| Ransom-NetW! 62C71449FBAA | Genérico RXKD-DA! 6A64553DA499 | Genérico RXKD-DA! 0CBA10DF0C89 | Artemis! 50C6B1B805EC |
| PS / Netwalker.b | Genérico RXKD-DA! 59B00F607A75 | Artemisa BC96C744BD66 | GenericRXKD-DA! DE0B8566636D |
| Ransom-NetW! 8E310318B1B5 | GenericRXKD-DA! 0537D845BA09 | Genérico RXKU-HO! DE61B852CADA | Genérico RXKD-DA! B4F8572D4500 |
| PS / Netwalker.c | GenericRXKD-DA! D09CFDA29F17 | PS / Agent.bx | Genérico RXKD-DA! 0FF5949ED496 |
| GenericRXKD-DA! 2B0384BE06D2 | Genérico RXKD-DA! 5CE75526A25C | GenericRXKD-DA! BDC345B7BCEC | Ransom-CWall! 993B73D6490B |
| Genérico RXKD-DA! 0E611C6FA27A | GenericRXKU-HO! 961942A472C2 | Ransom-NetW! 291E1CE9CD3E | Ransom-Mailto! D60D91C24570 |
| PS / Agent.bu | Genérico RXKU-HO! 997F0EC7FCFA | PS / Agent.bx | Ransom-CWall! 3D6203DF53FC |
| Ransom-Netwalker | Ransom-NetW! BDE3EC20E9F8 | .Kk genérico | |
| GenericRXKU-HO! 1DB8C7DEA2F7 | GenericRXKD-DA! DD4F9213BA67 | Genérico RXKD-DA! 729928E6FD6A | |
| Genérico RXKU-HO! 9FB87AC9C00E | Genérico RXKU-HO! 187417F65AFB | PS / Netwalker.b | |
| Eventos de McAfee Web Gateway | |
| RDN / rescate | BehavesLike.Win32.RansomCWall.mh |
| BehavesLike.Win32.Generic.kh | Ransom-NetW! 1B6A2BFA39BC |
| BehavesLike.Win32.MultiPlug.kh | Rescate: Win32 / NetWalker.H! Rsm |
| BehavesLike.Win32.Generic.qh | BehavesLike.Win32.Trojan.kh |
| GenericRXKD-DA! DD4F9213BA67 | BehavesLike.Win32.Ipamor.kh |
| BehavesLike.Win64.Trojan.nh | BehavesLike.Win32.Generic.cz |
| RDN / Generic.dx | BehavesLike.Win32.RansomCWall.mm |
| BehavesLike.Win64.BadFile.nh | BehavesLike.Win32.Generic.dm |
Resumen
El ransomware se ha convertido en un negocio lucrativo para los actores de amenazas, desde foros clandestinos que venden ransomware, hasta ofrecer servicios como portales de soporte para guiar a las víctimas a través de la adquisición de moneda criptográfica para el pago, hasta la negociación del rescate. Sin embargo, al igual que los atacantes trabajan juntos, los defensores deben colaborar interna y externamente para construir una arquitectura de seguridad adaptativa que dificultará el éxito de los actores de amenazas y generar resiliencia en el negocio. Este blog destaca cómo usar las soluciones de seguridad de McAfee para prevenir, detectar y responder a NetWalker y a los atacantes utilizando técnicas similares.
McAfee ATR está monitoreando activamente las amenazas de ransomware y continuará actualizando McAfee MVISION Insights y sus canales de redes sociales con información nueva y actual. ¿Quieres estar por delante de los adversarios? Consulte McAfee MVISION Insights para obtener más información.