Blog de McAfee Defender: Campaña Operation North Star


Creación de una arquitectura de seguridad adaptable frente a Campaña Operación Estrella del Norte

Descripción general de la operación North Star

En los últimos meses, hemos visto a atacantes aprovechar la pandemia como tapadera para lanzar ciberataques. Un ejemplo es una campaña que McAfee Advanced Threat Research (ATR) observó como un aumento en la actividad cibernética maliciosa dirigida a la industria aeroespacial y de defensa. En esta campaña, McAfee ATR descubrió una serie de documentos maliciosos que contenían ofertas de trabajo tomadas de los principales contratistas de defensa para ser utilizados como señuelos, de una manera muy específica. Este tipo de campaña ha aparecido antes, en 2017 y 2019 usando técnicas similares, pero la campaña de 2020 tiene algunas diferencias claras en implantes, infraestructura y señuelos de spear phishing. Para obtener un análisis más detallado de esta campaña, consulte el blog de McAfee ATR.

Este blog se centra en cómo construir una arquitectura de seguridad adaptable para aumentar su resistencia contra este tipo de ataques y, específicamente, cómo la cartera de McAfee ofrece la capacidad de prevenir, detectar y responder contra las tácticas y técnicas utilizadas en la campaña Operation North Star.

Recopilación de inteligencia sobre la operación North Star

Como siempre, la construcción de una arquitectura defensiva adaptable comienza con inteligencia. En la mayoría de las organizaciones, el equipo de operaciones de seguridad es responsable del análisis de inteligencia de amenazas, así como de la respuesta a incidentes y amenazas. McAfee Insights (https://www.mcafee.com/enterprise/en-us/lp/insights-dashboard1.html#) es una gran herramienta para el analista de inteligencia de amenazas y el respondedor de amenazas. El Panel de información identifica la prevalencia y la gravedad de las amenazas emergentes en todo el mundo, lo que permite al Centro de operaciones de seguridad (SOC) priorizar las acciones de respuesta a las amenazas y recopilar la inteligencia sobre amenazas cibernéticas (CTI) relevante asociada con la amenaza, en este caso la campaña Operation North Star. El CTI se proporciona en forma de indicadores técnicos de compromiso (IOC), así como tácticas y técnicas marco de MITRE ATT & CK. Como analista de inteligencia de amenazas o respondedor, puede profundizar para recopilar información más específica sobre la Operación North Star, como la prevalencia y los enlaces a otras fuentes de información. Puede profundizar más para recopilar inteligencia procesable más específica, como indicadores de compromiso y tácticas / técnicas alineadas con el marco MITRE ATT & CK.

En el blog de McAfee ATR, puede ver que Operation North Star aprovecha tácticas y técnicas comunes a otras campañas de APT, como spear phishing para el acceso inicial, herramientas del sistema explotadas y binarios firmados, modificación de las claves de registro / carpeta de inicio para la persistencia y el tráfico codificado. para mando y control.

Descripción general de la arquitectura defensiva

La empresa digital actual es un entorno híbrido de sistemas en las instalaciones y servicios en la nube con múltiples puntos de entrada para ataques como Operation North Star. El modelo operativo de trabajo desde el hogar forzado por COVID-19 solo ha expandido la superficie de ataque y aumentado el riesgo de ataques exitosos de spear phishing si las organizaciones no adaptaron su postura de seguridad y aumentaron la capacitación de los trabajadores remotos. Mitigar el riesgo de ataques como Operation North Star requiere una arquitectura de seguridad con los controles adecuados en el dispositivo, en la red y en las operaciones de seguridad (sec ops). El Centro de Seguridad de Internet (CIS) Los 20 principales controles de seguridad cibernética proporciona una buena guía para construir esa arquitectura. A continuación, se describen los controles de seguridad clave necesarios en cada capa de la arquitectura para proteger su empresa contra las tácticas y técnicas de la Operación North Star.

Resumen defensivo de la etapa de acceso inicial

Según Threat Intelligence and Research, el acceso inicial se realiza mediante la explotación de vulnerabilidades o archivos adjuntos de spear phishing. Dado que los atacantes pueden cambiar rápidamente los archivos adjuntos de spear phishing o las ubicaciones de los enlaces, es importante contar con defensas en capas que incluyan procedimientos de respuesta y capacitación para la concientización del usuario, defensas de malware basadas en inteligencia y comportamiento en sistemas de correo electrónico, proxy web y sistemas de puntos finales y, finalmente, manuales de operaciones sec. para la detección temprana y la respuesta frente a archivos adjuntos de correo electrónico sospechosos u otras técnicas de suplantación de identidad. El siguiente cuadro resume los controles que se espera que tengan el mayor efecto contra las técnicas de la etapa inicial y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Capacidad de McAfee
Acceso inicial Archivos adjuntos de Spear Phishing (T1566.001) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas contra malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Acceso inicial Enlace de Spear Phishing (T1566.002) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas contra malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Acceso inicial Servicio de Spear Phishing (T1566.003) CSC 7 – Protección de correo electrónico y navegador web

CSC 8 – Defensas contra malware

CSC 17 – Conciencia del usuario

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable frente a amenazas,

Web Gateway (MWG), Advanced Threat Defense, Web Gateway Cloud Service (WGCS)

Para obtener información adicional sobre cómo McAfee puede protegerse contra archivos adjuntos de correo electrónico sospechosos, consulte esta publicación de blog adicional.

McAfee Protects Against Suspicious Email Attachments

Resumen defensivo de la etapa de explotación

La etapa de explotación es donde el atacante obtiene acceso al sistema objetivo. La protección contra la Operación North Star en esta etapa depende en gran medida del anti-malware adaptable tanto en los dispositivos de los usuarios finales como en los servidores, la restricción de la ejecución de aplicaciones y las herramientas de operaciones de seguridad como la detección de puntos finales y los sensores de respuesta.

McAfee Endpoint Security 10.7 proporciona una capacidad de defensa en profundidad que incluye firmas e inteligencia de amenazas para cubrir indicadores o programas defectuosos conocidos, así como aprendizaje automático y protección basada en el comportamiento para reducir la superficie de ataque contra Operation North Star y detectar nuevas técnicas de ataque de explotación. Este ataque aprovecha los documentos armados con enlaces a archivos de plantilla externos en un servidor remoto. Los módulos McAfee Threat Prevention y Adaptive Threat Protection protegen contra estas técnicas.

Además, MVISION EDR proporciona una capacidad de detección proactiva en las técnicas de ejecución y evasión defensiva identificadas en el análisis de la etapa de explotación. Siga leyendo para ver a MVISION EDR en acción contra la Operación North Star.

El siguiente cuadro resume los controles de seguridad críticos que se espera que tengan el mayor efecto contra las técnicas de la etapa de explotación y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Ejecución Ejecución del usuario (T1204) CSC 5 Configuración segura

CSC 8 Defensas de malware

CSC 17 Conciencia de seguridad

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC), puerta de enlace web y plataforma de seguridad de red
Ejecución Intérprete de comandos y secuencias de comandos (T1059)

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC), MVISION EDR
Ejecución Módulos compartidos (T1129) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones (MAC)
Persistencia Ejecución de inicio o inicio de sesión automático (T1547) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7 Threat Prevention, MVISION EDR
Evasión defensiva Inyección de plantilla (T1221) CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, MVISION EDR
Evasión defensiva Ejecución de proxy binario firmado (T1218) CSC 4 Controlar los privilegios de administrador

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, control de aplicaciones, MVISION EDR
Evasión defensiva Desofuscar / decodificar archivos o información (T1027)

CSC 5 Configuración segura

CSC 8 Defensas de malware

Endpoint Security Platform 10.7, prevención de amenazas, protección adaptable contra amenazas, MVISION EDR

Para obtener más información sobre cómo McAfee Endpoint Security 10.7 puede prevenir algunas de las técnicas utilizadas en la etapa de explotación de Operation North Star, consulte esta publicación de blog adicional.

McAfee AMSI Integration Protects Against Malicious Scripts

Descripción general defensiva de la etapa de impacto

La etapa de impacto es donde el atacante encripta el sistema objetivo, los datos y quizás se mueve lateralmente a otros sistemas en la red. La protección en esta etapa depende en gran medida del anti-malware adaptable tanto en los dispositivos del usuario final como en los servidores, los controles de red y la capacidad de la operación de seguridad para monitorear los registros en busca de anomalías en el acceso privilegiado o el tráfico de la red. El siguiente cuadro resume los controles que se espera tengan el mayor efecto contra las técnicas de la etapa de impacto y las soluciones de McAfee para implementar esos controles cuando sea posible.

Táctica MITRE Técnicas MITRE Controles CSC Mitigación de la cartera de McAfee
Descubrimiento Descubrimiento de cuenta (T1087) CSC 4 Controlar el uso de los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Descubrimiento Descubrimiento de información del sistema (T1082) CSC 4 Controlar el uso de los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Descubrimiento Detección de propietario / usuario del sistema (T1033) CSC 4 Controlar el uso de los privilegios de administrador

CSC 5 Configuración segura

CSC 6 Análisis de registros

MVISION EDR, MVISION Cloud, Protección de cargas de trabajo en la nube
Comando y control Canal cifrado (T1573) CSC 8 Defensas de malware

CSC 12 Defensas de límites

Puerta de enlace web, plataforma de seguridad de red

Buscando indicadores de la Operación Estrella del Norte

Como analista o cazador de inteligencia de amenazas, es posible que desee escanear rápidamente sus sistemas en busca de cualquier indicador que haya recibido en la Operación North Star. Por supuesto, puede hacerlo manualmente descargando una lista de indicadores y buscando con las herramientas disponibles. Sin embargo, si tiene MVISION EDR e Insights, puede hacerlo directamente desde la consola, ahorrando un tiempo precioso. Cazar al atacante puede ser un juego de centímetros, por lo que cada segundo cuenta. Por supuesto, si encontró sistemas infectados o sistemas con indicadores, puede tomar medidas para contener e iniciar una investigación para responder a incidentes de inmediato desde la consola de MVISION EDR.

Detección proactiva de las técnicas de la operación North Star

Muchas de las técnicas de la etapa de explotación en este ataque utilizan procesos y aplicaciones legítimos de Windows para explotar o evitar la detección. Demostramos anteriormente cómo Endpoint Protection Platform puede alterar los documentos armados pero, al usar MVISION EDR, puede obtener más visibilidad. Como analistas de seguridad, queremos centrarnos en las técnicas sospechosas utilizadas por winword.exe, ya que este ataque aprovecha los documentos armados. En MVISION EDR obtuvimos la primera detección de amenazas en el panel de monitoreo para WINWORD.EXE en un Riesgo medio.

El tablero también proporciona una vista detallada de la actividad del proceso que, en este caso, es el intento de realizar la inyección de la plantilla.

También recibimos 2 alertas debido al uso de rundll32:

1) Archivo no común cargado con parámetros especificados a través de la utilidad rundll32

2) Endpoint Protection habría limpiado el proceso sospechoso (en modo de observación)

Supervisión o informes sobre los eventos de la Operación North Star

Los eventos de McAfee Endpoint Protection y Web Gateway juegan un papel clave en la respuesta a incidentes y amenazas de Lazarus. McAfee ePO centraliza la recopilación de eventos de todos los sistemas de terminales administrados. Como respondedor de amenazas, es posible que desee crear un panel para eventos de amenazas relacionados con Lazarus para comprender la exposición actual. Aquí hay una lista (no exhaustiva) de eventos de amenazas relacionados con Lazarus según lo informado por McAfee Endpoint Protection Platform (módulo de Prevención de amenazas), con Análisis en tiempo real y Inteligencia global de amenazas habilitadas, y McAfee Web Gateway con Inteligencia global de amenazas habilitadas también.

Eventos de McAfee Endpoint Threat Prevention
Trojan.dz genérico Dropper.aou genérico
RDN / Generic PWS.y W97M / Downloader.cxz
Trojan-FRVP! 2373982CDABA Trojan-FRVP! AF83AD63D2E3
Dropper.aou genérico W97M / Downloader.bjp
Trojan-FSGY! 3C6009D4D7B2 W97M / MacroLess.y
Trojan-FRVP! CEE70135CBB1 Artemis! 9FD35BAD075C
W97M / Downloader.cxu RDN / Generic.dx
Trojan-FRVP! 63178C414AF9 Artemisa! 0493F4062899
Exploit-cve2017-0199.ch Artemisa! 25B37C971FD7
Eventos de McAfee Web Gateway
Trojan.dz genérico W97M / Downloader.cxz
RDN / Generic PWS.y BehavesLike.Downloader.dc
Trojan-FRVP! 2373982CDABA W97M / MacroLess.y
Trojan-FSGY! 3C6009D4D7B2 BehavesLike.Win32.Dropper.hc
BehavesLike.Downloader.dc Artemisa
BehavesLike.Downloader.tc

Resumen

Para derrotar las campañas de amenazas dirigidas, los defensores deben colaborar interna y externamente para construir una arquitectura de seguridad adaptable que dificultará que los actores de amenazas tengan éxito y desarrollen resiliencia en el negocio. Este blog destaca cómo utilizar las soluciones de seguridad de McAfee para prevenir, detectar y responder a la Operación North Star y a los atacantes que utilizan técnicas similares.

McAfee ATR está monitoreando activamente esta campaña y continuará actualizando McAfee Insights y sus canales de redes sociales con información nueva y actualizada. ¿Quiere adelantarse a los adversarios? Consulte McAfee Insights para obtener más información.





Enlace a la noticia original