Udostępnij za pośrednictwem


Analiza przypadku oprogramowania wymuszającego okup reagowania na zdarzenia firmy Microsoft

Oprogramowanie wymuszające okup obsługiwane przez człowieka nadal utrzymuje swoją pozycję jako jeden z najbardziej wpływowych trendów cyberataku na całym świecie i jest znaczącym zagrożeniem, z którym boryka się wiele organizacji w ostatnich latach. Te ataki wykorzystują błędy konfiguracji sieci i rozwijają się w słabym bezpieczeństwie wewnętrznym organizacji. Chociaż te ataki stanowią wyraźne i obecne zagrożenie dla organizacji i ich infrastruktury IT i danych, są one możliwe do uniknięcia awarii.

Zespół reagowania na zdarzenia firmy Microsoft (dawniej DART/CRSP) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. Reagowanie na zdarzenia firmy Microsoft zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. Reagowanie na zdarzenia firmy Microsoft wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić najbardziej kompletne i dokładne badanie.

W tym artykule opisano, jak reagowanie na zdarzenia firmy Microsoft zbadało niedawne zdarzenie wymuszające okup z informacjami na temat taktyki ataku i mechanizmów wykrywania.

Aby uzyskać więcej informacji, zobacz część 1 i część 2 przewodnika reagowania na zdarzenia firmy Microsoft dotyczące zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka.

Atak

Reagowanie na zdarzenia firmy Microsoft wykorzystuje narzędzia i taktykę reagowania na zdarzenia w celu identyfikowania zachowań aktorów zagrożeń dla oprogramowania wymuszającego okup obsługiwanego przez człowieka. Publiczne informacje dotyczące zdarzeń okupu koncentrują się na wpływie na koniec, ale rzadko podkreśla szczegóły operacji i sposób, w jaki aktorzy zagrożeń byli w stanie eskalować ich dostęp niewykryty w celu odnalezienia, zarabiania i wyłudzenia.

Poniżej przedstawiono niektóre typowe techniki używane przez osoby atakujące do ataków wymuszających okup w oparciu o taktykę MITRE ATT&CK.

Typowe techniki używane przez osoby atakujące do ataków wymuszających okup.

Odpowiedź na zdarzenia firmy Microsoft użyła Ochrona punktu końcowego w usłudze Microsoft Defender do śledzenia osoby atakującej w środowisku, utworzenia scenariusza przedstawiającego zdarzenie, a następnie wyeliminowania zagrożenia i korygowania. Po wdrożeniu usługa Defender for Endpoint zaczęła wykrywać pomyślne logowania z ataku siłowego. Po wykryciu tego problemu odpowiedź firmy Microsoft przejrzyła dane zabezpieczeń i znalazła kilka zagrożonych urządzeń dostępnych z Internetu przy użyciu protokołu RDP (Remote Desktop Protocol).

Po uzyskaniu dostępu początkowego aktor zagrożeń użył narzędzia zbierania poświadczeń Mimikatz w celu zrzutu skrótów haseł, zeskanowany pod kątem poświadczeń przechowywanych w postaci zwykłego tekstu, utworzył backdoors z manipulacją sticky key i przeniósł się później w całej sieci przy użyciu sesji pulpitu zdalnego.

W przypadku tej analizy przypadku wyróżniona ścieżka, którą podjęła osoba atakująca.

Ścieżka, którą osoba atakująca wymuszającego oprogramowanie wymuszającego okup podjęła na potrzeby tej analizy przypadku.

W poniższych sekcjach opisano dodatkowe szczegóły oparte na taktyki MITRE ATT&CK i opisano przykłady wykrywania działań aktora zagrożeń w portalu usługi Microsoft Defender.

Dostęp początkowy

Kampanie wymuszania oprogramowania wymuszającego okup używają dobrze znanych luk w zabezpieczeniach do początkowego wpisu, zazwyczaj przy użyciu wiadomości e-mail wyłudzających informacje lub słabości w zabezpieczeniach obwodowych, takich jak urządzenia z włączoną usługą pulpitu zdalnego uwidacznianą w Internecie.

W przypadku tego zdarzenia rozwiązanie Microsoft Incident Response udało się zlokalizować urządzenie z portem TCP 3389 dla protokołu RDP uwidocznione w Internecie. Umożliwiło to aktorom zagrożeń przeprowadzenie ataku siłowego i uzyskanie początkowego przyczółka.

Usługa Defender for Endpoint użyła analizy zagrożeń, aby ustalić, że w portalu usługi Microsoft Defender było wiele logów ze znanych źródeł siłowych i były wyświetlane. Oto przykład.

Przykład znanych logów siłowych w portalu usługi Microsoft Defender.

Rozeznanie

Po pomyślnym zakończeniu początkowego dostępu rozpoczęto wyliczanie środowiska i odnajdywanie urządzeń. Te działania umożliwiły aktorom zagrożeń identyfikowanie informacji o wewnętrznej sieci organizacji i docelowych systemach krytycznych, takich jak kontrolery domeny, serwery kopii zapasowych, bazy danych i zasoby w chmurze. Po wyliczaniu i odnajdowaniu urządzeń aktorzy zagrożeń wykonali podobne działania, aby zidentyfikować wrażliwe konta użytkowników, grupy, uprawnienia i oprogramowanie.

Aktor zagrożeń skorzystał z zaawansowanego skanera adresów IP, narzędzia do skanowania adresów IP, aby wyliczyć adresy IP używane w środowisku i przeprowadzić kolejne skanowanie portów. Skanując otwarte porty, aktor zagrożeń wykrył urządzenia, które były dostępne z początkowo naruszonego urządzenia.

To działanie zostało wykryte w usłudze Defender dla punktu końcowego i używane jako wskaźnik naruszenia zabezpieczeń (IoC) do dalszego badania. Oto przykład.

Przykład skanowania portów w portalu usługi Microsoft Defender.

Kradzież poświadczeń

Po uzyskaniu dostępu początkowego aktorzy zagrożeń wykonali zbieranie poświadczeń przy użyciu narzędzia do pobierania haseł Mimikatz i wyszukując pliki zawierające "hasło" w początkowo naruszonych systemach. Te akcje umożliwiły aktorom zagrożeń dostęp do dodatkowych systemów przy użyciu wiarygodnych poświadczeń. W wielu sytuacjach podmioty zagrożeń używają tych kont do tworzenia dodatkowych kont w celu utrzymania trwałości po zidentyfikowaniu i skorygowaniu początkowych kont, których bezpieczeństwo zostało naruszone.

Oto przykład wykrytego użycia narzędzia Mimikatz w portalu usługi Microsoft Defender.

Przykład wykrywania mimikatz w portalu usługi Microsoft Defender

Ruch boczny

Przenoszenie między punktami końcowymi może się różnić w różnych organizacjach, ale podmioty zagrożeń często używają różnych odmian oprogramowania do zarządzania zdalnego, które już istnieje na urządzeniu. Korzystając z metod dostępu zdalnego, które dział IT często używa w swoich codziennych działaniach, aktorzy zagrożeń mogą latać pod radarem przez dłuższy czas.

Korzystając z usługi Microsoft Defender for Identity, odpowiedź na zdarzenia firmy Microsoft była w stanie zamapować ścieżkę, którą aktor zagrożenia wziął między urządzeniami, wyświetlając używane i używane konta. Oto przykład.

Ścieżka, którą aktor zagrożenia wziął między urządzeniami w usłudze Microsoft Defender for Identity.

Uchylanie się od obrony

Aby uniknąć wykrywania, podmioty zagrożeń używały technik uchylania się od obrony w celu uniknięcia identyfikacji i osiągnięcia celów w całym cyklu ataku. Te techniki obejmują wyłączanie lub manipulowanie produktami antywirusowymi, odinstalowywanie lub wyłączanie produktów lub funkcji zabezpieczeń, modyfikowanie reguł zapory oraz używanie technik zaciemniania w celu ukrycia artefaktów włamań z produktów i usług zabezpieczeń.

Aktor zagrożeń dla tego incydentu używał programu PowerShell do wyłączania ochrony w czasie rzeczywistym dla usługi Microsoft Defender na urządzeniach z systemem Windows 11 i Windows 10 oraz lokalnych narzędziach sieciowych do otwierania portu TCP 3389 i zezwalania na połączenia RDP. Te zmiany zmniejszyły prawdopodobieństwo wykrycia w środowisku, ponieważ zmodyfikowały usługi systemowe, które wykrywają złośliwe działania i ostrzegają o nich.

Usługa Defender dla punktu końcowego nie może być jednak wyłączona z urządzenia lokalnego i mogła wykryć to działanie. Oto przykład.

Przykład wykrywania używania programu PowerShell do wyłączania ochrony w czasie rzeczywistym dla usługi Microsoft Defender.

Trwałość

Techniki trwałości obejmują działania podmiotów zagrożeń w celu utrzymania spójnego dostępu do systemów po podjęciu działań przez personel ds. zabezpieczeń w celu odzyskania kontroli nad zagrożonymi systemami.

Aktorzy zagrożeń dla tego incydentu wykorzystali hack sticky keys, ponieważ umożliwia zdalne wykonywanie pliku binarnego wewnątrz systemu operacyjnego Windows bez uwierzytelniania. Następnie wykorzystali tę możliwość do uruchomienia wiersza polecenia i wykonania dalszych ataków.

Oto przykład wykrywania włamania do kluczy sticky w portalu Usługi Microsoft Defender.

Przykład wykrywania włamania do kluczy sticky w portalu usługi Microsoft Defender.

Wpływ

Aktorzy zagrożeń zazwyczaj szyfrują pliki przy użyciu aplikacji lub funkcji, które już istnieją w środowisku. Korzystanie z programu PsExec, zasad grupy i zarządzania konfiguracją punktu końcowego firmy Microsoft to metody wdrażania, które umożliwiają aktorowi szybkie dotarcie do punktów końcowych i systemów bez zakłócania normalnego działania.

Aktor zagrożenia dla tego zdarzenia wykorzystał program PsExec do zdalnego uruchomienia interaktywnego skryptu programu PowerShell z różnych udziałów zdalnych. Ta metoda ataku losuje punkty dystrybucji i utrudnia korygowanie w ostatniej fazie ataku wymuszającego okup.

Wykonywanie oprogramowania wymuszającego okup

Wykonywanie oprogramowania wymuszającego okup jest jedną z podstawowych metod, których aktor zagrożeń używa do zarabiania na ataku. Niezależnie od metodologii wykonywania różne struktury oprogramowania wymuszającego okup zwykle mają wspólny wzorzec zachowania po wdrożeniu:

  • Zaciemnianie akcji aktora zagrożeń
  • Ustanawianie trwałości
  • Wyłączanie odzyskiwania błędów systemu Windows i automatycznej naprawy
  • Zatrzymywanie listy usług
  • Kończenie listy procesów
  • Usuwanie kopii w tle i kopii zapasowych
  • Szyfrowanie plików, potencjalnie określanie wykluczeń niestandardowych
  • Tworzenie notatki o oprogramowaniem wymuszającym okup

Oto przykład notatki dotyczącej oprogramowania wymuszającego okup.

Przykład notatki wymuszającego okup.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft Defender XDR:

aplikacje Microsoft Defender dla Chmury:

Microsoft Azure:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: