Fallstudie av Utpressningstrojaner för Microsoft Incident Response

Utpressningstrojaner som drivs av människor fortsätter att behålla sin position som en av de mest effektfulla cyberattacktrenderna över hela världen och är ett betydande hot som många organisationer har mött under de senaste åren. Dessa attacker drar nytta av nätverksfelkonfigurationer och frodas på en organisations svaga inre säkerhet. Även om dessa attacker utgör en tydlig och aktuell fara för organisationer och deras IT-infrastruktur och data är de en katastrof som kan förebyggas.

Microsoft Incident Response-teamet (tidigare DART/CRSP) svarar på säkerhetskompromisser för att hjälpa kunderna att bli cybertåliga. Microsoft Incident Response tillhandahåller reaktiv incidenthantering på plats och proaktiva fjärrutredningar. Microsoft Incident Response utnyttjar Microsofts strategiska samarbeten med säkerhetsorganisationer runt om i världen och interna Microsoft-produktgrupper för att tillhandahålla en så fullständig och grundlig undersökning som möjligt.

Den här artikeln beskriver hur Microsoft Incident Response undersökte en incident med utpressningstrojaner nyligen med information om angreppstaktik och identifieringsmekanismer.

Mer information finns i del 1 och del 2 i Microsoft Incident Responses guide för att bekämpa utpressningstrojaner som drivs av människor.

Attacken

Microsoft Incident Response använder verktyg och taktiker för incidenthantering för att identifiera hotskådespelares beteenden för utpressningstrojaner som hanteras av människor. Offentlig information om utpressningstrojanhändelser fokuserar på slutpåverkan, men belyser sällan detaljerna i åtgärden och hur hotaktörer kunde eskalera sin åtkomst oupptäckt för att upptäcka, tjäna pengar och utpressa.

Här följer några vanliga tekniker som angripare använder för utpressningstrojanattacker baserade på MITRE ATT&CK-taktiker.

Microsoft Incident Response använde Microsoft Defender för Endpoint för att spåra angriparen genom miljön, skapa en berättelse som visar incidenten och sedan utrota hotet och åtgärda det. När defender för Endpoint har distribuerats började de identifiera lyckade inloggningar från en brute force-attack. När du upptäckte detta granskade Microsoft Incident Response säkerhetsdata och hittade flera sårbara Internetuppkopplade enheter med rdp (Remote Desktop Protocol).

När den första åtkomsten hade fåtts använde hotskådespelaren verktyget Mimikatz insamling av autentiseringsuppgifter för att dumpa lösenordshashvärden, skannade efter autentiseringsuppgifter som lagrats i klartext, skapade bakdörrar med Sticky Key-manipulering och flyttades i sidled i nätverket med hjälp av fjärrskrivbordssessioner.

För den här fallstudien är här den markerade sökvägen som angriparen tog.

I följande avsnitt beskrivs ytterligare information baserat på MITRE ATT&CK-taktiken och innehåller exempel på hur hotaktörens aktiviteter identifierades med Microsoft Defender-portalen.

Inledande åtkomst

Utpressningstrojankampanjer använder välkända sårbarheter för sin första post, vanligtvis med nätfiskemeddelanden eller svagheter i perimeterskyddet, till exempel enheter med den aktiverade Fjärrskrivbordstjänsten som exponeras på Internet.

För den här incidenten lyckades Microsoft Incident Response hitta en enhet som hade TCP-port 3389 för RDP exponerad för Internet. Detta gjorde det möjligt för hotaktörer att utföra en brute-force-autentiseringsattack och få det första fotfästet.

Defender för Endpoint använde hotinformation för att fastställa att det fanns många inloggningar från kända råstyrkekällor och visade dem i Microsoft Defender-portalen. Här följer ett exempel.

Rekognoscering

När den första åtkomsten lyckades började miljöuppräkning och enhetsidentifiering. Dessa aktiviteter gjorde det möjligt för hotaktörerna att identifiera information om organisationens interna nätverk och målkritiska system, till exempel domänkontrollanter, säkerhetskopieringsservrar, databaser och molnresurser. Efter uppräkningen och enhetsidentifieringen utförde hotaktörerna liknande aktiviteter för att identifiera sårbara användarkonton, grupper, behörigheter och programvara.

Hotskådespelaren använde avancerad IP-skanner, ett IP-adressgenomsökningsverktyg, för att räkna upp DE IP-adresser som används i miljön och utföra efterföljande portgenomsökning. Genom att söka efter öppna portar upptäckte hotskådespelaren enheter som var tillgängliga från den ursprungligen komprometterade enheten.

Den här aktiviteten upptäcktes i Defender för Endpoint och användes som en indikator på kompromiss (IoC) för ytterligare undersökning. Här följer ett exempel.

Stöld av autentiseringsuppgifter

Efter att ha fått den första åtkomsten utförde hotaktörerna insamling av autentiseringsuppgifter med hjälp av mimikatz-verktyget för lösenordshämtning och genom att söka efter filer som innehåller "lösenord" på ursprungligen komprometterade system. Dessa åtgärder gjorde det möjligt för hotaktörerna att komma åt ytterligare system med legitima autentiseringsuppgifter. I många situationer använder hotaktörer dessa konton för att skapa ytterligare konton för att upprätthålla beständighet efter att de första komprometterade kontona har identifierats och åtgärdats.

Här är ett exempel på den identifierade användningen av Mimikatz i Microsoft Defender-portalen.

Sidorörelse

Förflyttning mellan slutpunkter kan variera mellan olika organisationer, men hotaktörer använder ofta olika sorter av fjärrhanteringsprogram som redan finns på enheten. Genom att använda metoder för fjärråtkomst som IT-avdelningen ofta använder i sina dagliga aktiviteter kan hotaktörer flyga under radarn under längre tidsperioder.

Med hjälp av Microsoft Defender för identitet kunde Microsoft Incident Response mappa ut den sökväg som hotskådespelaren tog mellan enheter och visa de konton som användes och användes. Här följer ett exempel.

Försvarsundandragande

För att undvika identifiering använde hotaktörerna tekniker för försvarsundandragande för att undvika identifiering och uppnå sina mål under hela attackcykeln. Dessa tekniker omfattar inaktivering eller manipulering av antivirusprodukter, avinstallation eller inaktivering av säkerhetsprodukter eller funktioner, ändring av brandväggsregler och användning av fördunklingstekniker för att dölja artefakterna i ett intrång från säkerhetsprodukter och tjänster.

Hotskådespelaren för den här incidenten använde PowerShell för att inaktivera realtidsskydd för Microsoft Defender på Windows 11- och Windows 10-enheter och lokala nätverksverktyg för att öppna TCP-port 3389 och tillåta RDP-anslutningar. Dessa ändringar minskade risken för identifiering i en miljö eftersom de ändrade systemtjänster som identifierar och varnar om skadlig aktivitet.

Defender för Endpoint kan dock inte inaktiveras från den lokala enheten och kunde identifiera den här aktiviteten. Här följer ett exempel.

Bevarande

Beständighetstekniker omfattar åtgärder från hotaktörer för att upprätthålla konsekvent åtkomst till system efter att säkerhetspersonalen har gjort ansträngningar för att återfå kontrollen över komprometterade system.

Hotaktörerna för den här incidenten använde Sticky Keys-hacket eftersom det möjliggör fjärrkörning av en binär fil i Windows-operativsystemet utan autentisering. De använde sedan den här funktionen för att starta en kommandotolk och utföra ytterligare attacker.

Här är ett exempel på identifiering av Sticky Keys-hacket i Microsoft Defender-portalen.

Påverkan

Hotaktörer krypterar vanligtvis filer med hjälp av program eller funktioner som redan finns i miljön. Användning av PsExec, Grupprincip och Microsoft Endpoint Configuration Management är distributionsmetoder som gör det möjligt för en aktör att snabbt nå slutpunkter och system utan att störa normala åtgärder.

Hotskådespelaren för den här incidenten utnyttjade PsExec för att fjärrstarta ett interaktivt PowerShell-skript från olika fjärrresurser. Den här attackmetoden randomiserar distributionsplatser och gör reparationen svårare under den sista fasen av utpressningstrojanattacken.

Utpressningstrojankörning

Utpressningstrojankörning är en av de primära metoderna som en hotskådespelare använder för att tjäna pengar på attacken. Oavsett körningsmetodik tenderar distinkta utpressningstrojanramverk att ha ett vanligt beteendemönster när de har distribuerats:

• Fördunkla åtgärder för hotskådespelare
• Upprätta beständighet
• Inaktivera windows-felåterställning och automatisk reparation
• Stoppa en lista över tjänster
• Avsluta en lista över processer
• Ta bort skuggkopior och säkerhetskopior
• Kryptera filer, eventuellt ange anpassade undantag
• Skapa en kommentar om utpressningstrojaner

Här är ett exempel på en kommentar om utpressningstrojaner.

Ytterligare resurser för utpressningstrojaner

Viktig information från Microsoft:

• Det växande hotet från utpressningstrojaner, blogginlägget Microsoft On the Issues den 20 juli 2021
• Utpressningstrojaner som drivs av människor
• Skydda snabbt mot utpressningstrojaner och utpressning
• 2021 Microsofts rapport om digitalt försvar (se sidorna 10-19)
• Utpressningstrojan: En omfattande och pågående hotanalysrapport i Microsoft Defender-portalen
• Microsoft Incident Response Ransomware-metod och metodtips

Microsoft 365:

• Distribuera skydd mot utpressningstrojaner för din Microsoft 365-klientorganisation
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Återställa från en utpressningstrojanattack
• Skydd mot skadlig kod och utpressningstrojaner
• Skydda din Windows 10-dator från utpressningstrojaner
• Hantera utpressningstrojaner i SharePoint Online
• Hotanalysrapporter för utpressningstrojaner i Microsoft Defender-portalen

Microsoft Defender XDR:

• Hitta utpressningstrojaner med avancerad jakt

Microsoft Defender för molnet-appar:

• Skapa principer för avvikelseidentifiering i Defender för molnet-appar

Microsoft Azure:

• Azure Defenses för utpressningstrojanattack
• Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
• Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
• Skydda mot utpressningstrojaner med Microsoft Azure Backup (26 minuters video)
• Återställning från systemisk identitetskompromiss
• Avancerad attackidentifiering i flera steg i Microsoft Sentinel
• Fusionsidentifiering för utpressningstrojaner i Microsoft Sentinel

Blogginlägg för Microsoft Security-teamet:

• 3 steg för att förhindra och återställa från utpressningstrojaner (september 2021)

• En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 1 (september 2021)

  Viktiga steg för hur Microsoft Incident Response utför utpressningstrojanincidenter.

• En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 2 (september 2021)

  Rekommendationer och metodtips.

• Bli motståndskraftig genom att förstå cybersäkerhetsrisker: Del 4 – navigera i aktuella hot (maj 2021)

  Se avsnittet Utpressningstrojaner .

• Attacker mot utpressningstrojaner som kan förebyggas (mars 2020)

  Innehåller analys av angreppskedjan av faktiska attacker.

• Utpressningstrojansvar – att betala eller inte betala? (december 2019)

• Norsk Hydro svarar på utpressningstrojanattacker med transparens (december 2019)