A implantação de ransomware é o fim do jogo de um ataque cibernético. Um invasor de ameaça deve ter realizado várias etapas anteriores – incluindo movimento lateral e escalonamento de privilégios – para chegar a esta posição final. A capacidade de detectar e conter os movimentos iniciais é, portanto, tão importante quanto detectar a própria criptografia.
Os invasores estão usando diversas estratégias – como ‘Living off the Land’ e cuidadosamente elaborando seu comando e controle (C2) – para se misturar ao tráfego de rede normal e escapar das defesas de segurança tradicionais. A análise abaixo examina as Táticas, Técnicas e Procedimentos (TTPs) usados por muitos invasores de ransomware, ao desvendar um acordo que ocorreu em um contratante de defesa no Canadá.
Fases de um ataque de ransomware
1. A abertura: acesso inicial à conta privilegiada
O primeiro indicador de comprometimento foi um login em um servidor com uma credencial incomum, seguido por atividade de administrador incomum. O invasor pode ter obtido acesso ao nome de usuário e senha de várias maneiras, desde a obtenção de credenciais até a sua compra na Dark Web. Como o invasor teve acesso privilegiado desde o início, não houve necessidade de escalonamento de privilégios.
2. Movimento lateral
Dois dias depois, o invasor começou a se espalhar a partir do servidor inicial. O servidor comprometido começou a enviar comandos incomuns do Windows Management Instrumentation (WMI). Ele começou a controlar remotamente quatro outros dispositivos – autenticando-os com uma única credencial de administrador. Um dos destinos era um controlador de domínio (DC), outro era um servidor de backup.
O uso incomum do WMI foi detectado pelo Darktrace e os tempos das conexões incomuns do WMI foram reunidos pelo Cyber AI Analyst.
3. Estabelecer C2
Os quatro dispositivos então conectados ao IP 185.250.151 [.] 172. Três deles, incluindo o DC e o servidor de backup, estabeleceram beacons SSL para o IP usando o domínio DNS dinâmico goog1e.ezua [.] Com.
Os endpoints C2 tinham muito pouca inteligência de código aberto (OSINT) disponível, mas parece que um script no estilo Cobalt Strike usou o endpoint no passado. Isso sugere ferramentas complexas, já que o invasor usou SSL dinâmico e falsificou o Google para mascarar seu beacon.
Curiosamente, durante todo o ataque, apenas esses três dispositivos usaram conexões SSL para beacon, enquanto o C2 posterior ocorreu por meio de protocolos não criptografados. Parece que esses três dispositivos críticos foram tratados de maneira diferente dos outros dispositivos infectados na rede.
4. O jogo do meio: reconhecimento interno e posterior movimento lateral
A cadeia de ataque assumiu a forma de dois ciclos de movimento lateral, seguido pelo estabelecimento de C2 nos destinos recém-controlados.
Figura 2: Cadeia observada de movimento lateral e C2.
Portanto, depois de estabelecer C2, o DC fez solicitações WMI para mais 20 IPs por um longo período. Ele também varreu 234 IPs por meio de pings ICMP, provavelmente em uma tentativa de encontrar mais hosts.
Muitos deles foram eventualmente encontrados com notas de resgate, em particular quando os dispositivos visados eram hipervisores. O ransomware provavelmente foi implantado com comandos remotos via WMI.
5. C2 adicional
Quando o segundo estágio do movimento lateral parou, um segundo estágio de C2 não criptografado foi visto em cinco novos dispositivos. Cada um começou com solicitações GET para o IP visto no SSL C2 (185.250.151 [.] 172), que usava o nome de host falsificado google [.] com.
A atividade começou em cada dispositivo com solicitações HTTP para um URI terminando em .png, antes de um beaconing mais consistente para o URI / books /. Eventualmente, os dispositivos fizeram solicitações POST para o URI / ebooks /? K = (um identificador exclusivo para cada dispositivo). Tudo isso parece ser uma forma de ocultar um farol C2 no que parece um tráfego plausível para o Google.
Desta forma, ao criptografar algumas conexões C2 com SSL para um domínio DNS dinâmico, enquanto cria outro HTTP não criptografado para parecer tráfego para google [.] Com, o invasor conseguiu operar sem ser detectado pelas ferramentas antivírus da empresa.
Darktrace identificou essa atividade anômala e gerou um grande número de violações do modelo de conectividade externa.
6. Cumprir a missão: Xeque-mate
Finalmente, o invasor implantou o ransomware. Na nota de resgate, eles declararam que informações confidenciais foram exfiltradas e vazariam se a empresa não pagasse.
No entanto, isso era uma mentira. Darktrace confirmou que nenhum dado foi filtrado, pois as comunicações C2 enviaram muito poucos dados. Mentir sobre a exfiltração de dados para extorquir um resgate é uma tática comum para invasores, e a visibilidade é crucial para determinar se um ator de ameaça está blefando.
Além disso, a Antigena – tecnologia Autonomous Response do Darktrace – bloqueou um download interno de um dos servidores comprometidos na primeira rodada de movimento lateral, porque era um volume de dados de entrada incomum para o dispositivo do cliente. Provavelmente foi o invasor tentando transferir dados em preparação para o objetivo final, portanto, o bloqueio pode ter impedido que esses dados fossem movidos para exfiltração.
Figura 3: violação do modelo da Antigena.
Figura 4: O dispositivo está bloqueado para comunicação SMB com o servidor comprometido três segundos depois.
Infelizmente, a Antigena não estava ativa na maioria dos dispositivos envolvidos no incidente. Se estivesse no modo ativo, a Antigena teria interrompido os estágios iniciais dessa atividade, incluindo os logins administrativos incomuns e balizas. O cliente agora está trabalhando para configurar totalmente a Antigena, para que se beneficie da Resposta Autônoma 24 horas por dia, 7 dias por semana.
Analista de Cyber AI investiga
A IA do Darktrace detectou e relatou balizamento de vários dispositivos, incluindo o DC, que foi o dispositivo de maior pontuação para comportamento incomum no momento da atividade. Ele condensou essas informações em três incidentes – ‘Possível Comando e Controle SSL’, ‘Extensa Atividade Suspeita de WMI Remota’ e ‘Verificação de Dispositivos Remotos’.
Crucialmente, o Cyber AI Analyst não apenas resumiu a atividade administrativa do DC, mas também a vinculou de volta ao primeiro dispositivo por meio de uma cadeia incomum de conexões administrativas.
Figura 5: Incidente do Cyber AI Analyst mostrando uma cadeia suspeita de conexões administrativas ligando o primeiro dispositivo na cadeia de conexões a um hipervisor onde uma nota de resgate foi encontrada por meio do DC comprometido, economizando um tempo valioso na investigação. Ele também destaca a credencial comum a todas as conexões de movimento lateral.
Encontrar correntes de movimento lateral manualmente é um processo trabalhoso adequado para IA. Nesse caso, ele permitiu que a equipe de segurança rastreasse rapidamente o dispositivo que era a fonte provável do ataque e encontrasse a credencial comum nas conexões.
Jogue como uma máquina
Para ter uma visão completa de um ataque de ransomware, é importante olhar além da criptografia final para as fases anteriores da cadeia de destruição. No ataque acima, a criptografia em si não gerou tráfego de rede, portanto, detectar a invasão em seus estágios iniciais foi vital.
Apesar do invasor ‘Living off the Land’ e usar WMI com uma credencial de administrador comprometida, bem como falsificar o nome de host comum google [.] com para C2 e aplicar DNS dinâmico para conexões SSL, Darktrace foi capaz de identificar todos os estágios do ataque e imediatamente colocá-los juntos em uma narrativa de segurança significativa. Isso teria sido quase impossível para um analista humano conseguir sem a verificação intensiva de trabalho dos tempos das conexões individuais.
Com as infecções de ransomware se tornando mais rápidas e frequentes, com a ameaça de IA ofensiva se aproximando e o mercado Dark Web prosperando, com equipes de segurança mergulhadas em falsos positivos e sem tempo sobrando, a IA agora é uma parte essencial de qualquer solução de segurança. O tabuleiro está pronto, o tempo está passando, as apostas são mais altas do que nunca. Sua vez.
Participe do Add Value Security LIVE no dia 05 de novembro às 10h.
Saiba mais sobre a DarkTrace
Nós da Add Value, somos parceiros DarkTrace, tendo o mais alto nível de experiência e comprometimento com todo o portfólio de produtos. Clique aqui e entre em contato conosco e saiba mais sobre todos os benefícios das soluções DarkTrace.
Fonte: Darktrace por Brianna Leddy, Diretora de Análise – 7 de setembro de 2021