A equipe Varonis Forensics investigou e corrigiu recentemente um evento de ransomware que resultou em criptografia e exfiltração em larga escala em vários servidores de arquivos. O agente da ameaça obteve persistência de longo prazo, escalou privilégios para administrador de domínio, executou comando e controle de vários hosts, obteve exfiltração de dados em massa e, por fim, destruiu dados.
Indicadores iniciais
Durante a noite, a empresa recebeu um alerta que parecia mostrar o ransomware se propagando em vários compartilhamentos de arquivos. Esses eventos se originaram de um único usuário e os padrões detectados nos eventos se assemelhavam aos gerados por ransomware. No início da manhã, a empresa tomou medidas imediatas para desabilitar a conta de Administrador de Domínio comprometida e contratou a Varonis para auxiliar na resposta a incidentes e no processo de recuperação.
Usando a plataforma Varonis, a equipe forense identificou imediatamente a variedade de ransomware como ‘LockBit’ e o escopo completo do impacto. A equipe da Varonis também observou o uso do PSExec para realizar movimentação lateral e execução remota dentro do ambiente.
Primeiros passos
Uma análise forense inicial da atividade PSExec geradora do host revelou algumas descobertas importantes:
- O agente da ameaça teve sessões remotas ao vivo no dispositivo comprometido por meio da ferramenta de administração remota legítima ‘TightVNC’.
- Várias contas de administrador local foram criadas para persistência adicional (em vários dispositivos). Isso incluiu nomes de usuário como: DomainAdmin, Support1, Support2, WDAGUtilityAccount e clienttest.
Varonis também observou a criação de arquivos no estilo ‘contactus’ descartados pelo agente da ameaça logo após o início da nossa investigação – indicando uma tentativa ativa de se comunicar com a equipe forense enquanto o agente da ameaça também tinha uma sessão ao vivo no dispositivo.
Conexão C2 do invasor via TightVNC em dispositivo comprometido.
Tentativa do agente da ameaça de contatar diretamente a equipe de resposta por meio da criação de arquivos.
Contenção
Quando soubemos que o invasor ainda estava ativo no dispositivo comprometido, a Varonis trabalhou com a empresa para tomar as medidas de correção apropriadas para minimizar a ameaça ativa, como:
- Desabilitando a interface de rede em máquinas virtuais comprometidas.
- Executando uma varredura em todo o ambiente para procurar implantações do TightVNC, criações de usuários locais adicionais e quaisquer conexões suspeitas com os endereços IP C2 agora identificados. Vários outros hosts foram configurados como pontos de acesso secundários. Esses hosts foram corrigidos conforme necessário em cada instância.
Investigações posteriores revelaram que as contas administrativas locais foram criadas pelo menos 45 dias antes do evento de criptografia, fornecendo evidências de que o invasor manteve uma posição no ambiente por um período significativo de tempo, como é frequentemente observado nesses tipos de violações.
Os investigadores da Varonis identificaram uma forma secundária de persistência — um shell reverso TCP baseado em PowerShell executado em hosts comprometidos. Um trecho do shell mostrado abaixo — o domínio que ele tentou resolver é desofuscado para ‘block.securerequest[.]tw’, um domínio recém-registrado em outubro de 2021. O shell em questão é uma versão ligeiramente modificada de um disponível publicamente script de um conhecido grupo de segurança ofensivo conhecido como ‘KaliBoys’.
Variante do Shell TCP reverso disponível publicamente identificado em servidores comprometidos – o script contata ‘block.securerequest[.]tw’
O script ofuscates comando invoca chamadas usando ‘KaliBoys’ como um alias para ‘IEX’ para evitar certos mecanismos de detecção estática enquanto também ofusca domínios em hexadecimal, como mostrado acima com ‘$A=”62 6C…’ que contém o domínio malicioso em questão . Mesmo adversários avançados em todo o mundo costumam abusar desses tipos de conjuntos de ferramentas disponíveis publicamente – por que reinventar a roda quando as ferramentas ou scripts necessários já existem?
Acesso inicial
Depois de investigar os logs de eventos do Windows no servidor comprometido, a Varonis identificou, nos logs de autenticação, tentativas de exploração do Log4Shell originadas de um aplicativo público meses antes do evento de ransomware. A vítima estava operando uma versão mais antiga do Windows e parece provável que o agente da ameaça tenha usado esse vetor para obter acesso inicial à rede.
Uma imagem de uma das tentativas de exploração dos logs de eventos do Windows é mostrada abaixo. Pesquisas sobre o aplicativo indicam que a versão em uso era suscetível a esse tipo de exploração.
Tentativas de exploração do Log4Shell contra aplicativos voltados para o público do log de eventos do Windows.
Persistência
Conforme mencionado, a Varonis ajudou a empresa a identificar várias contas administrativas locais que o agente da ameaça criou em dispositivos comprometidos. Além disso, abusar de uma conta de administrador de domínio permitiu que o agente da ameaça criasse várias contas de domínio para uso futuro.
O backdoor do PowerShell e o uso do TightVNC forneceram ao agente da ameaça mecanismos de conexão remota para acesso futuro, ignorando controles padrão, como blocos de comunicação de firewall de entrada e mecanismos de proxy de servidor para impedir a comunicação direta com a Internet de fontes externas. O servidor TightVNC foi implementado no host comprometido como um item de inicialização para manter uma presença ativa no dispositivo comprometido. Ao mesmo tempo, os backdoors do PowerShell pareciam ser mais ad hoc na natureza da inicialização.
Presença de TightVNC no CurrentVersion \ Run no Windows Registry
Também observamos várias tentativas de baixar e executar o PowerShell (como o backdoor acima) em dispositivos comprometidos de servidores temporários hospedados pelo atacante, como mostrado no exemplo abaixo.
String de execução do PowerShell retirada da análise do processo em execução
Embora existam muitas técnicas avançadas de evasão de AD/EVR para executar scripts remotos do PowerShell, às vezes uma invocação remota básica, como o exemplo mostrado acima, é tudo o que é necessário para atingir a meta de execução de código.
Acesso de credencial / Escalonamento de privilégios
Varonis identificou evidências de que o utilitário ofensivo ‘Mimikatz’ foi implantado e utilizado em servidores comprometidos. Isso permitiu que o invasor realizasse ataques comuns baseados em credenciais, como ataques de passagem de hash ou ataques baseados em tickets. Acreditamos que o invasor conseguiu comprometer contas adicionais que tinham uma presença de logon no servidor inicial. É extremamente importante reduzir o uso excessivo de contas de alto privilégio, como administradores de domínio, para diminuir a superfície de ataque geral apresentada a um invasor nos estágios iniciais de uma violação – especialmente usando essas contas para acesso de logon a servidores.
Evidência da presença de Mimikatz no USN Journal of Compromised Device
Antes do ataque de criptografia, o agente da ameaça conseguiu redefinir a senha de uma conta de serviço no dispositivo comprometido, que também era uma conta administrativa de domínio. Compreender e utilizar o princípio do privilégio mínimo é fundamental para evitar o privilégio excessivo de contas de serviço, especialmente aquelas que se autenticam em servidores que podem estar expostos a usuários baseados na Internet. A mesma conta foi então abusada para movimento lateral em todo o ambiente nas semanas e meses que antecederam a criptografia final. Desabilitar o cache de credenciais WDigest, implementar LAPS e evitar o uso de contas críticas em servidores externos podem ajudar a reduzir a superfície de ataque de credenciais de uma organização.
Descoberta
Nossa equipe descobriu anteriormente evidências do software ‘Advanced Port Scanner’ comum instalado em dispositivos comprometidos por meio de uma análise das evidências do sistema de arquivos e do USN Journal. O abuso desse aplicativo permitiu que o invasor verificasse facilmente toda a rede interna da empresa para identificar quais endereços IP têm hosts ativos, quais serviços esses hosts estão executando, quais portas estão abertas e outros detalhes críticos normalmente disponíveis por meio de sondagem de rede.
Além disso, a equipe forense descobriu um comportamento suspeito de DNS no registro centralizado de solicitações de DNS de dispositivos nos quais esse utilitário foi implantado. Isso nos permitiu inferir que as solicitações de DNS reverso estavam sendo usadas para realizar a varredura de rede.
Evidência da presença do Advanced Port Scanner no USN Journal
Identificar o reconhecimento de rede interna pode ser difícil em muitas organizações devido à falta de coleta de logs de firewalls internos — estes tendem a ser extremamente barulhentos e muitas vezes de menor valor quando comparados a eventos de firewall interno-externo. Agregar e analisar solicitações de DNS internas e externas pode ajudar a compensar a falta de visibilidade do firewall interno, informando uma organização quando um host está se comportando de maneira anormal em relação ao DNS.
Comando e controle
O Threat Actor em questão utilizou a ferramenta comum ‘PSExec’ para mover lateralmente para vários servidores onde o TightVNC e o PowerShell Reverse TCP Shell mencionado anteriormente foram implantados, fornecendo acesso remoto de volta ao ambiente por meio de vários vetores. A evidência disso foi observada em conexões de rede ativas e logs de eventos de firewall que a equipe Varonis Forensics pôde usar para ajudar a identificar o escopo completo da violação. Essa atividade foi corroborada por meio de evidências observadas no nível do sistema de arquivos nos logs de eventos do USN Journal e do Windows devido aos eventos de criação de serviço acionados pelo uso remoto do PsExec pela primeira vez.
Exfiltração
Nos logs de firewall da empresa, a equipe observou evidências de exfiltração de dados em massa para um endereço IP suspeito que tinha SFTP e RDP expostos e estava hospedado em um ambiente de servidor temporário, o que infelizmente deu credibilidade à ameaça de roubo e exposição significativos de dados. A implementação de um proxy de servidor e a prevenção da saída direta da Internet para servidores para bloquear comunicações de saída indesejadas da Internet deve ser uma das principais metas de segurança.
A Varonis Forensics identificou evidências da instalação e uso do FileZilla em servidores comprometidos no USN Journal. Um trecho do diário mostrando a presença maliciosa do instalador do FileZilla é mostrado abaixo.
Evidência da instalação do FileZilla do USN Journal
Nossa investigação revelou que milhares de solicitações para ‘Pastebin.com’ foram feitas pelo dispositivo comprometido em questão – provavelmente, isso foi usado para entrada de ferramentas e possível saída de dados. No entanto, a extensão total é desconhecida.
Nossa investigação também revelou a presença e o uso do navegador Brave — a provável fonte das solicitações de DNS em questão — pelo agente da ameaça. Se a navegação na Internet for necessária a partir de um dispositivo comprometido, o Brave é uma escolha comum para os agentes de ameaças devido à natureza inerentemente privada das operações.
Evidência da utilização do navegador Brave revelada no USN Journal
Impacto
Depois de persistir na rede por um período significativo de tempo, realizando reconhecimento em todo o ambiente, explorando servidores de arquivos e criando vários mecanismos de acesso backdoor, o invasor lançou o ransomware LockBit em vários compartilhamentos de arquivos. Nossa equipe ajudou a empresa a determinar o escopo completo do incidente usando evidências coletadas de vários servidores. O agente da ameaça fez um ataque cirúrgico contra compartilhamentos de arquivos críticos, em vez de criptografar todos os servidores acessíveis, demonstrando a importância de proteger o máximo possível o acesso à rede a dados confidenciais.
Recomendações de proteção ambiental
A equipe da Varonis Forensic se esforça para ajudar as empresas a remediar, recuperar e reestruturar as posturas de segurança cibernética após incidentes críticos como este. Para esse fim, uma lista de recomendações generalizadas de proteção do ambiente é fornecida abaixo para ajudar outras organizações que enfrentam desafios semelhantes.
- Implemente a MFA em todas as plataformas de fornecimento de identidade: isso inclui VPN, Azure AD/Microsoft 365, aplicativos de acesso remoto, como Horizon View, etc. mesmo uma conta de domínio autorizada a ignorá-lo.
- Implemente o Microsoft LAPS para gerenciar contas administrativas locais enquanto reduz ao máximo as permissões de administrador local.
- Implemente programas de Avaliação e Gerenciamento de Vulnerabilidade para dar suporte ao gerenciamento de patches e entender quando servidores ou aplicativos exigem atenção crítica. Isso é especialmente crítico ao hospedar aplicativos desenvolvidos internamente expostos à Internet.
- Esforce-se para reduzir os privilégios o máximo possível, especialmente em contas de serviço. Frequentemente referido como o conceito de ‘Privilégio mínimo’ – esforce-se para fornecer às contas a quantidade mínima de permissões para seu trabalho.
- Procure bloquear a saída direta da Internet para ambientes de servidor e, em vez disso, passe o tráfego por meio de um proxy que pode bloquear comunicações indesejadas.
- Reduza o uso de contas críticas em servidores externos para diminuir a superfície de ataque de credenciais.
- Garanta que sua implantação AV/EDR também proteja seus servidores, além dos endpoints do usuário.
Representação de mitra
Abaixo, apresentamos as etapas que esse agente de ameaça tomou em relação à MITRE Cyber Kill Chain.
Tática | Técnicas | Notas relevantes |
---|---|---|
Acesso inicial |
|
Exploração Log4Shell de aplicativo voltado para a Internet |
Execução |
|
Evidência de PowerShell e PSEXEC em vários servidores |
Persistência |
|
Criação de conta local e persistência de software via registro |
Escalação de privilégios |
|
Mimikatz/Abuso de redefinição de senha para obter acesso à conta de administrador do domínio. |
Evasão de Defesa |
|
Remoção do indicador via exclusão de arquivo |
Acesso de credencial |
|
Mimikatz/Abuso de redefinição de senha para obter acesso à conta de administrador do domínio. |
Descoberta |
|
Utilitário ‘Advanced Port Scanner 2’ abusado para reconhecimento interno. |
Movimento lateral |
|
PSEXEC e RDP foram utilizados para movimentação em todo o ambiente, provavelmente com assistência de ataques PTH/PTT via Mimikatz |
Coleção |
Exfiltração
|
|
Comando e controle |
|
O TightVNC e o PowerShell foram utilizados para operações C2 pelo Threat Actor. |
Impacto |
|
O ransomware Lockbit foi implantado para criptografar partes do ambiente. |
Indicadores de Compromisso
Os endereços IP e domínios fornecidos abaixo pertencem principalmente a provedores de servidores temporários, como a DigitalOcean. Dessa forma, só porque um IP aparece em seus logs não significa necessariamente que a comunicação seja maliciosa, pois é possível que o contato com o endereço IP tenha ocorrido fora do horário em que o invasor o controlava. No entanto, se você vir um ou mais desses endereços IP ou o domínio fornecido em seus logs de proxy, DNS ou firewall, isso deve ser investigado para garantir que os eventos não sejam de natureza maliciosa.
- 172.232.146[.]250
- 199.115.112[.]149
- 159.65.216[.]150
- 185.193.125[.]59
- 45.32.88[.]116
- 133.226.170[.]154
- 45.67.191[.]147
- 107.181.187[.]184
- block.securerequest[.]tw
Conclusão
Fonte: Varonis
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.