Anatomia de um ataque de ransomware

A equipe Varonis Forensics investigou e corrigiu recentemente um evento de ransomware que resultou em criptografia e exfiltração em larga escala em vários servidores de arquivos. O agente da ameaça obteve persistência de longo prazo, escalou privilégios para administrador de domínio, executou comando e controle de vários hosts, obteve exfiltração de dados em massa e, por fim, destruiu dados.

Indicadores iniciais

Durante a noite, a empresa recebeu um alerta que parecia mostrar o ransomware se propagando em vários compartilhamentos de arquivos. Esses eventos se originaram de um único usuário e os padrões detectados nos eventos se assemelhavam aos gerados por ransomware. No início da manhã, a empresa tomou medidas imediatas para desabilitar a conta de Administrador de Domínio comprometida e contratou a Varonis para auxiliar na resposta a incidentes e no processo de recuperação.

Usando a plataforma Varonis, a equipe forense identificou imediatamente a variedade de ransomware como ‘LockBit’ e o escopo completo do impacto. A equipe da Varonis também observou o uso do PSExec para realizar movimentação lateral e execução remota dentro do ambiente.

Primeiros passos

Uma análise forense inicial da atividade PSExec geradora do host revelou algumas descobertas importantes:

• O agente da ameaça teve sessões remotas ao vivo no dispositivo comprometido por meio da ferramenta de administração remota legítima ‘TightVNC’.
• Várias contas de administrador local foram criadas para persistência adicional (em vários dispositivos). Isso incluiu nomes de usuário como: DomainAdmin, Support1, Support2, WDAGUtilityAccount e clienttest.

Varonis também observou a criação de arquivos no estilo ‘contactus’ descartados pelo agente da ameaça logo após o início da nossa investigação – indicando uma tentativa ativa de se comunicar com a equipe forense enquanto o agente da ameaça também tinha uma sessão ao vivo no dispositivo.

Conexão C2 do invasor via TightVNC em dispositivo comprometido.

Tentativa do agente da ameaça de contatar diretamente a equipe de resposta por meio da criação de arquivos.

Contenção

Quando soubemos que o invasor ainda estava ativo no dispositivo comprometido, a Varonis trabalhou com a empresa para tomar as medidas de correção apropriadas para minimizar a ameaça ativa, como:

• Desabilitando a interface de rede em máquinas virtuais comprometidas.
• Executando uma varredura em todo o ambiente para procurar implantações do TightVNC, criações de usuários locais adicionais e quaisquer conexões suspeitas com os endereços IP C2 agora identificados. Vários outros hosts foram configurados como pontos de acesso secundários. Esses hosts foram corrigidos conforme necessário em cada instância.

Investigações posteriores revelaram que as contas administrativas locais foram criadas pelo menos 45 dias antes do evento de criptografia, fornecendo evidências de que o invasor manteve uma posição no ambiente por um período significativo de tempo, como é frequentemente observado nesses tipos de violações.

Os investigadores da Varonis identificaram uma forma secundária de persistência — um shell reverso TCP baseado em PowerShell executado em hosts comprometidos. Um trecho do shell mostrado abaixo — o domínio que ele tentou resolver é desofuscado para ‘block.securerequest[.]tw’, um domínio recém-registrado em outubro de 2021. O shell em questão é uma versão ligeiramente modificada de um disponível publicamente script de um conhecido grupo de segurança ofensivo conhecido como ‘KaliBoys’.

Variante do Shell TCP reverso disponível publicamente identificado em servidores comprometidos – o script contata ‘block.securerequest[.]tw’

O script ofuscates comando invoca chamadas usando ‘KaliBoys’ como um alias para ‘IEX’ para evitar certos mecanismos de detecção estática enquanto também ofusca domínios em hexadecimal, como mostrado acima com ‘$A=”62 6C…’ que contém o domínio malicioso em questão . Mesmo adversários avançados em todo o mundo costumam abusar desses tipos de conjuntos de ferramentas disponíveis publicamente – por que reinventar a roda quando as ferramentas ou scripts necessários já existem?

Acesso inicial

Depois de investigar os logs de eventos do Windows no servidor comprometido, a Varonis identificou, nos logs de autenticação, tentativas de exploração do Log4Shell originadas de um aplicativo público meses antes do evento de ransomware. A vítima estava operando uma versão mais antiga do Windows e parece provável que o agente da ameaça tenha usado esse vetor para obter acesso inicial à rede.

Uma imagem de uma das tentativas de exploração dos logs de eventos do Windows é mostrada abaixo. Pesquisas sobre o aplicativo indicam que a versão em uso era suscetível a esse tipo de exploração.

Tentativas de exploração do Log4Shell contra aplicativos voltados para o público do log de eventos do Windows.

Persistência

Conforme mencionado, a Varonis ajudou a empresa a identificar várias contas administrativas locais que o agente da ameaça criou em dispositivos comprometidos. Além disso, abusar de uma conta de administrador de domínio permitiu que o agente da ameaça criasse várias contas de domínio para uso futuro.

O backdoor do PowerShell e o uso do TightVNC forneceram ao agente da ameaça mecanismos de conexão remota para acesso futuro, ignorando controles padrão, como blocos de comunicação de firewall de entrada e mecanismos de proxy de servidor para impedir a comunicação direta com a Internet de fontes externas. O servidor TightVNC foi implementado no host comprometido como um item de inicialização para manter uma presença ativa no dispositivo comprometido. Ao mesmo tempo, os backdoors do PowerShell pareciam ser mais ad hoc na natureza da inicialização.

Presença de TightVNC no CurrentVersion \ Run no Windows Registry

Também observamos várias tentativas de baixar e executar o PowerShell (como o backdoor acima) em dispositivos comprometidos de servidores temporários hospedados pelo atacante, como mostrado no exemplo abaixo.

String de execução do PowerShell retirada da análise do processo em execução

Embora existam muitas técnicas avançadas de evasão de AD/EVR para executar scripts remotos do PowerShell, às vezes uma invocação remota básica, como o exemplo mostrado acima, é tudo o que é necessário para atingir a meta de execução de código.

Acesso de credencial / Escalonamento de privilégios

Varonis identificou evidências de que o utilitário ofensivo ‘Mimikatz’ foi implantado e utilizado em servidores comprometidos. Isso permitiu que o invasor realizasse ataques comuns baseados em credenciais, como ataques de passagem de hash ou ataques baseados em tickets. Acreditamos que o invasor conseguiu comprometer contas adicionais que tinham uma presença de logon no servidor inicial. É extremamente importante reduzir o uso excessivo de contas de alto privilégio, como administradores de domínio, para diminuir a superfície de ataque geral apresentada a um invasor nos estágios iniciais de uma violação – especialmente usando essas contas para acesso de logon a servidores.

Evidência da presença de Mimikatz no USN Journal of Compromised Device

Antes do ataque de criptografia, o agente da ameaça conseguiu redefinir a senha de uma conta de serviço no dispositivo comprometido, que também era uma conta administrativa de domínio. Compreender e utilizar o princípio do privilégio mínimo é fundamental para evitar o privilégio excessivo de contas de serviço, especialmente aquelas que se autenticam em servidores que podem estar expostos a usuários baseados na Internet. A mesma conta foi então abusada para movimento lateral em todo o ambiente nas semanas e meses que antecederam a criptografia final. Desabilitar o cache de credenciais WDigest, implementar LAPS e evitar o uso de contas críticas em servidores externos podem ajudar a reduzir a superfície de ataque de credenciais de uma organização.

Descoberta

Nossa equipe descobriu anteriormente evidências do software ‘Advanced Port Scanner’ comum instalado em dispositivos comprometidos por meio de uma análise das evidências do sistema de arquivos e do USN Journal. O abuso desse aplicativo permitiu que o invasor verificasse facilmente toda a rede interna da empresa para identificar quais endereços IP têm hosts ativos, quais serviços esses hosts estão executando, quais portas estão abertas e outros detalhes críticos normalmente disponíveis por meio de sondagem de rede.

Além disso, a equipe forense descobriu um comportamento suspeito de DNS no registro centralizado de solicitações de DNS de dispositivos nos quais esse utilitário foi implantado. Isso nos permitiu inferir que as solicitações de DNS reverso estavam sendo usadas para realizar a varredura de rede.

Evidência da presença do Advanced Port Scanner no USN Journal

Identificar o reconhecimento de rede interna pode ser difícil em muitas organizações devido à falta de coleta de logs de firewalls internos — estes tendem a ser extremamente barulhentos e muitas vezes de menor valor quando comparados a eventos de firewall interno-externo. Agregar e analisar solicitações de DNS internas e externas pode ajudar a compensar a falta de visibilidade do firewall interno, informando uma organização quando um host está se comportando de maneira anormal em relação ao DNS.

Comando e controle

O Threat Actor em questão utilizou a ferramenta comum ‘PSExec’ para mover lateralmente para vários servidores onde o TightVNC e o PowerShell Reverse TCP Shell mencionado anteriormente foram implantados, fornecendo acesso remoto de volta ao ambiente por meio de vários vetores. A evidência disso foi observada em conexões de rede ativas e logs de eventos de firewall que a equipe Varonis Forensics pôde usar para ajudar a identificar o escopo completo da violação. Essa atividade foi corroborada por meio de evidências observadas no nível do sistema de arquivos nos logs de eventos do USN Journal e do Windows devido aos eventos de criação de serviço acionados pelo uso remoto do PsExec pela primeira vez.

Exfiltração

Nos logs de firewall da empresa, a equipe observou evidências de exfiltração de dados em massa para um endereço IP suspeito que tinha SFTP e RDP expostos e estava hospedado em um ambiente de servidor temporário, o que infelizmente deu credibilidade à ameaça de roubo e exposição significativos de dados. A implementação de um proxy de servidor e a prevenção da saída direta da Internet para servidores para bloquear comunicações de saída indesejadas da Internet deve ser uma das principais metas de segurança.

A Varonis Forensics identificou evidências da instalação e uso do FileZilla em servidores comprometidos no USN Journal. Um trecho do diário mostrando a presença maliciosa do instalador do FileZilla é mostrado abaixo.

Evidência da instalação do FileZilla do USN Journal

Nossa investigação revelou que milhares de solicitações para ‘Pastebin.com’ foram feitas pelo dispositivo comprometido em questão – provavelmente, isso foi usado para entrada de ferramentas e possível saída de dados. No entanto, a extensão total é desconhecida.

Nossa investigação também revelou a presença e o uso do navegador Brave — a provável fonte das solicitações de DNS em questão — pelo agente da ameaça. Se a navegação na Internet for necessária a partir de um dispositivo comprometido, o Brave é uma escolha comum para os agentes de ameaças devido à natureza inerentemente privada das operações.

Evidência da utilização do navegador Brave revelada no USN Journal

Impacto

Depois de persistir na rede por um período significativo de tempo, realizando reconhecimento em todo o ambiente, explorando servidores de arquivos e criando vários mecanismos de acesso backdoor, o invasor lançou o ransomware LockBit em vários compartilhamentos de arquivos. Nossa equipe ajudou a empresa a determinar o escopo completo do incidente usando evidências coletadas de vários servidores. O agente da ameaça fez um ataque cirúrgico contra compartilhamentos de arquivos críticos, em vez de criptografar todos os servidores acessíveis, demonstrando a importância de proteger o máximo possível o acesso à rede a dados confidenciais.

Recomendações de proteção ambiental

A equipe da Varonis Forensic se esforça para ajudar as empresas a remediar, recuperar e reestruturar as posturas de segurança cibernética após incidentes críticos como este. Para esse fim, uma lista de recomendações generalizadas de proteção do ambiente é fornecida abaixo para ajudar outras organizações que enfrentam desafios semelhantes.

• Implemente a MFA em todas as plataformas de fornecimento de identidade: isso inclui VPN, Azure AD/Microsoft 365, aplicativos de acesso remoto, como Horizon View, etc. mesmo uma conta de domínio autorizada a ignorá-lo.
• Implemente o Microsoft LAPS para gerenciar contas administrativas locais enquanto reduz ao máximo as permissões de administrador local.
• Implemente programas de Avaliação e Gerenciamento de Vulnerabilidade para dar suporte ao gerenciamento de patches e entender quando servidores ou aplicativos exigem atenção crítica. Isso é especialmente crítico ao hospedar aplicativos desenvolvidos internamente expostos à Internet.
• Esforce-se para reduzir os privilégios o máximo possível, especialmente em contas de serviço. Frequentemente referido como o conceito de ‘Privilégio mínimo’ – esforce-se para fornecer às contas a quantidade mínima de permissões para seu trabalho.
• Procure bloquear a saída direta da Internet para ambientes de servidor e, em vez disso, passe o tráfego por meio de um proxy que pode bloquear comunicações indesejadas.
• Reduza o uso de contas críticas em servidores externos para diminuir a superfície de ataque de credenciais.
• Garanta que sua implantação AV/EDR também proteja seus servidores, além dos endpoints do usuário.

Representação de mitra

Abaixo, apresentamos as etapas que esse agente de ameaça tomou em relação à MITRE Cyber ​​Kill Chain.

Tática	Técnicas	Notas relevantes
Acesso inicial	T1190 – Explorar aplicativo voltado para o público	Exploração Log4Shell de aplicativo voltado para a Internet
Execução	T1059.001 – PowerShell T1059.003 – Shell de comando do Windows	Evidência de PowerShell e PSEXEC em vários servidores
Persistência	T1547 – Execução de inicialização automática de inicialização ou logon T1136 – Criar conta T1133 – Serviços Remotos Externos	Criação de conta local e persistência de software via registro
Escalação de privilégios	T1078 – Contas válidas T1068 – Exploração para escalonamento de privilégios T1003 – Despejo de credenciais do SO	Mimikatz/Abuso de redefinição de senha para obter acesso à conta de administrador do domínio.
Evasão de Defesa	T1070.004 – Remoção de Indicador no Host – Exclusão de Arquivo	Remoção do indicador via exclusão de arquivo
Acesso de credencial	O mesmo que privesc acima	Mimikatz/Abuso de redefinição de senha para obter acesso à conta de administrador do domínio.
Descoberta	T1046 – Digitalização de serviço de rede T1018 – Descoberta Remota do Sistema	Utilitário ‘Advanced Port Scanner 2’ abusado para reconhecimento interno.
Movimento lateral	T1021.001 – Serviços Remotos: Protocolo de Área de Trabalho Remota T1021.002 – Serviços Remotos: Compartilhamentos SMB/Windows Admin T1550 – Usar material de autenticação alternativo	PSEXEC e RDP foram utilizados para movimentação em todo o ambiente, provavelmente com assistência de ataques PTH/PTT via Mimikatz
Coleção	T1560 – Archive Collected Data Os dados foram colocados em ZIPs no host comprometido antes da exfiltração. Exfiltração T1573 – Canal criptografado T1041 – Exfiltração sobre o canal C2 T1048 – Exfiltração sobre protocolo alternativo Uso de SSL/SFTP para transmitir dados pela Internet para locais efêmeros via FileZilla – também acredita-se que os dados foram transmitidos por sessões TightVNC/PowerShell até certo ponto.
Comando e controle	T1071 – Protocolo de camada de aplicativo T1573 – Canal criptografado T1105 – Transferência de Ferramenta de Entrada T1219 – Software de Acesso Remoto	O TightVNC e o PowerShell foram utilizados para operações C2 pelo Threat Actor.
Impacto	T1531 – Remoção de acesso à conta T1486 – Dados criptografados para impacto	O ransomware Lockbit foi implantado para criptografar partes do ambiente.

Indicadores de Compromisso

Os endereços IP e domínios fornecidos abaixo pertencem principalmente a provedores de servidores temporários, como a DigitalOcean. Dessa forma, só porque um IP aparece em seus logs não significa necessariamente que a comunicação seja maliciosa, pois é possível que o contato com o endereço IP tenha ocorrido fora do horário em que o invasor o controlava. No entanto, se você vir um ou mais desses endereços IP ou o domínio fornecido em seus logs de proxy, DNS ou firewall, isso deve ser investigado para garantir que os eventos não sejam de natureza maliciosa.

• 172.232.146[.]250
• 199.115.112[.]149
• 159.65.216[.]150
• 185.193.125[.]59
• 45.32.88[.]116
• 133.226.170[.]154
• 45.67.191[.]147
• 107.181.187[.]184
• block.securerequest[.]tw

Conclusão

Embora ocorram ataques de ransomware ‘crash and burn’, é muito mais provável que um invasor viva em um ambiente corporativo por um período significativo de tempo antes de criptografar os dados. Durante esse período, o agente da ameaça procurará escalar privilégios, realizar descoberta interna de dados confidenciais ou pontos de apoio adicionais, exfiltrar dados críticos e, finalmente, causar a destruição de dados armazenados. A implantação de soluções de segurança como a Varonis Data Security Platform pode ajudar as organizações a detectar esses tipos de ameaças no início de seu ciclo de vida por meio de aprendizado de máquina e Análise do Comportamento do Usuário (UBA) – potencialmente prevenindo tanto a exfiltração quanto a destruição de dados. A Varonis também pode ajudar as organizações a automatizar a resposta às atividades de ransomware para proporcionar tranquilidade, mesmo quando ninguém está acordado para revisar alertas críticos.

 

Fonte: Varonis